menu
Monitor

EU AI ACT: focus su approccio antropocentrico e governance interna

La tecnologia non è mai neutrale, ma sempre legata al contesto e alle finalità di utilizzo. Nel settore dei media è centrale il suo impiego responsabile ed etico (…). L’intelligenza artificiale (IA), nel contesto della rivoluzione digitale, rappresenta una trasformazione radicale e difficilmente ponderabile dei processi produttivi e del mondo del lavoro. La progressiva sostituzione della creatività umana, che si profila all’orizzonte, e le conseguenti ricadute sui livelli occupazionali, vanno guidate mantenendo un approccio antropocentrico”.

Questo l’incipit della Relazione sull’attività svolta dalla Commissione intelligenza artificiale per l’informazione, la cd “Commissione Algoritmi“ istituita presso il DIPARTIMENTO PER L’INFORMAZIONE E L’EDITORIA, e presieduta dal Prof. Paolo Benanti.

Dunque: il richiamo all’approccio antropocentrico, lo stesso imposto dall’EU AI Act, il Regolamento europeo approvato dal Parlamento europeo il 13 marzo. Ed è proprio sulla prima legge al mondo sull’Intelligenza Artificiale che vogliamo condividere alcune osservazioni, partendo da una brevissima disamina del provvedimento.

Si tratta di un provvedimento importantissimo, costituito da oltre 450 pagine (113 articoli, 13 allegati, 180 considerando), il cui iter è iniziato nell’aprile 2021 e che si applica a (quasi) tutti: aziende, pubbliche amministrazioni e semplici cittadini. L’entrata in vigore è prevista per il prossimo mese di maggio, divenendo pienamente applicabile a decorrere dai 24 mesi successivi tale data (art. 113, par.1).

Quello che per semplicità viene definito l’EU AI Act contiene un insieme organico di regole che mirano a tutelare i diritti della persona, imponendo un approccio umano-centrico a chiunque sviluppi o utilizzi sistemi di intelligenza artificiale.

Lo spirito del legislatore europeo è quello di assicurare un’adeguata regolamentazione per quanto riguarda l’introduzione, la messa in funzione e l’impiego dei sistemi di IA, mediante un approccio basato sul rischio, in linea di continuità con il lavoro dell’High-Level Expert Group on Artificial Intelligence nominato nel 2019 dalla Commissione europea.

Tale Commissione enucleò una serie di principi etici, tra i quali:

  • robustezza tecnica e sicurezza;
  • rispetto della diversità e non discriminazione ed equità;
  • responsabilità dei fornitori (providers) di sistemi di IA (europei ed anche extraeuropei, laddove gli output prodotti dal sistema di IA siano utilizzati in Europa),
  • responsabilità degli utilizzatori (deployers ) pubblici e privati;
  • responsabilità degli importatori e distributori, nonché delle persone interessate dall’utilizzo di tali sistemi.

Non rientrano invece nell’ambito di applicazione:

  • i sistemi di IA il cui utilizzo sia esclusivamente volto a soddisfare scopi militari, di difesa o di sicurezza nazionale (soggetti cui si applica solo la legge degli Stati membri);
  • i sistemi che abbiano mera finalità di ricerca e sviluppo scientifico;
  • i cittadini che utilizzano l’IA per motivi non professionali.

 

 

 

Ancora: il Considerando 48 recita:

(48) La portata dell’impatto negativo del sistema di IA sui diritti fondamentali protetti dalla Carta dei diritti fondamentali dell’Unione europea è di particolare rilevanza ai fini della classificazione di un sistema di IA tra quelli ad alto rischio. Tali diritti comprendono il diritto alla dignità umana, il rispetto della vita

privata e della vita familiare, la protezione dei dati personali, la libertà di espressione e di informazione, la libertà di riunione e di associazione e la non discriminazione, il diritto all’istruzione, la protezione dei consumatori, i diritti dei lavoratori, i diritti delle persone con disabilità, l’uguaglianza di genere, i diritti di proprietà intellettuale, il diritto a un ricorso effettivo e a un giudice imparziale, i diritti della difesa e la presunzione di innocenza e il diritto a una buona amministrazione. Oltre a tali diritti, è importante sottolineare il fatto che i minori godono di diritti specifici sanciti dall’articolo 24 della Carta e dalla Convenzione delle Nazioni Unite sui diritti dell’infanzia e dell’adolescenza, ulteriormente sviluppati nell’osservazione generale n. 25 della Convenzione delle Nazioni Unite dell’infanzia e dell’adolescenza per quanto riguarda l’ambiente digitale, che prevedono la necessità di tenere conto delle loro vulnerabilità e di fornire la protezione e l’assistenza necessarie al loro benessere. È altresì opportuno tenere in considerazione, nel valutare la gravità del danno che un sistema di IA può provocare, anche in relazione alla salute e alla sicurezza delle persone, il diritto fondamentale a un livello elevato di protezione dell’ambiente sancito dalla Carta e attuato nelle politiche dell’Unione.

 

 

In quest’ottica il Regolamento prevede tre classi di rischio in base ai quali classificare i sistemi di AI, a seconda della combinazione tra la probabilità di un danno, la sua gravità ed il possibile impatto per la sicurezza e i diritti fondamentali delle persone fisiche:

  1. I) RISCHIO INACCETTABILE: ossia pratiche vietate, come quelle mirate alla identificazione biometrica ed ogni tecnica di “social scoring”;
  2. II) RISCHIO ALTO: in considerazione del maggior potenziale di rischio distortivo connesso al loro utilizzo, per questi sistemi è richiesta una valutazione d’impatto e possedere i caratteri di conformità, robustezza e tracciabilità, ed essere addestrati e testati con particolari set di dati.

III) RISCHIO BASSO O MINIMO: in questa categoria ricadono ad esempio i videogiochi i cui fornitori sono liberi di aderire volontariamente.

Il Regolamento specifica che i sistemi di IA, soprattutto quelli considerati ad alto rischio, siano tracciabili attraverso pratiche come la conservazione e pubblicazione della documentazione – compresi i dati utilizzati per addestrare l’algoritmo – o la valutazione d’impatto sui diritti fondamentali.

Sul fronte dei diritti, ’AI Act prevede che qualsiasi persona oggetto di una decisione adottata dai deployer sulla base di un output di un sistema di IA ad alto rischio, ha il diritto di ottenere spiegazioni chiare e significative sul ruolo del sistema di IA nella decisione.

Per quanto riguarda invece gli adempimenti, numerosi sono gli obblighi indirizzati a fornitori, deployers, distributori e importatori in relazione ai sistemi ad alto rischio.

I principali vincoli imposti ai fornitori di sistemi IA ad alto rischio (art. 16) e agli importatori (art. 23), sono:

  • garantire che i sistemi siano conformi a specifici requisiti tecnici indicati dal Regolamento;
  • indicare sul sistema di IA ad alto rischio nome, denominazione commerciale registrata o marchio registrato e indirizzo al quale possono essere contattati;
  • disporre di un sistema di gestione della qualità (art. 17), ad es. un documento che garantisca la conformità all’AI Act;
  • elaborare una dichiarazione di conformità UE (art. 47);
  • adottare misure correttive (es. ritirare, disabilitare) nel caso in cui ritengano che un sistema di IA ad alto rischio da essi immesso sul mercato o messo in servizio non sia conforme all’AI Act;
  • fornire alle Autorità competenti tutte le informazioni e la documentazione richiesta.

L’art. 26, invece, disciplina gli obblighi imposti ai deployer dei sistemi di IA ad alto rischio, prevedendo tra le altre cose che essi debbano:

  • adottare misure tecniche ed organizzative idonee a garantire un utilizzo conforme;
  • affidare la sorveglianza umana dei sistemi a persone fisiche adeguatamente competenti;
  • monitorare il funzionamento dei sistemi e, se del caso, informare i fornitori di eventuali malfunzionamenti;
  • cooperare con le competenti autorità di vigilanza e di controllo, ove necessario;
  • effettuare, nei casi previsti dall’art. 27, una valutazione dell’impatto sui diritti fondamentali che tali sistemi devono rispettare.

L’art. 53 del Regolamento è dedicato in particolare all’Intelligenza Artificiale generativa e prevede specifici obblighi per i fornitori di tali modelli di IA, soprattutto nel caso di modelli di IA generativa di grandi dimensioni (es. ChatGPT).

In particolare, tali fornitori dovranno:

  1. redigere e mantenere aggiornata la documentazione tecnica del modello, compresi il processo di addestramento e prova e i risultati della sua valutazione;
  2. attuare una politica volta ad adempiere alla normativa dell’Unione in materia di diritto d’autore;
  3. redigere e mettere a disposizione del pubblico una sintesi dei contenuti utilizzati per l’addestramento del modello di IA (in modo da consentire opt-out da parte degli interessati).

I fornitori di modelli rilasciati con licenza libera o open source sono esentati da questi obblighi a meno che non presentino un rischio sistemico.

Come anticipato in apertura, il Regolamento entrerà in vigore il 20° giorno successivo alla sua pubblicazione nella Gazzetta ufficiale dell’Unione europea, divenendo pienamente applicabile a decorrere da 24 mesi dalla data di entrata in vigore (art. 113, par.1).

Numerose sono tuttavia le ipotesi di applicazione anticipata di alcune delle disposizioni del Regolamento. Ad esempio, le disposizioni generali e quelle relative ai divieti troveranno esecuzione a partire da sei mesi dall’entrata in vigore mentre quelle sui sistemi di IA per finalità generali saranno applicabili a partire dal dodicesimo mese dall’entrata in vigore.

Per facilitare una tempestiva applicazione del Regolamento, la Commissione UE ha lanciato l’iniziativa denominata AI Pact, un sistema per promuovere l’attuazione anticipata dell’AI Act, ovviamente su base volontaria.

Ma cosa succederebbe se tale impianto normativo venisse disatteso?

Per le violazioni relative ad applicazioni di IA vietate, la sanzione può arrivare fino a 35 milioni di euro o essere pari al 7 % del fatturato mondiale totale annuo se superiore.

Per violazione degli altri obblighi invece le sanzioni possono arrivare fino a 15 milioni di euro o il 3% del fatturato mondiale annuo.

Infine, per chi fornisce informazioni inesatte la sanzione può arrivare a 7,5 milioni di euro o l’1,5% del fatturato mondiale annuo.

Particolarmente interessante per chi scrive è la parte dedicata all’organizzazione della governance, che si vuole articolata su un duplice livello: un livello europeo ed uno nazionale.

A livello europeo è prevista l’istituzione del Comitato Europeo per l’intelligenza artificiale che sarà composto dai rappresentanti di ciascuno Stato membro. Ne faranno inoltre parte il Garante europeo della protezione dei dati e  l’AI Office della Commissione, ma senza diritto di voto.

A supporto del Comitato è prevista l’istituzione di un Forum consultivo, con competenze prevalentemente tecniche, per fornire consulenza e competenze al Comitato e alla Commissione (art.67) e di un Gruppo di esperti scientifici (art.68).

A livello nazionale ogni Stato dovrà istituire autorità competenti per l’attuazione del Regolamento (’art. 70). A tali Autorità nazionali verrà demandato il compito di vigilare sull’attuazione delle disposizioni dell’AI ACT e sulla comminazione delle sanzioni.

Alcuni Stati Membri hanno già provveduto ad individuare la propria Autorità o istituendone una dedicata (come la Spagna con l’AESIA) oppure affidando le competenze ad una Entità istituzionale già esistente (come in Olanda dove è stato indicato il Garante Privacy).

 

Qual è l’orientamento dell’Italia? Da noi si sta lavorando ad un disegno di legge che dovrà riuscire nel difficile compito di mediare tra quanti opterebbero per affidare anche questo ambito di intervento all’Agenzia Nazionale per la Cybersicurezza, oppure all’Agenzia per l’innovazione Digitale, piuttosto che al Garante della Privacy; e quanti altri preferirebbero la creazione ex novo di un’Autorità autonoma ed indipendente, anche dall’esecutivo.

Quello che è certo è che il sistema di governance che si individuerà non potrà prescindere dai criteri di competenza, professionalità e di piena indipendenza. Questo non solo per evitare le sanzioni di cui sopra, ma soprattutto perché è fondamentale ed imprescindibile disegnare il migliore abito normativo possibile ad uno dei protagonisti strategici più importanti del nostro presente e del nostro futuro prossimo.

Noi italiani, si sa, siamo i numeri uno nell’alta sartorialità.

Mi piace pensarlo (ed auspicarlo) anche nella ben più impattante sartorialità normativa.

 

Elisabetta Ludovico

CEO e Co-founder Reticulum srl

by

Related Posts

by
by
by
by