AI Act: con il voto del Parlamento l'UE traccia il futuro dell'Intelligenza Artificiale

L'Europa avanza sulla regolamentazione dell'IA, compiendo un passo fondamentale verso l'approvazione di restrizioni storiche sull'uso dell'Intelligenza Artificiale.

Il Parlamento europeo in data 14 giugno 2023 ha dato il via libera all’Artificial Intelligence Act, che regolerà l'Intelligenza Artificiale nel rispetto dei diritti e dei valori dell'Unione Europea.

Si tratta della prima regolamentazione sull'Intelligenza Artificiale, la cui approvazione definitiva, da parte dell’Unione Europea, dovrebbe arrivare a fine anno e, secondo fonti vicine alle istituzioni europee, questo regolamento sull’intelligenza artificiale dovrebbe entrare in vigore tra il 2024 e il 2025. Questo perché i membri del Parlamento europeo dovranno discutere i dettagli con il Consiglio dell'Unione europea e il braccio esecutivo dell'UE, la Commissione europea, prima che i progetti di norme diventino legislazione.

La legislazione finale sarà – presumibilmente - un compromesso tra i diversi progetti delle tre istituzioni; ecco perché probabilmente ci vorranno circa due anni prima che le leggi siano effettivamente implementate.

Da un punto di vista giuridico, l’IA Act è stato definito – data la sua portata storica – il primo regolamento sull’IA al mondo e istituisce un quadro giuridico uniforme volto a regolare lo sviluppo, la commercializzazione e l’uso dei sistemi di IA, ovviamente, in conformità con i valori e i diritti dell’UE. Inoltre, i modelli di Intelligenza Artificiale generativa, come ChatGPT di OpenAI e Bard di Google, sarebbero autorizzati a operare a condizione che i loro output siano chiaramente etichettati come generati dall'IA.

Il voto sull'AI Act è passato con una maggioranza schiacciante ed è stato annunciato come uno degli sviluppi più importanti al mondo nella regolamentazione dell'IA, tant’è che la presidente del Parlamento europeo, Roberta Metsola, l'ha descritta come "una legislazione che senza dubbio stabilirà lo standard globale per gli anni a venire".

Il Parlamento ha anche votato per vietare la categorizzazione biometrica sulla base di caratteristiche sensibili, come la sessualità percepita, il genere, la razza o l'etnia e il riconoscimento delle emozioni nei contesti educativi, nei luoghi di lavoro, da parte della polizia e alle frontiere. Questi divieti sono altrettanto importanti per prevenire la discriminazione e proteggere i diritti umani.

È da sottolineare, come aspetto cruciale, che questo voto consolida la posizione dell'UE come leader globale de facto sulla regolamentazione tecnologica, poiché altri governi – incluso, ad es., il Congresso degli Stati Uniti – hanno appena iniziato il loro cammino di regolamentazione in materia di IA.

"Oggi abbiamo fatto la storia": queste sono le parole pronunciate in una conferenza stampa dal co-relatore Brando Benifei, membro italiano del Parlamento europeo che lavora sull'AI Act. Benifei ha specificato che i legislatori "hanno posto la strada" per un dialogo con il resto del mondo sulla costruzione di "IA responsabile".

Processo, processi e rivoluzione tecnologica, di Laghi Pasquale, Teliti Ersida, Ed. CEDAM, 2022. Il volume affronta come la “rivoluzione tecnologica” ha inciso profondamente sulla conformazione dei rapporti sociali, economici e giuridici, alterando la stessa configurazione della realtà ‘sensibile’ per come tradizionalmente percepita.. Guarda la scheda del prodotto

Cosa prevede l’Artificial Intelligence Act

Prima del voto di giugno, il Parlamento europeo – lo scorso maggio - aveva adottato le prime regole al mondo in materia di intelligenza artificiale (il c.d. AI Act). Le regole introdotte dal regolamento miravano a garantire la sicurezza, la trasparenza e l’etica dell’IA in Europa e prevedevano un approccio basato sul rischio, stabilendo obblighi per i fornitori e gli utenti di IA in base al livello di rischio che l’IA stessa potesse comportare.

L’11 maggio, infatti, l’AI Act ha ricevuto il parere favorevole da parte delle Commissioni del Parlamento Europeo, con la speranza che nel mese successivo il testo potesse essere approvato dal Parlamento Europeo e, effettivamente, così è stato. Infatti, notizia di qualche giorno fa è quella che riporta il voto dell'assemblea di Strasburgo che ha approvato la sua "posizione negoziale sulla legge sull'intelligenza artificiale" con 499 voti a favore, 28 contrari e 93 astensioni. L'obiettivo del Parlamento Europeo è quello di arrivare all'approvazione del testo definitivo entro la fine dell'anno, anche se le nuove norme - direttamente applicabili a tutti i paesi, in quanto regolamento europeo, sebbene ciascuno potrebbe decidere di approvare minimi correttivi - potrebbero entrare in vigore non prima del 2025.

Sarà, infatti, concesso del tempo alle aziende per adeguarsi alle nuove norme. Vi è, però, un dettaglio da non sottovalutare ed evidenziare: potrebbe essere introdotto un codice di condotta volontario proposto alle principali aziende che sviluppano software di intelligenza artificiale. L'invito dell'UE, insieme agli Stati Uniti, è di applicare le norme dell'AI Act prima della conclusione dell'iter continentale così da tracciare un confine utile a delineare una regolamentazione globale, difficile da affrontare autonomamente.

L’AI Act si inserisce nel contesto della c.d. strategia “a Europe fit fot the digital age” (un'Europa adatta all'era digitale), delineata dalla Commissione Europea. Il sistema di IA è stato inquadrato dal testo – approvato dal Parlamento UE, all’ art. 3, come “un sistema progettato per funzionare con elementi di autonomia e che, sulla base di dati e input forniti da macchine e/o dall’uomo, deduce come raggiungere una determinata serie di obiettivi avvalendosi di approcci di apprendimento automatico e/o basati sulla logica e sulla conoscenza, e produce output generati dal sistema quali contenuti, previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui il sistema di IA interagisce”.

L'AI Act è, dunque, una proposta di legge europea sull'intelligenza artificiale che definisce i livelli di rischio associati all'impatto dei diversi sistemi di intelligenza artificiale sulla vita delle persone e suoi loro diritti fondamentali, dal lavoro alla salute fino alla sicurezza. L'AI Act classifica le applicazioni dell'IA in quattro livelli di rischio: rischio inaccettabile, rischio elevato, rischio limitato e rischio minimo o nullo.

I sistemi di intelligenza artificiale sono considerati a rischio inaccettabile, e pertanto vietati, quando costituiscono una minaccia per le persone; vi rientra tutto ciò che rappresenta una “chiara minaccia per la sicurezza, i mezzi di sussistenza e i diritti delle persone”, come l’assegnazione di un ‘punteggio sociale’ da parte dei governi. In particolare, il rischio inaccettabile comprende la “manipolazione comportamentale cognitiva di persone o gruppi vulnerabili specifici, la classificazione sociale e sistemi di identificazione biometrica in tempo reale e a distanza, come il riconoscimento facciale”. In particolare, facciamo riferimento a:

• sistemi di intelligenza artificiale che utilizzano tecniche subliminali o tecniche manipolative o ingannevoli per distorcere il comportamento;
• sistemi di intelligenza artificiale che sfruttano le vulnerabilità di individui o gruppi specifici;
• sistemi di categorizzazione biometrica basati su attributi o caratteristiche sensibili;
• sistemi di intelligenza artificiale utilizzati per il social scoring o la valutazione dell'affidabilità;
• sistemi di IA utilizzati per la valutazione del rischio che prevedono reati penali o amministrativi;
• sistemi di intelligenza artificiale che creano o espandono database di riconoscimento facciale attraverso web scraping non mirato;
• sistemi di intelligenza artificiale che deducono le emozioni nelle forze dell'ordine, nella gestione delle frontiere, sul posto di lavoro e nell'istruzione.

I sistemi di intelligenza artificiale che influiscono negativamente sulla sicurezza o sui diritti fondamentali saranno, invece, considerati ad alto rischio. L’alto rischio corrisponde a un “rischio significativo” di danno alla salute, alla sicurezza o ai diritti fondamentali, inteso come “risultato della combinazione della sua gravità, intensità, probabilità di accadimento e durata dei suoi effetti e la capacità di colpire un individuo, una pluralità di persone o un particolare gruppo di persone”.

La salute comprende il tema dei rischi ambientali, per cui saranno coperte anche infrastrutture critiche come le reti energetiche o i sistemi di gestione dell’acqua. Ecco perché i sistemi basati sull’intelligenza artificiale in questo settore dovranno essere conformi agli standard ambientali europei ed essere in linea con gli standard di impronta ecologica.

I sistemi di IA identificati “ad alto rischio” includono la tecnologia AI utilizzata in vari contesti, in particolare:

• infrastrutture critiche (ad esempio i trasporti), che potrebbero mettere a rischio la vita e la salute dei cittadini;
• formazione educativa o professionale, che può determinare l'accesso all'istruzione e al corso professionale della vita di qualcuno (ad esempio il punteggio degli esami);
• componenti di sicurezza dei prodotti (ad es. AI nella chirurgia assistita da robot);
• occupazione, gestione dei lavoratori e accesso al lavoro autonomo (ad esempio software di selezione dei Curriculum Vitae per le procedure di assunzione);
• servizi privati e pubblici essenziali (ad esempio, l’utilizzo del sistema di credit scoring - misura quantitativa sintetica che riguarda l’affidabilità creditizia di un determinato soggetto - che può negare ai cittadini la possibilità di ottenere un prestito);
• applicazione della legge che può interferire con i diritti fondamentali dei cittadini;
• gestione della migrazione, dell'asilo e del controllo delle frontiere (ad esempio, la verifica dell'autenticità dei documenti di viaggio);
• amministrazione della giustizia e processi democratici.

Inoltre, i sistemi di IA ad alto rischio saranno soggetti a obblighi rigorosi prima di poter essere immessi sul mercato.

Questi obblighi comprendono: un adeguato sistema di valutazione e mitigazione dei rischi, informazioni chiare e adeguate all'utente, documentazione dettagliata che fornisca tutte le informazioni necessarie sul sistema e sul suo scopo affinché le autorità possano valutarne la conformità, la registrazione delle attività in modo da garantirne la tracciabilità dei risultati, etc.

Tutti i sistemi di identificazione biometrica remota sono considerati ad alto rischio e sono soggetti a severi requisiti.

L'uso dell'identificazione biometrica a distanza in spazi accessibili al pubblico a fini di contrasto è, in linea di principio, vietato. Tuttavia, sono rigorosamente definite e disciplinate eccezioni rigorose della sua applicazione, come nel caso della ricerca di un minore scomparso, per prevenire una minaccia terroristica specifica e imminente o per individuare, localizzare, identificare o perseguire un autore o un sospetto di un reato grave. Tale utilizzo, però, è soggetto all'autorizzazione di un organo giudiziario o altro organo indipendente e ad opportuni limiti di tempo, di portata geografica e di banche dati consultate.

Differente è il rischio limitato, il quale si riferisce ai sistemi di IA con specifici obblighi di trasparenza, dal rischio minimo la cui proposta avanzata dal Parlamento, ne consente il libero utilizzo dell'IA.

Rientra nella categoria del rischio minimo tutto ciò che include, ad es., applicazioni come videogiochi abilitati all'intelligenza artificiale o filtri antispam.

La presente proposta (giugno 2023) – soggetta a votazione – comprende, dunque, le ultime modifiche ed emendamenti presentati e propone una precisa regolamentazione commisurata al rischio che l’utilizzo di simili strumenti può comportare per l’utente.

Pertanto, ad un diverso livello di rischio, corrisponderà una regolamentazione più o meno stringente.

L’obiettivo del legislatore comunitario è quello di garantire la sicurezza, la trasparenza, la tracciabilità e il carattere non discriminatorio delle operazioni condotte servendosi di sistemi di Intelligenza Artificiale, nonché il rispetto dell’ambiente ed un impatto pressoché minimo.

AI Act: la posizione del Parlamento Europeo

La normativa dell’UE intende regolare l’uso dell’intelligenza artificiale attraverso un sistema denominato risk-based approach, ossia un sistema che distingue gli obblighi di conformità, più o meno stringenti, a seconda del rischio che software e IA possono causare a danno dei diritti fondamentali.

Sulla base di quanto sopra descritto, per una maggiore chiarezza e comprensione, ecco una panoramica - seppure sintetizzata - su alcune delle principali implicazioni.

Divieto di riconoscimento delle emozioni tramite IA. Il progetto di testo del Parlamento europeo vieta l'uso dell'IA che tenta di riconoscere le emozioni in alcuni ambienti, quali nella polizia, nelle scuole e nei luoghi di lavoro.

L'uso dell'IA per condurre il rilevamento e l'analisi facciale è stato criticato in passato, per imprecisione e pregiudizi, ma non è stato vietato nella bozza del testo dalle altre due istituzioni.

Divieto di biometria in tempo reale e polizia predittiva negli spazi pubblici. Questa sarà una grande battaglia legislativa, perché i vari organi dell'UE dovranno decidere se, e come, il divieto sarà applicato nella legge.

Divieto di social scoring (sistema di credito sociale). Il punteggio sociale da parte delle agenzie pubbliche, o la pratica di utilizzare i dati sul comportamento sociale delle persone per fare generalizzazioni e profili, non sarebbe legale.

Detto questo, la prospettiva sul punteggio sociale, comunemente associata alla Cina e ad altri governi autoritari, non è così semplice come potrebbe sembrare, infatti, la pratica di utilizzare i dati sul comportamento sociale per valutare le persone è comune nella distribuzione di mutui e nella fissazione dei tassi di assicurazione, nonché nelle assunzioni e nella pubblicità.

Nuove restrizioni per l'IA generativa. Questa bozza è la prima a proporre modi per regolare l'IA generativa e vietare l'uso di qualsiasi materiale protetto da copyright nel set di addestramento di modelli linguistici di grandi dimensioni come GPT-4 di OpenAI. Infine, nel testo dell’AI actsono stati introdotti obblighi di documentare l’indicazione di contenuti protetti da copyright utilizzati per alimentare il modello, oltre all’obbligo di indicare se il contenuto è stato generato da un’intelligenza artificiale. Invece, con riferimento alla tutela in forza del diritto d’autore delle opere create da sistemi di IA, l’AI Act nulla dice, lasciando la relativa regolamentazione alle normative nazionali nonché all’opera della giurisprudenza. Al riguardo, la questione è accesa e, soprattutto, nel contesto italiano ed europeo, emergono i profili potenzialmente problematici con riferimento alla paternità della creazione dell’IA.

Nuove restrizioni sugli algoritmi di raccomandazione sui social media. Per il Parlamento europeo, dovranno essere classificati ad alto rischio anche i sistemi di IA che potrebbero influenzare gli elettori e l’esito delle elezioni, e quelli utilizzati dagli algoritmi di raccomandazione dei social media o altre piattaforme digitali.

La nuova bozza, inoltre, assegna i sistemi di raccomandazione a una categoria “ad alto rischio” e, ciò significherebbe che i sistemi di raccomandazione sulle piattaforme di social media saranno soggetti a un controllo molto maggiore e le aziende tecnologiche potrebbero essere più responsabili per l'impatto dei contenuti generati dagli utenti.

Ovviamente, sulla base di tutte queste informazioni, sono intuibili i rischi dell'IA; la stessa Margrethe Vestager, vicepresidente esecutivo della Commissione europea, ha sottolineato “le preoccupazioni per il futuro della fiducia nelle informazioni, la vulnerabilità alla manipolazione sociale da parte di cattivi attori e la sorveglianza di massa”.

I negoziati trilaterali sul testo finale sono in una fase di perfezionamento e si prevede che saranno completati entro la fine dell'anno, con l'obiettivo di approvare la legge prima delle elezioni del Parlamento europeo nel giugno 2024.

Dato certo è che l’Unione europea è la prima al mondo ad aver approvato quasi in via definitiva una normativa per la regolamentazione dei sistemi di intelligenza artificiale, e ci si aspetta che altri legislatori, ad esempio statunitensi, seguano a ruota l’Europa nell’elaborare una propria normativa.

Considerazioni finali

Il voto storico segnala la posizione del Parlamento europeo in vista dei negoziati di trilogo con il Consiglio dell'UE (composto dagli Stati membri dell'UE) e la Commissione. Dunque, il Parlamento europeo, la Commissione europea e il Consiglio europeo hanno concordato di avviare negoziati a tre, sottolineando l'imperativo politico di raggiungere un accordo sul progetto di legge sull'IA, che è il regolamento che stabilirà le regole sull'IA nello spazio dell'UE.

In effetti, la legge è destinata a modellare il modo in cui i responsabili politici affronteranno la regolamentazione dell'IA in molte altre giurisdizioni e a livello internazionale.

“Scopo del presente regolamento è promuovere l'adozione di un'intelligenza artificiale antropocentrica e affidabile e garantire un elevato livello di protezione della salute, della sicurezza, dei diritti fondamentali, della democrazia e dello Stato di diritto e dell'ambiente dagli effetti nocivi dei sistemi di intelligenza artificiale nell'Unione, sostenendo allo stesso tempo l'innovazione”. Questo è quanto è riportato dall’IA Act, nella versione recentemente approvata dal Parlamento Europeo.

Il Parlamento, tuttavia, non è riuscito a introdurre nuove disposizioni per proteggere i diritti dei migranti da regimi sempre crescenti di sorveglianza discriminatoria.

L'elenco delle pratiche vietate adottate non include, infatti, l'uso dell'IA per facilitare respingimenti illegali o per profilare le persone in movimento in modo discriminatorio. Il Parlamento ha adottato misure significative per responsabilizzare le persone interessate dall'uso dei sistemi di IA, incluso l'obbligo di fornire spiegazioni a coloro che sono interessati da decisioni o risultati basati sull'IA, e di lamentarsi quando i sistemi di IA vìolino i loro diritti.

Il Parlamento non ha esteso questi diritti e meccanismi nel voto delle scorse settimane. Ha votato per respingere il diritto a una spiegazione per tutti i sistemi di IA (non solo gli usi "ad alto rischio") e per il diritto delle organizzazioni di interesse pubblico di presentare reclami quando i sistemi di IA non sono conformi al regolamento.

Una delle questioni più controverse e accentuate riguardanti il voto è stata l'identificazione biometrica remota (RBI) come il riconoscimento facciale. Andando oltre la proposta della Commissione nel 2021, che avrebbe lasciato una serie di eccezioni al divieto della RBI, i membri del Parlamento hanno deciso di mettere le persone al primo posto: la proposta suggerisce di vietare in modo completo l'uso in tempo reale della RBI e di consentire il post-RBI (in cui l'analisi biometrica non avviene in tempo reale ma dopo), a condizione di garanzie molto forti.

Purtroppo, i legislatori non hanno votato per estendere la protezione delle persone in movimento: non hanno adottato un divieto di sistemi che cercano di profilare le persone in base alle loro caratteristiche sensibili o ai dati previsti al fine di valutare se rappresentano una minaccia nell'area della migrazione, dell'asilo e del controllo delle frontiere.

Inoltre, i responsabili politici non hanno votato per concedere il diritto alle persone di essere rappresentate da un'organizzazione di interesse pubblico e di presentare un reclamo quando sono influenzate negativamente da un sistema di intelligenza artificiale.

Potremmo dire che, nel complesso, i membri del Parlamento hanno dato un segnale forte, dando priorità alla protezione delle persone e ai loro diritti fondamentali, rispetto agli interessi delle big tech e all'eccessiva portata dello Stato. Ancora più impegno hanno messo la Commissione europea e il Consiglio nello stabilire salvaguardie per lo sviluppo e l'uso dell'IA, facendo di fatto un enorme passo avanti verso un futuro permeato dall’IA.

Si tratta, in fondo della “prima legge al mondo sull’Intelligenza Artificiale” che si spera possa essere presa d’esempio anche da altre legislazioni, in particolare, come menzionato sopra – quella statunitense.

La motivazione, infine, è piuttosto intuitiva; infatti, gli USA con l’amministrazione Trump hanno sempre mantenuto un “light touch” sulla regolamentazione dell’IA, aumentando gli investimenti in ricerca e sviluppo, tentando di assicurarne un uso sicuro ed etico. Con l’era Biden, vi è stato un maggior focus verso l’etica e l’affidabilità dei sistemi di IA.

Esempio pratico è l’“Algorithmic Accountability Act”, che potremmo dire essere l’equivalente statunitense dell’AI Act in termini di trasparenza e responsabilità, ma mentre l’approvazione dell’Artificial Intelligence Act da parte del Parlamento europeo segna un importante passo avanti nella regolamentazione dell’IA in Europa, un codice di condotta condiviso tra UE e USA sull’AI potrebbe risultare fondamentale per armonizzare a livello globale le pratiche aziendali legate ai sistemi di intelligenza artificiale e per garantirne un utilizzo sicuro, etico e trasparente.

IN COLLABORAZIONE CON

>> Scopri il Corso online specialista privacy di Altalex!
>> Scopri il Corso online avanzato sugli adempimenti e la redazione documentale in ambito GDPR, privacy e data governance di Altalex!