Con un voto schiacciante (523 favorevoli, 46 contrari e 49 astenuti), il 13 marzo 2024, l’Unione Europea ha fatto storia nel regolamentare l’innovazione rivoluzionaria dell’Intelligenza Artificiale (AI Act).
Questo atto segue un lungo processo legislativo, culminando nell’approvazione di norme che saranno vincolanti per tutte le aziende nell’Unione Europea, senza la necessità di leggi di recepimento nazionali, poiché i regolamenti sono autoesecutivi.
L’obiettivo principale è preservare i diritti fondamentali, la democrazia, lo Stato di diritto e la sostenibilità ambientale da possibili rischi legati ai sistemi di IA ad alto impatto.
Il nuovo regolamento, che incorpora molti aspetti del precedente GDPR, si estenderà a tutti i soggetti pubblici e privati che offrono strumenti basati sull’IA nel mercato europeo, indipendentemente dalla loro sede. Ciò significa che anche le grandi aziende americane dovranno conformarsi se desiderano operare nell’Unione Europea.
Tuttavia, ci sono alcune eccezioni previste nel regolamento, ad esempio per i sistemi di IA a fini militari o di sicurezza nazionale, oltre a specifiche disposizioni per la ricerca e lo sviluppo scientifico.
L’approccio basato sul rischio classifica i sistemi di AI in quattro categorie, ciascuna con i propri requisiti e responsabilità. Sono, inoltre, vietati utilizzi come la manipolazione dei comportamenti umani o il riconoscimento biometrico su larga scala da fonti online.
In sintesi, il Regolamento Europeo sull’Intelligenza Artificiale rappresenta un importante passo avanti nella regolamentazione dell’IA, bilanciando l’innovazione con la protezione dei diritti e della sicurezza dei cittadini europei.
Sommario
Quali sono i tempi per adeguarsi?
Come già accaduto con il GDPR, le disposizioni dell’AI Act saranno implementate gradualmente, consentendo alle imprese e alle pubbliche amministrazioni di familiarizzare con il nuovo regolamento. Tuttavia, il mercato premierà coloro che si adegueranno prontamente anziché aspettare fino all’ultimo momento, come accadde nel maggio 2018 con l’entrata in vigore del GDPR, ignorato da molti nonostante fosse stato istituito due anni prima.
I tempi previsti sono comunque stretti: entro 6 mesi dall’entrata in vigore, i sistemi proibiti dall’AI Act dovranno essere gradualmente eliminati, mentre entro 12 mesi si applicheranno le norme di governance generale a tutte le imprese e le pubbliche amministrazioni. Infine, entro 2 anni dall’entrata in vigore del regolamento, questo sarà pienamente operativo.
Penali
Il regolamento stabilisce dei limiti massimi per le sanzioni, che saranno successivamente determinate dagli Stati membri:
- Le sanzioni potranno arrivare fino a 35 milioni di euro o al 7% del fatturato totale annuo mondiale dell’esercizio precedente per le violazioni relative alle pratiche proibite o alla mancanza di conformità ai requisiti sui dati.
- Per la mancata osservanza di qualsiasi altro requisito o obbligo del regolamento, comprese le violazioni delle norme sui modelli di IA per uso generale, le sanzioni potranno raggiungere fino a 15 milioni di euro o al 3% del fatturato totale annuo mondiale dell’esercizio precedente.
- Per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta, le sanzioni possono essere fino a 7,5 milioni di euro o all’1,5% del fatturato mondiale annuo totale dell’esercizio precedente, a seconda del valore più elevato.
Obblighi delle imprese
Inizialmente, è consigliabile che le imprese effettuino un inventario dei propri software che impiegano sistemi di intelligenza artificiale per individuare eventuali soluzioni considerate ad alto rischio: condurre una valutazione del rischio relativa all’IA rappresenta quindi il primo passo per comprendere le azioni necessarie per conformarsi al nuovo Regolamento.
Per i sistemi a basso rischio, si adotta un approccio basato sull’autoregolamentazione, permettendo ai fornitori di scegliere volontariamente di adottare criteri per un’IA affidabile e di aderire a codici di condotta. Questo equilibrio promuove l’innovazione e minimizza i rischi senza imporre regolamenti eccessivi per tecnologie con rischi limitati.
Al contrario, i sistemi di intelligenza artificiale ad alto rischio saranno soggetti a requisiti più rigorosi. Prima di poter essere commercializzati o resi disponibili, questi sistemi dovranno superare una valutazione di conformità che dimostri il rispetto dei requisiti obbligatori per un’IA affidabile.
Le organizzazioni dovranno esaminare attentamente i sistemi di intelligenza artificiale utilizzati per determinare se rientrano nella categoria ad alto rischio e, in tal caso, garantire la conformità ai nuovi requisiti legali richiesti.
Regolamento AI verso la definitiva adozione
Dopo aver ottenuto l’approvazione del COREPER e delle commissioni LIBE e IMCO del Parlamento Ue, ci si avvia a grandi passi verso l’adozione definitiva del Regolamento sull’Intelligenza artificiale, che ha lo scopo di proteggere sicurezza e diritti fondamentali dei cittadini europei.
Il testo del Regolamento sull’intelligenza artificiale (“AI Act” o “Regolamento”) ha ottenuto l’ok anche dalla commissione per le libertà civili, la giustizia e gli affari interni (LIBE) del Parlamento europeo il 13 febbraio. Questi ultimi passi sono propedeutici alla finalizzazione dell’iter di approvazione, prevista per aprile con la votazione del Parlamento in sessione plenaria e la successiva approvazione del Consiglio.
Il testo approvato in via provvisoria
Il Regolamento, all’avanguardia a livello mondiale, stabilisce confini chiari per l’utilizzo dell’IA, garantendo la tutela dei diritti dei cittadini europei e stabilisce linee guida specifiche per la sua implementazione, sottolineando l’intenzione di promuovere piuttosto che ostacolare l’innovazione.
Un punto saliente del regolamento riguarda la regolamentazione dell’uso dell’IA per il riconoscimento facciale e la biometria, con procedure rigorose per l’approvazione giudiziaria di tali tecnologie in contesti legali.
Inoltre, il Regolamento vieta il social scoring, impedendo che pratiche diffuse in altre parti del mondo prendano piede in Europa. Per le imprese, l’AI Act delinea responsabilità e requisiti chiari in base al livello di rischio dei sistemi di IA, influenzando direttamente l’approccio all’innovazione tecnologica e la sua implementazione nel mercato europeo.
Carme Artigas, sottosegretaria di Stato spagnola per la Digitalizzazione e l’Intelligenza Artificiale, ha accolto con entusiasmo l’accordo, definendolo un risultato storico e una pietra miliare per il futuro. Essendo la prima proposta legislativa di questo tipo al mondo, può influenzare e plasmare la regolamentazione dell’IA a livello internazionale, analogamente al successo del regolamento generale sulla protezione dei dati 679/2016 (GDPR).
Gli elementi chiave dell’accordo provvisorio sull’intelligenza artificiale (IA) presentano modifiche significative rispetto alla proposta iniziale della Commissione europea, tra cui:
1. Normative sui modelli di IA e governance
Il recente accordo si focalizza sui modelli di intelligenza artificiale ad alto impatto e sui sistemi a rischio elevato, inserendo una governance rivista con capacità di esecuzione a livello dell’Unione Europea (UE). L’elenco delle restrizioni è ampliato, ma viene concessa la possibilità di utilizzare l’identificazione biometrica remota, purché siano rispettate le opportune tutele.
2. Protezione dei diritti fondamentali
Il nuovo accordo enfatizza l’obbligo per gli operatori dei sistemi di intelligenza artificiale ad alto rischio di condurre una valutazione d’impatto sui diritti fondamentali prima dell’utilizzo. Inoltre, viene prestata particolare attenzione al diritto d’autore, suscettibile di molte preoccupazioni con l’introduzione delle tecnologie AI.
3. Definizioni e campo di applicazione
La definizione di sistema di intelligenza artificiale segue l’approccio dell’OCSE, garantendo chiarezza nella distinzione tra IA e software più semplici. Il regolamento non si estende ai settori al di fuori del diritto dell’UE, rispettando le competenze degli Stati membri e non coprendo i sistemi utilizzati esclusivamente a fini militari.
4. Classificazione e pratiche vietate
Viene introdotta una classificazione ad alto rischio per regolamentare solo i sistemi con potenziali violazioni dei diritti fondamentali. Vietate sono, tra le altre, la manipolazione comportamentale e il riconoscimento delle emozioni sul luogo di lavoro.
5. Governance e sanzioni
Viene istituita una nuova architettura di governance, comprendente un ufficio per l’IA, un gruppo scientifico di esperti indipendenti e un comitato per l’IA. Le sanzioni per le violazioni del regolamento sono proporzionate al fatturato annuo globale, con massimali più equi per le PMI e le start-up.
6. Trasparenza e protezione dei diritti
Prima dell’immissione sul mercato dei sistemi di IA ad alto rischio, è richiesta una valutazione d’impatto sui diritti fondamentali. Maggiore trasparenza è garantita per l’uso dei sistemi ad alto rischio, con l’obbligo di registrazione delle entità pubbliche nella banca dati dell’UE.
7. Misure a sostegno dell’innovazione
Le disposizioni a sostegno dell’innovazione mirano a creare un ambiente favorevole, inclusi spazi di sperimentazione normativa per testare i sistemi di IA innovativi, riducendo gli oneri amministrativi per le imprese più piccole.
Prossime fasi
Il regolamento sull’IA entrerà in vigore due anni dopo l’adozione, con alcune eccezioni per disposizioni specifiche. Questo periodo di transizione permetterà agli attori interessati di adeguarsi e implementare le misure richieste.
Dopo l’accordo provvisorio, seguiranno ulteriori lavori tecnici per delineare i dettagli operativi del regolamento. La presidenza sarà incaricata di presentare il testo di compromesso ai rappresentanti degli Stati membri per l’approvazione.
Il testo completo sarà confermato da entrambe le istituzioni coinvolte e sarà soggetto a una revisione giuridico-linguistica prima dell’adozione formale da parte dei co-legislatori, assicurando una chiara comprensione e conformità legale. Le fasi successive garantiranno precisione e chiarezza del testo in vista dell’entrata in vigore e della piena attuazione del Regolamento sull’IA nell’Unione Europea.
Fonte
Regolamento europeo su IA (AI Act): voto positivo dal Parlamento, Diritto.it