INCHIESTA AI | AI ACT: sicurezza, rispetto dei diritti fondamentali e innovazione

L’AI Act, il regolamento europeo sull’intelligenza artificiale, è diventato legge a tutti gli effetti ed è scattata la tabella di marcia per l’applicazione di quella che Commissione, Consiglio e Parlamento europeo hanno presentato come la prima legge al mondo che si occupa in modo complessivo di intelligenza artificiale.

Il testo è stato strutturato con l’obiettivo di inserire le diverse applicazioni di intelligenza artificiale in quattro gruppi distinti, a seconda del livello di rischio che ciascuna può rappresentare per i cittadini europei. I livelli di rischio sono:

1) Rischio inaccettabile: questi sono i sistemi che violano i valori europei e che dunque saranno vietati all’interno dei confini dell’Unione. 2) Rischio alto: i sistemi che hanno o potranno avere un impatto controverso sulla sicurezza e sui diritti delle persone. Non ne viene dunque proibita la diffusione ma si chiede che le società responsabili rispondano a una precisa serie di requisiti.

3) Rischio limitato: le applicazioni che non comportano pericoli considerevoli e che dovranno assicurare solo un set limitato di requisiti (in primis la trasparenza, dunque rivelare in modo evidente l’utilizzo dell’intelligenza artificiale).

4) Rischio minimo: in questo caso non è previsto nessun obbligo legale.

Tra le applicazioni di uso vietato dell’intelligenza artificiale nel livello di rischio inaccettabile ci sono i sistemi di ‘social scoring’, che giudicano le persone in base ai propri comportamenti.

Il regolamento, riporta il Corriere, bandisce gli strumenti di polizia predittiva, che sfruttano i dati per capire in anticipo la pericolosità di un individuo. Sono vietati tutti quei sistemi che targettizzano gli utenti per sfruttare alcune caratteristiche considerate vulnerabili (l’età, una disabilità o una specifica situazione sociale o economica). Proibiti anche i sistemi di riconoscimento delle emozioni, in particolare nei luoghi di lavoro e nelle scuole. Si tratta di tecnologie che analizzano il tono della voce, i gesti, le espressioni facciali di una persona per capire il suo umore e agire di conseguenza.

Questi sistemi potrebbero essere utilizzati per creare un ambiente domestico che fa- vorisca il miglioramento dell’umore, o per evitare episodi di violenza domestica. Gli utilizzi vietati possono essere la selezione di un dipendente in base ai dati raccolti dall’intelligenza artificiale oppure il giudizio su un alunno in base anche ai comportamenti registrati e digeriti da un algoritmo.

La sorveglianza di massa

Come si legge sul Corriere, vengono vietati i sistemi di riconoscimento biometrico che si basano su caratteristiche sensibili così come la creazione di database di riconoscimento facciale che vengono creati sfruttando la raccolta di dati online (con la pratica dello ‘scraping’) o da telecamere a circuito chiuso. È stato ammesso l’uso di sistemi biometrici in alcune particolari situazioni. Vietata la sorveglianza di massa, ovvero l’analisi in tempo reale attraverso software di riconoscimento facciale o di altre caratteristiche biometriche delle persone che si trovano in spazi pubblici. Previa autorizzazione giudiziaria, le forze dell’ordine potranno richiedere di utilizzare l’identificazione biometrica ma solo in casi di reati gravi, ovvero per la ricerca di una persona scomparsa o per prevenire un attacco terroristico.

I sistemi ad alto rischio

Il rischio è elevato perché elevato è il potenziale danno che questi applicativi possono causare alla salute, alla sicurezza, ai diritti fondamentali dei cittadini, all’ambiente e alla democrazia stessa. Come scrive il Corriere, ci sono due categorie principali di sistemi di intelligenza artificiale che rientrano in questa categoria: la prima riguarda i sistemi che intervengono su infrastrutture e prodotti specifici e già coperti dalla legislazione europea, come l’aviazione, le autovetture, i giocattoli, gli ascensori, i dispositivi di protezione personale.

La seconda riguarda le intelligenze artificiali utilizzate in alcuni settori sensibili, come l’istruzione, il lavoro, l’applicazione della legge, la migrazione, il processo democratico. Per tutte queste applicazioni di intelligenza artificiale i fornitori dovranno valutare prima i rischi e documentare tutte le scelte tecniche ed etiche, informare gli utenti sullo scopo dei loro sistemi, consentire un intervento umano e garantire la sicurezza informatica. Si chiede poi la massima trasparenza sul funzionamento degli algoritmi e dei modelli di linguaggio sviluppati. Tutte le applicazioni ad alto rischio verranno registrate in un database che l’Unione europea metterà pubblicamente a disposizione degli utenti per la consultazione. In questa categoria, aggiunge il Corriere, sono stati inseriti anche tutti i sistemi di intelligenza artificiale generativa – da ChatGpt a Gemini e Cloud – dopo il boom di diffusione di questi chatbot.

L’intelligenza artificiale generativa

L’AI Act chiama le app di intelligenza artificiale generativa GPAI (General Purpose Artificial Intelligence), ovvero AI con uno scopo generale e non specifico. Come i modelli di linguaggio che stanno dietro ai chatbot più usati: non solo Gpt-4, ma anche Gemini di Google, Claude-3 di Anthopic o Llama di Meta. L’AI generativa è considerata ad alto rischio, riporta il Corriere, in quanto può recare danno ai cittadini e alla democrazia stessa. In particolare perché potenziale creatrice di Deep Fake, e dunque di immagini, video e au- dio manipolati ma che appaiono come reali. Se il contenuto generato da ChatGpt o altri strumenti simili ritrae persone, oggetti, luoghi o altre entità ed eventi reali, deve essere dichiarato in modo evidente con una etichetta che quel contenuto è stato crea- to da un software. Si dovrà anche spiegare quali dati sono stati utilizzati per allenare i modelli di linguaggio su cui si basano. Per rispettare le leggi europee sul copyright. Ogni Paese dovrà dotarsi di leggi proprie e di documenti che siano accessibili ad aziende e startup locali per sviluppare intelligenze artificiali conformi al regolamento, prima della loro immissione sul mercato.

Le sanzioni

Chi sgarra rischia multe fino a 35 milioni di euro o al 7% del fatturato globale nel caso degli usi proibiti. Se a finire sotto la scure sono i sistemi ad alto rischio, si arriva fino a un massimo di 15 milioni o del 3% del fatturato globale in caso di mancata ottemperanza alle regole. Altrimenti, se si contestano informazioni scorrette, la sanzione raggiunge un tetto di 7,5 milioni di euro o dell’1% del fatturato globale. Per startup e piccole e medie imprese l’ammontare viene ridimensionato. Il Garante per la protezione dei dati può elevare multe contro enti pubblici per un massimo di 1,5 milioni, se si violano le norme sugli usi proibiti, o per un massimo di 750mila euro negli altri casi. Ma per evitare la tagliola delle multe, è bene segnarsi le date in calendario (vedi box).