L’Unione Europea adotta l’AI Act, la prima legge al mondo per regolamentare l’Intelligenza Artificiale

Il 21 maggio 2024, l’Unione Europea ha compiuto un passo storico diventando la prima grande potenza economica al mondo a dotarsi di una legislazione organica per regolamentare l’Intelligenza Artificiale (IA). Dopo un iter legislativo durato tre anni, il Consiglio dell’UE ha approvato definitivamente l’AI Act: un Regolamento rivoluzionario che mira a garantire lo sviluppo e l’adozione di sistemi d’Intelligenza Artificiale sicuri, affidabili ed etici all’interno del mercato unico europeo.

Questo testo legislativo senza precedenti, rappresenta un punto di svolta nella regolamentazione delle nuove tecnologie e pone l’Unione Europea all’avanguardia globale in questo campo. Come affermato da Mathieu Michel, Segretario di Stato belga per la digitalizzazione:

“L’adozione dell’AI Act è una tappa significativa per l’Unione Europea. Questa legge storica, la prima del suo genere nel mondo, affronta una sfida tecnologica globale che crea anche opportunità per le nostre società e le nostre economie”.

 

L’approccio basato sul rischio: una chiave innovativa

L’aspetto più innovativo dell’AI Act risiede nell’approccio basato sul rischio adottato dai legislatori europei. Anziché applicare regole uniformi a tutti i sistemi di IA, la nuova legge li classifica in quattro categorie distinte, in base al loro potenziale impatto sulla società e sui diritti fondamentali dei cittadini. Vediamole nel dettaglio:

1. Sistemi a rischio inaccettabile
   Questa categoria, definita nell’articolo 5, comprende i sistemi di IA considerati una minaccia diretta per le persone, quindi vietati nell’Unione Europea. Rientrano in questo novero le applicazioni di manipolazione cognitivo-comportamentale, i sistemi di valutazione sociale (o “social scoring”) che classificano le persone in base ai loro dati personali e comportamenti, e l’identificazione biometrica delle persone, inclusa quella in tempo reale e a distanza quale il riconoscimento facciale.
2. Sistemi ad alto rischio
   I sistemi che presentano rischi per la salute, la sicurezza e i diritti fondamentali delle persone sono classificati come ad alto rischio, secondo l’elenco di casi d’uso specificati nell’Allegato III del Regolamento. Questa categoria comprende, ad esempio, i sistemi di IA utilizzati in infrastrutture critiche come i trasporti o le reti energetiche, nei servizi pubblici e privati come la valutazione del merito creditizio o il triage dei pazienti, nell’istruzione e nella formazione professionale, nelle procedure di assunzione e valutazione dei dipendenti, e nell’applicazione della legge, come la valutazione del rischio di recidiva. Sebbene autorizzati nell’UE, questi sistemi sono sottoposti a una serie rigorosa di requisiti e obblighi per poter accedere al mercato unico, come stabilito dagli articoli 8-17.
3. Sistemi a rischio limitato
   Chatbot, sistemi di raccomandazione e “deepfake” (video o immagini artificialmente generate) rientrano nella categoria dei sistemi a rischio limitato. Per questi, l’AI Act impone principalmente obblighi di trasparenza, richiedendo ai fornitori di informare chiaramente gli utenti quando interagiscono con contenuti generati dall’IA, specialmente se si tratta di informazioni d’interesse pubblico.
4. Sistemi a rischio minimo
   Applicazioni come i filtri antispam o le IA impiegate nei videogiochi sono considerate a rischio minimo e non sono soggette ad obblighi specifici del Regolamento. Tuttavia, i fornitori sono fortemente incoraggiati ad adottare codici di condotta volontari.
   Questo particolare approccio consente all’UE di concentrare le risorse sulle aree di maggior rischio, imponendo obblighi di conformità diversificati alle aziende in base al livello di pericolosità dei loro sistemi di Intelligenza Artificiale.

 

L’AI Act e le Intelligenze Artificiali generative

Un aspetto cruciale dell’AI Act riguarda la regolamentazione delle IA generative, come ChatGPT o Gemini, definite dal Regolamento “modelli di IA a uso generale” (GPAI) come specificato all’articolo 3, paragrafo 1, punto 34. Secondo questa definizione, i GPAI sono sistemi “addestrati su una vasta gamma di dati in grado di svolgere diverse attività che normalmente richiederebbero intelligenza umana, come percepire ambienti reali e virtuali, ragionare, prendere decisioni, risolvere problemi, imparare, fornire istruzioni o assistenza ad altri sistemi di IA“.
Anche il “sistema di IA a uso generale” (GPAI system) è definito nello stesso articolo come “un sistema di IA basato su un modello di IA a uso generale, che ha la capacità di servire una varietà di scopi, sia per l’uso diretto che per l’integrazione in altri sistemi di IA“.

Queste potenti tecnologie, in grado di generare testi, immagini, audio e video in modo autonomo, sollevano interrogativi senza precedenti in termini di diritti d’autore, privacy e sicurezza.
Secondo l’articolo 10, paragrafo 4 dell’AI Act, le aziende che sviluppano o utilizzano tali sistemi avranno l’obbligo di rispettare scrupolosamente la normativa esistente in materia di diritti d’autore e diritti connessi. Inoltre è previsto l’obbligo di adottare misure tecniche per il riconoscimento e il rispetto di tali diritti, sancendo anche il diritto di opposizione degli aventi diritto contro l’utilizzo automatico dei loro contenuti protetti.

Secondo l’AI Act, i modelli GPAI che non presentano rischi sistemici saranno soggetti solo a requisiti di trasparenza sulle loro capacità e limitazioni e dovranno rispettare i codici di condotta. Tuttavia, qualora si riscontrino rischi sistemici, definiti dall’articolo 51 come “modelli che richiedono oltre 10^25 operazioni in virgola mobile per il training”, questi modelli dovranno rispettare regole molto più rigorose. In particolare, le aziende che sviluppano o utilizzano tali sistemi avranno l’obbligo di fornire documentazione tecnica e informazioni sui dati utilizzati per addestrare i loro modelli, come richiesto dall’articolo 10, paragrafo 5.
Questa disposizione in particolare, è stata oggetto di accese discussioni durante l’iter legislativo, poiché le aziende tecnologiche considerano tali informazioni come segreti commerciali preziosi e temono che la divulgazione possa danneggiare la loro competitività.

La tutela dei diritti d’autore è un altro aspetto cruciale affrontato dall’AI Act in relazione alle IA generative. Queste ultime, infatti, vengono addestrate su enormi quantità di dati testuali, audio e video provenienti da fonti di pubblico dominio ma anche protette da copyright. Il Regolamento impone quindi alle aziende di rispettare scrupolosamente la normativa esistente in materia di diritti d’autore e diritti connessi, come stabilito dall’articolo 10, paragrafo 4. Inoltre, l’articolo 55 prevede l’obbligo di adottare misure tecniche per il riconoscimento e il rispetto di tali diritti. Il Regolamento sancisce anche il diritto di opposizione degli aventi diritto contro l’utilizzo automatico dei loro contenuti protetti.

 

Un nuovo assetto di governance e sanzioni

Per garantire un’applicazione coerente ed efficace dell’AI Act in tutta l’Unione Europea, il Regolamento istituisce una nuova architettura di governance articolata su diversi livelli:

• Un Ufficio IA presso la Commissione Europea, istituito con la Decisione C(2024) 390 final, con il compito di far rispettare le norme comuni in tutta l’UE.
• Un panel scientifico di esperti indipendenti, la cui composizione e funzioni sono definite nell’articolo 57, incaricato di supportare le attività di applicazione e fornire consulenza tecnica.
• Un Consiglio IA composto da rappresentanti degli Stati membri, con funzioni consultive e di assistenza alla Commissione e agli Stati nell’implementazione della legge, come delineato nell’articolo 56.
• Un forum consultivo per gli stakeholder, il cui ruolo è descritto nell’articolo 58, che fornirà esperienza tecnica al Consiglio IA e alla Commissione.

Inoltre, l’AI Act prevede un sistema sanzionatorio per le violazioni, con ammende che possono raggiungere, nei casi più gravi, i 35 milioni di euro o il 7% del fatturato annuo globale dell’azienda inadempiente nell’esercizio finanziario precedente, a seconda di quale sia l’importo più elevato. Per le piccole e medie imprese (PMI) e le startup, sono previste sanzioni amministrative proporzionali in base a quanto stabilito dall’articolo 71, il quale prevede la riduzione delle ammende fino a un massimo della metà dell’importo applicabile alle altre imprese.
Il Regolamento definisce inoltre procedure dettagliate per le valutazioni di conformità (articoli 43-48), le ispezioni e le indagini delle autorità competenti (articoli 63-65), nonché misure correttive e sanzioni amministrative specifiche (articoli 66-72) da applicare in caso di violazioni.

 

Promuovere l’innovazione attraverso i “sandbox normativi”

Nonostante le regole stringenti introdotte, uno degli obiettivi chiave dell’AI Act è promuovere l’innovazione nel settore dell’Intelligenza Artificiale in Europa. A tal fine, la legge prevede la creazione di “sandbox normativi”, cioè ambienti controllati in cui le aziende potranno sviluppare, testare e convalidare innovativi sistemi di IA in condizioni reali di utilizzo, senza dover rispettare immediatamente tutte le disposizioni del Regolamento, come definito dall’articolo 53.

Questi “sandbox” saranno supervisionati dalle autorità nazionali di vigilanza designate dagli Stati membri (articolo 54), e consentiranno alle imprese, specialmente alle PMI e alle startup, di sperimentare nuove soluzioni di IA in modo sicuro e controllato favorendone l’ingresso sul mercato una volta raggiunti i requisiti di conformità. Inoltre, il Regolamento promuove l’adozione e l’uso di IA affidabile attraverso specifiche misure di sostegno (articolo 5).

Infine, prima dell’implementazione di sistemi di IA ad alto rischio da parte di enti pubblici o privati che forniscono servizi pubblici, l’AI Act impone di valutarne l’impatto sui diritti fondamentali dei cittadini. A tal proposito la normativa prevede anche maggiore trasparenza sullo sviluppo e l’utilizzo di tali sistemi, i quali dovranno essere registrati in una banca dati dell’UE accessibile al pubblico.

 

Un percorso graduale verso l’applicazione

Dopo la firma da parte dei presidenti del Parlamento Europeo e del Consiglio, avvenuta a marzo 2024, l’AI Act è stata pubblicata sulla Gazzetta Ufficiale dell’UE.
Il Regolamento nel suo complesso entrerà pienamente in vigore nel maggio 2026, ma alcune misure avranno tempistiche diverse, come specificato negli articoli 85 e 86. Ad esempio, il divieto di applicazioni di IA considerate a rischio inaccettabile, come la valutazione sociale o il riconoscimento facciale non mirato, avrà effetto già dopo sei mesi dalla data di entrata in vigore della legge.

Allo stesso modo, le aziende che sviluppano IA ad uso generale avranno nove mesi di tempo per predisporre i codici di condotta volontari richiesti dal Regolamento. Invece, i sistemi di IA ad uso generale già disponibili sul mercato, come ChatGPT, Gemini o Copilot, godranno di un periodo transitorio di 36 mesi per conformarsi pienamente alle nuove norme.

Infine, i sistemi di IA classificati ad alto rischio avranno un periodo di adeguamento che varia dai 24 ai 36 mesi dalla data di entrata in vigore dell’AI Act, a seconda che rientrino nei casi d’uso dell’Allegato III o delle normative specifiche elencate nell’Allegato I.

 

L’AI Act: un modello per il mondo?

L’approvazione dell’AI Act rappresenta un momento storico non solo per l’Unione Europea, ma per l’intero panorama globale della regolamentazione tecnologica. Per la prima volta, una grande potenza economica si dota di un quadro normativo completo e innovativo per governare l’Intelligenza Artificiale, affrontando le sfide etiche e sociali poste da questa tecnologia in rapida evoluzione. L’approccio basato sul rischio, la tutela dei diritti fondamentali, la promozione dell’innovazione responsabile e la creazione di un sistema di governance solido sono elementi chiave che potrebbero ispirare altre nazioni e organizzazioni internazionali nella definizione di standard globali per l’IA.

L’implementazione efficace dell’AI Act richiederà uno sforzo congiunto da parte di istituzioni europee, Stati membri, aziende e società civile e, in primo luogo, le aziende dovranno adeguarsi a nuovi e stringenti obblighi di trasparenza, governance dei dati, test di sicurezza e conformità. Questi obblighi potrebbero avere un impatto significativo sui loro modelli di business e sulla loro competitività a livello globale. Inoltre, garantire un’applicazione coerente e armonizzata dell’AI Act in tutta l’Unione Europea rappresenterà una sfida significativa, data la complessità della nuova architettura di governance e la diversità delle legislazioni nazionali esistenti.

Il percorso verso un’Intelligenza Artificiale etica e responsabile è appena iniziato e l’AI Act rappresenta il primo passo di un cammino che promette di essere lungo e complesso. L’Unione Europea ha dimostrato la volontà di assumere un ruolo di leadership in questo ambito cruciale, tracciando una rotta che altri attori globali potrebbero decidere di seguire.