Dopo il voto positivo del Parlamento Europeo, anche il Consiglio dell’Unione Europea ha approvato il Regolamento sull’intelligenza artificiale, varando il nuovo testo datato 14 maggio 2024 che però poco cambia rispetto al testo di marzo di quest’anno.
A giorni sarà pubblicato sulla Gazzetta Ufficiale dell’Unione Europea e entrerà in vigore dopo venti giorni da quella data, anche se in modo progressivo.
Le norme che riguardano le pratiche vietate entreranno in vigore dopo sei mesi, quelle relative all’intelligenza artificiale per fini generali, GPAI, General Purpose AI, dopo dodici mesi, a meno che non siano stati immessi già sul mercato nel qual caso si applica il termine generale di ventiquattro mesi, che opera in linea generale per tutto l’AI Act (art. 113). Le norme relative ai sistemi di intelligenza artificiale destinati a essere utilizzati come componenti di sicurezza ad alto rischio entreranno in vigore dopo trentasei mesi.
Ci sarà tempo per adeguarsi, ma non così tanto. Inoltre le aziende che operano in questo settore non potranno permettersi di non tenere conto della nuova normativa, con il rischio di dovere cambiare strategia nel rischio di pochi mesi.
L’adeguamento deve avvenire subito e riguarda un vasto gruppo di operatori.
Ricordiamo che il Regolamento si applica ai fornitori di sistemi di intelligenza artificiale che li sviluppano, o li fanno sviluppare a terzi, o li importano sul territorio dell’Unione, anche se hanno la sede al di fuori dell’Unione ma anche agli utilizzatori (deployer) di detti sistemi che risiedono in Europa, a meno che detto uso non avvenga a scopo esclusivamente personale e al di fuori di un’attività professionale.
Questo significa che le aziende, e sono già molte in Italia, che sviluppano nuovi programmi o sistemi che si basano su sistemi di intelligenza artificiale, anche già esistenti e consolidati, dovranno porre in essere tutte le azioni previste dal Regolamento e sopportarne gli oneri e le responsabilità che non sono poche e che variano in base al tipo di sistema prodotto o adottato.
Ad alto rischio
La normativa distingue sistemi a rischio inaccettabile, che non possono essere in alcun modo introdotti in Europea, a rischio alto o basso, che sono quelli che non incidono sui diritti o sulla sicurezza dei cittadini e che non sono soggetti a obblighi specifici.
Le pratiche vietate, che non sono ammesse, includono i sistemi che, attraverso tecniche subliminali, manipolano il comportamento umano, quelli che sfruttano le vulnerabilità di una persona o le sue caratteristiche per fargli tenere un certo comportamento e i sistemi si social scoring per classificare le persone in base al loro comportamento, stato socio-economico e caratteristiche personali.
Il cuore del Regolamento sono i sistemi ad alto rischio, per i quali sono previsti obblighi e procedure rigorose.
I sistemi ad alto rischio sono quelli che impattano sulla vita delle persone, come i sistemi per determinare l’accesso alle scuole o la selezione del personale, i sistemi utilizzati nella gestione della giustizia, i sistemi di identificazione biometrica e molti altri descritti all’art. 6 del Regolamento.
Chi produce, o utilizza per scopi professionali, questi sistemi deve adottare un sistema di gestione della qualità, documentato e ordinato, costituito da procedure e istruzioni per una strategia di conformità normativa, interventi per il controllo della progettazione e la verifica della qualità dei sistemi, incluse procedure di esame, prova e convalida da effettuare prima, durante e dopo lo sviluppo del sistema ad alto rischio. Dovranno inoltre adottare procedure per la gestione dei dati, compresa l’acquisizione, la raccolta, l’analisi, l’etichettatura, un sistema di gestione dei rischi, il monitoraggio e le procedure per la segnalazione di un incidente grave.
Il Regolamento si applica all’intelligenza artificiale in senso lato e non solo a quella generativa come ChatGPT o Midjourney, ma a qualsiasi sistema automatizzato progettato per funzionare con livelli di autonomia variabili, che può presentare adattabilità dopo la diffusione e che, deduce dall’input che riceve come generare output.
Il Regolamento è direttamente applicabile e non necessita di alcuna norma di attuazione.
Intanto in Italia
In Italia, però, lo scorso 23 aprile è stato approvato dal Consiglio dei Ministri un Disegno di Legge (DDL) che intendeva anticipare l’AI Act e che prevede alcune norme ancora più stringenti e, in parte, diverse.
Ad esempio, i minori di quattordici anni non potranno accedere a tecnologie di intelligenza artificiale senza il consenso di chi esercita la potestà genitoriale e, in tema di informazione, e in genere per prodotti audiovisivi e radiofonici, l’art. 23 del disegno di legge, prevede che qualsiasi contenuto che sia stato creato, o anche solo modificato, con l’intelligenza artificiale deve essere chiaramente reso visibile e riconoscibile con l’inserimento di un segno, di una filigrana o marcatura temporale che contenga l’acronimo “IA”.
In ambito sanitario, si prevede che l’interessato debba essere informato in merito all’utilizzo di sistemi di intelligenza artificiale e ai vantaggi che essa offre per la diagnosi e la terapia, oltre che “sulla logica decisionale utilizzata”.
Sempre in questo settore l’art. 8 stabilisce che i trattamenti di dati, anche personali, eseguiti senza scopo di lucro per fini di ricerca e sperimentazione scientifica per lo sviluppo di sistemi di intelligenza artificiale di prevenzione, diagnosi e cura di malattie o sviluppo di farmaci sono dichiarati “di rilevante interesse pubblico” e, fermo l’obbligo di informativa, “è sempre autorizzato l’uso secondario di dati personali privi degli elementi identificativi diretti”.
Questo articolo è stato criticato e considerato in contrasto con il GDPR, ma lo scopo è quello di favorire lo sviluppo di sistemi AI che possono migliorare la salute pubblica, mettendo a disposizione della ricerca dati anonimi, o anonimizzati, dei pazienti. A tal fine sono introdotte garanzie e resta impregiudicato il controllo da parte del Garante per la protezione dei dati personali.
È introdotto un Osservatorio sull’adozione dei sistemi di intelligenza artificiale in ambito lavorativo che ha anche lo scopo di promuovere la formazione dei lavoratori e dei datori di lavoro in materia di intelligenza artificiale.
Chi svolge professioni intellettuali può utilizzare sistemi di intelligenza artificiale ma deve prevalere il contributo umano e deve dichiararlo espressamente ai propri clienti. I giudici, invece, possono utilizzare l’intelligenza artificiale per fini organizzativi e per fare ricerche, ma non per assumere decisioni che devono dipendere sempre dalla persona fisica.
La strategia nazionale
Il disegno di legge introduce anche una “strategia nazionale” per l’intelligenza artificiale che vuole valorizzare la collaborazione tra pubblico e privato e vengono previsti investimenti anche attraverso l’assunzione di partecipazioni nel capitale di rischio di piccole e medie imprese, con sede in Italia, che operano nel settore dell’intelligenza artificiale, della cybersicurezza e del calcolo quantistico, utilizzando il Fondo di sostengo al Venture Capital o la sottoscrizione di quote o di azioni di fondi appositamente istituiti.
Sul discusso tema di chi dovrà assumere il ruolo di autorità di controllo, la scelta del Governo sembra quella di considerare Autorità nazionali per l’intelligenza artificiale l’Agenzia per l’Italia Digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN). Entrambe le agenzie collaboreranno per il raggiungimento degli obiettivi previsti dalla normativa e, a tal fine, presso la presidenza del Consiglio dei Ministri è istituito un Comitato di coordinamento.
L’art. 18 si aggiunge che restano ferme le competenze del Garante per la protezione dei dati personali, vorremmo aggiungere “ovviamente”, relegandolo un pò ai margini della gestione dell’intelligenza artificiale che viene completamente accentrata.
Sull’altro dibattuto tema del diritto d’autore, il governo assume una posizione netta, considerando proteggibili le opere generate da sistemi di intelligenza artificiale solo se prevale il contributo umano, mentre per quanto riguarda l’uso di materiali protetti per l’addestramento, si ribadisce il principio dell’opt-out, per cui i titolari dei diritti che non vogliono che le loro opere siano usate a questo fine dovranno dichiararlo espressamente.
Non sappiamo se e quando il disegno di legge diventerà legge, mentre a giorni avremo un Regolamento direttamente applicabile nel nostro paese. Anche se il disegno di legge ne tiene conto, in caso di sua approvazione, resterà da valutare attentamente quale sarà la scelta politica finale e come le due normative, eventualmente, potranno armonizzarsi.