Il 9 dicembre Commissione, Consiglio e Parlamento europeo hanno approvato l’Ai Act, la normativa che regolamenterà l’intelligenza artificiale nel vecchio continente. Si tratta del primo regolamento al mondo di questo tipo e con questa portata. Non c’è ancora nulla di definitivo. Dopo l’accordo politico sono al lavoro i tecnici per il testo definitivo che sarà votato in via definitiva dagli organismi europei. Se tutto va bene entrerà in vigore tra due anni. Questa legge assicura che i diritti e le libertà siano al centro dello sviluppo di questa tecnologia rivoluzionaria, garantendo un bilanciamento tra innovazione e protezione. Il principio alla base come nel caso della Gpr è quello della responsabilizzazione e dell’autovalutazione. Vuole dire che salvo eccezioni le aziende che producono Ai devono essere in grado di dimostrare che il modo in cui sono arrivati a sviluppare la tecnologia non leda i diritti fondamentali e non costituisca un rischio per le persone. Vuole dire in altri termini mantenere al centro della protezione normativa, la tutela dell’integrità e dei diritti dell’individuo. L’Ai Act adotta un approccio “basato sul rischio” per regolamentare l’Ai, concentrandosi sulle applicazioni con il maggior potenziale di danno umano. L’impressione però è che siamo anche di fronte a una normativa che punta tutto sul rilancio di Pmi, startup e ricerca made in Europe. Nel campo dell’intelligenza artificiale il vantaggio di Cina e Stati Uniti mette l’Europa in una condizione difficile. Queste regole cercano di riequilibrare una corsa che sembra già perduta.
Qui sotto immagini ispirati all’Ai Act generati da Dall-E per l’occasione.
Cosa cambia per ChatGpt e gli altri foundation model?
Prima le definizioni. Sono stati disciplinati i sistemi Generl Purpose (Gp ai) che includono i Large Language Models (Llm). La definizione sostituisce probabilmente i foundation models di cui si era già parlato. Come richiesto da più parti in Europa da aziende, istituzioni e associazioni anche le applicazioni di Ai generativa come ChatGpt, Bard e Midjourney dovranno essere sottoposte ex ante a regole su sicurezza informatica, trasparenza dei processi di addestramento e condivisione della documentazione tecnica prima di arrivare sul mercato. La richiesta di Francia, Italia e Germania era invece favorevole a una auto-regolamentazione.
Rispetto al testo originario della Commissione, si aggiungono quindi una serie di obblighi per le Gpai. Due i livelli di obblighi. Per tutti viene prevista la pubblicazione di una lista dei materiali usati per l’addestramento degli algoritmi, strumento che in teoria dovrebbe aiutare i produttori di contenuti a difendere – o farsi riconoscere – i diritti d’autore, oltre all’obbligo di rendere riconoscibili – per contrastare truffe o disinformazione – tutti i contenuti prodotti all’Ai. Ed è una buona notizia.
Il secondo livello si applicherà invece ai sistemi che pongono rischi sistemici, e prevede delle valutazioni di questi pericoli e delle strategie di mitigazione, oltre che l’obbligo di comunicare alla Commissione, che si doterà di un apposito AI Office, eventuali incidenti.
L’accordo prevede, inoltre, una serie di obblighi per i sistemi ad alto rischio, tra cui quello di una valutazione dell’impatto sui diritti fondamentali. In questa categoria saranno inseriti anche i sistemi di Ai usati per influenzare l’esito delle elezioni e il comportamento degli elettori. I cittadini, poi, avranno il diritto di presentare reclami sui sistemi di Ai e di ricevere spiegazioni sulle decisioni basate sui sistemi di Ai ad alto rischio che hanno un impatto sui loro diritti.
Qui sotto altre immagini ispirate all’Ai Act generate con Firefly. Questo il promtp: genera una immagine su Ai Act la normativa europea sull’intelligenza artificiale
Quanto al rischio da Grande Fratello grazie a biometria e Ai.
Questo era il secondo nodo da sciogliere. Il no del Parlamento europeo è ora declinato con un numero limitato di eccezioni. I negoziatori hanno concordato una serie di salvaguardie e ristrette eccezioni per l’uso di sistemi di identificazione biometrica (RBI) in spazi accessibili al pubblico a fini di applicazione della legge, previa autorizzazione giudiziaria e per elenchi di reati rigorosamente definiti. L’RBI “post-remoto” verrebbe utilizzato esclusivamente per la ricerca mirata di una persona condannata o sospettata di aver commesso un reato grave. I sistemi di identificazione biometrica “in tempo reale” sarebbero conformi a condizioni rigorose e il loro uso sarebbe limitato nel tempo e nel luogo, ai fini di: ricerche mirate di vittime (rapimento, traffico, sfruttamento sessuale), prevenzione di una minaccia terroristica specifica e attuale, o localizzazione o identificazione di una persona sospettata di aver commesso uno dei reati specifici menzionati nel regolamento (tra cui terrorismo, traffico di esseri umani, omicidio, stupro). Quanto alle pratiche vietate, la lista dei divieti include i sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili, come le convinzioni politiche, religiose e la razza; la raccolta non mirata di immagini del volto da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale. il riconoscimento delle emozioni sul posto di lavoro e nelle scuole; il social scoring; le tecniche manipolative; l’IA usata per sfruttare le vulnerabilità delle persone
Multe, sanzioni e aiuti alle Pmi
Il testo include infine misure a sostegno dell’innovazione e delle Pmi e un regime di sanzioni, con multe che vanno da 35 milioni di euro o il 7% del fatturato globale a 7,5 milioni o l’1,5% del fatturato, a seconda della violazione e delle dimensioni dell’azienda.
In sintesi cosa non si potrà fare.
No all’uso dell’Ai per analisi di dati biometrici sensibili.
Vuole dire che nessuno potrà analizzare le persone basandosi su caratteristiche sensibili come convinzioni politiche, religiose e razziali. Questo divieto mira a prevenire discriminazioni e abusi legati all’identificazione biometrica.
No allo scraping non mirato di immagini.
Vuole dire che è vietato raccogliere immagini facciali da Internet o da telecamere a circuito chiuso per creare database di riconoscimento facciale senza specifici obiettivi. Ciò serve a tutelare la privacy e prevenire la sorveglianza di massa.
No all’uso dell’Ai per riconoscere le emozioni.
Il riconoscimento delle emozioni è proibito in luoghi di lavoro e istituzioni educative. Questa misura è volta a proteggere la dignità e la libertà emotiva degli individui.
No al social scoring e a tecniche manipolative.
Le persone non potranno essere analizzate da sistema di Ai basandosi su comportamenti o caratteristiche personali, così come tecniche che mirano a manipolare il comportamento umano.
No all’uso dell’Ai per colpire le personale più vulnerabili.
E’ vietato l’uso di sistemi di IA che mirano a sfruttare le vulnerabilità delle persone, come l’età, disabilità, situazione sociale o economica. Questo divieto è fondamentale per proteggere i gruppi vulnerabili da potenziali abusi.
Vietata la polizia predittiva.
Siamo dalle parti di Minority Report. Pratiche come il riconoscimento delle emozioni e la polizia predittiva sono espressamente vietate, riflettendo una preoccupazione per la privacy e l’integrità personale.
E ora le eccezioni. Cosa potrà fare la Polizia e le forze dell’ordine?
La polizia potrà utilizzare i sistemi di identificazione biometrica (Rbi) per classificare le persone in base a categorie specifiche come sesso, età, colore dei capelli e degli occhi, tatuaggi, origine etnica o orientamento sessuale o politico. Lo potrà fare in spazi accessibili al pubblico per scopi di contrasto sia “in tempo reale”, ossia acquisendo i dati e classificandoli in diretta, sia “post-remoto”, ovvero utilizzando dati già acquisiti.
In quest’ultimo caso, il riconoscimento facciale va “utilizzato rigorosamente nella ricerca mirata di una persona condannata o sospettata di aver commesso un reato grave”.
Si potranno invece usare sistemi di Ai per analizzare dati relativi a crimini, ma con limitazioni. Questi sistemi devono operare su dati anonimi e non devono essere utilizzati per profilare individui specifici.
Gli obblighi delle forze dell’ordine.
In caso di uso di sistemi IA, le forze dell’ordine devono notificare tale utilizzo alle autorità indipendenti preposte al controllo, per assicurare trasparenza e responsabilità. Inoltre, anche dopo l’approvazione dell’uso di sistemi IA, è richiesto un monitoraggio continuo per assicurare che l’impiego sia conforme alle regole e non violi i diritti fondamentali.
Gli obblighi dei sistemi ad alto rischio e i doveri dei cittadini
I sistemi di IA classificati come ad alto rischio sono tenuti a sottoporsi a una valutazione dell’impatto sui diritti fondamentali, assicurando che le loro operazioni non compromettano i diritti umani fondamentali. Per esempio, i sistemi Ai utilizzati per influenzare il risultato delle elezioni o il comportamento degli elettori sono categorizzati come ad alto rischio, richiedendo una vigilanza e una regolamentazione maggiori.
I cittadini hanno il diritto di presentare reclami riguardo a decisioni prese da sistemi IA ad alto rischio che impattano i loro diritti, garantendo trasparenza e responsabilità. E’ richiesta la supervisione umana per i sistemi ad alto rischio, assicurando che le decisioni automatizzate non provochino danni involontari. Inoltre chi produce i sistemi ad alto rischio dovrà fornire una documentazione tecnica dettagliata, inclusi i processi operativi e le misure di sicurezza. Gli sviluppatori e gli utilizzatori di sistemi IA ad alto rischio devono aderire a standard elevati di qualità e sicurezza, per mitigare i rischi associati all’uso di tali tecnologie.
Gli obblighi in capo ai GpAi.
L’AI Act utilizza i FLOPs come criterio per classificare i modelli di Ai, concentrandosi sulle loro capacità computazionali piuttosto che sul fatturato. Ciò identifica i modelli con un impatto significativo. Come abbiamo spiegato viene fatta una distinzione tra modelli di IA ad alto impatto, che richiedono obblighi rigorosi, e modelli più piccoli, con requisiti meno stringenti. Nei modelli ad alto impatto, sono previsti obblighi come la valutazione del modello, la mitigazione dei rischi sistemici e la sicurezza informatica. E viene richiesta la trasparenza nei processi di addestramento e la condivisione di documentazione tecnica prima del lancio sul mercato.
Le eccezioni per la ricerca, per le Pmi e l’importanza delle sandbox regolamentari.
I modelli utilizzati esclusivamente per scopi di ricerca sono esclusi da alcune di queste restrizioni, permettendo maggiore libertà nell’ambito della ricerca e dello sviluppo. L’AI Act prevede la creazione di sandbox regolamentari, ovvero ambienti in cui le aziende possono sperimentare con soluzioni di IA in condizioni reali, ma con esenzioni regolamentari, per promuovere l’innovazione. Sono previste eccezioni specifiche per le piccole e medie imprese per facilitare l’adeguamento alle nuove normative, riconoscendo le loro limitazioni di risorse rispetto ai giganti del settore.
Per approfondire
Perché l’Ai Act è una buona notizia per tutti. In un grafico
Noi e loro, un anno di ChatGpt e le promesse dell’intelligenza artificiale
Quanto vale OpenAi la società che ha “inventato” ChatGpt?
