Il Parlamento Europeo ha approvato il nuovo AI Act, un’ampia legislazione per regolamentare l’intelligenza artificiale, quasi tre anni dopo la prima proposta del progetto di norme. I funzionari hanno raggiunto un accordo sullo sviluppo dell’intelligenza artificiale a dicembre. Mercoledì i deputati hanno approvato la legge sull’AI con 523 voti favorevoli, 46 contrari e 49 astensioni.
L’UE afferma che i regolamenti mirano a “proteggere i diritti fondamentali, la democrazia, lo stato di diritto e la sostenibilità ambientale dall’intelligenza artificiale ad alto rischio, promuovendo al tempo stesso l’innovazione e affermando l’Europa come leader nel settore”. L’AI Act definisce gli obblighi per le applicazioni di intelligenza artificiale in base ai potenziali rischi e impatti.
La normativa non è ancora diventata legge. È ancora soggetto ai controlli dei giuristi-linguisti, mentre il Consiglio europeo deve applicarlo formalmente. Ma è probabile che la legge sull’AI entri in vigore prima della fine della legislatura, prima delle prossime elezioni parlamentari di inizio giugno.
La maggior parte delle disposizioni entrerà in vigore 24 mesi dopo l’entrata in vigore dell’AI Act, ma i divieti sulle applicazioni vietate entreranno in vigore dopo sei mesi.
Quali sono i casi di utilizzo vietati dall’AI Act
L’UE sta vietando pratiche che ritiene possano minacciare i diritti dei cittadini. I “sistemi di categorizzazione biometrica basati su caratteristiche sensibili” saranno messi fuori legge, così come lo “scraping non mirato” di immagini di volti da filmati CCTV e dal web per creare database di riconoscimento facciale.
Altre applicazioni che verranno vietate includono il social scoring, il riconoscimento delle emozioni nelle scuole e nei luoghi di lavoro e “l’intelligenza artificiale che manipola il comportamento umano o sfrutta le vulnerabilità delle persone”.
Alcuni aspetti delle indagini predittive saranno proibiti, ad esempio quando si basa interamente sulla valutazione delle caratteristiche di qualcuno (come dedurre il suo orientamento sessuale o le sue opinioni politiche) o sulla sua profilazione. Sebbene l’AI Act vieti in generale l’uso di sistemi di identificazione biometrica da parte delle forze dell’ordine, in determinate circostanze sarà consentito previa autorizzazione, ad esempio per aiutare a trovare una persona scomparsa o prevenire un attacco terroristico.
Le applicazioni ritenute ad alto rischio, compreso l’uso dell’intelligenza artificiale nelle forze dell’ordine e nel settore sanitario, sono soggette a determinate condizioni. Non devono discriminare e devono rispettare le norme sulla privacy. Gli sviluppatori devono dimostrare che i sistemi sono trasparenti, sicuri e spiegabili anche agli utenti. Per quanto riguarda i sistemi di intelligenza artificiale che l’UE ritiene a basso rischio (come i filtri antispam), gli sviluppatori devono comunque informare gli utenti che stanno interagendo con i contenuti generati dall’intelligenza artificiale.
L’articolo 5 dell’AI Act vieta espressamente:
- Sistemi di intelligenza artificiale manipolativa: intelligenza artificiale che impiega la manipolazione subliminale causando danni o sfruttando le vulnerabilità degli individui.
- IA sfruttatrice: IA rivolta a gruppi vulnerabili, inclusi bambini e persone disabili, per distorcere materialmente il comportamento.
- Identificazione biometrica in tempo reale: l’uso dell’intelligenza artificiale per l’identificazione biometrica in tempo reale negli spazi pubblici da parte delle autorità, salvo eccezioni per minacce specifiche e sostanziali.
- Punteggio sociale: sistemi di intelligenza artificiale che consentono ai governi o ad altri enti di assegnare un punteggio agli individui in base al loro comportamento o alle caratteristiche personali.
IA generativa e deepfake
La legge ha alcune regole anche quando si tratta di intelligenza artificiale generativa e di media manipolati. I deepfake e qualsiasi altra immagine, video e audio generato dall’intelligenza artificiale dovranno essere chiaramente etichettati.
Anche i modelli di intelligenza artificiale dovranno rispettare le leggi sul copyright. “I titolari dei diritti possono scegliere di riservarsi i propri diritti sulle proprie opere o altro materiale per impedire l’estrazione di testi e dati, a meno che ciò non avvenga per scopi di ricerca scientifica“, si legge nel testo dell’AI Act. “Laddove il diritto di opt-out è stato espressamente riservato in modo appropriato, i fornitori di modelli di intelligenza artificiale per scopi generali devono ottenere un’autorizzazione dai titolari dei diritti se vogliono effettuare text e data mining su tali opere.“
Tuttavia, i modelli di intelligenza artificiale realizzati esclusivamente per la ricerca, lo sviluppo e la prototipazione sono esenti.
Secondo le regole, i modelli di intelligenza artificiale generativa più potenti (quelli addestrati utilizzando una potenza di calcolo totale superiore a 10 ^ 25 FLOP) sono considerati presenti rischi sistemici. La soglia può essere modificata nel tempo, ma si ritiene che GPT-4 di OpenAI e Gemini di Google rientrino in questa categoria.
I fornitori di tali modelli dovranno valutare e mitigare i rischi, segnalare incidenti gravi, fornire dettagli sul consumo energetico dei loro sistemi, garantire che soddisfino gli standard di sicurezza informatica ed effettuare test e valutazioni dei modelli all’avanguardia.
Le sanzioni previste
Come per altre normative UE riguardanti la tecnologia, le sanzioni per la violazione delle disposizioni dell’AI Act possono essere elevate. Le aziende che infrangono le regole saranno soggette a multe fino a 35 milioni di euro o fino al 7% dei loro profitti annuali globali, a seconda di quale valore sia più elevato.
L’AI Act si applica a qualsiasi modello operante nell’UE, quindi i fornitori di AI con sede negli Stati Uniti dovranno rispettarlo, almeno in Europa. Sam Altman, CEO del creatore di OpenAI OpenAI, ha suggerito lo scorso maggio che la sua azienda potrebbe ritirarsi dall’Europa se l’AI Act diventasse legge, ma in seguito ha affermato che la società non aveva intenzione di farlo.
Per far rispettare la legge, ogni Paese membro creerà il proprio organo sull’IA e la Commissione Europea istituirà un Ufficio AI. Ciò svilupperà metodi per valutare i modelli e monitorare i rischi nei modelli di uso generale. I fornitori di modelli universali ritenuti portatori di rischi sistemici saranno invitati a elaborare insieme all’Ufficio codici di condotta.
