Intelligenza artificiale (IA) mai in incognito. Le persone devono sapere se parlano con un robot o se stanno leggendo un testo prodotto da un’IA. È uno degli strumenti di tutela previsti dal regolamento Ue sull’intelligenza artificiale, approvato dal parlamento Ue il 13 marzo 2024, che disciplina modalità di immissione e di utilizzo nell’area Ue di questi strumenti di elevata tecnologia. Il provvedimento deve passare ancora l’ultimo vaglio del Consiglio Ue, prima di essere pubblicato sulla Gazzetta Ufficiale Ue.
Il regolamento, oltre alla esplicita messa al bando dei sistemi che violano i diritti fondamentali, prevede una fitta serie di regole, parametrate a diversi livelli di rischio (minimo, alto, sistemico), per avere sotto controllo il mercato dell’IA: le autorità devono sapere chi mette in circolazione apparati di IA e, per quelli ad alto rischio, vengono imposti standard di conformità (con apposita marcatura) sotto la vigilanza di autorità pubbliche.
Completano il quadro le disposizioni sulle garanzie per le persone fisiche: devono essere in grado di individuare ciò che proviene da un robot, poter chiedere spiegazioni e informazioni quando si è soggetti a un’IA, ma soprattutto fruiscono di prerogative contro le autorità pubbliche, che usano l’IA per ragioni di contrasto alla criminalità e per la sicurezza.
Per fare in modo che l’IA non crei scompensi concorrenziali, il regolamento inserisce, poi, misure a sostegno dell’innovazione, in particolare per Pmi e start-up.
Per norma espressa, il regolamento non si applica alle persone fisiche che utilizzano sistemi di IA nel corso di un'attività non professionale puramente personale.
Un aspetto di primaria importanza nel regolamento è la trasparenza per gli umani. Le persone devono essere informate e consapevoli che stanno dialogando e interagendo con un sistema di IA, salvo che ciò sia già evidente per un soggetto ragionevolmente attento.
I fornitori dei sistemi di IA devono comunque progettare e sviluppare i sistemi in maniera che non sorgano equivoci.
Grava, sempre a carico dei fornitori di sistemi di IA, che generano contenuti audio, immagini, video o testuali sintetici, l’obbligo di garantire che ciò che è prodotto dall’IA sia marcato in un formato leggibile meccanicamente e rilevabile come generato o manipolato artificialmente.
L’obbligo di trasparenza è prescritto anche per gli operatori che utilizzano sistemi di IA di riconoscimento delle emozioni, sistemi di categorizzazione biometrica e sistemi di IA che generano o manipolano immagini o contenuti audio o video, che costituiscono un "deep fake". L’obbligo informativo non scatta, però, in alcuni casi: se si usano i sistemi per ragioni di giustizia penale o, nell’ambito editoriale, se c’è la revisione umana del testo scritto dall’IA e se c’è un responsabile della pubblicazione del contenuto.
Sono elencati in un allegato al regolamento e comprendono questi settori: biometria, infrastrutture critiche, istruzione e formazione professionale, lavoro, servizi essenziali, attività di contrasto della criminalità, migrazione, e controllo delle frontiere, giustizia e processi democratici.
Peraltro, i sistemi di IA non saranno considerati ad alto rischio se non presentano un rischio significativo di danno alla salute, alla sicurezza o ai diritti fondamentali. Non sfuggono mai alla qualifica di alto rischio, invece, se effettuano la profilazione delle persone.
Per i sistemi di IA ad alto rischio, prima che i prodotti possano essere venduti e utilizzati nell'Ue, è prevista una procedura di valutazione della conformità, anche quanto a cibersicurezza.
Inoltre, sempre per i sistemi di IA ad alto rischio: deve essere predisposto un sistema di gestione dei rischi, deve essere redatta una idonea documentazione tecnica, la modalità d’uso deve essere compiutamente illustrata agli utilizzatori e la loro progettazione deve prevedere la sorveglianza umana commisurata ai rischi.
I fornitori di IA ad alto rischio devono dichiarare la conformità, apporre la marcatura Ce e istituire un sistema di qualità.
Se un sistema di IA comporta il trattamento di dati personali, deve essere dichiarata la conformità alle norme sulla privacy.
In alcuni casi dovrà essere stilata una valutazione d'impatto sui diritti fondamentali.
Prima di immettere sul mercato o mettere in servizio un sistema di IA ad alto rischio, di norma, il fornitore deve registrarsi in una banca dati dell'Ue.
Dopo l'immissione sul mercato di tali sistemi di IA, i fornitori devono assicurare il monitoraggio post-commercializzazione e, se necessario, adottare misure correttive.
Se si tratta di IA con finalità generali e che presentano un rischio sistemico devono essere rispettati obblighi rafforzati in materia di analisi dei rischi e di valutazione di impatto
News ripresa da Federprivacy