Il 13 marzo 2024 il Parlamento Europeo ha approvato il cosiddetto “AI Act” (qui il testo definitivo approvato: https://www.europarl.europa.eu/doceo/document/A-9-2023-0188-AM-808-808_IT.pdf).

Il nuovo Regolamento sull’Intelligenza Artificiale ha la finalità di garantire che i sistemi di intelligenza artificiale utilizzabili sul territorio europeo siano sicuri e rispettino i diritti e i valori fondamentali dell’UE.  Utilizzando un principio già contenuto nel GDPR, l’AI Act conferma l’approccio basato sul rischio. Conseguentemente, obblighi e cautele vengono diversificati sulla base del livello di rischio del singolo sistema IA per i diritti e le libertà delle persone.

In estrema sintesi, il nuovo regolamento mira ad introdurre:

  • regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di intelligenza artificiale nell’Unione;
  • il divieto di determinate pratiche di intelligenza artificiale;
  • requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi;
  • regole di trasparenza armonizzate per alcuni sistemi di IA;
  • regole armonizzate specifiche per l’immissione sul mercato di modelli di IA di uso generale;
  • regole sul monitoraggio del mercato, sulla governance e sull’applicazione della vigilanza del mercato stesso;
  • misure a sostegno dell’innovazione, con particolare attenzione alle PMI, comprese le start-up.

Nonostante la complessità del Regolamento, data anche dalla sua natura “pioneristica” in materia, proviamo comunque a riassumere alcuni dei concetti fondamentali.

DEFINIZIONE DI AI

Il sistema di AI è definito dall’art. 3 del Regolamento come “un sistema basato su macchine progettato per funzionare con diversi livelli di autonomia, che può mostrare capacità di adattamento dopo l’implementazione e che, per obiettivi espliciti o impliciti, deduce dagli input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici”. Pertanto, affinché un sistema di AI rientri nella definizione del Regolamento dovrà essere un sistema in grado di operare almeno in parte senza l’intervento umano, avere capacità di apprendimento ed essere finalizzato alla generazione di output sulla base degli input ricevuti. Tuttavia, per l’applicazione della normativa si richiede che questo sistema sia idoneo a determinare conseguenze nei contesti in cui opera (ad esempio, un sistema di valutazione del credito influenza il suo ambiente aiutando a decidere se a qualcuno verrà concesso un prestito).

Si segnala che è stata demandata alla Commissione europea l’adozione di linee guida sull’applicazione della definizione di sistema di AI.

CLASSIFICAZIONE DEI SISTEMI DI IA E PRATICHE VIETATE

Seguendo un approccio “basato sul rischio”, in base al quale tanto maggiore è il rischio, quanto più rigorose sono le regole, la nuova disciplina stabilisce obblighi per fornitori e operatori dei sistemi di IA a seconda del livello di rischio che l’IA può generare:

Livello di rischio Definizioni/Esempi Regolamentazione
Inaccettabile Sistemi che possono manipolare il comportamento umano come quelli che consentono di attribuire un “punteggio sociale” (social scoring), per finalità pubbliche e private, classificando le persone in base al loro comportamento sociale o alle loro caratteristiche personali, e determinate applicazioni di polizia predittiva. Vietati
Alto Sistemi di IA che possono potenzialmente avere ripercussioni negative sulla sicurezza delle persone o sui loro diritti fondamentali (tutelati dalla Carta dei diritti fondamentali dell’UE), ad esempio:

    • sistemi di identificazione biometrica remota, categorizzazione biometrica e riconoscimento delle emozioni (eccetto ipotesi vietate, es. nelle scuole)
    • sistemi finalizzati a determinare l’accesso, l’ammissione o l’assegnazione agli istituti di istruzione e formazione professionale (ad esempio, per valutare i risultati dell’apprendimento e orientare il processo di apprendimento e il monitoraggio dei comportamenti disonsti);
    • sistemi relativi alla valutazione dell’occupazione, ad ottimizzare la gestione dei lavoratori e l’accesso al lavoro autonomo

 Prima di immettere un sistema di IA ad alto rischio sul mercato dell’UE, o di farlo entrare in servizio, i fornitori dovranno sottoporlo a una valutazione della conformità. In particolare, dovranno:

    • dimostrare che il loro sistema è conforme ai requisiti obbligatori per un’IA affidabile (ad esempio: qualità dei dati, documentazione e tracciabilità, trasparenza, sorveglianza umana, accuratezza, cibersicurezza e robustezza)
    • dimostrare che il loro sistema è tecnicamente robusto per garantire che la tecnologia sia adatta allo scopo e che i risultati falsi positivi/negativi non incidano in modo sproporzionato sui gruppi protetti
    • dimostrare che il loro sistema è addestrato e testato con set di dati sufficientemente rappresentativi per ridurre al minimo il rischio di integrare distorsioni inique nel modello e garantire che, se presenti, queste possano essere risolte mediante opportune misure di rilevazione, correzione e attenuazione. Questi dati dovranno essere tracciabili e verificabili, garantendo la conservazione dell’opportuna documentazione, compresi i dati utilizzati per addestrare l’algoritmo, fondamentali per le indagini ex post.
    • svolgere una DPIA sui diritti fondamentali
Basso o minimo Sistemi di IA a rischio minimo, ovvero la grande maggioranza dei sistemi di IA attualmente utilizzati o il cui utilizzo è probabile nell’UE rientra in questa categoria (ChatGpt, CoPilot, Dall-E, per fare alcuni esempi). Obblighi di trasparenza, maggiormente stringenti per i c.d. General purpose AI – GPAI, che generano contenuti audio, immagini, video o di testo sintetici.Gli utenti dovranno essere consapevoli del fatto che stanno interagendo con una macchina. In particolare, l’articolo 52 dell’AI Act stabilisce, in relazione ai sistemi che interagiscono con individui, ai sistemi di riconoscimento delle emozioni e di categorizzazione biometrica non inclusi tra quelli vietati, nonché ai sistemi che generano o manipolano contenuti c.d. “deep fake”, l’obbligo di informare l’utente che sta interagendo con un sistema di intelligenza artificiale o del fatto che un particolare contenuto è stato creato attraverso l’intelligenza artificiale (ad esempio, i contenuti “deep fake” devono essere chiaramente identificati come tali), al fine di consentire all’utente di utilizzare la tecnologia in modo informato e consapevole.

(*) Eccezioni per le forze dell’ordine: in linea di principio le forze dell’ordine non potranno fare ricorso ai sistemi di identificazione biometrica, tranne in alcune situazioni specifiche espressamente previste dalla legge. L’identificazione “in tempo reale” potrà essere utilizzata solo se saranno rispettate garanzie rigorose, ad esempio se l’uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa. Gli usi ammessi includono, ad esempio, la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico. L’utilizzo di questi sistemi a posteriori è considerato ad alto rischio. Per questo, per potervi fare ricorso, l’autorizzazione giudiziaria dovrà essere collegata a un reato.

ROAD MAP PER L’ATTUAZIONE

Il regolamento sull’IA sarà pienamente applicabile due anni dopo la sua entrata in vigore, secondo il seguente approccio graduale:

  • 6 mesi dopo l’entrata in vigore, gli Stati membri devono eliminare gradualmente i sistemi vietati;
  • 12 mesi dopo: diventano applicabili gli obblighi relativi alla governance dell’IA per finalità generali;
  • 24 mesi dopo: tutte le regole della legge sull’IA diventano applicabili, compresi gli obblighi per i sistemi ad alto rischio definiti nell’allegato III (elenco dei casi d’uso ad alto rischio);
  • 36 mesi dopo: si applicano gli obblighi per i sistemi ad alto rischio definiti nell’allegato II (elenco della normativa di armonizzazione dell’Unione)

SANZIONI

Le sanzioni per le violazioni del nuovo regolamento sono state fissate in una percentuale del fatturato annuo globale nell’anno finanziario precedente della società incriminata o in un importo predeterminato, a seconda di quale sia il più elevato. Più nello specifico, per i sistemi di IA che sono immessi sul mercato o messi in servizio e che non rispettano i requisiti del regolamento, gli Stati membri dovranno stabilire sanzioni effettive, proporzionate e dissuasive, comprese sanzioni amministrative pecuniarie, in relazione alle violazioni, e comunicarle alla Commissione. Il regolamento stabilisce le soglie da tenere in considerazione:

  • fino a 35 milioni di euro o al 7% del fatturato mondiale totale annuo dell’esercizio precedente (se superiore) per violazioni relative a pratiche vietate o per l’inosservanza di requisiti in materia di dati;
  • fino a 15 milioni di euro o al 3% del fatturato mondiale totale annuo dell’esercizio precedente, per l’inosservanza di qualsiasi altro requisito o obbligo del regolamento, compresa la violazione delle regole relative ai modelli di IA per finalità generali;
  • fino a 7,5 milioni di euro o all’1,5% del fatturato mondiale totale annuo dell’esercizio precedente, per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta;

Per ciascuna categoria di violazione, la soglia per le PMI sarebbe l’importo più basso tra i due previsti, mentre per le altre imprese sarebbe l’importo più elevato.

CHE COSA DEVONO FARE LE AZIENDE?

Ad oggi, il consiglio che diamo ai nostri clienti è quello di iniziare il censimento dei propri software che utilizzano sistemi di AI per capire se ce ne sono alcuni che rientrano nei sistemi ad alto rischio, al fine di adottare gli opportuni accorgimenti richiesti dalla nuova normativa.

Consulenti privacy

Dott. Michele Leardini

PRIVACY OFFICER – ACCOUNT MANAGER

Oppure contattaci per richiedere informazioni

Chiamaci ora: 0541 1798723

Il 13 marzo 2024 il Parlamento Europeo ha approvato il cosiddetto “AI Act” (qui il testo definitivo approvato: https://www.europarl.europa.eu/doceo/document/A-9-2023-0188-AM-808-808_IT.pdf).

Il nuovo Regolamento sull’Intelligenza Artificiale ha la finalità di garantire che i sistemi di intelligenza artificiale utilizzabili sul territorio europeo siano sicuri e rispettino i diritti e i valori fondamentali dell’UE.  Utilizzando un principio già contenuto nel GDPR, l’AI Act conferma l’approccio basato sul rischio. Conseguentemente, obblighi e cautele vengono diversificati sulla base del livello di rischio del singolo sistema IA per i diritti e le libertà delle persone.

In estrema sintesi, il nuovo regolamento mira ad introdurre:

  • regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di intelligenza artificiale nell’Unione;
  • il divieto di determinate pratiche di intelligenza artificiale;
  • requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi;
  • regole di trasparenza armonizzate per alcuni sistemi di IA;
  • regole armonizzate specifiche per l’immissione sul mercato di modelli di IA di uso generale;
  • regole sul monitoraggio del mercato, sulla governance e sull’applicazione della vigilanza del mercato stesso;
  • misure a sostegno dell’innovazione, con particolare attenzione alle PMI, comprese le start-up.

Nonostante la complessità del Regolamento, data anche dalla sua natura “pioneristica” in materia, proviamo comunque a riassumere alcuni dei concetti fondamentali.

DEFINIZIONE DI AI

Il sistema di AI è definito dall’art. 3 del Regolamento come “un sistema basato su macchine progettato per funzionare con diversi livelli di autonomia, che può mostrare capacità di adattamento dopo l’implementazione e che, per obiettivi espliciti o impliciti, deduce dagli input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici”. Pertanto, affinché un sistema di AI rientri nella definizione del Regolamento dovrà essere un sistema in grado di operare almeno in parte senza l’intervento umano, avere capacità di apprendimento ed essere finalizzato alla generazione di output sulla base degli input ricevuti. Tuttavia, per l’applicazione della normativa si richiede che questo sistema sia idoneo a determinare conseguenze nei contesti in cui opera (ad esempio, un sistema di valutazione del credito influenza il suo ambiente aiutando a decidere se a qualcuno verrà concesso un prestito).

Si segnala che è stata demandata alla Commissione europea l’adozione di linee guida sull’applicazione della definizione di sistema di AI.

CLASSIFICAZIONE DEI SISTEMI DI IA E PRATICHE VIETATE

Seguendo un approccio “basato sul rischio”, in base al quale tanto maggiore è il rischio, quanto più rigorose sono le regole, la nuova disciplina stabilisce obblighi per fornitori e operatori dei sistemi di IA a seconda del livello di rischio che l’IA può generare:

Livello di rischio Definizioni/Esempi Regolamentazione
Inaccettabile Sistemi che possono manipolare il comportamento umano come quelli che consentono di attribuire un “punteggio sociale” (social scoring), per finalità pubbliche e private, classificando le persone in base al loro comportamento sociale o alle loro caratteristiche personali, e determinate applicazioni di polizia predittiva. Vietati
Alto Sistemi di IA che possono potenzialmente avere ripercussioni negative sulla sicurezza delle persone o sui loro diritti fondamentali (tutelati dalla Carta dei diritti fondamentali dell’UE), ad esempio:

    • sistemi di identificazione biometrica remota, categorizzazione biometrica e riconoscimento delle emozioni (eccetto ipotesi vietate, es. nelle scuole)
    • sistemi finalizzati a determinare l’accesso, l’ammissione o l’assegnazione agli istituti di istruzione e formazione professionale (ad esempio, per valutare i risultati dell’apprendimento e orientare il processo di apprendimento e il monitoraggio dei comportamenti disonsti);
    • sistemi relativi alla valutazione dell’occupazione, ad ottimizzare la gestione dei lavoratori e l’accesso al lavoro autonomo

 Prima di immettere un sistema di IA ad alto rischio sul mercato dell’UE, o di farlo entrare in servizio, i fornitori dovranno sottoporlo a una valutazione della conformità. In particolare, dovranno:

    • dimostrare che il loro sistema è conforme ai requisiti obbligatori per un’IA affidabile (ad esempio: qualità dei dati, documentazione e tracciabilità, trasparenza, sorveglianza umana, accuratezza, cibersicurezza e robustezza)
    • dimostrare che il loro sistema è tecnicamente robusto per garantire che la tecnologia sia adatta allo scopo e che i risultati falsi positivi/negativi non incidano in modo sproporzionato sui gruppi protetti
    • dimostrare che il loro sistema è addestrato e testato con set di dati sufficientemente rappresentativi per ridurre al minimo il rischio di integrare distorsioni inique nel modello e garantire che, se presenti, queste possano essere risolte mediante opportune misure di rilevazione, correzione e attenuazione. Questi dati dovranno essere tracciabili e verificabili, garantendo la conservazione dell’opportuna documentazione, compresi i dati utilizzati per addestrare l’algoritmo, fondamentali per le indagini ex post.
    • svolgere una DPIA sui diritti fondamentali
Basso o minimo Sistemi di IA a rischio minimo, ovvero la grande maggioranza dei sistemi di IA attualmente utilizzati o il cui utilizzo è probabile nell’UE rientra in questa categoria (ChatGpt, CoPilot, Dall-E, per fare alcuni esempi). Obblighi di trasparenza, maggiormente stringenti per i c.d. General purpose AI – GPAI, che generano contenuti audio, immagini, video o di testo sintetici.Gli utenti dovranno essere consapevoli del fatto che stanno interagendo con una macchina. In particolare, l’articolo 52 dell’AI Act stabilisce, in relazione ai sistemi che interagiscono con individui, ai sistemi di riconoscimento delle emozioni e di categorizzazione biometrica non inclusi tra quelli vietati, nonché ai sistemi che generano o manipolano contenuti c.d. “deep fake”, l’obbligo di informare l’utente che sta interagendo con un sistema di intelligenza artificiale o del fatto che un particolare contenuto è stato creato attraverso l’intelligenza artificiale (ad esempio, i contenuti “deep fake” devono essere chiaramente identificati come tali), al fine di consentire all’utente di utilizzare la tecnologia in modo informato e consapevole.

(*) Eccezioni per le forze dell’ordine: in linea di principio le forze dell’ordine non potranno fare ricorso ai sistemi di identificazione biometrica, tranne in alcune situazioni specifiche espressamente previste dalla legge. L’identificazione “in tempo reale” potrà essere utilizzata solo se saranno rispettate garanzie rigorose, ad esempio se l’uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa. Gli usi ammessi includono, ad esempio, la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico. L’utilizzo di questi sistemi a posteriori è considerato ad alto rischio. Per questo, per potervi fare ricorso, l’autorizzazione giudiziaria dovrà essere collegata a un reato.

ROAD MAP PER L’ATTUAZIONE

Il regolamento sull’IA sarà pienamente applicabile due anni dopo la sua entrata in vigore, secondo il seguente approccio graduale:

  • 6 mesi dopo l’entrata in vigore, gli Stati membri devono eliminare gradualmente i sistemi vietati;
  • 12 mesi dopo: diventano applicabili gli obblighi relativi alla governance dell’IA per finalità generali;
  • 24 mesi dopo: tutte le regole della legge sull’IA diventano applicabili, compresi gli obblighi per i sistemi ad alto rischio definiti nell’allegato III (elenco dei casi d’uso ad alto rischio);
  • 36 mesi dopo: si applicano gli obblighi per i sistemi ad alto rischio definiti nell’allegato II (elenco della normativa di armonizzazione dell’Unione)

SANZIONI

Le sanzioni per le violazioni del nuovo regolamento sono state fissate in una percentuale del fatturato annuo globale nell’anno finanziario precedente della società incriminata o in un importo predeterminato, a seconda di quale sia il più elevato. Più nello specifico, per i sistemi di IA che sono immessi sul mercato o messi in servizio e che non rispettano i requisiti del regolamento, gli Stati membri dovranno stabilire sanzioni effettive, proporzionate e dissuasive, comprese sanzioni amministrative pecuniarie, in relazione alle violazioni, e comunicarle alla Commissione. Il regolamento stabilisce le soglie da tenere in considerazione:

  • fino a 35 milioni di euro o al 7% del fatturato mondiale totale annuo dell’esercizio precedente (se superiore) per violazioni relative a pratiche vietate o per l’inosservanza di requisiti in materia di dati;
  • fino a 15 milioni di euro o al 3% del fatturato mondiale totale annuo dell’esercizio precedente, per l’inosservanza di qualsiasi altro requisito o obbligo del regolamento, compresa la violazione delle regole relative ai modelli di IA per finalità generali;
  • fino a 7,5 milioni di euro o all’1,5% del fatturato mondiale totale annuo dell’esercizio precedente, per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta;

Per ciascuna categoria di violazione, la soglia per le PMI sarebbe l’importo più basso tra i due previsti, mentre per le altre imprese sarebbe l’importo più elevato.

CHE COSA DEVONO FARE LE AZIENDE?

Ad oggi, il consiglio che diamo ai nostri clienti è quello di iniziare il censimento dei propri software che utilizzano sistemi di AI per capire se ce ne sono alcuni che rientrano nei sistemi ad alto rischio, al fine di adottare gli opportuni accorgimenti richiesti dalla nuova normativa.

Consulenti privacy

Dott. Michele Leardini

PRIVACY OFFICER – ACCOUNT MANAGER

Oppure contattaci per richiedere informazioni

Chiamaci ora: 0541 1798723