Intelligenza Artificiale: il Parlarmento approva il regolamento (IA Act)

Con comunicato stampa del 13 marzo scorso il Parlamento Europeo ha reso noto di aver approvato il Regolamento sull’Intelligenza Artificiale (IA Act), la prima norma al mondo in tale ambito.

“Si tratta di un risultato storico e di una pietra miliare per il futuro! L’accordo odierno affronta efficacemente una sfida globale in un contesto tecnologico in rapida evoluzione che interessa un settore chiave per il futuro delle nostre economie e società. Nel nostro operato siamo riusciti a mantenere un equilibrio estremamente delicato: stimolare l’innovazione e l’adozione dell’intelligenza artificiale in tutta Europa nel pieno rispetto dei diritti fondamentali dei nostri cittadini.”
(Carme Artigas, sottosegretaria di Stato spagnola per la Digitalizzazione e l’intelligenza artificiale)

APPLICAZIONI VIETATE

Le nuove norme mettono fuori legge alcune applicazioni di IA che minacciano i diritti dei cittadini:

  • I sistemi di categorizzazione biometrica basati su caratteristiche sensibili
  • l’estrapolazione indiscriminata di immagini facciali da internet o dalle registrazioni dei sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale.
  • i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole,
  • i sistemi di credito sociale
  • le pratiche di polizia predittiva (se basate esclusivamente sulla profilazione o sulla valutazione delle caratteristiche di una persona)
  • i sistemi che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone

ECCEZIONI PER LE FORZE DELL’ORDINE

In linea di principio le forze dell’ordine non potranno fare ricorso ai sistemi di identificazione biometrica, tranne in alcune situazioni specifiche espressamente previste dalla legge:

  • L’identificazione “in tempo reale” potrà essere utilizzata solo se saranno rispettate garanzie rigorose, ad esempio se l’uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa.
  • Gli usi ammessi includono, ad esempio, la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico.

L’utilizzo di questi sistemi a posteriori è considerato ad alto rischio. Per questo, per potervi fare ricorso, l’autorizzazione giudiziaria dovrà essere collegata a un reato

OBBLIGHI PER I SISTEMI AD ALTO RISCHIO

Sono previsti obblighi chiari anche per altri sistemi di IA ad alto rischio (che potrebbero arrecare danni significativi):

  • alla salute
  • alla sicurezza
  • ai diritti fondamentali
  • all’ambiente
  • alla democrazia
  • allo Stato di diritto

Rientrano in questa categoria anche gli usi legati a

  • infrastrutture critiche
  • istruzione e formazione professionale
  • occupazione
  • servizi pubblici e privati di base (ad esempio assistenza sanitaria, banche, ecc.)
  • alcuni sistemi di contrasto
  • migrazione e gestione delle frontiere
  • giustizia e processi democratici (come nel caso di sistemi usati per influenzare le elezioni)

Per questi sistemi vige l’obbligo di valutare e ridurre i rischi, mantenere registri d’uso, essere trasparenti e accurati e garantire la sorveglianza umana.
I cittadini avranno diritto a presentare reclami sui sistemi di IA e a ricevere spiegazioni sulle decisioni basate su sistemi di IA ad alto rischio che incidono sui loro diritti.

OBBLIGHI DI TRASPARENZA
I sistemi di IA per finalità generali e i modelli su cui si basano dovranno soddisfare determinati requisiti di trasparenza e rispettare le norme UE sul diritto d’autore durante le fasi di addestramento dei vari modelli.

I modelli più potenti, che potrebbero comportare rischi sistemici, dovranno rispettare anche altri obblighi

  • effettuare valutazioni dei modelli
  • valutare e mitigare i rischi sistemici
  • riferire in merito agli incidenti

Inoltre, le immagini e i contenuti audio o video artificiali o manipolati (i cosiddetti “deepfake”) dovranno essere chiaramente etichettati come tali.

MISURE A SOSTEGNO DELL’INNOVAZIONE E DELLE PMI
I paesi dell’UE dovranno istituire e rendere accessibili a livello nazionale

  • spazi di sperimentazione normativa
  • meccanismi di prova in condizioni reali (in inglese sandbox), in modo che PMI e start-up possano sviluppare sistemi di IA innovativi e addestrarli prima di immetterli sul mercato

SANZIONI
Le sanzioni pecuniarie per le violazioni del regolamento sull’IA sono state fissate in percentuale del fatturato annuo globale nell’esercizio finanziario precedente della società che ha commesso il reato o, se superiore, in un importo predeterminato.

35 milioni di EUR, o il 7% per le violazioni relative ad applicazioni di IA vietate,
15 milioni di EUR o il 3% per violazioni degli obblighi del regolamento sull’IA
7,5 milioni di EUR o l’1,5% per la fornitura di informazioni inesatte.

Tuttavia, l’accordo provvisorio prevede massimali più proporzionati per le sanzioni amministrative pecuniarie per le PMI e le start-up in caso di violazione delle disposizioni del regolamento sull’IA.
Le istituzioni, le agenzie o gli organismi dell’UE non beneficeranno di deroghe; il Garante europeo della protezione dei dati avrà il potere di infliggere loro sanzioni pecuniarie.

LE PROSSIME TAPPE

Il regolamento

  • deve essere sottoposto alla verifica finale dei giuristi-linguisti e dovrebbe essere adottato definitivamente prima della fine della legislatura (procedura di rettifica)
  • deve ancora essere formalmente approvato dal Consiglio
  • entrerà in vigore venti giorni dopo la pubblicazione nella Gazzetta ufficiale dell’UE (che i più reputano plausibile ad aprile)
  • inizierà ad applicarsi 24 mesi dopo l’entrata in vigore, salvo per quanto riguarda
    ◦ i divieti relativi a pratiche vietate, che si applicheranno a partire da sei mesi dopo l’entrata in vigore;
    ◦ i codici di buone pratiche (nove mesi dopo);
    ◦ le norme sui sistemi di IA per finalità generali, compresa la governance (12 mesi)
    ◦ gli obblighi per i sistemi ad alto rischio (36 mesi).

Fonti: Parlamento europeo – Consiglio dell’Unione Europea – Camera dei Deputati

Per maggiori informazioni o contatti – Servizio Privacy e Cyber Security

Potrebbe interessarti anche

ASSOCIATI