Il 13 marzo scorso, il Parlamento Europeo ha approvato il testo del regolamento in materia di intelligenza artificiale (IA). Sebbene, il regolamento entri in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta Ufficiale dell’Unione europea, esso si applicherà a tutti gli Stati membri solo dopo 24 mesi dalla sua entrata in vigore, tranne alcune eccezioni (ad es. le regole sui sistemi AI vietati si applicheranno dopo 6 mesi dalla entrata in vigore). Questo perché, la Commissione europea ha assegnato un periodo medio-lungo di “sperimentazione” in modo da consentire alle imprese e a tutti i soggetti destinatari di adeguarsi alle prescrizioni contenute nel regolamento.
Scopo e contenuto del regolamento
L’obiettivo del regolamento è quello di migliorare il funzionamento del mercato interno e promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali, compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente, contro gli effetti nocivi dei sistemi di intelligenza artificiale (sistemi di IA) nell’Unione nonché promuovere l’innovazione.
La nuova disciplina non intende introdurre una normativa esaustiva e dettagliata di ogni aspetto connesso all’IA, ma introduce una serie di disposizioni di rilievo nella materia, tra cui le regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di intelligenza artificiale nell’Unione; il divieto di determinate pratiche di intelligenza artificiale; i requisiti specifici per i sistemi di IA ad alto rischio e gli obblighi per gli operatori di tali sistemi; le regole di trasparenza armonizzate per alcuni sistemi di IA; le regole armonizzate specifiche per l’immissione sul mercato di modelli di IA di uso generale; le regole sul monitoraggio del mercato, sulla governance e sull’applicazione della vigilanza del mercato stesso.
Ambito di applicazione
Il regolamento si applicherà ai soggetti pubblici e privati – all’interno e all’esterno dell’UE – utilizzatori dei sistemi di intelligenza artificiale e riguarderà sia i fornitori di sistemi di intelligenza artificiale (ad es. uno sviluppatore di uno strumento di screening dei CV) che gli operatori di sistemi di IA ad alto rischio (ad es. una banca che acquista uno strumento di screening dei CV).
Il regolamento non si applicherà ai sistemi di IA che sono utilizzati esclusivamente per scopi militari, di difesa o di sicurezza nazionale, nonché alle attività di ricerca, sviluppo e prototipazione che precedono l’immissione sul mercato o a persone che utilizzano l’IA per motivi non professionali o di ricerca scientifica le quali, tuttavia, dovrebbero essere incoraggiate a rispettare volontariamente tali obblighi.
Sistemi vietati
Il regolamento prevede che saranno vietati i sistemi di IA che possono manipolare il comportamento umano e quelli che consentono di attribuire un “punteggio sociale” (social scoring), per finalità pubbliche e private, classificando le persone in base al loro comportamento sociale o alle loro caratteristiche personali, e determinate applicazioni di polizia predittiva (ossia sistemi che considerano la probabilità che un soggetto commetta un reato, ad es. unicamente sulla base della profilazione fisica o della valutazione delle caratteristiche della personalità).
Nel lungo elenco di sistemi vietati si annoverano i sistemi di identificazione biometrica in tempo reale in spazi accessibili al pubblico (ossia il riconoscimento facciale mediante telecamere a circuito chiuso) a fini di attività di contrasto (con limitate eccezioni), nonché i sistemi di riconoscimento delle emozioni utilizzati sul luogo di lavoro e negli istituti scolastici, eccetto per motivi medici o di sicurezza (ad esempio il monitoraggio dei livelli di stanchezza di un pilota); l’estrazione non mirata (scraping) di immagini facciali da internet o telecamere a circuito chiuso per la creazione o l’espansione di banche dati.
Sistemi ad alto rischio
Il regolamento prevede l’utilizzo di tali sistemi a condizione che non presentino un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche. Prima di immettere un sistema di IA ad alto rischio sul mercato dell’UE, o di farlo entrare in servizio, i fornitori dovranno sottoporlo a una valutazione della conformità. Dovranno, quindi, dimostrare che il loro sistema è conforme ai requisiti obbligatori per un’IA affidabile (ad esempio: qualità dei dati, documentazione e tracciabilità, trasparenza, sorveglianza umana, accuratezza, cibersicurezza e robustezza).
I sistemi di IA ad alto rischio implementati da autorità pubbliche o entità che agiscono per loro conto dovranno essere registrati in una banca dati pubblica dell’UE.
Tra i sistemi ad alto rischio rientrano quelli di identificazione biometrica remota, categorizzazione biometrica e riconoscimento delle emozioni (al di fuori delle categorie vietate); quelli finalizzati a determinare l’accesso, l’ammissione o l’assegnazione agli istituti di istruzione e formazione professionale (ad esempio, per valutare i risultati dell’apprendimento e orientare il processo di apprendimento e il monitoraggio dei comportamenti disonesti); quelli relativi alla valutazione dell’occupazione, ad ottimizzare la gestione dei lavoratori e l’accesso al lavoro autonomo (ad esempio, per pubblicare annunci di lavoro mirati, analizzare e filtrare le candidature e valutare i candidati).
Sistemi a rischio minimo
Il regolamento prevede che i sistemi di IA a rischio minimo (come ad es. videogiochi o filtri spam) saranno esenti da obblighi da parte dei fornitori di tali sistemi, ferma restando l’osservanza di specifici obblighi di trasparenza e di informazione laddove esista un evidente rischio di manipolazione (come attraverso l’uso di chatbot). Anche i “deep fake” (ossia, come li ha definiti il Garante per la privacy, foto, video e audio creati grazie a software di intelligenza artificiale che, partendo da contenuti reali, immagini e audio, riescono a modificare o ricreare, in modo estremamente realistico, le caratteristiche e i movimenti di un volto o di un corpo e a imitare fedelmente una determinata voce), dovranno essere etichettati come tali e gli utenti dovranno essere informati “del fatto di stare interagendo con un sistema di IA, a meno che ciò non risulti evidente dal punto di vista di una persona fisica ragionevolmente informata, attenta e avveduta, tenendo conto delle circostanze e del contesto di utilizzo” (art. 50).
Eccezioni previste per le autorità di contrasto
Il regolamento consente alle Forze dell’ordine il riconoscimento biometrico da remoto in tempo reale negli spazi accessibili al pubblico solo in alcuni casi, tra cui 1) le attività di contrasto relative a reati specifici, quali: terrorismo; tratta di esseri umani; sfruttamento sessuale di minori e materiale pedopornografico; traffico illecito di stupefacenti e sostanze psicotrope; traffico illecito di armi, munizioni ed esplosivi; omicidio volontario; lesioni personali gravi, traffico illecito di organi e tessuti umani; traffico illecito di materie nucleari e radioattive, rapimento, sequestro e presa di ostaggi; reati che rientrano nella competenza giurisdizionale della Corte penale internazionale; dirottamento di un aeromobile o una nave; stupro; reati ambientali; furto organizzato o rapina a mano armata; sabotaggio, partecipazione a un’organizzazione criminale coinvolta in uno o più dei reati elencati sopra; 2) la ricerca mirata di specifiche vittime, rapimento, tratta e sfruttamento sessuale di esseri umani e persone scomparse; 3) la prevenzione di minacce per la vita o l’incolumità fisica delle persone o risposta da una minaccia attuale o prevedibile di attacco terroristico. Si specifica che l’identificazione biometrica remota in tempo reale da parte delle autorità di contrasto sarà subordinata ad un’autorizzazione preventiva rilasciata da un’autorità giudiziaria o amministrativa indipendente. L’autorizzazione dovrà essere preceduta da una valutazione preventiva d’impatto sui diritti fondamentali e dovrà essere notificata all’autorità di vigilanza e all’autorità per la protezione dei dati interessate.
Garanzie per i sistemi di intelligenza artificiale usati per finalità generali
Il regolamento prevede, inoltre, specifici obblighi per i fornitori di modelli di IA per finalità generali, che comprendono anche i modelli di IA generativa di grandi dimensioni (come ad es. ChatGPT). Il regolamento prevede che la definizione di modelli di IA per finalità generali “dovrebbe basarsi sulle principali caratteristiche funzionali ossia, in particolare, la generalità e la capacità di svolgere con competenza un’ampia gamma di compiti distinti”.
In base al regolamento i fornitori dovranno redigere e mantenere aggiornata la documentazione tecnica del modello, compresi i dettagli del processo di addestramento e prova, nonché i risultati della sua valutazione. Essi dovranno inoltre disporre di politiche in essere atte a garantire il rispetto del diritto d’autore.
Governance
Le Autorità nazionali competenti per la vigilanza del mercato sorveglieranno l’attuazione delle nuove norme a livello nazionale, mentre un Ufficio europeo per l’IA, costituito presso la Commissione europea, garantirà il coordinamento a livello europeo. Ciascuno Stato membro designerà una o più autorità nazionali competenti, incaricate di supervisionarne l’applicazione e l’attuazione, nonché di svolgere attività di vigilanza del mercato.
Un comitato scientifico di esperti indipendenti avrà il compito di segnalare i rischi sistemici e contribuire alla classificazione e alla sperimentazione dei modelli. Un comitato europeo per l’IA, composto dai rappresentanti degli Stati membri, svolgerà il ruolo di piattaforma di coordinamento e di organo consultivo per la Commissione europea. Il Garante europeo della protezione dei dati parteciperà come osservatore.
A cura di Cristina Petrucci
Per leggere il testo del regolamento (clicca qui)