Come l'AI Act regolamenterà l'Intelligenza Artificiale in UE e che impatto avrà

25/01/24

Quando vengono annunciati i risultati, gli occhi di Lee Sedol si gonfiano di lacrime. AlphaGo, un'intelligenza artificiale (IA) sviluppata da DeepMind di Google, ha appena ottenuto una vittoria per 4-1 nel gioco del Go. È il marzo 2016. Due decenni prima, il grande maestro di scacchi Garry Kasparov aveva perso contro la macchina Deep Blue, e ora un programma per computer aveva vinto contro il diciottesimo campione del mondo Lee Sedol in un gioco complesso che si riteneva potesse essere giocato solo dagli esseri umani, usando la loro intuizione e il loro pensiero strategico. Il computer ha vinto non seguendo le regole che gli sono state date dai programmatori, ma grazie all'apprendimento automatico basato su milioni di partite di Go passate e giocando contro se stesso. In questo caso, i programmatori preparano gli insiemi di dati e creano gli algoritmi, ma non possono sapere quali mosse verranno proposte dal programma. L'intelligenza artificiale impara da sola. Dopo una serie di mosse insolite e sorprendenti, Lee ha dovuto rassegnarsi”

Questo estratto del libro “AI Ethics” di Mark Coeckelbergh, filosofo e tecnologo belga, richiama in modo tanto esplicito quanto suggestivo quello che è l’incontro tra l’uomo e il suo limite. Dopo un certo numero di vittorie banalmente ottenute da Sedol, è AlphaGo a vincere. Non è la prima volta che ciò accade (l’esempio citato è quello di Deep Blue) eppure, dopo una serie di mosse insolite e sorprendenti, AlphaGo fa ciò per cui è concepita: è la prima volta che accade in questo modo.

Ed è qui che cogliamo la sintesi del fenomeno Intelligenza Artificiale (IA): è la prima volta che accade in questo modo.

Della corsa all’Intelligenza Artificiale ne hanno parlato un po’ tutti i media, specialmente dopo l’”esplosione” ChatGPT. Ne abbiamo parlato molte volte anche nel contesto di Difesa Online, segnalando la spinta evolutiva inedita che queste soluzioni stanno incontrando nella loro storia.

Eppure vi è un fenomeno parallelo, inferente e connesso al primo, che rischia di passare sottotraccia. Quello della normazione di questi sistemi.

Regolamentare l’Intelligenza Artificiale non è affatto una sfida semplice, e senza entrare nei tecnicismi (né tantomeno sui numerosi fermenti legislativi in corso nei Paesi asiatici e in US sul tema) possiamo dire che l’Unione Europea, dopo anni di lavoro precedente, ha messo in campo nel mese di dicembre 2023 una versione semi-definitiva di quello che rappresenterà, una volta terminati i tavoli tecnici e il procedimento di approvazione comunitario, il primo Regolamento Europeo in materia di Intelligenza Artificiale: l’AI ACT.

Di cosa si tratta?

"AI Act" rappresenta uno dei primi e più strutturati documenti legislativi a livello globale volti a regolamentare l'impiego dell'Intelligenza Artificiale e a mitigare i potenziali rischi associati. Il testo definitivo della legge dovrà ancora essere elaborato dai professionisti competenti e sottoposto a una revisione finale. Si prevede che, se tutto procederà senza ostacoli, l'entrata in vigore avverrà nei prossimi due anni.

Il Regolamento si concentra principalmente sulla salvaguardia dei diritti e delle libertà individuali, stabilendo l'obbligo per le aziende che sviluppano soluzioni di IA di dimostrare che i loro prodotti e il loro processo di sviluppo non pongano a rischio le persone né compromettano la loro integrità. Questo atto normativo riguarda diverse sfere di applicazione dell'Intelligenza Artificiale, ma alcuni dei punti principali includono restrizioni sui sistemi di identificazione biometrica e l'obbligo di trasparenza nei confronti dei sistemi tecnologici utilizzati per i chatbot come ChatGPT.

Un elemento fondamentale del Regolamento è il sistema di classificazione del rischio, già adottato in altre normative analoghe (una su tutti il GDPR), che individua determinati sistemi di IA con particolari caratteristiche come "ad alto rischio", sottoponendoli a rigorose azioni di compliance. Questa disposizione costituirà una delle sfide principali per le aziende e le istituzioni coinvolte nella creazione, commissione o utilizzo di tali sistemi.

Tra gli esempi di sistemi ad alto rischio inclusi nel Regolamento, rientrano quelli utilizzati in settori cruciali come la sanità, il trasporto, la giustizia e la sicurezza pubblica. Per tali sistemi, saranno richiesti standard elevati in termini di sicurezza, trasparenza e affidabilità. In particolare, per i sistemi ad alto rischio, l'AI Act stabilisce una serie di requisiti rigorosi, tra cui:

  • Valutazione dei Rischi e Conformità: I sistemi AI devono essere progettati e sviluppati tenendo in considerazione una valutazione approfondita dei rischi. Questo include l'implementazione di misure per gestire e minimizzare questi rischi.
  • Trasparenza e Informazione all'Utente: I sistemi AI dovrebbero essere trasparenti. Gli utenti dovrebbero essere informati quando stanno interagendo con un sistema AI, e dovrebbero essere fornite informazioni sufficienti su come il sistema funziona e prende decisioni.
  • Supervisione Umana: L'AI Act enfatizza l'importanza della supervisione umana nei sistemi AI, specialmente per quelli ad alto rischio. Questo potrebbe avere implicazioni significative per l'uso militare dell'AI, dove la presa di decisione automatizzata in situazioni critiche potrebbe essere limitata o richiedere una supervisione umana esplicita.
  • Qualità dei Dati: l’AI Act richiede che i dati utilizzati dai sistemi AI siano gestiti in modo da garantire la massima qualità, riducendo il rischio di bias e garantendo che le decisioni prese siano accurate e affidabili.
  • Sicurezza e Robustezza: I sistemi IA devono essere sicuri e robusti da tentativi di manipolazione o utilizzo improprio (un aspetto particolarmente critico, per usare un eufemismo, in ambito militare).

Un ulteriore adempimento di particolare interesse è quello introdotto sotto il profilo etico: l’AI Act richiede di condurre per i sistemi ad alto rischio un vero e proprio “assessment etico” (Fundamental Rights Impact Assessment, FRIA). Numerose sono anche le interazioni col tema della sicurezza dei trattamenti di dati personali, a cui il testo di Regolamento richiama diverse volte per quanto concerne l’analisi dei rischi e degli impatti sulle persone fisiche coinvolte dall’operabilità di questi sistemi e sui rischi per i loro dati.

Inoltre, sono previste alcune pratiche vietate. Ad esempio, sarà proibito l'utilizzo dell'IA per l'analisi di dati biometrici sensibili, come il riconoscimento delle persone in base a caratteristiche come orientamento sessuale, etnia, religione o idee politiche. Questa disposizione mira a prevenire discriminazioni e abusi. Sarà altresì vietato l'uso indiscriminato di immagini prelevate da Internet o da telecamere a circuito chiuso per addestrare sistemi di riconoscimento facciale, al fine di proteggere la privacy delle persone e impedire la sorveglianza di massa.

Le forze dell'ordine saranno autorizzate a utilizzare sistemi di riconoscimento biometrico (sui quali si è combattuta una importante battaglia in sede UE, dopo il caso Clearview) solo in circostanze eccezionali, come la minaccia di un imminente attacco terroristico o la ricerca di individui sospettati di gravi reati o vittime di crimini gravi.

L’AI Act vieta l'uso dell'IA per il riconoscimento delle emozioni delle persone nei luoghi di lavoro e nelle scuole, al fine di preservare la libertà emotiva degli individui. Inoltre, vieta la pratica del social scoring, ovvero l'utilizzo dell'IA per assegnare punteggi in base al comportamento o alle caratteristiche delle persone, con conseguenti restrizioni o concessioni di diritti civili. Questa misura mira a prevenire la manipolazione del comportamento delle persone in modo esplicito o implicito.

Il Regolamento stabilisce che i sistemi di IA ad alto impatto, con elevate capacità di calcolo come GPT-4 di OpenAI, devono garantire trasparenza nel processo di addestramento e condividere la documentazione tecnica dei materiali utilizzati prima di essere messi sul mercato. Tali modelli saranno tenuti a rendere riconoscibili i contenuti che generano, al fine di prevenire frodi e disinformazione e di proteggere i diritti d'autore delle opere create.

In termini di sanzioni, le aziende che non rispetteranno queste regole potranno essere soggette a multe fino al 7% del loro fatturato globale.

Molto interessante è senza dubbio quanto previsto dal testo corrente sugli utilizzi in campo militare dei sistemi di Intelligenza Artificiale.

È infatti espressamente previsto nel testo (Art. 2, par. 3) che, in termini di impatto sul settore militare, l'AI Act non si applichi direttamente ai sistemi di intelligenza artificiale sviluppati o impiegati per scopi militari. Tuttavia, gli standard e le normative stabilite dall'AI Act possono influenzare indirettamente come gli stati membri dell'UE e le aziende che operano in Europa sviluppano e implementano sistemi AI per applicazioni militari. Questo potrebbe includere aspetti come la trasparenza, la supervisione umana e la sicurezza dei sistemi. Inoltre, è possibile che l'AI Act possa servire da modello per future regolamentazioni (o standard) specifiche per il settore militare, sia a livello dell'UE che a livello globale.

La crescente integrazione dell'intelligenza artificiale nella difesa richiede un quadro normativo che bilanci l'innovazione con la responsabilità etica e la sicurezza. La collaborazione tra paesi, istituzioni e industrie sarà fondamentale per garantire che l'uso militare dell'IA si sviluppi in modo responsabile e conforme ai principi internazionali di diritto umanitario.

L’AI Act conoscerà diverse fasi applicative, la più massiccia delle quali è prevista realisticamente per la seconda metà del 2026. Occorre prepararsi in modo importante sul design dei sistemi correntemente in via di sviluppo, in modo tale da progettare IA conformi ai requisiti proposti dall’Unione Europea in tal senso.

Andrea Puligheddu (Avvocato ed esperto in materia di diritto e nuove tecnologie)

N.b.: l’articolo ha necessariamente un taglio divulgativo, e non approfondisce le numerosissime (e complesse) problematiche sul tavolo in relazione allo sviluppo e all’applicazione dell’AI Act. Per una più approfondita discussione del tema, scrivetemi pure a: puligheddu@studiolegaleprivacy.com

(www.studiolegaleprivacy.com)