AI Act- Prima Parte - Obiettivi, definizioni e pratiche vietate.
Aggiornamento: 26 mag
Titolo I - Disposizioni generali
Il Titolo I del Regolamento stabilisce il suo ambito di applicazione, gli obiettivi generali e i principi che lo guidano, definendo anche i termini chiave. Tra questi viene in primo rilievo, ovviamente, la definizione di "sistema di intelligenza artificiale" (sistema di AI) come un software sviluppato con una o più delle tecniche e degli approcci elencati nell'allegato I, che può, per una determinata serie di obiettivi definiti dall'uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono". Sapientemente la definizione rimane aperta in virtù della rapidissima evoluzione tecnologica dell'insieme delle tecnologie che hanno come obiettivo l’AI, le cui “tecniche e approcci” sono così descritti nel citato Allegato I:
a) Approcci di apprendimento automatico, compresi l'apprendimento supervisionato, l'apprendimento non supervisionato e l'apprendimento per rinforzo, con utilizzo di un'ampia gamma di metodi, tra cui l'apprendimento profondo (deep learning);
b) approcci basati sulla logica e approcci basati sulla conoscenza, compresi la rappresentazione della conoscenza, la programmazione induttiva (logica), le basi di conoscenze, i motori inferenziali e deduttivi, il ragionamento (simbolico) e i sistemi esperti;
c) approcci statistici, stima bayesiana, metodi di ricerca e ottimizzazione.
Le disposizioni generali stabiliscono anche l'ambito di applicazione del Regolamento. In particolare, il Regolamento si applica a:
1. I fornitori che mettono sul mercato o mettono in servizio sistemi di AI nell'UE, indipendentemente dal fatto che siano stabiliti nell'UE o in un paese terzo.
2. Gli utenti di sistemi di AI nell'UE.
3. I fornitori e gli utenti di sistemi di AI situati in un paese terzo, se l'output del sistema è utilizzato nell'UE.
Questo ampio ambito di applicazione riflette l'obiettivo dell'UE di garantire che tutti i sistemi di AI utilizzati nell'UE, indipendentemente dalla loro origine, rispettino gli stessi elevati standard di sicurezza e rispetto dei diritti fondamentali. L’estensione del campo di applicazione del Regolamento oltre i confini dell’Unione Europea avviene nel solco già tracciato dal GDPR ed è prevedibile che, come per quest’ultimo, il principio di extraterritorialità non sarà esente dal rischio di determinare conflitti con le leggi di nazioni extracomunitarie e complesse controversie, come è successo per la protezione dei dati personali a seguito della arcinota sentenza Sentenza Schrems II della Corte di giustizia dell'Unione europea.
Il Titolo sulle disposizioni generali stabilisce gli obiettivi generali del Regolamento e i principi che lo guidano. Questi includono la promozione dell'innovazione e della crescita economica, la garanzia della sicurezza e del rispetto dei diritti fondamentali, la creazione di un quadro normativo chiaro e prevedibile per l'AI, e la costruzione della fiducia del pubblico nell'AI. Questi obiettivi e principi guida riflettono l'approccio equilibrato dell'UE alla regolamentazione dell'AI, che mira a sfruttare i benefici dell'AI pur mitigando i suoi potenziali rischi. Anche in questo l’UE sembra ricalcare il GDPR, che al suo articolo 1 stabilisce che la libera circolazione dei dati personali è un valore al pari della protezione delle persone in riferimento ai dati stessi.
Le disposizioni generali del Regolamento sottolineano anche l'importanza della responsabilità e della conformità nel contesto dell'AI. I fornitori di sistemi di AI sono tenuti a garantire che i loro prodotti siano conformi alle norme stabilite dal Regolamento prima di metterli sul mercato. Questo include l'obbligo di condurre una valutazione del rischio, di istituire un sistema di gestione dei rischi e di registrare i sistemi di AI ad alto rischio in un database dell'UE.
Un altro aspetto chiave delle disposizioni generali è l'importanza della trasparenza. Il Regolamento richiede che i fornitori di sistemi di AI forniscano informazioni chiare e comprensibili agli utenti su come funzionano i loro sistemi e su come vengono utilizzati i dati. Gli utenti di sistemi di AI, d'altra parte, sono tenuti a utilizzare i sistemi in conformità con le istruzioni redatte dai fornitori e a monitorare i sistemi per eventuali malfunzionamenti. Inoltre, devono segnalare qualsiasi incidente grave ai fornitori e alle autorità di vigilanza. Anche qui assistiamo a un principio di accountability, già presente nelle GDPR, ma con la novità che incomberà anche sui semplici utenti.
Inoltre, il Regolamento mira a costruire la fiducia del pubblico nell'AI attraverso una serie di misure, tra cui l'istituzione di un Comitato Europeo per l'Intelligenza Artificiale e la creazione di un registro dei sistemi di AI ad alto rischio. Queste misure mirano a garantire che l'AI sia utilizzata in modo sicuro e responsabile, e che i diritti dei cittadini siano protetti.
Titolo II - Pratiche vietate
Alcuni sistemi di intelligenza artificiale, sia per i meccanismi di funzionamento sia per gli obiettivi prefissati, sono ritenuti non accettabili per il diritto dell'Unione.
È quindi vietato l'uso, la messa in servizio o l'immissione sul mercato di un sistema di AI che:
a) utilizzi tecniche subliminali per distorcere il comportamento di una persona in modo da causare un danno fisico o psicologico.
b) sfrutti le vulnerabilità di un gruppo specifico di persone (per esempio, a causa dell'età o della disabilità) per distorcere il loro comportamento in modo da causare un danno fisico o psicologico.
c) venga utilizzato dalle autorità pubbliche per valutare o classificare l'affidabilità delle persone per un certo lasso di tempo, basandosi sul loro comportamento sociale o su caratteristiche personali, provocando un trattamento pregiudizievole o sfavorevole.
d) utilizzi l'identificazione biometrica remota "in tempo reale" in spazi pubblici per attività di contrasto, con alcune eccezioni.
Sono previste però le seguenti eccezioni:
L'uso di sistemi di identificazione biometrica remota "in tempo reale" in spazi pubblici è permesso solo se strettamente necessario per:
a) La ricerca mirata di potenziali vittime specifiche di reato, compresi i minori scomparsi.
b) La prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l'incolumità fisica delle persone o di un attacco terroristico.
c) Il rilevamento, la localizzazione, l'identificazione o l'azione penale nei confronti di un autore o un sospettato di un reato punibile con una pena o una misura di sicurezza privativa della libertà della durata massima di almeno tre anni.
L'uso di tali sistemi deve tener conto della natura della situazione, delle conseguenze dell'uso del sistema per i diritti e le libertà delle persone interessate, e deve rispettare le tutele e le condizioni necessarie e proporzionate in relazione all'uso, in particolare per quanto riguarda le limitazioni temporali, geografiche e personali.
Ogni uso di un sistema di identificazione biometrica remota "in tempo reale" è subordinato a un'autorizzazione preventiva rilasciata da un'autorità giudiziaria o da un'autorità amministrativa indipendente. In una situazione di urgenza debitamente giustificata, è possibile iniziare a usare il sistema senza autorizzazione e richiedere l'autorizzazione solo durante o dopo l'uso.
Uno Stato membro può decidere di prevedere la possibilità di autorizzare l'uso di sistemi di identificazione biometrica remota "in tempo reale" in spazi pubblici a fini di attività di contrasto, stabilendo nel proprio diritto nazionale le necessarie regole dettagliate per la richiesta, il rilascio, l'esercizio delle autorizzazioni, nonché per le attività di controllo.
Ci permettiamo di commentare che il novero delle pratiche intelligenza artificiale totalmente vietate ai sensi del Titolo II del Regolamento, appare assai scarno.
Infatti, il testo presentato pone una restrizione sull'uso distorto dell'intelligenza artificiale (IA), limitandosi a situazioni in cui possa essere causato un danno fisico o psicologico alle persone.
Tuttavia, questa limitazione potrebbe non essere sufficiente a proteggere pienamente gli individui e la società dagli abusi della IA. Possiamo immaginare casi in cui un uso distorto dell'IA può essere moralmente o eticamente deplorevole, anche se non provoca un danno fisico o psicologico diretto. Ad esempio, l'uso della IA per manipolare le decisioni delle persone, sia a livello individuale che collettivo, può essere altamente dannoso per la società, anche se non provoca danni fisici o psicologici diretti. Pensiamo ad esempio a sistemi di AI finalizzati a manipolare o influenzare decisioni politiche, elezioni o altre attività democratiche attraverso la diffusione di informazioni false, la manipolazione del comportamento degli elettori o l'interferenza con i sistemi di voto. Oppure pensiamo alle tecniche di deepfake o altre forme di manipolazione dell'immagine o del suono per creare contenuti ingannevoli che possano portare a crimini, frodi o danni alla reputazione di individui o organizzazioni.
Inoltre, l'uso distorto della IA finalizzato alla valutazione e classificazione di affidabilità delle persone appare proibito dal Regolamento solamente quando effettuato da autorità pubbliche e solo quando provochi un trattamento pregiudizievole o sfavorevole.
Tale limitazione sembra consentire l'uso dell'IA per profilare o classificare e valutare le persone in base a caratteristiche come la razza, il genere, l'età o l'orientamento sessuale da parte di organismi privati con il gravissimo rischio per i diritti e le libertà delle persone che ne consegue.
Si nota poi l’assenza di alcun divieto in relazione a sistemi di intelligenza artificiale in ambito militare.
Ci auguriamo perciò che il titolo II del Regolamento subisca una profonda revisione prima di approdare alla sua stesura definitiva.