Venerdì 8 Dicembre 2023, il Parlamento e il Consiglio dell’Unione Europea hanno trovato un accordo provvisorio sull’Artificial Intelligence Act (AI Act), per regolamentare come gli strumenti di intelligenza artificiale possano essere utilizzati e stabilirne i limiti tramite dei divieti. L’obiettivo sarebbe quello di favorire lo sviluppo e l’utilizzo dei sistemi di intelligenza artificiale, tutelando al contempo i diritti e le libertà fondamentali dei cittadini europei (in particolare, la protezione dei dati personali e la privacy).
Sulla base delle informazioni ad oggi disponibili Parlamento e Consiglio dell’Unione Europea avrebbero concordato di vietare l’utilizzo dell’intelligenza artificiale per le seguenti attività:
- utilizzo di sistemi di categorizzazione biometrica che utilizzano caratteristiche particolari di carattere sensibile (ad esempio, convinzioni politiche, religiose, filosofiche, orientamento sessuale, razza);
- raccolta non mirata di immagini del volto da Internet o da filmati di telecamere a circuito chiuso per la creazione di database di riconoscimento facciale;
- rilevazione delle emozioni sul posto di lavoro e nelle istituzioni scolastiche;
- classificazione sociale basata sul comportamento sociale o sulle caratteristiche personali;
- manipolazione del comportamento umano per aggirare il loro libero arbitrio;
- approfittare delle vulnerabilità delle persone (a causa della loro età, disabilità, situazione sociale o economica).
Sarebbero state concordate anche delle garanzie ed eccezioni per un utilizzo dei sistemi di identificazione biometrica in spazi accessibili al pubblico per finalità di contrasto alla criminalità, a condizione che vi sia un’autorizzazione preventiva da parte dell’autorità giudiziaria e con riferimento ad un elenco rigorosamente definito di reati. Un utilizzo dei sistemi di identificazione biometrica “post-remoto” verrebbe utilizzato esclusivamente per la ricerca mirata di una persona condannata o sospettata di aver commesso uno dei predetti reati. Invece, un utilizzo dei sistemi di identificazione biometrica “in tempo reale” sarebbe conforme a condizioni rigorose e il suo impiego sarebbe limitato ad una delle seguenti finalità:
- ricerche mirate di vittime (per rapimento, traffico di esseri umani, sfruttamento sessuale),
- prevenzione di una minaccia terroristica specifica e attuale,
- localizzazione o identificazione di una persona sospettata di aver commesso uno dei reati specifici che saranno menzionati nel Regolamento (ad esempio, terrorismo, traffico di esseri umani, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a un’organizzazione criminale, reati ambientali).
Per i sistemi di intelligenza artificiale classificati come ad alto rischio (a causa del loro potenziale danno significativo alla salute, alla sicurezza, ai diritti fondamentali, all’ambiente, alla democrazia e allo stato di diritto), sarebbero stati concordati degli obblighi precisi, tra cui una valutazione obbligatoria dell’impatto sui diritti fondamentali, da applicarsi ai sistemi di intelligenza artificiale nel settore assicurativo e bancario e nel caso possa condizionare il comportamento degli elettori e l’esito delle elezioni. I cittadini dovrebbero avere anche il diritto di presentare reclami sui sistemi di intelligenza artificiale e di ricevere spiegazioni sulle decisioni basate su tali sistemi ad alto rischio che hanno un impatto sui loro diritti.
Il Regolamento dovrebbe introdurre anche delle norme specifiche per i modelli di intelligenza artificiale di uso generale (GPAI), che dovranno aderire ai requisiti di trasparenza proposti inizialmente dal Parlamento, includendo la stesura di una documentazione tecnica, il rispetto della legge sul copyright dell’UE e la diffusione di sintesi dettagliate sui contenuti utilizzati per la formazione.
Per i modelli GPAI ad alto impatto che potrebbero comportare rischi sistemici, dovrebbero essere previsti degli obblighi più stringenti, relativi alla gestione dei rischi e al monitoraggio degli incidenti gravi, alla valutazione dei modelli e ai test avversari, al fine di garantire la sicurezza informatica e riferire sulla loro efficienza energetica. Su questo punto, gli eurodeputati avrebbero anche insistito sul fatto che, fino alla pubblicazione di standard UE armonizzati, i modelli GPAI con rischio sistemico possano affidarsi a codici di pratica e di condotta.
L’inosservanza delle norme potrebbe portare a multe che vanno da 35 milioni di euro o il 7% del fatturato annuo globale (a seconda di quale sia il valore più alto) per le violazioni delle applicazioni di intelligenze artificiali vietate, 15 milioni di euro o il 3% per le violazioni di altri obblighi e 7,5 milioni di euro o l’1,5% per la fornitura di informazioni errate. Sarebbero previsti tetti più proporzionati per le sanzioni amministrative per le PMI e le start-up in caso di violazioni dello AI Act.
L’accordo politico sarà soggetto ad approvazione formale del Parlamento e il Consiglio dell’Unione Europea e dovrebbe entrare in vigore 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale. Il Regolamento dovrebbe essere applicabile due anni dopo la sua entrata in vigore, ad eccezione di alcune disposizioni specifiche, infatti i divieti si dovrebbero applicare dopo 6 mesi, mentre le norme sull’IA per scopi generali si applicheranno dopo 12 mesi. Per superare il periodo di transizione prima che il Regolamento diventi generalmente applicabile, la Commissione intende lanciare un “Patto per l’IA”, con l’obiettivo di riunire gli sviluppatori europei e internazionali, che su base volontaria volgiano impegnarsi ad attuare gli obblighi fondamentali del nuovo Regolamento prima della sua attuazione.
Fonti:
https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6473
