È finito il lungo viaggio (legislativo) dell’AI Act, il regolamento europeo sull’intelligenza artificiale. Dopo il negoziato e l’accordo dello scorso 9 dicembre, il 13 marzo è arrivata infatti un’altra tappa storica con il voto in plenaria del Parlamento europeo: 523 voti a favore, 46 contrari e 49 astenuti per dare all’Europa nuove linee guida sulla grande rivoluzione tecnologica del nostro tempo.
“Democrazia 1 – Lobby 0”, sintetizza su X il commissario Ue al mercato interno Thierry Breton, celebrando l’arrivo delle “prime regole complete e vincolanti al mondo” per l’AI, alle quali si è arrivati dopo un percorso lungo tre anni.
“L’Europa è ora un regolatore globale degli standard nel campo dell’intelligenza artificiale. Stiamo regolamentando il meno possibile, ma quanto necessario”, dice il commissario dell’Unione Europea, che è la potenza globale più attiva quando si parla di regolare la tecnologia: le linee guida sull’intelligenza artificiale ora fanno compagnia ad esempio al Digital markets act, al Data act e al Digital services act.
Inoltre, secondo il relatore dell’AI Act Brando Benifei, l’Europa non si fermerà alle regole, e dovrà approvare le legislazioni che porteranno ad investire nel settore. Intanto però i player dell’intelligenza artificiale dovranno iniziare a prepararsi per essere pronti all’applicazione delle regole, che riguardano, con alcune eccezioni (come le attività di ricerca e gli scopi militari) tanto i produttori quanto gli utilizzatori dei ‘sistemi AI’.
AI Act, cosa succede ora
Ora che è arrivato il via libera ai 113 articoli e 12 allegati dell’AI Act, le sue regole non verranno immediatamente applicate: per alcune bisognerà aspettare un paio di anni, mentre le norme più urgenti, come quelle sui divieti relativi alla sorveglianza biometrica, saranno attive 6 mesi dopo l’entrata in vigore.
🇪🇺 Democracy: 1️⃣ | Lobby: 0️⃣
I welcome the overwhelming support from European Parliament for our #AIAct —the world’s 1st comprehensive, binding rules for trusted AI.
Europe is NOW a global standard-setter in AI.
We are regulating as little as possible — but as much as needed! pic.twitter.com/t4ahAwkaSn
— Thierry Breton (@ThierryBreton) March 13, 2024
Venti giorni dopo la pubblicazione nella Gazzetta ufficiale dell’Ue ci sarà l’entrata in vigore, mentre l’applicazione completa inizierà due anni dopo, dopo un percorso a tappe. I divieti si applicheranno a partire da sei mesi dopo l’entrata in vigore. I codici di ‘buone pratiche’ arriveranno nove mesi dopo. Poi sarà il turno della governance e delle norme sui sistemi di AI per finalità generali, le intelligenze artificiali generative, dopo 12 mesi. Infine gli obblighi per i sistemi ad alto rischio, dopo 36 mesi. Sempre fra due anni scatteranno le sanzioni per le imprese: quando ci sarà l’entrata in vigore completa scatteranno le sanzioni, fino a 35 mln di euro o al 7% del fatturato globale, in caso questo sia superiore, per le violazioni più gravi.
Il regolamento dovrà naturalmente essere recepito dagli Stati membri: il 12 marzo Giorgia Meloni ha ricordato che il Governo sta lavorando a un provvedimento di legge che includerà quanto chiesto dall’Europa, come l’indicazione di una autorità di vigilanza. Ogni Paese dovrà inoltre costruire delle sandbox dove PMI e start-up possano sviluppare e addestrare i propri sistemi prima di immetterli sul mercato.
AI Act, i divieti
Le norme più urgenti sono quelle relative ai divieti: niente sistemi di categorizzazione biometrica, che prevedono ad esempio il riconoscimento facciale con l’estrapolazione indiscriminata delle immagini dei volti da internet o dai sistemi di sorveglianza. Vietati anche i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole, quelli di credito sociale e le pratiche di polizia predittiva “se basate esclusivamente sulla profilazione o sulla valutazione delle caratteristiche di una persona”.
Ci sono delle eccezioni: l’identificazione “in tempo reale” potrà essere utilizzata in caso di uso limitato nel tempo e nello spazio e previa autorizzazione. Tra gli usi ammessi la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico. Poi c’è invece l’uso ‘a posteriori’, che ricade nel livello di rischio alto (l’AI Act ne prevede quattro in tutto): per questo potrà essere consentito solo in caso di reato.
I sistemi ad alto rischio e l’AI generativa
Il concetto di rischio guida le priorità del regolamento: i sistemi AI ad alto rischio comprendono anche quelli che riguardano infrastrutture critiche, istruzione e formazione professionale, occupazione, assistenza sanitaria, banche, giustizia e processi democratici come le elezioni. Un capitolo a parte lo ha meritato naturalmente l’AI generativa, come quella di ChatGpt o Gemini (ex Bard) di Google. Le Big Tech avranno quindi nuovi obblighi sui loro Large language model, come l’indicazione precisa dell’origine sui contenuti creati (e i deepfake) e il rispetto delle leggi sul copyright. I modelli più potenti dovranno effettuare valutazioni dei modelli, valutare e mitigare i rischi sistemici e riferire in merito a eventuali incidenti.
