Tecnologia
December 10 2023
L'Unione europea ha preso una decisione epocale con la finalizzazione dell'AI Act, la prima normativa che regola la tanto discussa intelligenza artificiale (AI) che promette di rivoluzionare le nostre vite.
Dopo una maratona di tre giorni di negoziazione del trilogo composto dalla Commissione, il Consiglio e il Parlamento europei, durante la notte dell’8 dicembre hanno raggiunto un accordo sul c.d. AI Act che dovrà regolare l’utilizzo dei sistemi di intelligenza artificiale nell’Unione Europea.
Questo risultato non era per per nulla scontato fino a pochi giorni fa dopo che i governi francese, tedesco e anche italiano avevano richiesto di sostituire l’AI Act con l’adozione di un mero codice di condotta in modo da diminuire gli obblighi regolatori sulle aziende europee per consentirgli di competere meglio nel panorama internazionale. I legislatori europei non hanno condiviso questo approccio ritenendo (a mio giudizio, giustamente) che una normativa bilanciata avrebbe invece obbligato anche le aziende straniere a conformarsi con l’AI Act, creando un contesto più equilibrato che avrebbe consentito una concorrenza più equa.
In linea con questo obiettivo, la definizione di sistemi di intelligenza artificiale nell’AI Act si allinea a criteri riconosciuti a livello internazionale, seguendo le linee guida dell'OCSE, dandone ampia portata poiché l’intelligenza artificiale potrebbe impattare ogni settore, escludendo dalla sua applicazione, solo l’uso dell’AI in settori che richiedono una normativa speciale come quelle militari e di difesa, oltre all'uso non professionale.
Il regolamento introdotto dall'AI Act prevede un sistema di classificazione per i sistemi di IA quali i c.d. foundation model e l’intelligenza artificiale di uso generale. Ci riferiamo a sistemi come GPT-4 che sono il motore del popolare Chat-GPT e sono qualificati tali perché possono eseguire una moltitudine di compiti diversi a seconda di come i loro algoritmi sono “allenati”. Si parla di allenamento dell’algoritmo perché, a differenza di altre tecnologie, l’AI generativa non ha un database, ma una c.d. rete neurale che ha appreso le informazioni e le collega quando gli viene richiesto di generare un risultato, secondo modalità che spesso neanche i programmatori più esperti riescono a comprendere. Nella regolamentazione di questa tecnologia viene adottato un approccio a più livelli. Da un lato, ci sono norme di trasparenza valide per tutti i modelli di AI, e dall'altro, un esame approfondito per i sistemi che comportano rischi significativi per la salute pubblica, la sicurezza e i diritti fondamentali, nonché per i valori ambientali e democratici. Per questi ultimi, si stabiliscono standard misurati sulla base della loro capacità computazionale e altre metriche rilevanti, con la possibilità di aggiornamenti futuri.
L'AI Act pone un forte accento sui diritti e sulla trasparenza, rendendo obbligatorie le valutazioni di impatto sul rischio per i sistemi di AI ad alto rischio e imponendo l'adesione a standard tecnici e alla normativa sul diritto d'autore con anche l'obbligo di registrazione in un database europeo. Questa previsione potrebbe far sorgere notevoli contenziosi perché i titolari dei diritti sui materiali usati da sistemi di AI potrebbero contestarne l’utilizzo.
In termini di governance e conformità, l'AI Act istituisce un AI Office europeo per il monitoraggio dei modelli di AI più complessi, e prevede la creazione di un panel scientifico e di un forum consultivo per integrare le prospettive dei diversi attori coinvolti. Questo assicura che la regolamentazione sia sempre informata e aggiornata rispetto alle evoluzioni del settore. Ma un argomento di notevole discussione riguarderà le competenze attribuite alle autorità locali e quali saranno le autorità nazionali. Come accaduto con il GDPR, le autorità locali non vorranno rinunciare ai loro poteri. L’AI Office dovrebbe ridurre il rischio di approcci incoerenti nell’UE tra le autorità locali, ma frizioni politiche tra le diverse autorità locali non sono da escludere.
L’AI Act stabilisce ovviamente anche un sistema di sanzioni che, come accaduto per numerose normative europee recenti, è basato sul fatturato globale delle aziende, introducendo sanzioni che possono variare da un minimo di 35 milioni di euro o il 7% del fatturato globale, fino a un massimo di 7,5 milioni di euro o l'1,5% del fatturato, a seconda della natura della violazione. Sono previste eccezioni per le realtà imprenditoriali più piccole, con sanzioni limitate per le PMI e le startup. Anche sulle sanzioni si è quindi cercato di raggiungere un bilanciamento tra l’esigenza di regolare l’AI e l’obiettivo di non limitare lo sviluppo di questa tecnologia nell’UE. Per la stessa ragione sono previste soluzioni di c.d. “sandboxing” dove possono essere sperimentate delle soluzioni beneficiando di un regime speciale.
L'applicazione dell'AI Act seguirà una timeline precisa, con un periodo di transizione di 6 mesi per l'introduzione dei divieti, di un anno per i foundation model e i sistemi di AI ad uso generale, e di due anni per il lancio degli altri sistemi di IA, distinti in base al rischio associato.
Il testo dell’AI Act concordato non è ancora disponibile e le informazioni sopra indicate derivano anche da indiscrezioni. Il testo finale sarà pubblicato nella Gazzetta Ufficiale dell’Unione europea a gennaio 2024 e da qual momento i termini sopra indicati incominceranno da decorrere. Tuttavia, non c’è dubbio che, indipendentemente dalla durata del periodo transitorio, nessuna azienda sarà disposta ad adottare soluzioni di AI che non siano conformi all’AI Act che la forzino a dismettere la tecnologia a breve.