15/7/2024

Data:

AI Act: pubblicato in Gazzetta Ufficiale UE il Regolamento

Il Regolamento sull'Intelligenza Artificiale è stato pubblicato in Gazzetta Ufficiale Europea. Scopri le nuove regole in vigore dal 12 luglio 2024.

ai-act-pubblicato-regolamento-nella-gazzetta-ufficiale

Il Regolamento UE 2024/1689, conosciuto come "AI Act" (Artificial Intelligence Act), approvato definitivamente lo scorso maggio dal Consiglio europeo, è stato pubblicato nella Gazzetta Ufficiale dell'Unione Europea il 12 luglio 2024 e sarà applicabile dall' 1 agosto 2024.

Questo rappresenta il primo provvedimento legislativo al mondo volto a regolare in maniera orizzontale gli utilizzi dell'intelligenza artificiale. L'obiettivo è quello di istituire un quadro giuridico che garantisca un'intelligenza artificiale antropocentrica, tutelando i diritti fondamentali degli individui dai potenziali effetti pregiudizievoli derivanti dall'uso dell'IA. Allo stesso tempo, si vuole promuovere un contesto di fiducia per i consumatori attraverso meccanismi che favoriscano la diffusione di tali sistemi e prevedendo istituti che ne facilitino l'implementazione.

Cosa prevedere il Regolamento UE “AI Act”?

Il Regolamento europeo sull’Intelligenza Artificiale stabilisce:

  1. Regole armonizzate per l'immissione sul mercato, la messa in servizio e l'uso dei sistemi di IA nell'Unione.
  2. Divieti per alcune pratiche di IA.
  3. Requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi.
  4. Regole di trasparenza armonizzate per determinati sistemi di IA.
  5. Regole armonizzate per l'immissione sul mercato di modelli di IA per finalità generali.
  6. Norme in materia di monitoraggio e vigilanza del mercato, governance ed esecuzione.
  7. Misure a sostegno dell'innovazione, con particolare attenzione alle PMI e alle start-up.

L'entrata in vigore del Regolamento UE 2024/1689 avverrà il ventesimo giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell'Unione Europea e quindi sarà applicabile dal 1° agosto 2024. Questo seguirà un cronoprogramma per l'operatività e la regolarizzazione dei sistemi di intelligenza artificiale già in uso.

Il regolamento, salvo alcune eccezioni, entrerà in applicazione dopo 24 mesi dalla sua entrata in vigore, ma prevede una scaletta progressiva per l'inizio dell'operatività dei singoli capi. La prima fase inizierà 6 mesi dopo l'entrata in vigore, la seconda fase dopo 12 mesi e la terza fase dopo 24 mesi dall'entrata in vigore, segnando l'entrata a regime completa dell'AI Act.

Quali obblighi hanno le aziende?

“La norma si occupa di definire quali sono gli obblighi per ridurre i rischi per le libertà delle persone”. Pertanto, le aziende e le amministrazioni che utilizzeranno sistemi di intelligenza artificiale – praticamente tutte le aziende e le PA nel medio periodo – devono valutare e gestire i rischi che questi sistemi possono comportare per le persone coinvolte.

La norma distingue due grandi macrocategorie di soggetti: i provider di IA, ossia le Big Tech, con l'auspicio che in futuro vi siano anche aziende italiane ed europee in questo settore, e i deployer.

Chi sono i deployer?

I deployer sono tutti coloro che, in ambito professionale, aziendale o amministrativo, utilizzano sistemi di IA. Ad esempio, un'amministrazione che li utilizza per la selezione del personale, una banca che li impiega per decidere se concedere o meno un prestito, un mutuo o un fido a un determinato soggetto. Questo implica l'adozione di tre principi fondamentali: responsabilità (le aziende dovranno ottenere certificazioni), trasparenza (l'uso dell'IA che riguarderà cittadini, clienti o dipendenti dovrà essere reso trasparente e dichiarato) e il controllo e la sorveglianza umana dell'IA, per garantire il primato umanocentrico dell'intelligenza artificiale.

I sistemi vietati

Sono vietati da subito:

  • I sistemi di AI per la manipolazione cognitiva del comportamento e il social scoring.
  • L'uso dell'AI per la polizia predittiva basata sulla profilazione e i sistemi che utilizzano dati biometrici per classificare le persone in base a categorie specifiche come razza, religione o orientamento sessuale.
  • I sistemi di IA che creano o ampliano le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso.
  • I sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione (tranne dove l’uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza).
  • L’uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico a fini di attività di contrasto, a meno che, e nella misura in cui, tale uso sia strettamente necessario per:
    1. la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse.
    2. la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone fisiche o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico.
    3. la localizzazione o l’identificazione di una persona sospettata di aver commesso un reato, ai fini dello svolgimento di un’indagine penale, dell’esercizio di un’azione penale o dell’esecuzione di una sanzione penale per i reati di cui all’allegato II del Regolamento, punibili nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà di durata massima

La tabella di marcia del Regolamento

Nel dettaglio, lo scaglionamento delle tempistiche per l'acquisizione della piena efficacia delle disposizioni contenute nel Regolamento è il seguente:

  1. I capi I e II (definizioni e pratiche vietate) si applicano a decorrere dal 2 febbraio 2025.
  2. Il capo III, sezione 4 (autorità di notifica designate dagli stati membri), il capo V (modelli di AI per finalità generali), il capo VII (banca dati UE per i sistemi ad alto rischio), il capo XII (sanzioni) e l'art. 78 (riservatezza dei dati trattati in conformità al regolamento) si applicano a decorrere dal 2 agosto 2025, ad eccezione dell'art. 101 (sanzioni pecuniarie per i fornitori di modelli di IA per finalità generali).
  3. L'art. 6, paragrafo 1 (classificazione dei sistemi ad alto rischio), e i corrispondenti obblighi di cui al Regolamento, si applicano a decorrere dal 2 agosto 2027.

Gennaio 2025

L'AI Act si basa su un'architettura di rischio suddivisa in quattro livelli: minimo, limitato, alto e inaccettabile. Più alto è il rischio, maggiori sono le responsabilità e le restrizioni per chi sviluppa o utilizza questi sistemi, fino ad arrivare ai modelli considerati troppo pericolosi per essere autorizzati. Tra gli impieghi vietati rientrano le tecnologie per manipolare i comportamenti delle persone, la sorveglianza biometrica, la raccolta massiva e illimitata di foto di volti da internet, il riconoscimento delle emozioni sul posto di lavoro o a scuola, i sistemi di punteggio sociale e la polizia predittiva, cioè l'uso di dati sensibili per calcolare la probabilità che una persona commetta un reato.

A sei mesi dall'entrata in vigore, quindi a gennaio 2025, scatterà il blocco di questi sistemi vietati. L'unica eccezione per l'identificazione biometrica è quando viene utilizzata esclusivamente per confermare l'identità dichiarata di una persona. Tuttavia, questa definizione lascia ampi margini per l'uso della sorveglianza digitale da parte degli Stati, che durante i negoziati con il Parlamento, conclusi l'8 dicembre scorso, hanno ottenuto spazio per il controllo tramite algoritmi. L'articolo 5 sui divieti: “Uno Stato membro può decidere di prevedere la possibilità di autorizzare in tutto o in parte l'uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto”.

Primavera 2025

Tre mesi dopo questo primo passo, entreranno in vigore i codici di condotta. Si tratta degli impegni che sviluppatori, aziende e associazioni del settore prenderanno con l'Unione Europea per garantire l'inclusione dei principi dell'AI Act nelle loro attività. In particolare, questi codici di condotta sono progettati per estendere gli impegni in ambito di sostenibilità ambientale e sociale, formazione e alfabetizzazione, e adozione di principi etici nella produzione di tecnologia. L'AI Act stabilisce che tali codici debbano basarsi su “obiettivi chiari e indicatori chiave di prestazione che consentano di misurare il conseguimento di tali obiettivi”. In caso contrario, si rischia che siano solo parole di tech-washing.

Agosto 2025

Nell'agosto 2025, scatterà un nuovo regolamento per i modelli di intelligenza artificiale generale. Questi modelli, capaci di svolgere compiti diversificati come la creazione di testi o immagini e addestrati su vasti insiemi di dati non categorizzati, come GPT-4 alla base di ChatGPT o LaMDA dietro a Google Bard, dovranno adempiere a obblighi più severi a causa del loro ampio impatto sulla popolazione. Gli sviluppatori dovranno garantire che i contenuti generati siano chiaramente identificabili come tali da sistemi automatici e riconoscibili come prodotti da un'intelligenza artificiale. È obbligatorio che i contenuti deepfake siano debitamente etichettati, per esempio mediante watermarking o altre forme di filigrana digitale applicate a foto o video. Inoltre, gli utenti devono essere informati quando stanno interagendo con un chatbot.

Agosto 2026

Nell'agosto 2026, due anni dopo l'entrata in vigore, l'AI Act regolerà i sistemi considerati ad alto rischio, elencati nell'allegato 3. Questi includono sistemi per l'identificazione e la categorizzazione biometrica, il riconoscimento delle emozioni, applicazioni per la sicurezza di infrastrutture critiche, software educativi o di formazione per valutare i risultati di studio, assegnare corsi o monitorare gli studenti durante gli esami. Inoltre, rientrano in questa categoria gli algoritmi utilizzati sul lavoro per la valutazione dei curriculum o l'assegnazione di compiti e impieghi, quelli impiegati dalla pubblica amministrazione o da enti privati per distribuire sussidi, classificare richieste di emergenza, individuare frodi finanziarie o determinare il rischio assicurativo.

Gli algoritmi utilizzati dalle forze dell'ordine, dalla giustizia e dalle autorità di frontiera per valutare rischi e individuare flussi di immigrazione illegale sono anch'essi inclusi. Tuttavia, se l'algoritmo è utilizzato esclusivamente per svolgere procedure limitate, per migliorare i risultati già ottenuti da un essere umano, per identificare deviazioni dai processi decisionali usuali o per svolgere lavori preparatori di controllo, allora non è considerato ad alto rischio.

Entro 18 mesi dall'entrata in vigore del regolamento, la Commissione Europea definirà le linee guida per i sistemi ad alto rischio e potrà aggiornare l'elenco degli algoritmi che rientrano in questa categoria. Per apportare modifiche, sarà necessario considerare gli scopi della tecnologia, l'ampiezza dell'uso e del grado di autonomia decisionale, la natura e la quantità dei dati processati, i potenziali abusi su gruppi specifici di persone, la possibilità di correggere errori e i benefici derivati. Un database raccoglierà e aggiornerà continuamente l'elenco dei sistemi ad alto rischio utilizzati in Europa.

Chi sviluppa sistemi di AI ad alto rischio dovrà implementare meccanismi di controllo, gestire in modo trasparente i dati, chiarire l'origine delle informazioni impiegate, mantenerle aggiornate e registrare automaticamente i log, che dovranno essere conservati per tutta la durata commerciale dell'algoritmo per tracciare eventuali situazioni di rischio e indagarne le origini. Sarà inoltre necessario fornire la documentazione tecnica, conservata per 10 anni, con versioni semplificate per startup e piccole medie imprese. Gli sviluppatori dovranno comunicare il livello di accuratezza dell'AI, includendo una serie di metriche definite dalla Commissione, e garantire la robustezza e la sicurezza informatica del sistema, sempre sotto il controllo umano, il quale, in caso di pericolo imminente, può disattivare l'intelligenza artificiale.

Gli sviluppatori sono inoltre obbligati a stabilire un sistema di controllo qualità, sottoporsi a verifiche di conformità, applicare il marchio CE, che certifica l'autorizzazione del prodotto nell'Unione, e segnalare eventuali incidenti alle autorità. Importatori e distributori devono conservare la documentazione relativa alla sicurezza dell'AI venduta e sottoporsi a controlli aggiuntivi se modificano l'algoritmo fino a farlo rientrare nella categoria ad alto rischio. È previsto un sistema di monitoraggio post-commercializzazione, dal quale sono esenti le forze dell'ordine.

Agosto 2027

Nell'agosto del 2027, l'AI Act entra in vigore integralmente, comprensivo dell'elenco delle circostanze in cui è permesso l'uso della sorveglianza biometrica. Queste includono: la ricerca di vittime di reati o persone scomparse; situazioni di minaccia concreta alla vita o alla sicurezza fisica delle persone o di attacchi terroristici; la localizzazione e identificazione dei presunti autori di una lista di 16 reati specificati nell'allegato IIa. Tra i reati elencati vi sono: terrorismo, traffico di esseri umani, abusi sessuali su minori e pedopornografia, traffico di droghe e sostanze psicotrope, traffico illecito di armi, munizioni ed esplosivi, omicidi o gravi lesioni, traffico di organi, traffico di materiale radioattivo e nucleare, sequestri di persona e ostaggi, crimini sotto la giurisdizione della Corte Penale Internazionale, dirottamenti di aerei e navi, stupri, crimini ambientali, rapine organizzate e armate, sabotaggi e partecipazione a organizzazioni criminali coinvolte in uno o più dei crimini citati.

Chi viola queste regolazioni rischia multe fino a 35 milioni di euro o il 7% del fatturato globale per gli usi proibiti. Se i sistemi in violazione sono quelli ad alto rischio o di uso generale, le multe possono raggiungere fino a 15 milioni o il 3% del fatturato globale. Per infrazioni che coinvolgono informazioni scorrette, le sanzioni possono arrivare a 7,5 milioni di euro o l'1% del fatturato globale. Per le startup e le piccole e medie imprese, le sanzioni sono proporzionalmente ridotte. Il Garante per la protezione dei dati può imporre multe agli enti pubblici fino a un massimo di 1,5 milioni per violazioni delle norme sugli usi proibiti, o fino a 750mila euro in altri casi. Tuttavia, per evitare queste pesanti sanzioni, è essenziale segnare le date importanti nel calendario: la stagione dell'AI Act è ufficialmente iniziata.

Iscriviti alla nostra Newsletter!

Rimani sempre aggiornato e ricevi novità e consigli utili.

Grazie per esserti iscritto alla nostra newsletter.
Ops! Qualcosa è andato storto.

Copyright ©2022 e-cons.it

E-CONS S.R.L.– Via del Lavoro 4 – 35040 Boara Pisani (PD) Tel: 0425-485621 – P.IVA – C.F. – Registro Imprese di Padova N. 01171060294 -PEC: e-cons@legalmail.it – Codice SDI: SUBM70N — Capitale Sociale 25.500 i.v.