Intelligenza artificiale: l’UE è la prima a normarla

di Giulia Schiro
11 Dicembre 2023 12:30

Se i grandi provider di intelligenza artificiale come Google, Meta o Microsoft vorranno continuare a vendere i loro servizi ai cittadini e alle imprese dell’Unione Europea dovranno garantire, e certificare, qualità e trasparenza di algoritmi e dati. È uno dei pilastri dell’AI Act europeo, la prima legge al mondo che prova a indirizzare lo sviluppo dell’intelligenza artificiale. Si tratta di un testo legislativo a dir poco rivoluzionario non solo perché è il primo corpo normativo ufficiale sul settore dell’intelligenza artificiale e nei fatti regolamenterà l’uso della stessa nell’Unione Europea. Ma anche perché prevede poteri di applicazione a livello europeo oltre ad estendere obblighi e divieti.

Nel testo sul quale la Commissione di Ursula von der Leyen ha ottenuto nella notte tra l’8 e il 9 dicembre, dopo un intenso negoziato durato 36 ore, il sì politico di Parlamento e Consiglio, sono molti gli elementi pionieristici e di novità. La sfida è quella di tenere la barra di fronte a una tecnologia che evolve come nessun’altra, che ci cambierà la vita e, per ora, promuove un business colossale. Mentre i parlamentari volevano ottenere regole più restrittive, i Governi del Consiglio chiedevano maggiori margini di manovra, sia nel campo della sicurezza che nell’ambito propriamente industriale ed economico. L’accordo provvisorio chiarisce che il nuovo regolamento non si applica ad aree al di fuori del campo di applicazione del diritto dell’Unione.

Il semaforo verde è arrivato dopo che sono stati risolti gli ultimi due problemi, ovvero le normative sull’uso delle tecnologie di identificazione biometrica e i limiti ai sistemi di intelligenza artificiale come ChatGPT.
Nel dettaglio, l’identificazione biometrica sarà consentita solo in circostanze specifiche, mentre i “foundation models”, le potenti infrastrutture alla base dei prodotti di intelligenza artificiale generativa, dovranno rispettare criteri di trasparenza per essere introdotti sul mercato. Verranno imposte regole a tutti per garantire la qualità dei dati utilizzati nello sviluppo degli algoritmi e per verificare che non violino la legislazione sul copyright. Gli sviluppatori dovranno inoltre garantire che i suoni, le immagini e i testi prodotti siano chiaramente identificati come artificiali attraverso la cosiddetta filigrana digitale (watermarking), la stringa che avverte sui contenuti creati dall’AI. L’immagine del Papa con il piumino, per citare una celebre immagine fake, potrà arrivare sui nostri device solo con la barra che ci avvisa che si tratta di un’invenzione dell’AI.

Il riconoscimento facciale attraverso telecamere biometriche sarà dunque consentito solo in tre casi: evidente minaccia di terrorismo, ricerca di vittime, indagini per omicidio e stupro. Ad esempio, le autorità di polizia potranno utilizzare l’identificazione biometrica a distanza negli spazi pubblici per scopi di applicazione della legge, a condizione che siano previste delle salvaguardie e delle autorizzazioni giudiziarie e solo per elenchi di reati strettamente definiti.
L’identificazione biometrica post-remoto, come spiegato in una nota del Parlamento europeo, sarà utilizzata esclusivamente per la ricerca mirata di una persona condannata o sospettata di aver commesso un reato grave. I sistemi di identificazione biometrica in tempo reale, come indicato nella nota, devono conformarsi a condizioni rigorose e il loro utilizzo deve essere limitato nel tempo e nello spazio per: ricerche mirate di vittime (rapimento, traffico, sfruttamento sessuale), prevenzione di minacce terroristiche specifiche e attuali, localizzazione o identificazione di una persona sospettata di aver commesso uno dei reati specifici menzionati nel regolamento (tra cui terrorismo, traffico di esseri umani, omicidio, stupro).

La lista delle proibizioni include i sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili, come le convinzioni politiche, religiose e la razza; la raccolta non mirata di immagini del volto da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale; il riconoscimento delle emozioni sul posto di lavoro e nelle scuole; il social scoring; le tecniche manipolative; l’intelligenza artificiale utilizzata per sfruttare le vulnerabilità delle persone.
Alle società big tech in particolare sarà richiesta una certificazione sugli algoritmi che dovranno essere ripuliti dai pregiudizi e sui dati che dovranno avere una conformità ambientale e di sicurezza.

E, ancora, nell’accordo viene garantita una migliore protezione dei diritti attraverso l’obbligo per chi impiega sistemi di intelligenza artificiale ad alto rischio di condurre una valutazione d’impatto. In questa categoria rientrano anche i sistemi di intelligenza artificiale utilizzati per influenzare l’esito delle elezioni e il comportamento degli elettori. I cittadini avranno il diritto di presentare reclami sui sistemi di intelligenza artificiale e di ricevere spiegazioni sulle decisioni basate su sistemi di intelligenza artificiale ad alto rischio che influenzano i loro diritti.

Un punto chiave riguarda i limiti imposti ai sistemi di intelligenza artificiale generale e, in particolare, a quelli ad alto impatto con rischio sistemico, per i quali sono previsti obblighi più rigorosi, dalla valutazione del modello alla valutazione e mitigazione dei rischi sistemici, fino alla protezione della sicurezza informatica.
A questo proposito è stato istituito un AI Office a Bruxelles, con un proprio budget e con il compito di raccordo e supervisione. Ma anche i singoli Paesi sono chiamati a dar vita a un’Authority indipendente oppure ad affidare la vigilanza sull’artificial intelligence (AI) a un’autorità già esistente.

Il testo include anche misure a sostegno dell’innovazione e delle PMI e un regime di sanzioni, con multe che variano da 35 milioni di euro o il 7% del fatturato globale a 7,5 milioni o l’1,5% del fatturato, a seconda della violazione e delle dimensioni dell’azienda.

Il voto finale sul testo di legge è atteso a inizio febbraio 2024. Da quel momento sono previste le fasi sperimentali che prevedono anche l’adesione volontaria delle imprese alle nuove regole che entreranno in vigore in tempi scaglionati per essere completamente a regime nel 2025.

Il commissario europeo al Mercato Interno, Thierry Breton, ha commentato:

“Storico! L’UE diventa il primo continente a stabilire regole chiare per l’uso dell’IA. L’AI Act è molto più di un regolamento: è un trampolino di lancio per startup e ricercatori dell’UE per guidare la corsa globale all’intelligenza artificiale”, ha scritto Breton in un post su X, aggiungendo: “Il meglio deve ancora venire!”.

Accogliamo positivamente i progressi compiuti in molti campi, ma restiamo preoccupati da un approccio a due livelli che provocherà significativa incertezza giuridica. Siamo inoltre delusi dal divieto di categorizzazione biometrica, che ostacolerà molti usi commerciali dell’intelligenza artificiale, vantaggiosi e a basso rischio”, ha ribattuto Marco Leto Barone, dell’Information Technology Industry Council.

Dubbi sono però emersi anche dal versante opposto. Critica è stata la European Consumers Organization:I sistemi di intelligenza artificiale in grado di identificare e analizzare i sentimenti dei consumatori saranno ancora consentiti, il che è molto preoccupante visto quanto sono invasivi e imprecisi. Inoltre, i modelli alla base di sistemi come Chat-GPT, che possono essere integrati in un’ampia gamma di servizi, non saranno sufficientemente regolamentati”.