Il 12 luglio 2024 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il Regolamento Europeo n. 1689/2024, denominato comunemente AI ACT, entrato in vigore il 1° agosto 2024.
Vediamo cosa prevede questo regolamento, il suo impatto e i destinatari degli adempimenti obbligatori, soprattutto per le imprese e i liberi professionisti che ne fanno uso.
L’intelligenza artificiale (IA o AI in inglese) è una famiglia di tecnologie che sta trasformando il modo di lavorare per le imprese e i liberi professionisti. Si tratta indubbiamente di strumenti che possono portare grandi vantaggi in tanti settori, ma il cui utilizzo non è affatto esente da rischi.
Spesso le persone ignorano quali possano essere questi rischi ed è quindi bene conoscerli per proteggere sé stessi e il proprio business.
Questo articolo non può trattare in maniera esaustiva di un Regolamento così corposo e si concentra prevalentemente sugli adempimenti e gli obblighi ai quali sono soggetti gli utilizzatori professionali dell’Intelligenza artificiale.
COSA PREVEDE L’AI ACT
L’AI Act, ovvero il Regolamento sull’Intelligenza Artificiale, nasce con l’obiettivo di garantire un uso sicuro e responsabile di questa tecnologia, tutelando la privacy e i diritti fondamentali delle persone. L’intento non è frenare il progresso tecnologico, ma minimizzare i rischi connessi al suo utilizzo, assicurando che l’IA sia uno strumento affidabile e antropocentrico.
Questa normativa europea punta a bilanciare innovazione e sicurezza, ponendo al centro la protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei Diritti dell’UE, come la democrazia, lo Stato di diritto e la salvaguardia dell’ambiente.
Tra i suoi principali obiettivi figurano:
- Armonizzazione: introdurre regole uniformi in tutta l’UE per evitare disomogeneità normative tra Stati membri.
- Sicurezza: prevenire che sistemi di IA non controllati possano causare danni significativi.
- Trasparenza: garantire che l’uso dell’IA sia dichiarato e non nascosto.
- Sviluppo tecnologico responsabile: promuovere l’innovazione senza compromettere i diritti fondamentali.
In sintesi, il Regolamento assicura che l’IA possa integrarsi nelle nostre vite senza minare i principi fondamentali su cui si basa lo Stato di diritto.
A CHI SI APPLICA IL REGOLAMENTO
Il Regolamento sull’IA si rivolge a:
- grandi fornitori tecnologici;
- chi sviluppa i sistemi;
- chi li distribuisce;
- chi utilizza sistemi di intelligenza artificiale.
Quindi che tu sia un produttore di software, un distributore o un professionista che impiega l’IA nel proprio lavoro, sei soggetto a obblighi specifici.
Una novità introdotta dal Regolamento è la figura del Deployer, ovvero l’utilizzatore. Questa definizione è stata creata per distinguere chi non si limita a usufruire della tecnologia, ma la addestra e la ottimizza, migliorandone le funzionalità, ad esempio attraverso l’elaborazione di ricerche più accurate o risposte più pertinenti.
L’unica eccezione riguarda l’uso personale non professionale dell’IA.
Ad esempio, il caso di uno studente universitario che utilizza un sistema di intelligenza artificiale per esercitarsi sugli argomenti d’esame e ricevere feedback non rientra nell’ambito di applicazione del Regolamento.
Per tutti gli altri utilizzi, l’osservanza delle disposizioni è obbligatoria. Di conseguenza, qualsiasi impresa, professionista o lavoratore autonomo che integri l’IA nella propria attività deve rispettare le norme previste, e questo articolo si concentrerà sugli adempimenti richiesti a tali soggetti.
LE CLASSIFICAZIONI DI RISCHIO DELL’IA
Il Regolamento suddivide i sistemi di IA in quattro livelli di rischio:
- minimo
- limitato
- elevato
- inaccettabile.
Ogni categoria richiede obblighi specifici, da semplici accorgimenti fino al divieto totale.
Ma perché mai l’AI può essere pericolosa?
Beh, se sei un po’ nerd come lo sono io, ti sarà capitato di vedere telefilm o serie TV cosiddette fantascientifiche che tanto fantascientifiche non sono. In queste fiction vengono raccontate possibili distorsioni nell’uso di AI.
Cito, come esempio, una serie TV prodotta da Netflix, Blackmirror, dove ci sono alcuni episodi davvero emblematici e, talvolta anche, angoscianti che raccontano come la tecnologia, usata male, può creare delle distorsioni del sistema molto preoccupanti.
Oltre al rischio inaccettabile, che esclude ogni possibilità di utilizzo dell’AI così classificata, il Regolamento prevede altri livelli di rischio che richiedono adempimenti e attenzioni di diverso tipo.
Ma vediamoli meglio nel dettaglio.
RISCHIO INACCETTABILE
Partiamo subito dalle tecnologie assolutamente vietate, etichettate come rischio inaccettabile.
Sono, ad esempio, vietate:
- tecnologie che possono interpretare le emozioni delle persone, per farne derivare delle conseguenze (pensiamo nell’ambiente di lavoro);
- sfruttare la vulnerabilità di alcune categorie sociali per indurle in errore (pensiamo ad un possibile chatbot di marketing);
- sistemi che attribuiscano un punteggio alle persone sulla base di una serie di dati incrociati o di recensioni (pensiamo al rating).
Ecco, queste ed altri tipi di tecnologie non potrebbero mai essere utilizzate all’interno dell’Unione europea, perché rientrano in quel rischio inaccettabile che ne vieta del tutto il loro utilizzo.
RISCHIO ELEVATO
Un secondo livello di rischio, questa volta accettabile, è il rischio alto che si verifica quando risulta capace di incidere in modo sensibile sulla salute e sui diritti fondamentali delle persone fisiche.
Si tratta di sistemi che richiedono un’elevata attenzione, ma che possono essere utilizzati con particolari e stringenti adempimenti.
Ad esempio è di rischio elevato un sistema di selezione del personale basato su queste tecnologie, che potrebbero utilizzare dei criteri di selezione e di scarto discriminatori. (puoi leggere un caso realmente accaduto nel dipartimento HR di Amazon.
Questo tipo di strumenti possono essere utili per l’azienda per velocizzare i processi e per renderli più efficienti, ma occorre prestare moltissima attenzione agli aspetti distorsivi che possono presentare queste nuove tecnologie.
Per l’utilizzo di queste tecnologie, gli adempimenti sono piuttosto rilevanti e stringenti, vediamone alcuni:
- Valutazione e gestione dei rischi per identificare in via preventiva e a mitigare i rischi associati all’uso del sistema.
- Monitoraggio e supervisione: è necessario controllare costantemente il funzionamento del sistema e garantire un coinvolgimento umano nelle decisioni critiche.
- Formazione: formare il personale sull’uso corretto del sistema e sui rischi destinarvi solo personale opportunamente qualificato e dotato dell’autorità di svolgere appieno il compito di verifica umana.
- Comunicazione trasparenti: informare gli utenti finali sull’uso, le caratteristiche e sui rischi del sistema.
- Sicurezza dei dati: proteggere i dati trattati dal sistema da accessi non autorizzati e violazioni.
- Rispettare le istruzioni del fornitore e comunicargli eventuali anomalie: utilizzare il sistema solo per le finalità previste dal fornitore.
Questi sono solo alcuni degli adempimenti previsti per l’utilizzo di questi sistemi tecnologici ad alto rischio. Di certo il Deployer non può pensare di trasferire ogni eventuale responsabilità ai fornitori o agli importatori di questi servizi, ma ha un obbligo legale proattivo, per quanto nella sua sfera di competenza, di limitare ogni rischio.
RISCHIO LIMITATO
Le tecnologie basate sull’intelligenza artificiale a rischio limitato sono quelle che non hanno un impatto diretto sui diritti fondamentali della persona.
Un esempio può essere l’uso di un Chatbot per l’assistenza clienti.
Se un’azienda e-commerce implementa una chatbot che aiuta gli utenti a tracciare le spedizioni o a risolvere problemi di pagamento, la chatbot deve dichiarare esplicitamente che è un sistema di IA e non un operatore umano.
Quindi per l’utilizzo di un simile sistema occorre principalmente:
- Trasparenza verso gli utenti: informare chiaramente gli utenti che stanno interagendo con un sistema di IA e non con una persona umana
- Consentire sempre l’opzione di parlare con una persona umana: non tutti i problemi possono risolversi con l’AI e non tutti amano parlare con un interlocutore “sintetico”.
RISCHIO MINIMO
Il rischio minimo è il livello di rischio più basso come può essere un semplice correttore ortografico automatizzato che suggerisce correzioni ortografiche o grammaticali durante la digitazione.
I sistemi a rischio minimo non richiedono adempimenti particolari.
L’OBBLIGO DI TRASPARENZA
L’obbligo di trasparenza è un obbligo che si applica, in via trasversale, ad ogni livello di rischio.
Questo obbligo consiste nel dovere di informare l’utente che sta interagendo con un sistema di AI.
Occorre poi sempre prevedere l’opzione per contattare un operatore umano, inserendo un pulsante o un link allo scopo.
Infine, occorre predisporre una pagina informativa per la chatbot: nella sezione FAQ del sito o in un documento apposito, descrivere come funziona l’applicazione e specificare che le risposte sono generate da un algoritmo.
L’OBBLIGO DI FORMAZIONE
Il Regolamento prevede l’obbligo per i fornitori e i Deployer di formare (c.d. obbligo di alfabetizzazione) il proprio personale, compatibilmente con l’uso che ne viene fatto e con il livello di conoscenza del personale stesso.
Questo implica necessariamente che anche i Deployer debbano saperne qualcosa di più e, quindi, formarsi adeguatamente per usare queste tecnologie in modo corretto e consapevole.Diversamente sarebbe come affidare la guida di un camion ad un bambino e questo può essere estremamente pericoloso
STRUMENTI PER METTERSI IN REGOLA
Per utilizzare l’AI in conformità al regolamento è necessario effettuare – e documentare – una serie di adempimenti. Vediamone alcuni:
- Consulenza per la classificazione del rischio mediante un Audit che permetta di mappare e analizzare i sistemi di IA che si vogliono utilizzare per identificare il livello di rischio ed individuare i relativi adempimenti.
- Redazione di policy aziendali o integrare quella già esistente, sull’uso responsabile dell’IA, definendo procedure e linee guida per i dipendenti e collaboratori.
- Formazione del personale mediante l’organizzazione di sessioni formative periodiche per istruirsi ed istruire i dipendenti e i collaboratori sull’uso corretto del sistema di IA e sui rischi associati.
- Supporto nella trasparenza verso gli utenti creando comunicazioni e documentazione chiare per informare gli utenti finali che stanno interagendo con un sistema di IA e per descrivere il funzionamento e le finalità.
- Verifica e monitoraggio, ripetendo audit interni periodici per assicurare che i sistemi di IA siano utilizzati in conformità con il Regolamento.
- Valutazione e gestione dei rischi specifici legati all’uso del sistema di IA e individuare misure di mitigazione.
QUANDO ENTRANO IN VIGORE GLI OBBLIGHI?
Il Regolamento sarà a pieno regime entro 24-36 mesi dall’entrata in vigore, ma ci sono alcune disposizioni che avranno applicazione prima di quel momento.
La maggior parte degli adempimenti che entrano in vigore nel periodo intermedio riguardano i fornitori; tuttavia, è importante per tutti non sottovalutare questa data: 2 febbraio 2025.
Il 2 febbraio 2025, infatti, entreranno in vigore le disposizioni relative ai sistemi di intelligenza artificiale ad alto rischio.
Se utilizzi un sistema di AI nel tuo lavoro, il termine del 2 febbraio 2025 dovrebbe essere tenuto in considerazione, quantomeno per fare un’analisi dei sistemi utilizzati al fine di escludere che rientrino nei sistemi di intelligenza artificiale ad alto rischio.
QUALI SONO LE SANZIONI?
Per quanto riguarda la violazione del divieto di utilizzo di un’intelligenza artificiale con rischio inaccettabile, il Regolamento prevede una sanzione amministrativa pecuniaria fino ad € 35.000.000. Ma, se l’autore del reato è un’impresa, la sanzione può arrivare fino al 7% del fatturato mondiale totale annuo dell’esercizio precedente.
Le sanzioni previste per i Deployer (ovvero gli utilizzatori professionali di sistemi di IA) dal Regolamento UE 1689/2024 dipendono dal tipo di violazione e dalla gravità del mancato rispetto degli obblighi. Ad ogni modo possono arrivare fino ad € 15.000.000,00 o, se l’autore del reato è un’impresa, fino al 3% del fatturato mondiale totale annuo dell’esercizio precedente.
L’ITALIA COSA STA FACENDO
Il Regolamento che abbiamo appena esaminato sommariamente (chiamato AI Act) in quanto regolamento europeo, è direttamente applicabile in tutti gli Stati membri dell’Unione Europea, senza bisogno di alcuna legge interna che ne dia attuazione.
Tuttavia, ci sono degli aspetti che l’Unione Europea lascia dettagliare a ciascuno Stato membro con una legge nazionale, purché non vada in contrasto con il Regolamento stesso.
In Italia il Governo ha presentato un disegno di legge, attualmente (a dicembre 2024) all’esame del Senato, che ha destato parecchie preoccupazioni.
Il disegno di legge in questione sembra voler restringere ulteriormente i limiti imposti dal Regolamento (con buona pace del concetto di competitività) e, in alcuni punti, va addirittura contro alcune disposizioni dell’AI ACT.
La Commissione Europea ha inviato un parere sul disegno di legge, evidenziando queste criticità.
Vedremo nelle prossime settimane cosa succederà, sperando che vengano apportati gli opportuni correttivi per non restringere il perimetro del legittimo utilizzo dell’AI e per evitare un successivo giudizio di illegittimità costituzionale della legge interna sull’IA.
L’uso dell’intelligenza artificiale, quindi, può portare enormi vantaggi in termini di velocizzazione dei processi e di ampliamento degli orizzonti della creatività. Questi vantaggi, però, comportano una specifica assunzione di responsabilità, che il Regolamento cerca di codificare al meglio.
Arrivare preparati non solo evita di subire elevate e spiacevoli sanzioni, ma permette di utilizzare queste tecnologie con maggiore consapevolezza, conoscendole più in profondità, nei loro benefici ma anche nei loro limiti, permettendo di mantenere il pieno controllo e la preminenza del fattore umano sulle tecnologie.
Articolo redatto con l’ausilio di intelligenza artificiale