Dall’Europa prime regole sull’intelligenza artificiale

Il 1° agosto 2024 è entrato in vigore il Regolamento sull’intelligenza artificiale (Regolamento Ue 2024/1689), il primo sistema di norme sull’AI a livello mondiale, che introduce una serie di obblighi per gli sviluppatori di sistemi AI, ma anche per gli utilizzatori professionali (c.d. “deployers”), quando l’uso dell’intelligenza artificiale comporti un certo livello di pericolo per i diritti tutelati dall’Ue. L’operatività delle regole europee sarà completa, però, solo ad agosto 2026.

La legge sull’AI adotta un approccio basato sul rischio, adattando la tipologia e il contenuto della regolamentazione all’intensità e alla portata dei rischi che possono essere generati dai sistemi di AI (considerando 26). Il Regolamento distingue, così, tra:
– pratiche AI proibite in quanto determinano un rischio inaccettabile per i diritti tutelati dall’Ue (cfr. art. 5 del Regolamento). Sono vietate, tra le altre, l’immissione sul mercato, la messa in servizio o l’uso di sistemi di AI che manipolano le decisioni e i comportamenti delle persone; quelli che valutano o classificano le persone in base ai loro comportamenti o alle loro caratteristiche personali (c.d. social scoring); quelli che predicono le probabilità di commettere un reato; che classificano le persone sulla base dei loro dati biometrici per trarre deduzioni o inferenze in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale od orientamento sessuale. Sono ammesse alcune eccezioni, quando l’utilizzo di tali sistemi sia motivato dal perseguimento di un interesse pubblico rilevante, la cui importanza prevale sui rischi (quale la ricerca delle persone scomparse, attacchi terroristici o altre ipotesi di cui alla lettera h) dell’art. 5);
– sistemi ad alto rischio (art. 6 del Regolamento), quali quelli utilizzati nella diagnosi delle malattie, nella guida autonoma e nell’identificazione biometrica delle persone, per la cui produzione e utilizzazione sono stabilite delle regole (si tratta del contenuto più sostanzioso del regolamento). Tra gli altri, per i deployers è previsto l’obbligo di sorveglianza umana, di monitoraggio del funzionamento dei sistemi e di conservazione delle registrazioni generate dal sistema AI per almeno sei mesi;
– sistemi a rischio limitato, come i chatbot, (art. 50), che comportano obblighi di trasparenza in capo a sviluppatori e utilizzatori, i quali, in sostanza, devono assicurare che l’utente finale sia consapevole di interagire con un sistema AI;
– sistemi a rischio minimo (ad esempio, giochi e filtri anti spam basati su AI), che non sono regolati.

Una parte del regolamento disciplina, poi, i modelli di AI per finalità generali. Si tratta di modelli di intelligenza artificiale addestrati con grandi quantità di dati, in grado di svolgere con competenza un’ampia gamma di compiti distinti (ad esempio, Chat GPT); (artt. 51-56). Quando comportano rischi sistemici (da intendersi come qualsiasi effetto negativo in settori critici come la sicurezza e la salute pubblica, i processi democratici, la sicurezza economica), sono sottoposti a obblighi severi; in caso contrario devono soddisfare requisiti limitati, come gli obblighi di trasparenza.

L’attuazione delle misure passa attraverso diversi step.
Dal 2 febbraio scorso si applicano le norme sulle pratiche AI proibite (art. 5) e gli obblighi di alfabetizzazione in materia di AI (art. 4).

Questi ultimi richiedono che fornitori e deployer dei sistemi di AI adottino misure per garantire “nella misura del possibile” un livello sufficiente di alfabetizzazione in materia di AI del loro personale e di qualsiasi altra persona che si occupi del funzionamento e dell’utilizzo dei sistemi per loro conto, tenendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione, nonché il contesto in cui i sistemi di intelligenza artificiale devono essere utilizzati, e tenendo conto delle persone su cui i sistemi devono essere utilizzati. Peraltro, si tratta di un obbligo il cui inadempimento non è sanzionato.

Il 2 agosto 2025, poi, diventeranno operativi gli obblighi per i modelli di AI per uso generale; entro la stessa data, inoltre, gli Stati membri devono designare le Autorità di vigilanza competenti.
Infine, dal 2 agosto 2026 troveranno applicazione tutte le disposizioni del regolamento e gli obblighi e le sanzioni per tutti i nuovi sistemi di intelligenza artificiale.