L'uso dell'Intelligenza Artificiale sta crescendo esponenzialmente, con l'arrivo di nuovi software che stanno rivoluzionando il modo in cui le persone interagiscono con la tecnologia per migliorare il proprio lavoro.
Quando strumenti basati sull’AI funzionano produttivamente, aprono un mondo completamente nuovo di svolgere il proprio lavoro, riducendo drasticamente il tempo dedicato ad attività ripetitive e spostando l’attenzione delle risorse aziendali su attività più creative e a maggior valore aggiunto.
Parallelamente agli utilizzi benigni e produttivi dell’AI, si possono evidenziare usi distorti, pericolosi e, in alcuni casi, contrari ai diritti umani. È per questo motivo che l’Unione Europea ha introdotto l’AI ACT, con cui punta a diventare la prima istituzione politica a definire un quadro di regole chiaro sul settore, e mira a creare un effetto traino che si spera andrà a investire i processi di regolamentazione negli Stati Uniti, in Cina e a cascata nel resto del mondo.
Vediamo dunque in cosa consiste l’AI Act prodotto dal Parlamento Europeo, analizzando i punti principali contenuti nel regolamento e cercando di capire le implicazioni per le aziende europee.
L'Unione Europea ha compiuto un passo significativo nel regolamentare l'intelligenza artificiale con l'approvazione, il 14 giugno 2023, dell'AI Act da parte del Parlamento Europeo1.
L'AI Act è un regolamento che mira a fornire norme e standard per le applicazioni di Intelligenza Artificiale con cui i cittadini europei entrano in contatto.
La priorità del Parlamento è garantire che i sistemi di AI utilizzati nell'Unione Europea siano sicuri, trasparenti, tracciabili, non discriminatori e rispettosi dell'ambiente.
Questa regolamentazione è stata una risposta alle preoccupazioni crescenti riguardanti gli impatti dell'AI sulla sicurezza, i diritti delle persone e i valori europei. Sebbene l'AI Act sia ancora soggetto a future modifiche e a negoziazioni con la Commissione Europea e il Consiglio Europeo, il voto del Parlamento Europeo segna un passo importante verso l'implementazione di questa nuova regolamentazione.
Questa non è la prima volta che le istituzioni europee si cimentano con l’idea di un regolamento per l'Intelligenza Artificiale.
Nell'aprile 2021, la Commissione Europea aveva proposto il primo quadro normativo dell'UE per l'AI: la proposta prevedeva che i sistemi di AI che possono essere utilizzati in diverse applicazioni venissero analizzati e classificati in base al rischio per gli utenti.
I diversi livelli di rischio avrebbero comportato una maggiore o minore regolamentazione.
Andiamo dunque a vedere quali sono le novità introdotte nel testo votato dal Parlamento Europeo pochi giorni fa.
Oltre al divieto totale di utilizzo di tecnologie di riconoscimento biometrico in tempo reale nei luoghi pubblici, l'AI Act introduce una classificazione dei rischi associati alle applicazioni di Intelligenza Artificiale, identificando tre livelli di rischio.
Innanzitutto, i sistemi intrusivi, discriminatori e che mettono a rischio le persone e violano i valori europei sono considerati a rischio inaccettabile e non saranno utilizzabili all'interno dei confini dell'Unione Europea.
Si tratta dei sistemi utilizzati per il social scoring (punteggio sociale) ossia per classificare le persone in base al loro comportamento sociale o alle loro caratteristiche personali; i sistemi che possono influenzare gli elettori e l'esito delle elezioni; le tecniche di polizia predittiva basati su profilazione, ubicazione o comportamenti criminali passati; i sistemi di riconoscimento delle emozioni utilizzati dalle forze dell’ordine nella gestione delle frontiere; i giocattoli ad attivazione vocale che potrebbero incoraggiare comportamenti pericolosi nei bambini; i sistemi per l’estrazione non mirata di dati biometrici da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale.
Ci sono poi i sistemi a rischio alto, che hanno un impatto controverso sulla sicurezza e sui diritti delle persone.
Tra questi vi sono i sistemi per l’identificazione biometrica e categorizzazione delle persone fisiche; i sistemi per la gestione e il funzionamento delle infrastrutture critiche; le piattaforme per l’istruzione e la formazione professionale; i sistemi per l’accesso e la fruizione di servizi privati essenziali e di servizi e benefici pubblici; i sistemi per la gestione della migrazione, dell'asilo e del controllo delle frontiere e altri sistemi.Questi sistemi non vengono vietati, ma devono essere valutati e rispondere a requisiti specifici tra cui la trasparenza di uso, e sono sottoposti a controlli anche durante il loro ciclo di vita.
Infine, i sistemi a rischio minimo non sono soggetti a obblighi legali specifici, però dovrebbero soddisfare requisiti minimi di trasparenza che consentano agli utenti di prendere decisioni informate: dopo aver interagito con le applicazioni, l'utente dovrà essere in grado di decidere se continuare a utilizzarli. Dovrebbero poi essere pubblicate le sintesi dettagliate dei dati protetti dal diritto d’autore utilizzati per l’addestramento delle AI generative, come Chat GPT o Midjourney, esplicitando quali sono i contenuti generati con software di AI e bloccando la generazione di contenuti illegali
Inoltre, gli utenti dovranno essere informati quando interagiscono con l'AI: ciò include le AI generative, i sistemi che generano o manipolano contenuti di immagini, audio o video, e anche le tecnologie che consentono di produrre i deepfake.
L'AI Act rappresenta un passaggio decisivo nell'ottica in cui l'UE desidera adattarsi e regolamentare l'uso dell'AI. La regolamentazione mira a promuovere l'uso responsabile di questa tecnologia, garantendo nel contempo il rispetto dei diritti fondamentali e la protezione degli individui. Le sanzioni previste per le violazioni dell'AI Act sono severe, con multe che possono arrivare fino a 30 milioni € o al 6% del fatturato annuo dell'azienda.
Queste sanzioni mirano a garantire la conformità e a scoraggiare l'uso irresponsabile dell'AI.
Insomma, il testo è passato definitivamente da una prima istituzione UE e si può considerare abbastanza consolidato. Le aree di modifica saranno poche e riguarderanno quasi solo il riconoscimento facciale – dove c'è intenso dibattito sulle eventuali eccezioni al ban – ad esempio, per quanto riguarda il riconoscimento facciale nelle strade e ai confini dell’UE per motivi di sicurezza nazionale o nei casi di minori scomparsi.
Il principale impatto sulle imprese deriva dal meccanismo previsto dall'approccio basato sul rischio: le imprese dovranno verificare che la componente AI dei prodotti che vogliono immettere sul mercato non ricada nella lista delle applicazioni ad alto rischio e, se è questo il caso, dovranno effettuare una valutazione di conformità.
Questa valutazione potrà essere svolta o internamente oppure da un soggetto terzo certificato. I prodotti valutati positivamente andranno sul mercato con il bollino CE di conformità (fisico o virtuale). Se l’azienda apporta radicali modifiche a una sua applicazione AI ad alto rischio, dovrà procedere a una nuova valutazione di conformità.
Inoltre, le aziende che utilizzano l’AI nei loro prodotti dovranno strutturare un sistema di monitoraggio post-vendita per individuare criticità impreviste.
Ancora, le aziende dovranno conservare e rendere facilmente accessibile alle autorità nazionali tutta la documentazione prodotta per le valutazioni di conformità.
Secondo i primi pareri di esperti, sono soprattutto due le applicazioni AI ad alto rischio che le aziende adotteranno: quelle per calcolare il rischio creditizio/bancario e quelle di analisi curriculum ai fini di assunzione.
E tuttavia, questo non è l'atto conclusivo di questo lungo iter legislativo: il testo votato recentemente funzionerà come punto di partenza per l'inizio di una nuova negoziazione – chiamata trilogo – con le altre due istituzioni europee, Commissione e Consiglio: l'obiettivo del trilogo è quello di raggiungere un accordo entro la fine del 2023 su una proposta legislativa che sia accettabile sia per il Parlamento che per il Consiglio, i cosiddetti co-legislatori. La Commissione Europea agirà come mediatore, facilitando un accordo tra i co-legislatori.
Questo accordo provvisorio dovrà poi essere adottato dalle procedure formali di ciascuna istituzione.
Si può dire che è partita già la corsa alla compliance da parte delle aziende che progettano e usano AI: “Dall'entrata in vigore ci sono due anni di grace period, che però alle aziende servono tutti per costruire i processi di compliance al regolamento”, ha spiegato al Sole 242 Ore Massimo Pellegrino, partner di Intellera, società di consulenza specializzata.
Solo l'AI generativa (quella di Chatgpt e sistemi simili) può portare 4,4 miliardi € di valore all'economia globale e fare risparmiare il 60-70% del tempo ai lavoratori, secondo un report di McKinsey3. Un valore che le aziende si preparano a cogliere.
1. Vedi l’articolo del Parlamento Europeo intitolato EU AI Act: first regulation on artificial intelligence
2. Vedi l’articolo del Sole 24 Ore intitolato Il Parlamento europeo approva l’AI Act, cosa cambierà per le nostre aziende?
3. Vedi il report di McKinsey intitolato The economic potential of generative AI: The next productivity frontier