AI Act: in Gazzetta il Regolamento europeo sull’Intelligenza artificiale (Reg. 2024/1689)

In Gazzetta ufficiale europea del 12 luglio, l’Ai-Act, il Regolamento europeo sull’intelligenza artificiale: Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024.
Si tratta del primo quadro giuridico globale che stabilisce norme per lo sviluppo, l’immissione sul mercato e l’utilizzo dell’intelligenza artificiale.

Mira a garantire che l’intelligenza artificiale sia sviluppata e utilizzata in modo sicuro, responsabile ed etico, in linea con i valori dell’Unione europea.
Stabilisce quattro categorie di rischio per i sistemi di intelligenza artificiale, a seconda del loro potenziale impatto sui cittadini. I sistemi di intelligenza artificiale ad alto rischio, come quelli utilizzati nei settori medico o dei trasporti, saranno soggetti a requisiti più rigorosi.
Il Regolamento entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell’Unione europea avvenuta il 12 luglio 2024. I fornitori di sistemi di intelligenza artificiale avranno un periodo di tempo per adeguarsi ai nuovi requisiti.

• Vediamo di seguito quali obblighi prevede l’AI-Act, a quali soggetti si riferisce, quali sistemi di IA sono considerati vietati o limitati e quali consentiti nel rispetto del diritto dell’Unione.

Ai-Act – il Regolamento 2024/1689 – articoli e contenuto

Il Regolamento 2024/1689 disciplina l’intelligenza artificiale in 113 articoli e 13 allegati. Gli articoli sono distinti in 13 Capi, ma i Capi I e II, III, sezione 4, il capo V, il capo VII, il capo XII si applicheranno dal 2 febbraio 2025.

• CAPO I – DISPOSIZIONI GENERALI
• CAPO II PRATICHE DI IA VIETATE
• CAPO III SISTEMI DI IA AD ALTO RISCHIO
• CAPO IV –OBBLIGHI DI TRASPARENZA PER I FORNITORI E I DEPLOYER DI DETERMINATI SISTEMI DI IA
• CAPO V – MODELLI DI IA PER FINALITÀ GENERALI
• CAPO VI –MISURE A SOSTEGNO DELL’INNOVAZIONE
• CAPO VII –GOVERNANCE
• CAPO VIII –BANCA DATI DELL’UE PER I SISTEMI DI IA AD ALTO RISCHIO
• CAPO IX –MONITORAGGIO SUCCESSIVO ALL’IMMISSIONE SUL MERCATO, CONDIVISIONE DELLE INFORMAZIONI E VIGILANZA DEL MERCATO
• CAPO X –CODICI DI CONDOTTA E ORIENTAMENTI
• CAPO XI –DELEGA DI POTERE E PROCEDURA DI COMITATO
• CAPO XII – SANZIONI
• CAPO XIII- DISPOSIZIONI FINALI.

Il Regolamento stabilisce:

• regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA nell’Unione;
• divieti di talune pratiche di IA;
• requisiti specifici per i sistemi di IA ad alto rischio (art.6 e Capo III) e obblighi per gli operatori di tali sistemi;
• regole di trasparenza armonizzate per determinati sistemi di IA;
• regole armonizzate per l’immissione sul mercato di modelli di IA per finalità generali (Capo V);
• regole in materia di monitoraggio del mercato, vigilanza del mercato, governance ed esecuzione;
• misure a sostegno dell’innovazione, con particolare attenzione alle PMI, comprese le start-up.

Regole europee per l’intelligenza artificiale:
a chi si applica l’Ai-Act

L’articolo 2 dell’Ai-act dettaglia i soggetti ai quali si applicheranno le nuove regole europee per l’intelligenza artificiale.

• fornitori che immettono sul mercato o mettono in servizio sistemi di IA o immettono sul mercato modelli di IA per finalità generali nell’Unione (regolati al Capo V), indipendentemente dal fatto che siano stabiliti o ubicati nell’Unione o in un paese terzo;
• deployer dei sistemi di IA che hanno il loro luogo di stabilimento o sono situati all’interno dell’Unione;
• fornitori e ai deployer di sistemi di IA che hanno il loro luogo di stabilimento o sono situati in un paese terzo, laddove l’output prodotto dal sistema di IA sia utilizzato nell’Unione;
• importatori e ai distributori di sistemi di IA;
• fabbricanti di prodotti che immettono sul mercato o mettono in servizio un sistema di IA insieme al loro prodotto e con il loro nome o marchio;
• rappresentanti autorizzati di fornitori, non stabiliti nell’Unione;
• persone interessate che si trovano nell’Unione.

Questi dovranno valutare e mitigare i possibili rischi e registrare i loro modelli nella banca dati dell’UE (regolata al Capo VIII dell’AI-Act) prima della loro immissione sul mercato europeo (regolata al Capo IX).

L’Articolo 101 del Regolamento regola le sanzioni pecuniarie per i fornitori di modelli di IA per finalità generali non superiori al 3 % del fatturato mondiale annuo totale dell’esercizio precedente o a 15 000 000 EUR.

Cosa si intende per Sistema di AI/IA?

In base all’articolo 3 dell’AI-Act che riporta tutte le Definizioni chiave del Regolamento , il “Sistema di IA” è un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.

Si fa riferimento, in particolare, ai sistemi di IA generativa che si basano su tali modelli, ad esempio, ChatGPT, dovrebbero rispettare i requisiti di trasparenza (dichiarando che il contenuto è stato generato dall’IA), aiutando anche a distinguere le cosiddette immagini deep-fake e da quelle reali, e fornire salvaguardie per evitare la generazione di contenuti illegali. Dovrebbero inoltre essere pubblicate le sintesi dettagliate dei dati protetti dal diritto d’autore utilizzati per l’addestramento.

Ai-Act
Obblighi per fornitori e utenti di intelligenza artificiale

Il Regolamento introduce al Capo IV una serie di obblighi per i fornitori e gli utenti di sistemi di intelligenza artificiale, tra cui:

• Obbligo di trasparenza: i fornitori di sistemi di intelligenza artificiale dovranno fornire informazioni chiare e comprensibili sui loro sistemi, comprese le loro capacità, limitazioni e potenziali rischi.
• Obbligo di valutazione della conformità: i fornitori di sistemi di intelligenza artificiale ad alto rischio dovranno far valutare i propri sistemi da organismi di valutazione indipendenti conformi ai requisiti stabiliti nel Regolamento.
• Obbligo di vigilanza del mercato: le autorità nazionali dovranno sorvegliare il mercato per garantire che i sistemi di intelligenza artificiale siano conformi al Regolamento e adottare le necessarie misure di esecuzione.

Gli obblighi di trasparenza

Il regolamento europeo sull’Intelligenza artificiale prevede che i sistemi di IA per finalità generali dovranno comunque rispettare i requisiti di trasparenza e le norme UE sul diritto d’autore durante “le fasi di addestramento” dei vari modelli.

I modelli più potenti, che potrebbero comportare rischi sistemici, dovranno rispettare anche altri obblighi, ad esempio quello di effettuare valutazioni dei modelli, di valutare e mitigare i rischi sistemici e di riferire in merito agli incidenti.

Inoltre, le immagini e i contenuti audio o video artificiali o manipolati (i cosiddetti “deepfake”) dovranno essere chiaramente etichettati come tali.

Ai-Act, esenzioni e obblighi di informazione per attività di ricerca

Per stimolare l’innovazione nel campo dell’IA e sostenere le PMI, il Regolamento al CAPO VI (Art.57 e ss.gg.) prevede esenzioni per le attività di ricerca e le componenti dell’IA fornite con licenze open-source. La nuova legge promuove i cosiddetti spazi di sperimentazione normativa, o ambienti di vita reale, creati dalle autorità pubbliche per testare l’IA prima che venga implementata. Nel testo compare anche il diritto dei cittadini di presentare reclami (art.85) sui sistemi di IA e di ricevere spiegazioni sulle decisioni basate su sistemi di IA ad alto rischio con un impatto significativo sui loro diritti fondamentali.

Riformato anche il ruolo dell’Ufficio dell’UE per l’IA (Capo VII dell’Ai-Act), che avrà il compito di monitorare l’attuazione delle norme sull’IA.

AI ACT:
le pratiche di intelligenza artificiale vietate

Le norme dell’AI-Act seguono un approccio basato sul rischio e stabiliscono obblighi per fornitori e operatori dei sistemi di IA a seconda del livello di rischio che l’IA può generare.

Il Regolamento al Capo II, articolo 5, vieta i sistemi di IA che presentano un livello di rischio inaccettabile per la sicurezza delle persone:

• Sistemi di punteggio sociale (che riescono  a classificare le persone in base al loro comportamento sociale o alle loro caratteristiche personali).
• l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico;
• l’uso di sistemi di identificazione biometrica remota “a posteriori” in spazi accessibili al pubblico, se non previa autorizzazione giudiziaria e strettamente necessario per investigare uno specifico reato grave;
• i sistemi di categorizzazione biometrica basati su caratteristiche sensibili (ad esempio genere, razza, etnia, cittadinanza, religione, orientamento politico);
• i sistemi di polizia predittiva (basati su profilazione, ubicazione o comportamenti criminali passati);
• i sistemi di riconoscimento delle emozioni utilizzati dalle forze dell’ordine, nella gestione delle frontiere, nel luogo di lavoro e negli istituti d’istruzione; e
• l’estrazione non mirata di dati biometrici da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale (in violazione dei diritti umani e del diritto alla privacy).
• Sistemi e applicativi per influenzare gli elettori nelle elezioni
• IA ad alto rischio

Nei sistemi ad altro rischio rientrano:

• gli usi legati a infrastrutture critiche, istruzione e formazione professionale, occupazione, servizi pubblici e privati di base (ad esempio assistenza sanitaria, banche, ecc.),
• alcuni sistemi di contrasto, migrazione e gestione delle frontiere, giustizia e processi democratici (come nel caso di sistemi usati per influenzare le elezioni).

Intelligenza artificiale: approccio al rischio e divieti dell’AI Act

L’Ai-Act pone l’obbligo di valutare e ridurre i rischi, mantenere registri d’uso, essere trasparenti e accurati e garantire la sorveglianza umana. I cittadini avranno diritto a presentare reclami sui sistemi di IA e a ricevere spiegazioni sulle decisioni basate su sistemi di IA ad alto rischio che incidono sui loro diritti.

Identificazione biometrica e uso da parte delle forze dell’ordine

Il divieto di queste pratiche avrà delle “eccezioni” nel caso siano sfruttate dalle forze dell’ordine nella loro normale attività.

Sebbene le forze dell’ordine non possano fare ricorso ai sistemi di identificazione biometrica, tranne in alcune situazioni specifiche espressamente previste dalla legge, sarà possibile una identificazione “in tempo reale” con garanzie rigorose, ad esempio se l’uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa

Sarà possibile usare l’identificazione nella ricerca di una persona scomparsa o per la prevenzione di un attacco terroristico. Occorrerà però sempre l’autorizzazione giudiziaria collegata ad un reato.

Sanzioni per il mancato rispetto dei divieti sull’intelligenza artificiale

La non conformità al divieto delle pratiche di IA di cui all’articolo 5 è soggetta a sanzioni amministrative pecuniarie fino a 35 000 000 EUR o, se l’autore del reato è un’impresa, fino al 7 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Lo prevede l’articolo 99 dell’Ai-Act che dettaglia le ulteriori sanzioni per queste violazioni.

Intelligenza artificiale e sicurezza in azienda

Per investigare i risvolti di salute e sicurezza sul lavoro delle applicazioni dell’intelligenza artificiale, suggeriamo i seguenti contenuti con alcuni studi e applicazioni pratiche