AI ACT: stanno per entrare in vigore le restrizioni sui sistemi di intelligenza artificiale vietati
Le società hanno meno di 10 settimane per rimuovere gli strumenti di intelligenza artificiale (IA) vietati destinati all’utilizzo e/o commercio nell’Unione europea per non rischiare procedimenti e sanzioni nei loro confronti. In particolare:
- sono vietati i sistemi che utilizzano tecniche subliminali, manipolative o ingannevoli e che sfruttano le vulnerabilità delle persone, ad esempio in relazione a età e/o disabilità;
- è vietato l’uso di database di riconoscimento facciale creati attraverso il web-scraping e alcuni casi di utilizzo biometrico;
- sono previste sanzioni fino a 35 milioni di euro o al 7% del fatturato mondiale.
L’AI Act è entrato in vigore l’1 agosto 2024 ed è il primo quadro giuridico al mondo che affronta i rischi dell’IA e fornisce agli sviluppatori e agli utilizzatori indicazioni chiare su requisiti e obblighi. Tra gli altri, ha identificato alcune categorie di sistemi di IA considerati particolarmente pericolosi, per i quali il divieto di utilizzo decorre a partire dal 2 febbraio 2025.
Il loro uso potrebbe comportare, a partire dal 2 agosto 2025, la possibilità per le autorità nazionali dei Paesi dell’Ue di imporre multe fino a 35 milioni di euro o al 7% del fatturato mondiale del gruppo (a seconda di quale sia il valore più alto) ai sensi dell’articolo 99(3) dell’AI Act.
Gianluigi Marino, Head of Digitalisation in Italia, Osborne Clarke: “Con meno di 10 settimane per garantire la conformità, le aziende devono iniziare a valutare il loro rischio in questo settore e sviluppare piani per affrontare qualsiasi area di potenziale non conformità. Le multe sono state fissate a un livello ancora più alto rispetto al GDPR e ci aspettiamo che l’Ue applichi il nuovo regime fin dal primo giorno; non ci aspettiamo un periodo di grazia per la non conformità come nel caso del GDPR. La Commissione Ue ritiene che sia stato dato un preavviso sufficiente per consentire a tutte le aziende dell’Ue di conformarsi, comprese quelle che rientrano nell’ambito dello Spazio Economico Europeo (SEE) e le aziende internazionali con clienti e siti web che operano nell’Ue“.
È fondamentale che le aziende inizino ad analizzare quali sistemi e modelli di IA stanno già utilizzando e prevedono di utilizzare nel prossimo futuro. In ambito IT i cicli di sviluppo possono essere piuttosto lunghi, quindi è importante non solo implementare un processo per eliminare l’IA vietata, ma anche valutare quali misure devono essere adottate per conformarsi agli obblighi previsti dall’AI Act. Questi includono i requisiti di trasparenza, i sistemi di gestione del rischio e la necessità di documentazione. La conformità del software diventa sempre più una questione di responsabilità da prodotto, e l’AI Act è ora una parte fondamentale di questo processo.
I divieti, stabiliti nell’articolo 5 dell’AI Act, riguardano gli usi dei sistemi di IA che comportano rischi considerati inaccettabili per la salute e la sicurezza o per i diritti fondamentali. Tra questi rientrano:
- I sistemi di intelligenza artificiale che utilizzano tecniche subliminali, manipolative o ingannevoli volte a distorcere materialmente il comportamento di una persona, compromettendo la sua capacità di prendere una decisione informata e inducendola a prendere una decisione che non avrebbe altrimenti preso, derivandone un danno significativo.
- I sistemi di intelligenza artificiale che sfruttano le vulnerabilità di una persona dovute a età, disabilità, condizioni sociali o economiche per distorcerne il comportamento, causando un danno significativo. Come nel caso del divieto di “tecniche ingannevoli”, è probabile che questo aspetto interessi i fornitori di sistemi che consentono la vendita o il gioco online.
- Punteggio sociale (social score) basato sul comportamento o sulle caratteristiche personali che si traduce in un trattamento dannoso nei confronti di una persona in un contesto sociale che non è correlato al luogo in cui i dati di punteggio sono stati originariamente raccolti, o è ingiustificato o sproporzionato. Le preoccupazioni in questo caso riguardano gli strumenti di intelligenza artificiale utilizzati dai social media per classificare i comportamenti.
- I sistemi di intelligenza artificiale che creano o ampliano i database di riconoscimento facciale attraverso lo scraping non mirato di immagini facciali da Internet o da riprese delle telecamere a circuito chiuso. L’obiettivo è quello di impedire esplicitamente l’introduzione nell’Ue di modelli di business analoghi a Clearview, azienda statunitense che ha raccolto immagini facciali pubblicate su Internet in modo illegale e le ha utilizzate in un sistema di riconoscimento facciale fornito alle autorità di polizia nell’Ue.
- I sistemi per inferire le emozioni di una persona utilizzati sul posto di lavoro o in contesti educativi (a meno che non si tratti di ragioni mediche o di sicurezza).
- I sistemi di categorizzazione biometrica in cui informazioni come il volto o l’impronta digitale di una persona vengono utilizzate per dedurre caratteristiche sensibili come la razza, le opinioni politiche, l’appartenenza a sindacati, le convinzioni religiose o filosofiche, la vita sessuale o l’orientamento sessuale (con eccezioni per le forze dell’ordine).
- I sistemi di intelligenza artificiale utilizzati per prevedere la probabilità che una persona commetta un reato, basandosi esclusivamente sul profilo o sulla valutazione dei suoi tratti di personalità (la cosiddetta esclusione “Minority Report”).
- I sistemi di riconoscimento facciale a distanza in tempo reale utilizzati in spazi accessibili al pubblico per le forze dell’ordine, con alcune eccezioni.
L’Ufficio dell’Ue per l’IA deve ancora fornire informazioni dettagliate in merito a ciascuno di questi punti. Per le aziende che utilizzano sistemi di intelligenza artificiale, la legge prevede una serie di disposizioni aggiuntive che entreranno in vigore progressivamente nei prossimi anni:
- 2 agosto 2025: entreranno in vigore le disposizioni sull’IA per scopi generali, nonché le disposizioni in materia di notifica, governance, sanzioni e riservatezza.
- 2 agosto 2026: sarà applicabile la maggior parte delle altre disposizioni, comprese le regole per i modelli ad alto rischio definite nell’Allegato III.
- 2 Agosto 2027: saranno applicabili le norme per le IA ad alto rischio contenute in sistemi o prodotti già soggetti alla normativa Ue sulla sicurezza dei prodotti, come elencato nell’Allegato I.
Image by Kohji Asakawa from Pixabay