La plenaria del Parlamento europeo ha approvato la legge sull’intelligenza artificiale. È un voto storico: i 27 Paesi dell’Unione europea saranno i primi a disciplinare usi e sviluppi delle nuove tecnologie garantendo sicurezza e rispetto dei diritti fondamentali, sostenendo allo stesso tempo l’innovazione e la competitività.
L’obiettivo è di proteggere i diritti fondamentali, la democrazia, lo Stato di diritto e la sostenibilità ambientale dai sistemi di IA ad alto rischio, promuovendo nel contempo l’innovazione e assicurando all’Europa un ruolo guida nel settore. Il regolamento stabilisce obblighi per l’IA sulla base dei possibili rischi e del livello d’impatto.
L’AI Act regola lo sviluppo, la fornitura e l’uso di sistemi di IA in tutta Europa. La definizione di «sistema di IA» è quella proposta dall’OCSE: restano quindi esclusi i software tradizionali più semplici e gli approcci di programmazione. Ci saranno anche delle linee guida della Commissione sul punto.
Le nuove norme riguardano tutte le aziende e gli enti pubblici che forniscono o utilizzano sistemi di IA in Europa. Ciò vale anche per chi non ha sede in uno paese europeo, a condizione che l’output del sistema sia usato in Ue. La legge obbliga poi anche altri soggetti, come importatori e distributori.
Applicazioni vietate
Le nuove norme mettono fuori legge alcune applicazioni di IA che minacciano i diritti dei cittadini. Tra queste, i sistemi di categorizzazione biometrica basati su caratteristiche sensibili e l’estrapolazione indiscriminata di immagini facciali da internet o dalle registrazioni dei sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale. Saranno vietati anche i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole, i sistemi di credito sociale, le pratiche di polizia predittiva (se basate esclusivamente sulla profilazione o sulla valutazione delle caratteristiche di una persona) e i sistemi che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone.
Eccezioni per le forze dell’ordine
In linea di principio le forze dell’ordine non potranno fare ricorso ai sistemi di identificazione biometrica, tranne in alcune situazioni specifiche espressamente previste dalla legge. L’identificazione “in tempo reale” potrà essere utilizzata solo se saranno rispettate garanzie rigorose, ad esempio se l’uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa. Gli usi ammessi includono, ad esempio, la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico. L’utilizzo di questi sistemi a posteriori è considerato ad alto rischio. Per questo, per potervi fare ricorso, l’autorizzazione giudiziaria dovrà essere collegata a un reato.
Obblighi per i sistemi ad alto rischio
Sono previsti obblighi chiari anche per altri sistemi di IA ad alto rischio (che potrebbero arrecare danni significativi alla salute, alla sicurezza, ai diritti fondamentali, all’ambiente, alla democrazia e allo Stato di diritto). Rientrano in questa categoria gli usi legati a infrastrutture critiche, istruzione e formazione professionale, occupazione, servizi pubblici e privati di base (ad esempio assistenza sanitaria, banche, ecc.), alcuni sistemi di contrasto, migrazione e gestione delle frontiere, giustizia e processi democratici (come nel caso di sistemi usati per influenzare le elezioni). Per questi sistemi vige l’obbligo di valutare e ridurre i rischi, mantenere registri d’uso, essere trasparenti e accurati e garantire la sorveglianza umana. I cittadini avranno diritto a presentare reclami sui sistemi di IA e a ricevere spiegazioni sulle decisioni basate su sistemi di IA ad alto rischio che incidono sui loro diritti.
Obblighi di trasparenza
I sistemi di IA per finalità generali e i modelli su cui si basano dovranno soddisfare determinati requisiti di trasparenza e rispettare le norme UE sul diritto d’autore durante le fasi di addestramento dei vari modelli. I modelli più potenti, che potrebbero comportare rischi sistemici, dovranno rispettare anche altri obblighi, ad esempio quello di effettuare valutazioni dei modelli, di valutare e mitigare i rischi sistemici e di riferire in merito agli incidenti. Inoltre, le immagini e i contenuti audio o video artificiali o manipolati (i cosiddetti “deepfake”) dovranno essere chiaramente etichettati come tali.
Misure a sostegno dell’innovazione e delle PMI
I paesi dell’UE dovranno istituire e rendere accessibili a livello nazionale spazi di sperimentazione normativa e meccanismi di prova in condizioni reali (in inglese sandbox), in modo che PMI e start-up possano sviluppare sistemi di IA innovativi e addestrarli prima di immetterli sul mercato.