L’AI Act è entrato in vigore l’1° agosto 2024 ed è il primo quadro giuridico al mondo che affronta i rischi dell’IA e fornisce agli sviluppatori e agli utilizzatori indicazioni chiare su requisiti e obblighi. Tra gli altri, ha identificato alcune categorie di sistemi di IA considerati particolarmente pericolosi, per i quali il divieto di utilizzo decorre a partire dal 2 febbraio 2025.
Il loro uso potrebbe comportare, a partire dal 2 agosto 2025, la possibilità per le autorità nazionali dei Paesi dell’Ue di imporre multe fino a 35 milioni di euro o al 7% del fatturato mondiale del gruppo (a seconda di quale sia il valore più alto) ai sensi dell’articolo 99(3) dell’AI Act. Gianluigi Marino, Head of Digitalisation in Italia, Osborne Clarke: “Con meno di dieci settimane per garantire la conformità, le aziende devono iniziare a valutare il loro rischio in questo settore e sviluppare piani per affrontare qualsiasi area di potenziale non conformità. Le multe sono state fissate a un livello ancora più alto rispetto al GDPR e ci aspettiamo che l’Ue applichi il nuovo regime fin dal primo giorno; non ci aspettiamo un periodo di grazia per la non conformità come nel caso del GDPR. La Commissione Ue ritiene che sia stato dato un preavviso sufficiente per consentire a tutte le aziende dell’Ue di conformarsi, comprese quelle che rientrano nell’ambito dello Spazio Economico Europeo (SEE) e le aziende internazionali con clienti e siti web che operano nell’Ue“.
È fondamentale che le aziende inizino ad analizzare quali sistemi e modelli di IA stanno già utilizzando e prevedono di utilizzare nel prossimo futuro. In ambito IT i cicli di sviluppo possono essere piuttosto lunghi, quindi è importante non solo implementare un processo per eliminare l’IA vietata, ma anche valutare quali misure devono essere adottate per conformarsi agli obblighi previsti dall’AI Act. Questi includono i requisiti di trasparenza, i sistemi di gestione del rischio e la necessità di documentazione.
La conformità del software diventa sempre più una questione di responsabilità da prodotto, e l’AI Act è ora una parte fondamentale di questo processo. I divieti, stabiliti nell’articolo 5 dell’AI Act, riguardano gli usi dei sistemi di IA che comportano rischi considerati inaccettabili per la salute e la sicurezza o per i diritti fondamentali.
Tra questi rientrano:
– I sistemi di intelligenza artificiale che utilizzano tecniche subliminali, manipolative o ingannevoli volte a distorcere materialmente il comportamento di una persona, compromettendo la sua capacità di prendere una decisione informata e inducendola a prendere una decisione che non avrebbe altrimenti preso, derivandone un danno significativo
– I sistemi di intelligenza artificiale che sfruttano le vulnerabilità di una persona dovute a età, disabilità, condizioni sociali o economiche per distorcerne il comportamento, causando un danno significativo. Come nel caso del divieto di “tecniche ingannevoli”, è probabile che questo aspetto interessi i fornitori di sistemi che consentono la vendita o il gioco online
– Punteggio sociale (social score) basato sul comportamento o sulle caratteristiche personali che si traduce in un trattamento dannoso nei confronti di una persona in un contesto sociale che non è correlato al luogo in cui i dati di punteggio sono stati originariamente raccolti, o è ingiustificato o sproporzionato. Le preoccupazioni in questo caso riguardano gli strumenti di intelligenza artificiale utilizzati dai social media per classificare i comportamenti
– I sistemi di intelligenza artificiale che creano o ampliano i database di riconoscimento facciale attraverso lo scraping non mirato di immagini facciali da Internet o da riprese delle telecamere a circuito chiuso
L’obiettivo è quello di impedire esplicitamente l’introduzione nell’Ue di modelli di business analoghi a Clearview, azienda statunitense che ha raccolto immagini facciali pubblicate su Internet in modo illegale e le ha utilizzate in un sistema di riconoscimento facciale fornito alle autorità di polizia nell’Ue.
– I sistemi per inferire le emozioni di una persona utilizzati sul posto di lavoro o in contesti educativi (a meno che non si tratti di ragioni mediche o di sicurezza)
– I sistemi di categorizzazione biometrica in cui informazioni come il volto o l’impronta digitale di una persona vengono utilizzate per dedurre caratteristiche sensibili come la razza, le opinioni politiche, l’appartenenza a sindacati, le convinzioni religiose o filosofiche, la vita sessuale o l’orientamento sessuale (con eccezioni per le forze dell’ordine)
– I sistemi di intelligenza artificiale utilizzati per prevedere la probabilità che una persona commetta un reato, basandosi esclusivamente sul profilo o sulla valutazione dei suoi tratti di personalità (la cosiddetta esclusione “Minority Report”)
– I sistemi di riconoscimento facciale a distanza in tempo reale utilizzati in spazi accessibili al pubblico per le forze dell’ordine, con alcune eccezioni
L’Ufficio dell’Ue per l’IA deve ancora fornire informazioni dettagliate in merito a ciascuno di questi punti. Per le aziende che utilizzano sistemi di intelligenza artificiale, la legge prevede una serie di disposizioni aggiuntive che entreranno in vigore progressivamente nei prossimi anni:
– 2 agosto 2025: entreranno in vigore le disposizioni sull’IA per scopi generali, nonché le disposizioni in materia di notifica, governance, sanzioni e riservatezza
– 2 agosto 2026: sarà applicabile la maggior parte delle altre disposizioni, comprese le regole per i modelli ad alto rischio definite nell’Allegato III
– 2 Agosto 2027: saranno applicabili le norme per le IA ad alto rischio contenute in sistemi o prodotti già soggetti alla normativa Ue sulla sicurezza dei prodotti, come elencato nell’Allegato I
