Via libera dal Parlamento europeo al testo finale dell’AI Act  

Via libera dal Parlamento europeo al testo finale dell’AI Act  

A cura di Diego Meucci

Il 13 marzo 2024 verrà ricordato come una giornata storica per la UE in tema di Intelligenza artificiale, vista l’approvazione della prima normativa comunitaria (AI ACT) su questa nuova tecnologia.
Il regolamento pone dei limiti all’utilizzo (indiscriminato) dell’IA nella UE, al fine di evitare possibili rischi per i diritti fondamentali, la democrazia, lo Stato di diritto e il benessere ambientale; al tempo stesso, viene incoraggiata l’innovazione che garantisca all’Europa un ruolo guida nel settore, al fine di evitare che le singole norme di ciascuno stato membro possano frammentare il mercato minacciando il vantaggio competitivo dell’UE.
Si tratta di norme indirizzate a chi realizza o impiega questi sistemi di IA sul mercato UE, imponendo maggiori responsabilità e vincoli – a seconda del grado di rischio – fino ad escludere le applicazioni troppo pericolose per essere approvate.
In pratica, le nuove norme mettono fuori legge alcune applicazioni di IA che potrebbero minacciare i diritti dei cittadini, catalogando i sistemi sulla base di quattro categorie di rischio: basso (o minimo), alto e inaccettabile.
Tra gli impieghi della IA ritenuti “inaccettabili” e che, quindi, vengono vietati sul mercato UE si trovano:
– le tecnologie subliminali per manipolare i comportamenti delle persone (ad es. giocattoli che utilizzano assistenti vocali per incoraggiare comportamenti anche pericolosi nei minori);
– la raccolta massiccia e illimitata di foto e di volti da internet o dai sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale;
– la categorizzazione biometrica che utilizza dati sensibili, come il credo religioso, l’orientamento politico o sessuale;
– i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole, salvo che per motivi di salute o di sicurezza;
– i sistemi di punteggio sociale (o social scoring), cioè quelli che assegnano un punteggio a ciascun individuo in base al suo comportamento, influenzando in questo modo l’accesso ai servizi, all’occupazione o ad altre opportunità;
– la polizia predittiva, cioè l’uso di dati sensibili per calcolare le probabilità che una persona commetta un reato, soltanto sulla base della profilazione fisica o della valutazione dei tratti e delle caratteristiche della personalità.
L’uso dei sistemi di identificazione biometrica sarà generalmente proibito alle forze dell’ordine, salvo alcuni casi specifici e previa autorizzazione giudiziaria o amministrativa. Gli usi consentiti comprendono, per esempio, la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico, da disciplinarsi in base alle norme di ciascun stato membro.
Rientrano, invece, nella categoria di “alto rischio” una vasta gamma di dispositivi, quali quelli utilizzati in infrastrutture critiche, i dispositivi medici, nonché i sistemi di identificazione biometrica, categorizzazione e riconoscimento delle emozioni: per questi strumenti sono previsti dei parametri stringenti per l’utilizzazione e conservazione dei dati, con obbligo per il produttore di effettuare la valutazione dell’impatto sui diritti fondamentali prima che tali sistemi siano immessi sul mercato.
Infine, vengono definiti come a basso rischio (“minimo o limitato”) tutti quei sistemi non previsti nelle precedenti categorie, rispetto ai quali sono richiesti solo semplici obblighi di trasparenza e di informativa all’utente, per avvisarlo che sta interagendo con un sistema di intelligenza artificiale come, ad esempio, chatbot, chatGPT o software antispam.
Il testo del IA ACT dovrà ora essere tradotto in 24 lingue e dopo le necessarie correzioni per adattarlo alle normative nazionali (che richiederanno un ulteriore voto del Parlamento) sarà successivamente sottoposto al via libera del Consiglio dell’Unione europea per poi essere operativo a scaglioni, così da consentire ad imprese ed operatori di avere un tempo sufficiente per conformarsi alle nuove regole.
In particolare, è previsto che i divieti relativi a pratiche “vietate” si applicheranno a partire da sei mesi dopo l’entrata in vigore. Le norme sui sistemi di IA per finalità generative (e quelle di governance) ad alto impatto saranno operative a partire dai 12 mesi dall’entrata in vigore e si applicheranno prima di portare i prodotti sul mercato, mentre per i modelli più semplici le regole scatteranno al momento della commercializzazione.
Fra due anni l’AI Act entrerà in vigore per intero, facendo scattare anche le sanzioni – efficaci, proporzionate e dissuasive – che ciascun stato membro dovrà espressamente prevedere tenendo conto di tutte le circostanze pertinenti la situazione specifica; in particolare, della natura, della gravità e della durata della violazione e delle sue conseguenze, nonché delle dimensioni del fornitore specie in caso di PMI o start-up.
Viene, comunque, previsto che per violazioni delle c.d. pratiche vietate le sanzioni possano giungere fino a 35 milioni di euro o – se l’autore del reato è un’impresa – al 7% del fatturato mondiale annuo nell’anno precedente, se superiore. In caso di violazione di altri obblighi e requisiti previsti dall’AI Act si prevedono sanzioni che possano giungere fino a 15 milioni di euro o al 3% del fatturato mondiale annuo nell’anno precedente, se superiore. Nel caso, invece, in cui vengano fornite informazioni inesatte, incomplete o fuorvianti alle autorità, le sanzioni sono previste fino a 7,5 milioni di euro o all’1% del fatturato mondiale annuo nell’anno precedente, se superiore.