L’UE è impegnata nelle fasi conclusive di definizione dell’AI Act, una normativa che condizionerà tutti i soggetti che impiegheranno tecnologie di intelligenza artificiale all’interno dell’Unione. Il Parlamento europeo si sta avvicinando alla formalizzazione della sua posizione sul dossier, dopo che i legislatori UE hanno raggiunto un accordo politico, lo scorso 27 aprile. Il voto in commissione è previsto per l’11 maggio e quello in Plenaria avverrà a metà giugno.
L’utilizzo di prodotti e servizi che incorporano componenti di AI sarà subordinato al rispetto di adempimenti di complessità crescente. Il discriminante sarà il livello di rischio che la soluzione di AI potrebbe avere nei confronti delle libertà fondamentali durante l’utilizzo.
Quattro livelli di rischio
I livelli di rischio previsti sono quattro, rispettivamente da quello minimo al non applicabile:
- Nel livello di rischio minimo sono state inserite le applicazioni AI in ambito videoludico. Gli obblighi in tal caso sono limitati, con l’invito a seguire codici di condotta, anche di tipo volontario.
- Al livello successivo, definito a rischio limitato, sono stati inseriti i sistemi deepfake, i chatbot e i sistemi di riconoscimento delle emozioni. In tal caso è necessario esplicitare in modo chiaro che l’utente sta interagendo con una tecnologia AI così da creare consapevolezza. Sono suggerite inoltre alcune norme di condotta che dovrebbero essere seguite da chi propone o importa la soluzione e dagli utilizzatori della tecnologia.
- Risulta più complessa la situazione per le applicazioni ad alto rischio, come per esempio riconoscimento facciale, utilizzo in infrastrutture critiche (trasporto, utility, ecc.), sistemi usati in ambienti educativi e occupazionali, sistemi per contesti di frontiera o di asilo, credit scoring, protezione dell’ambiente o uso di dati biometrici per categorizzazione delle persone. In tal caso è necessario seguire un corposo insieme di requisiti per quanto concerne la documentazione tecnica, la conformità e la marcatura CE. Questi aspetti dovranno essere gestiti dal produttore della soluzione o dal soggetto che importa la soluzione nell’Unione. L’utilizzatore finale dovrà tuttavia seguire una serie di adempimenti quali mantenere un log degli eventi AI del sistema, operare una sorveglianza del comportamento del sistema di AI, segnalare eventuali comportamenti non conformi, avere in atto misure di cybersecurity e utilizzare dataset adeguati e verificati, opportunamente protetti da manomissioni o alterazioni.
- L’ultimo livello di rischio introdotto dall’AI Act riguarda le applicazioni che non potranno essere impiegate all’interno dell’Unione quali il social scoring, le pratiche manipolative e l’uso di dati biometrici per categorizzare le persone.
L’importanza dei dataset
Risulta interessante che la norma riconosca l’importanza dei dati di addestramento nelle applicazioni ad alto rischio e che richieda che siano presenti misure a tutela dell’integrità di tale materiale. La qualità delle scelte operate da un sistema di AI è il risultato di un dataset ben costruito, non solo dalla bontà dell’algoritmo soggiacente. Eventuali violazioni dei diritti fondamentali durante il funzionamento di una AI ad alto rischio potrebbero originarsi da un dataset male progettato o contenente bias, ma anche da azioni criminali quali alterazioni dei dataset a seguito di una violazione criminosa dell’ambiente informatico.
La cybersicurezza e la predisposizione di misure tecniche per la riservatezza, la continuità e l’integrità delle informazioni diventano quindi un obbligo di legge per le AI critiche. Le violazioni sono punite con multe dal 2 al 6% del fatturato annuale. Modalità sanzionatoria di impatto, già impiegata dal Legislatore europeo in ambito GDPR.
Questo onere, certamente impegnativo, permetterà di svolgere analisi a ritroso in caso di scelte lesive dei diritti fondamentali dei cittadini o addirittura di scelte pericolose in ambienti rischiosi. Si potranno quindi ricavare informazioni utili a stabilire eventuali errori commessi in fase di sviluppo, a individuare dataset non adeguatamente progettati o a isolare azioni criminali compiute in qualche punto della supply chain.
Conclusioni
Non è ancora disponibile il testo definitivo dell’AI Act e diversi aspetti potrebbero subire modifiche durante le consultazioni trilaterali in corso tra gli organi europei. C’è naturalmente apprensione da parte di tutti i soggetti interessati: utenti finali, startup, PMI e le Big Tech. Il mercato dell’AI ha un forte potenziale e vi sono concrete possibilità di eclissare operatori consolidati, oggi inamovibili, attraverso prodotti innovativi in grado di cambiare le abitudini degli utenti.
La formulazione finale dell’AI Act costituirà un confine di sicurezza entro cui modulare le strategie di prodotto nel continente europeo. Vedremo se l’Unione Europea sarà in grado di tutelare le libertà fondamentali dei propri cittadini, mantenendo l’adeguato grado di autonomia necessario alle imprese europee per competere con i grandi, soliti, nomi d’Oltreoceano.
