Dopo una maratona di 3 giorni, in data 9 dicembre 2023 la presidenza del Consiglio e i negoziatori del Parlamento europeo hanno raggiunto un accordo provvisorio sulla proposta di norme armonizzate sull’intelligenza artificiale (AI), il cosiddetto “Artificial Intelligence Act”.
Il progetto di regolamento mira a garantire che i sistemi di IA immessi sul mercato europeo e utilizzati nell’UE siano sicuri e rispettino i diritti fondamentali e i valori dell’Unione Europea.
La legge sull’intelligenza artificiale è un’iniziativa legislativa che ha il potenziale per promuovere lo sviluppo e l’adozione di un’intelligenza artificiale sicura e affidabile nel mercato unico dell’UE da parte di attori sia privati che pubblici.
L’idea principale è quella di regolamentare l’IA in base alla capacità di quest’ultima di causare danni alla società seguendo un approccio “basato sul rischio”: maggiore è il rischio, più severe sono le regole.
Essendo la prima proposta legislativa di questo tipo al mondo, potrà stabilire uno standard globale per la regolamentazione dell’Intelligenza Artificiale in altre giurisdizioni, proprio come ha fatto il GDPR, promuovendo così l’approccio europeo alla regolamentazione tecnologica sulla scena mondiale.
Gli elementi principali dell'accordo provvisorio - Rispetto alla proposta iniziale della Commissione, i principali elementi di novità dell’accordo provvisorio possono essere così riassunti:
- norme sui modelli di IA di carattere generale ad alto impatto che possono causare rischi sistemici in futuro, nonché sui sistemi di IA ad alto rischio
- un sistema di governance rivisto con alcuni poteri esecutivi a livello dell'UE
- ampliamento dell'elenco dei divieti ma con la possibilità di utilizzare l'identificazione biometrica a distanza da parte delle forze dell'ordine negli spazi pubblici, fatte salve le garanzie
- migliore tutela dei diritti attraverso l'obbligo per gli utilizzatori di sistemi di IA ad alto rischio di effettuare una valutazione d'impatto sui diritti fondamentali prima di mettere in uso un sistema di IA.
Più concretamente, l’accordo riguarda i seguenti aspetti:
Definizioni e ambito - Per garantire che la definizione di sistema di IA fornisca criteri sufficientemente chiari per distinguere l’IA dai sistemi software più semplici, l’accordo di compromesso allinea la definizione all’approccio proposto dall’OCSE. L’accordo chiarisce inoltre che il regolamento non si applica ad ambiti esterni all’ambito di applicazione del diritto comunitario e non dovrebbe, in ogni caso, pregiudicare le competenze degli Stati membri in materia di sicurezza nazionale o di qualsiasi entità a cui siano affidati compiti in tale ambito.
Inoltre la legge sull’IA non si applica ai sistemi utilizzati esclusivamente per scopi militari o di difesa. Allo stesso modo, l’accordo prevede che il regolamento non si applichi ai sistemi di IA utilizzati per soli fini di ricerca e innovazione, o a persone che utilizzano l’IA per motivi non professionali.
Classificazione dei sistemi di IA come pratiche di IA ad alto rischio e vietate - L’accordo di compromesso prevede un livello orizzontale di protezione, inclusa una classificazione ad alto rischio, per garantire che i sistemi di IA che non potrebbero causare gravi violazioni dei diritti fondamentali o altri rischi significativi non vengano catturati. I sistemi di intelligenza artificiale che presentano solo rischi limitati sarebbero soggetti a obblighi di trasparenza molto leggeri, ad esempio rivelando che il contenuto è stato generato dall’intelligenza artificiale in modo che gli utenti possano prendere decisioni informate sull’ulteriore utilizzo.
Verrebbe autorizzata un’ampia gamma di sistemi di IA ad alto rischio, ma soggetti a una serie di requisiti e obblighi per ottenere l’accesso al mercato dell’UE. Questi requisiti sono stati chiariti e adeguati dai colegislatori in modo tale da renderli più tecnicamente fattibili e meno onerosi da rispettare per le parti interessate, ad esempio per quanto riguarda la qualità dei dati o in relazione alla documentazione tecnica che dovrebbe essere elaborati dalle PMI per dimostrare che i loro sistemi di IA ad alto rischio sono conformi ai requisiti.
Poiché i sistemi di IA sono sviluppati e distribuiti attraverso catene del valore complesse, l’accordo di compromesso comprende modifiche che chiariscono l’assegnazione delle responsabilità e dei ruoli dei vari attori in tali catene, in particolare dei fornitori e degli utenti dei sistemi di IA. Chiarisce inoltre il rapporto tra le responsabilità ai sensi della legge sull’AI e le responsabilità già esistenti ai sensi di altre normative, come la pertinente protezione dei dati dell’UE o la legislazione settoriale. Per alcuni usi dell’IA, il rischio è ritenuto inaccettabile e, pertanto, questi sistemi saranno banditi dall’UE. L'accordo provvisorio vieta, ad esempio, la manipolazione cognitivo comportamentale, la cancellazione non mirata di immagini facciali da Internet o da filmati di telecamere a circuito chiuso, il riconoscimento delle emozioni sul posto di lavoro e negli istituti scolastici, il social scoring, la categorizzazione biometrica per dedurre dati sensibili, come l'orientamento sessuale o religioso. convinzioni personali e alcuni casi di polizia predittiva per gli individui.
Eccezioni delle forze dell'ordine - Considerando le specificità delle autorità di contrasto e la necessità di preservare la loro capacità di utilizzare l’intelligenza artificiale nel loro lavoro fondamentale, sono state concordate diverse modifiche alla proposta della Commissione relative all’uso dei sistemi di intelligenza artificiale a fini di contrasto. Fatte salve adeguate garanzie, questi cambiamenti intendono riflettere la necessità di rispettare la riservatezza dei dati operativi sensibili in relazione alle loro attività. Ad esempio, è stata introdotta una procedura di emergenza che consente alle forze dell’ordine di utilizzare uno strumento di IA ad alto rischio che non ha superato la procedura di valutazione della conformità in caso di urgenza. Tuttavia, è stato introdotto anche un meccanismo specifico per garantire che i diritti fondamentali siano sufficientemente tutelati da eventuali abusi dei sistemi di IA.
Inoltre, per quanto riguarda l'uso di sistemi di identificazione biometrica a distanza in tempo reale negli spazi accessibili al pubblico, l'accordo provvisorio chiarisce gli obiettivi in cui tale uso è strettamente necessario per scopi di contrasto e per i quali le autorità di contrasto dovrebbero quindi essere eccezionalmente autorizzate a utilizzare tali sistemi. L'accordo di compromesso prevede garanzie aggiuntive e limita tali eccezioni ai casi di vittime di determinati reati, alla prevenzione di minacce reali, presenti o prevedibili, come gli attacchi terroristici, e alla ricerca di persone sospettate dei crimini più gravi.
Sistemi di intelligenza artificiale per scopi generali e modelli di base - Sono state aggiunte nuove disposizioni per tenere conto delle situazioni in cui i sistemi di IA possono essere utilizzati per molti scopi diversi (IA per scopi generali) e in cui la tecnologia di IA per scopi generali viene successivamente integrata in un altro sistema ad alto rischio. L’accordo provvisorio affronta anche i casi specifici dei sistemi di IA per scopi generali (GPAI).
Sono state concordate regole specifiche anche per i modelli di fondazione, grandi sistemi in grado di eseguire con competenza un'ampia gamma di compiti distintivi, come generare video, testi, immagini, conversare in linguaggio laterale, elaborare calcoli o generare codici informatici. L'accordo provvisorio prevede che i modelli di fondazione debbano rispettare specifici obblighi di trasparenza prima di essere immessi sul mercato. È stato introdotto un regime più severo per i modelli di fondazione “ad alto impatto”. Si tratta di modelli di base addestrati con grandi quantità di dati e con complessità avanzata, capacità e prestazioni ben al di sopra della media, che possono diffondere rischi sistemici lungo la catena del valore.
Una nuova architettura di governance - A seguito delle nuove norme sui modelli GPAI e dell’evidente necessità di una loro applicazione a livello dell’UE, è stato istituito un ufficio IA all’interno della Commissione con il compito di supervisionare questi modelli IA più avanzati, contribuire a promuovere standard e pratiche di test e far rispettare le regole comuni in tutti gli Stati membri. Un gruppo scientifico di esperti indipendenti consiglierà l'Ufficio AI sui modelli GPAI, contribuendo allo sviluppo di metodologie per la valutazione delle capacità dei modelli di fondazione, fornendo consulenza sulla designazione e sull'emergere di modelli di fondazione ad alto impatto e monitorando possibili rischi per la sicurezza materiale legati ai modelli di fondazione.
Il comitato AI, che comprenderebbe i rappresentanti degli Stati membri, resterà una piattaforma di coordinamento e un organo consultivo per la Commissione e attribuirà un ruolo importante agli Stati membri nell'attuazione del regolamento, compresa la progettazione di codici di condotta per le fondazioni Modelli. Infine, sarà istituito un forum consultivo per le parti interessate, come rappresentanti dell’industria, PMI, start-up, società civile e mondo accademico, per fornire competenze tecniche al comitato per l’intelligenza artificiale.
Sanzioni - Le sanzioni per le violazioni della legge sull’AI sono state fissate in percentuale del fatturato annuo globale della società incriminata nell’anno finanziario precedente o in un importo predeterminato, a seconda di quale sia il più elevato. Questo ammonterebbe a 35 milioni di euro o il 7% per violazioni delle applicazioni IA vietate, 15 milioni di euro o il 3% per violazioni degli obblighi della legge sull’IA e 7,5 milioni di euro o 1,5% per la fornitura di informazioni errate. Tuttavia, l’accordo provvisorio prevede massimali più proporzionati alle sanzioni amministrative per le PMI e le start-up in caso di violazione delle disposizioni della legge sull’AI.
L'accordo di compromesso chiarisce inoltre che una persona fisica o giuridica può presentare un reclamo all'autorità di vigilanza del mercato competente in merito al mancato rispetto della legge sull'IA e può aspettarsi che tale reclamo venga gestito in linea con le procedure dedicate di tale autorità.
Trasparenza e tutela dei diritti fondamentali - L’accordo provvisorio prevede una valutazione d’impatto sui diritti fondamentali prima che un sistema di IA ad alto rischio venga immesso sul mercato dai suoi utilizzatori. L’accordo provvisorio prevede inoltre una maggiore trasparenza riguardo all’uso di sistemi di IA ad alto rischio. In particolare, alcune disposizioni della proposta della Commissione sono state modificate per indicare che anche alcuni utenti di un sistema di IA ad alto rischio che sono enti pubblici saranno obbligati a registrarsi nella banca dati dell’UE per i sistemi di IA ad alto rischio. Inoltre, le nuove disposizioni aggiunte pongono l'accento sull'obbligo per gli utenti di un sistema di riconoscimento delle emozioni di informare le persone fisiche quando sono esposte a tale sistema.
Misure a sostegno dell'innovazione - Nell’ottica di creare un quadro giuridico più favorevole all’innovazione e di promuovere l’apprendimento normativo basato su dati concreti, le disposizioni relative alle misure a sostegno dell’innovazione sono state sostanzialmente modificate rispetto alla proposta della Commissione. In particolare, è stato chiarito che i sandbox normativi sull’IA, che dovrebbero stabilire un ambiente controllato per lo sviluppo, il test e la convalida di sistemi di IA innovativi, dovrebbero anche consentire la sperimentazione di sistemi di IA innovativi in condizioni reali. Inoltre, sono state aggiunte nuove disposizioni che consentono di testare i sistemi di intelligenza artificiale in condizioni reali, in condizioni e garanzie specifiche. Per alleviare gli oneri amministrativi per le imprese più piccole, l'accordo provvisorio comprende un elenco di azioni da intraprendere a sostegno di tali operatori e prevede alcune deroghe limitate e chiaramente specificate.
Entrata in vigore - L'accordo provvisorio prevede che la legge sull'AI si applichi due anni dopo la sua entrata in vigore, con alcune eccezioni per disposizioni specifiche. Prossimi passi A seguito dell’accordo provvisorio di oggi, nelle prossime settimane proseguiranno i lavori a livello tecnico per finalizzare i dettagli del nuovo regolamento. La presidenza sottoporrà il testo di compromesso ai rappresentanti degli Stati membri (Coreper) per approvazione una volta conclusi i lavori. L'intero testo dovrà essere confermato da entrambe le istituzioni e sottoposto a revisione giuridico-linguistica prima dell'adozione formale da parte dei colegislatori.
News ripresa da Federprivacy