Via libera finale alla prima legge al mondo sull’IA: cosa cambia

22.05.2024
Via libera finale alla prima legge al mondo sull'IA: cosa cambia
Via libera finale alla prima legge al mondo sull'IA: cosa cambia

Bruxelles rincorre Washington e Pechino e tenta l’allungo, creando un quadro giuridico per la regolamentazione di questa nuova tecnologia

Alla fine è arrivata anche l’ultima luce verde per l’AI act, la legge dell’Unione europea che, prima al mondo, regolerà l’uso e lo sviluppo dell’intelligenza artificiale. 

In buona sostanza, gli obiettivi della legge sono due. Da un lato, tutelare non solo i cittadini ma gli stessi sistemi democratici dai rischi (a partire dai deepfake e dalla disinformazione che può scaturirne) di una tecnologia ancora in fase di esplorazione e sperimentazione. Dall’altro, incentivare lo sviluppo dell’Ia in Europa, per accorciare la distanza che l’Unione ha accumulato nei confronti dei suoi competitor globali, Stati Uniti e Cina in testa. 

Tra sicurezza e privacy

Quello seguito dal provvedimento è, nelle parole della presidenza belga dell’Ue, un approccio “basato sul rischio”, nel senso che “più alto è il rischio di causare danni alla società, più severe sono le regole”. Includendo, tra le altre cose, delle valutazioni d’impatto obbligatorie relativamente ai diritti fondamentali (incluso nei settori assicurativo e bancario), ma anche una valutazione dei modelli utilizzati e una mitigazione dei rischi sistemici associati con le applicazioni, riferendo sugli incidenti gravi direttamente alla Commissione europea. Il mancato rispetto delle norme può portare a sanzioni che vanno da 35 milioni di euro o il 7% del fatturato globale a 7,5 milioni o l’1,5% del fatturato, a seconda della violazione e delle dimensioni dell’azienda.

Tra i nodi più controversi c’è quindi quello che potremmo definire il dilemma tra sicurezza e privacy: non solo quella dei dati personali “virtuali” (cioè quelli che disseminiamo, più o meno consapevolmente, navigando online) ma anche quella dei dati biometrici, rilevabili ad esempio tramite il ricorso a tecnologie di riconoscimento facciale. Queste ultime sono già in uso in alcuni Paesi (ad esempio nella Repubblica popolare cinese), ma diversi esperti ed organizzazioni del settore hanno sottolineato i rischi per la privacy e per i diritti di cittadini e utenti. 

Paletti legislativi

Così, una serie di applicazioni dell’Ia sono esplicitamente proibite dalla nuova normativa europea: ad esempio i sistemi di categorizzazione biometrica che “etichettano” le persone basandosi su caratteristiche sensibili (come convinzioni politiche, religiose, filosofiche, orientamento sessuale o razza), ma anche la raccolta non mirata (cioè slegata da specifiche e comprovate esigenze di sicurezza) di immagini facciali ottenute in rete oppure da telecamere a circuito chiuso per creare database di riconoscimento facciale. 

Tra i divieti, anche l’uso di applicazioni per il riconoscimento delle emozioni sul posto di lavoro e nelle istituzioni educative, sistemi che manipolano il comportamento umano per aggirare il loro libero arbitrio o che sfruttano le vulnerabilità delle persone (a causa della loro età, disabilità, situazione sociale o economica). Infine, Bruxelles ha messo dei paletti anche sulla creazione di sistemi di “punteggio sociale” da assegnare ai cittadini che si basino sul comportamento sociale o sulle caratteristiche personali – come avviene sempre in Cina con il cosiddetto credito sociale.

Le esenzioni

Ci sono poi, naturalmente, una serie di esenzioni e deroghe a questi divieti, applicabili per lo più alle forze dell’ordine e di pubblica sicurezza ma solo in determinati casi e sempre previa autorizzazione giudiziaria. Ad esempio, la polizia potrà utilizzare l’identificazione biometrica per classificare le persone in base a categorie specifiche (sesso, età, colore dei capelli e degli occhi, tatuaggi, origine etnica o orientamento sessuale o politico) sia “in tempo reale”, ossia acquisendo i dati e classificandoli in diretta, sia “post-remoto”, ovvero utilizzando dati già acquisiti. 

In quest’ultimo caso, il riconoscimento facciale dev’essere mirato al rintracciamento di una persona già condannata o sospettata di aver commesso un reato grave; per la raccolta di dati in tempo reale, invece, bisogna rispettare “condizioni rigorose” e l’uso dei dati così ottenuti dev’essere limitato ad esempio a ricerche mirate delle vittime (di sequestro, tratta, sfruttamento sessuale), ad operazioni di prevenzione di una minaccia terroristica specifica e attuale, alla localizzazione o all’identificazione di una persona sospettata di aver commesso un reato come terrorismo, tratta di esseri umani, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a un’organizzazione criminale e reati ambientali.

La questione della trasparenza

Tra i punti più “caldi” nelle discussioni al Consiglio c’è stato quello relativo alla trasparenza, soprattutto per alcune delle applicazioni più avanzate dell’Ia, come ChatGpt e Bard. Alcuni Paesi, tra cui Germania, Francia e Italia, avevano sollevato il timore che delle maglie normative troppo strette avrebbero potuto precludere lo sviluppo di queste tecnologie. Il compromesso raggiunto prevede una serie di requisiti di trasparenza che si fanno man mano più stringenti in base al livello di rischio delle applicazioni in questione, secondo l’approccio cui accennavamo all’inizio: tra i vari adempimenti, c’è la stesura della documentazione tecnica, il rispetto della normativa europea sul diritto d’autore e la diffusione di riepiloghi dettagliati sui contenuti utilizzati per la formazione. 

Cosa succede ora

La legge era stata proposta dalla Commissione nell’aprile 2021 e, dopo oltre due anni di intensi negoziati, i colegislatori del blocco avevano finalmente raggiunto un accordo politico lo scorso dicembre. A marzo l’Europarlamento aveva adottato definitivamente il pacchetto a marzo e ora l’iter legislativo si è concluso con l’approvazione finale da parte del Consiglio, arrivata martedì (21 maggio). Ora verrà inserito in Gazzetta ufficiale ed entrerà in vigore 20 giorni dopo la pubblicazione, ma prima che sia pienamente applicato (soprattutto a livello dell’impianto sanzionatorio) dovranno passare altri due anni.

Fonte: Today

Lascia un commento

Your email address will not be published.