L’AI Act entra in vigore

Indice degli argomenti

Il testo così tanto discusso dopo il suo lungo iter legislativo entra in vigore, a 20 giorni dalla pubblicazione in Gazzetta Ufficiale europea: il Regolamento Ue 2024/1689, meglio conosciuto come AI Act.

L’AI act è la prima legge al mondo che tratta di intelligenza artificiale. Il suo iter legislativo è stato molto controverso ed ha avuto certamente un riflesso anche nell’opinione pubblica, dividendo le persone in regolatori o innovatori.

L’iter legislativo in breve

La prima proposta di legge fu avanzata in Commissione europea nella primavera del 2021: i sistemi di IA che possono essere utilizzati in diverse applicazioni venivano analizzati e classificati in base al rischio sull’utilizzo per gli utenti. Secondo la legislazione proposta, le tecnologie di IA venivano classificate in 4 diverse categorie di rischio, da Limited risk (minimo) all’ Unacceptable risk (inaccettabile). In questo articolo approfondivano i diversi rischi.

Poi a gennaio c’era stata la presentazione della versione finale della normativa che aveva scaturito diverse riserve e irrigidimenti in Francia, Italia e Germania: volevano ridiscutere le misure riguardanti l’uso dell’IA generativa, a fronte di un regime normativo più leggero rispetto al testo proposto sino a quel momento: spingevano quindi su codici di condotta senza un regime sanzionatorio iniziale per i foundation model – sistemi di IA che utilizzano innumerevoli dati per fornire risultati adattati anche a specifiche attività (esempio GPT4) -, piuttosto che obblighi prescrittivi previsti nel regolamento sull’intelligenza artificiale. Ciò per tutelare le promettenti startup europee (es. la francese Mistral AI e la tedesca Aleph Alpha), potenziali competitor delle aziende americane. Invece il Parlamento europeo si era poi dimostrato unito proprio nel chiedere regole severe per questi modelli, ritenendo inaccettabile escludere dal regolamento le tipologie più potenti di IA e lasciando tutto l’onere normativo sugli attori più piccoli.

Si sono poi susseguite diverse fasi negoziali durante tutto il mese che a febbraio ribaltavano la situazione, portando la Germania a sostenere il testo, seguita poi anche dall’Italia – unico Paese dei tre a non avere (ancora) una startup già identificata come leader nel settore dell’IA-, che aveva deciso di non opporsi, forse proprio in visione del G7 che si sarebbe tenuto qualche mese dopo a Roma e dove l’IA sarebbe stato uno dei temi principali. Con l’accettazione del testo anche da parte della Francia, tutti i 27 gli Stati membri approvavano all’unanimità l’accordo politico di dicembre.

E infine, dopo la votazione in plenaria a marzo, quella finale dell’Europarlamento ad aprile.

Gli effetti

A 6 mesi dalla sua entrata in vigore, quindi da gennaio 2025, scatterà il blocco dei sistemi vietati, ovvero quelli considerati come Unacceptable risk. Per esempio le tecnologie che adottano la manipolazione cognitiva comportamentale di persone o di specifici gruppi vulnerabili (come giocattoli ad attivazione vocale che incoraggiano comportamenti pericolosi nei bambini), il social scoring (come la classificazione delle persone in base al comportamento, allo status socio-economico o alle caratteristiche personali) ed infine i sistemi di identificazione biometrica in tempo reale e a distanza, come il riconoscimento facciale.

Da aprile 2025 invece entreranno a regime i codici di condotta, quelli relativi al Patto sull’IA (o AI Pact), rivolto a tutti gli sviluppatori di IA a livello globale, che a titolo volontario si vorranno impegnare ad attuare gli obblighi della normativa prima della applicazione definitiva, a 24 mesi dalla sua entrata in vigore. Questi codici riguardano quindi gli impegni delle parti che vorranno aderirvi in ambito di sostenibilità ambientale e sociale, formazione e alfabetizzazione, adozione di principi etici nella produzione di tecnologia.

Da agosto 2025 invece riguarderanno i Generative AI, ovvero i sistemi di AI generativa, come i chatbot o i generatori di immagini, che dovrebbero rispettare ulteriori requisiti di trasparenza (ad esempio Chat Gpt o Bard):

  • rivelare che il contenuto è stato generato dall’IA
  • progettare il modello per evitare che generi contenuti illegali
  • pubblicare sintesi dei dati protetti da copyright utilizzati per il training

Da agosto 2026 sarà legge a tutti gli effetti anche per gli High risk, quei settori come l’assistenza sanitaria, l’istruzione o le infrastrutture critiche. Tutti i sistemi di IA ad alto rischio saranno valutati prima di essere immessi sul mercato e anche durante il loro ciclo di vita. I sistemi di IA che influiscono negativamente sulla sicurezza o sui diritti fondamentali saranno considerati ad alto rischio e saranno suddivisi in due categorie: 1) sistemi di IA utilizzati in prodotti che rientrano nella legislazione dell’UE sulla sicurezza dei prodotti: si tratta di giocattoli, aviazione, automobili, dispositivi medici e ascensori. 2) sistemi di IA che rientrano in otto aree specifiche e che dovranno essere registrati in un database dell’UE: – identificazione biometrica e categorizzazione delle persone fisiche – gestione e funzionamento di infrastrutture critiche – istruzione e formazione professionale – occupazione, gestione dei lavoratori e accesso al lavoro autonomo – accesso e fruizione di servizi essenziali privati e pubblici e benefit – applicazione della legge – gestione della migrazione, dell’asilo e del controllo delle frontiere – assistenza nell’interpretazione giuridica e nell’applicazione della legge.

Da agosto 2027 riguarderà tutti i settori, anche i Limited risk, ossia qualsiasi sistema di IA dovrà soddisfare requisiti minimi di trasparenza che consentano agli utenti di prendere decisioni informate.

Chi non sarà compliance alla normativa rischierà quindi multe fino a 35 milioni di euro o al 7% del fatturato globale. Per le startup e PMI innovative, ovviamente, l’ammontare viene ridimensionato.

Conclusioni

La letteratura scelta tra regolamentazione o innovazione è stata posta molto male. È sicuramente una rilettura polarizzante, vittima dell’attuale cultura su eventi e realtà molto complesse e delicate, e che ha diviso in due estremi i player, tra innovatori e regolatori: ovvero tra chi era favorevole a questo tipo di regolamentazione e chi invece la vedeva come uno ostacolo all’innovazione, che deve essere in alcuni contesti sburocratizzata per portare valore: bisogna ammettere anche che quest’ultimi avevano molta “carne al fuoco”: ad oggi infatti l’AI Act non è l’unica normativa che riguarda il settore innovativo: c’è una vasta scelta tra DMA allo DSA, fino al DATA Act. In questo articolo offrivamo una breve panoramica.

Certamente i foundation model hanno realizzato un nuovo ecosistema di innovazione, un’alternativa ad alcune applicazioni del passato producendo benefici economici e sociali: pensiamo alla generazione automatica di codice o alla progettazione di nuovi materiali e farmaci. E come ogni innovazione tecnologica che si rispetti, prima o poi darà un taglio netto col passato.

Ma già siamo stati testimoni dell’effetto di novità tecnologiche entrate da un giorno all’altro nelle nostre vite, cambiandole del tutto: lo smartphone o i social network. E quale è stato il risultato? Non c’è stata ancora una regolamentazione tale come quella che è prospettata con l’AI Act, eppure oggi abbiamo innumerevoli studi e pubblicazioni scientifiche sugli effetti negativi del loro utilizzo, i cui danni si sarebbero potuti limitare e i cui dati si sarebbero potuti raccogliere meglio se solo ci fossero state norme adeguate sin dall’inizio.

L’altro rischio tanto temuto è quello economico e geopolitico: i player dell’IA sono pochi (OpenAI, Google, Meta, Nvidia, Amazon, Microsoft, DeepMind), americani o inglesi, con capitali smisurati (il training di Chatgpt è di 12 milioni di dollari con investimento iniziale di 800 milioni e costo giornaliero di elettricità di 50 mila dollari). Ecco che tali norme influenzeranno i politici di tutto il mondo, introducendo standard che potrebbero ricadere su tutti i consumatori. Come scordarsi quest’anno della visita di Elon Musk in Italia con l’incontro con Giorgia Meloni.

D’altra parte, è ovvio che gli Stati si sentano sempre di più minacciati da un’innovazione tecnologica così dirompente, che squilibra non solo i mercati, ma anche le classi sociali, la cultura e, soprattutto, le coscienze, se ci sofferma ai risvolti della Questione etica che sta affrontando i futuri scenari dell’IA sull’uomo. E per questo è bene che tentino di regolamentare l’utilizzo di tali tecnologie dirompenti, che possano cambiare le basi della geopolitica, sentendosi schiacciati dal potere digitale delle imprese. Se parliamo di normative, trattiamo sempre di geopolitica.

Al momento si potrebbe ipotizzare che l’Europa possa competere nell’innovazione, avendo un mercato molto inferiore agli USA e scarseggiando di tecnologie così dirompenti, attraverso la “carta” della legislazione.

Ma la mossa dell’Ue prima di tutto è una dimostrazione di democrazia, della sua difesa, e di quella dei propri Stati membri e loro cittadini. Questo sembra emergere dai punti chiavi dell’AI Act: la loro tutela e la loro sicurezza, quello che ogni buon organo, organismo, istituzione e figura politica dovrebbe proporsi, promettere e rispettare e far rispettare, includendo entrambi i poli: sia gli innovatori che i regolatori. (Foto di Alexander Psiuk su Unsplash)

© RIPRODUZIONE RISERVATA

    Iscriviti alla newsletter