L’AI Act approvato dall’Unione europea classifica i sistemi di AI in base al rischio, e richiede alle aziende un approccio più consapevole, trasparente e responsabile nell’utilizzo dell’intelligenza artificiale.
Gli sviluppi dell’intelligenza artificiale hanno innescato una rivoluzione in ogni ambito della nostra vita, la cui portata è difficilmente comprensibile. C’è chi paragona l’AI all’introduzione del motore durante la rivoluzione industriale e chi la rapporta – come forza disruptive – all’avvento di internet. Si moltiplicano gli articoli, gli studi, i libri che decantano le tante opportunità e i benefici legati alla corretta adoption dell’AI, ma sono tanti anche coloro che ne evidenziano i rischi: emblematico in tal senso un articolo apparso sulla MIT Technology review – rivista online del celebre Massachusetts Institute of Technology -, dal titolo Five ways criminals are using AI.
È proprio tenendo conto da un lato dei rischi legati all’AI e dall’altro del suo ruolo fondamentale per lo sviluppo e l’innovazione, che l’Unione europea ha lavorato per anni alla definizione di una legge che regolamentasse l’utilizzo dell’intelligenza artificiale. Questa legge, nota come AI Act, è stata finalmente approvata.
Si tratta della prima legge al mondo che interviene nell’ambito in costante e rapida evoluzione dell’AI: per la sua natura pionieristica può stabilire uno standard globale per la regolamentazione dell’intelligenza artificiale. L’AI Act armonizza alcune norme precedenti varate dall’Ue e ne contiene altre, oltre a prevedere una serie di sanzioni per coloro che non rispetteranno quanto contenuto al suo interno.
Per le aziende – sia quelle che sono già avanti nell’utilizzo dell’AI, sia per quelle che ne stanno definendo l’adoption –, diventa dunque prioritario conoscere quanto è contenuto nell’AI Act per potersi adeguare per tempo ed evitare di incorrere in sanzioni.
In questo articolo spieghiamo cos’è l’AI Act, qual è l’approccio utilizzato per scriverlo, quando sarà effettivamente applicato e quali sono le sanzioni per chi non rispetterà le norme contenute al suo interno. E capiremo anche cosa cambia, in termini di adoption dell’AI, per tutte le aziende.
L’AI Act è un documento corposo (qui il testo approvato dal Consiglio Ue), che si compone di 458 pagine ed è suddiviso in 180 “considerando” – le premesse -, 113 articoli e 13 allegati.
L’obiettivo dell’AI Act è promuovere lo sviluppo e l’adozione di sistemi di AI sicuri e affidabili nel mercato unico dell’Ue da parte di soggetti pubblici e privati; garantire il rispetto dei diritti fondamentali dei cittadini dell’UE; stimolare gli investimenti e l’innovazione sull’AI in Europa.
Per la comprensione dell’AI ACT è utile soffermarsi su tre concetti: il primo è quello di “sistemi di AI”, il secondo quello di “modello di AI per finalità generali” e il terzo è il concetto di “livelli di rischio”.
Per “sistema di AI”, nel regolamento si intende “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”. È una definizione che è stata oggetto di molte discussioni e che è in linea con quanto stabilito dall’OCSE, Organizzazione per la cooperazione e lo sviluppo economico.
Per “modello di AI per finalità generali” si intende un modello, anche addestrato con grandi quantità di dati utilizzando l’autosupervisione su larga scala, caratterizzato da una generalità significativa e sia in grado di svolgere con competenza un’ampia gamma di compiti distinti, indipendentemente dalle modalità con cui il modello è immesso sul mercato, e che può essere integrato in una varietà di sistemi o applicazioni a valle. In questo ambito rientrano, a titolo di esempio, le varie versioni del chatbot Chat-GPT, mentre non rientrano i modelli di AI utilizzati per attività di ricerca, sviluppo o prototipazione prima di essere immessi sul mercato.
L’approccio utilizzato dall’UE per la redazione dell’AI Act è basato sul rischio: in generale, più alto è il rischio che i sistemi di AI causino danni alla società, più severe sono le regole che li riguardano. I sistemi di AI sono stati suddivisi in quattro livelli di rischio:
1. Rischio inaccettabile
I sistemi di AI che rientrano nel primo livello (rischio inaccettabile) sono quelli in contrasto con i valori e i principi fondamentali dell’UE, tra cui il rispetto della dignità umana, della democrazia e dello stato di diritto. Questi sistemi, considerati una chiara minaccia alla sicurezza, ai mezzi di sussistenza e ai diritti delle persone, sono vietati. In questa categoria rientrano, ad esempio, sistemi di AI che manipolano il comportamento umano, che consentono lo “scoring sociale” da parte di governi e autorità pubbliche, o anche giocattoli che usano l’assistenza vocale per incoraggiare comportamenti pericolosi.
2. Rischio elevato
I sistemi di AI considerati ad alto rischio sono soggetti a degli obblighi rigorosi prima di poter essere immessi sul mercato. Le aziende o i soggetti che li sviluppano dovranno garantire, tra l’altro, adeguati sistemi di valutazione e mitigazione dei rischi, un’alta qualità delle serie di dati che alimentano il sistema per ridurre al minimo i rischi e i risultati discriminatori, una registrazione dell’attività per garantire la tracciabilità dei risultati e prevedere sempre adeguate misure di sorveglianza umana per ridurre al minimo i rischi.
Tra questi sistemi di AI ad alto rischio rientrano tutti i sistemi di identificazione biometrica e l’AI utilizzata in infrastrutture critiche come i trasporti, nella formazione scolastica o professionale, in componenti di sicurezza dei prodotti (ad esempio i robot per la chirurgia), nell’ambito dell’occupazione e gestione dei lavoratori e nei servizi pubblici e privati essenziali, come ad esempio il sistema di credit scoring per i prestiti.
3. Rischio limitato
Per rischio limitato l’AI Act intende essenzialmente la mancanza o scarsità di trasparenza nell’utilizzo dell’intelligenza artificiale. A questo rischio è dedicato in particolare l’articolo 50 dell’AI Act, che introduce specifici obblighi di trasparenza per garantire che le persone siano consapevoli di interfacciarsi con un sistema di AI o di essere di fronte a contenuti (audio, video, testo) prodotti dall’intelligenza artificiale.
A proposito dell’identificabilità dei contenuti prodotti dall’AI qualcosa si sta già muovendo: Meta, ad esempio, ha previsto un sistema per identificare con delle etichette specifiche quei contenuti che sono prodotti dall’intelligenza artificiale su Facebook, Instagram e Threads, e lo stesso hanno promesso di fare TikTok e Youtube. Non si tratta però di un compito facile: come spiega Melissa Heikkilä sulla MIT Technology Review, è ancora difficile individuare in modo affidabile i contenuti generati dall’AI.
4. Rischio minimo o nullo
Sono considerati sistemi di AI a rischio minimo o nullo applicazioni come i filtri antispam o i videogiochi: la maggior parte delle applicazioni attualmente utilizzate nell’Unione europea rientra proprio in quest’ultima fascia.
La legge sull’AI si applica solo ai settori che rientrano nel diritto dell’Ue e prevede delle esenzioni: i sistemi utilizzati esclusivamente per scopi militari e di difesa e per la ricerca – scientifica e medica – non sono soggetti all’AI Act.
Non sono soggetti all’AI Act neanche i sistemi di AI rilasciati con licenza libera e open-source, a meno che non rientrino tra i sistemi ad alto rischio, tra le pratiche vietate o non rispettino le norme di trasparenza previste all’articolo 50 già citato.
L’AI Act si applica nello specifico:
L’AI Act ha avuto una lunga gestazione e ha richiesto diversi anni di lavoro all’interno delle istituzioni europee. I suoi effetti concreti si faranno sentire in maniera progressiva: varrà applicato a partire da due anni dopo la pubblicazione sulla Gazzetta ufficiale, ma serviranno fino a 3 anni per far sì che tutte le norme, i divieti e le sanzioni diventino effettive.
L’iter di approvazione è partito ad aprile 2021, quando la Commissione europea ha presentato la prima proposta di legge sull’AI Act, a cui hanno fatto seguito le posizioni espresse dal Consiglio dell’Ue e dal Parlamento Ue.
Nel dicembre 2023 è stato raggiungo un accordo politico sul testo finale della legge tra le tre principali istituzioni europee. Le ultime milestone dell’iter legislativo sono state l’approvazione finale da parte del Parlamento europeo (il 13 marzo 2024) e l’approvazione finale da parte del Consiglio europeo (il 21 maggio 2024).
Il passaggio successivo è la pubblicazione dell’AI Act sulla Gazzetta ufficiale: il regolamento entra in vigore venti giorni dopo la pubblicazione, ma si applicherà due anni dopo la sua entrata in vigore, con alcune eccezioni per alcune disposizioni specifiche:
Per garantire che l’AI Act trovi concreta e corretta applicazione all’interno dell’Unione europea, sono stati previsti sia interventi a livelli di governance, sia un sistema di sanzioni.
Sul fronte della governance, sono stati previsti diversi organi di governo:
Le sanzioni previste sono invece le seguenti:
Queste sanzioni possono essere imposte dalle autorità nazionali competenti, tenute a cooperare tra loro e con la Commissione europea attraverso il Comitato europeo per l’intelligenza artificiale.
Come si può intuire da quanto scritto finora, sono soprattutto le aziende direttamente impegnate nello sviluppo di sistemi di AI quelle che saranno maggiormente impattate dall’applicazione dell’AI Act. In generale, gli shift che molte aziende del settore dovranno compiere sono sul fronte della compliance alle nuove regole, di una maggiore trasparenza e di un monitoraggio continuo.
Le aziende che sviluppano “modelli di AI per scopi generici”, come i modelli linguistici, dovranno inoltre creare e conservare la documentazione tecnica che mostra come hanno costruito il proprio modello, come rispettano il diritto di autore e la proprietà intellettuale, nonché pubblicare i dati utilizzati per addestrare il modello di AI: un cambiamento radicale rispetto alla situazione attuale, in cui molte aziende sono accusate di opacità rispetto a questi temi.
Come puntualizza la MIT Technology review, sono le aziende con i modelli di AI più potenti, come GPT-4 e Gemini (e quindi Open AI e Google) che avranno gli obblighi più onerosi: eseguire valutazioni dei modelli, valutazioni e mitigazioni dei rischi, garantire la protezione della cybersecurity e segnalare qualsiasi incidente in cui il sistema di AI abbia fallito. Chi non si adeguerà incorrerà nelle pesanti sanzioni che abbiamo già visto o potrebbe vedersi escluso dal mercato europeo.
Una delle applicazioni di intelligenza artificiale più diffuse in azienda è Microsoft Copilot, assistente virtuale che si integra e potenzia la suite Microsoft 365. Logotel, che è certificata Microsoft Solutions Partner for Modern Work, con specializzazione nella adoption e nel change management, ha sperimentato al proprio interno e con i propri clienti i vantaggi che una corretta adoption di Copilot comporta per le imprese, a livello di aumento di produttività ed efficienza. Dopo l’approvazione dell’AI Act, molte aziende si staranno domandando se Microsoft Copilot è compliant con le norme europee.
Su uno dei propri siti dedicati all’argomento, Microsoft sottolinea l’impegno a rispettare l’AI Act ed evidenzia che lo standard seguito per realizzare Copilot – il Responsible AI standard – tiene conto delle varie normative in materia di AI, incluso l’AI Act.
Al momento del rilascio di Copilot l’AI Act non era però ancora stato approvato nella sua versione definitiva, motivo per cui l’azienda di Redmond ha comunicato che “man mano che i requisiti finali della legge europea sull’IA verranno definiti in modo più dettagliato, saremo lieti di collaborare con i responsabili politici per garantire un’attuazione e un’applicazione fattibile delle norme, di dimostrare la nostra conformità e di impegnarci con i nostri clienti e gli altri stakeholder per sostenere la conformità in tutto l’ecosistema”.
Inoltre, Microsoft ha introdotto l’AI Hub in Microsoft Purview, uno strumento che aiuta le organizzazioni a gestire i requisiti di rischio e conformità per le app di intelligenza artificiale, come Copilot per Microsoft 365 e offre assistenza guidata per le normative emergenti sull’AI, tra cui proprio l’AI Act.
Nella sua rubrica sulla MIT Sloan Management Review Italia, il professor Edoardo Raffiotta, che insegna Diritto Costituzionale presso l’Università degli Studi di Milano-Bicocca ed è membro del Comitato di Coordinamento per le strategie nazionali sull’Intelligenza Artificiale della Presidenza del Consiglio dei Ministri, ha analizzato quali sono gli impatti dell’approvazione dell’AI Act sulle aziende.
Raffiotta ha ricordato come “spetta alla singola impresa (sia essa un istituto di credito, l’assicurazione, una farmaceutica o un’industriale) implementare il sistema di AI quando lo progetta, modifica o utilizza, in ossequio alla regolazione europea.
Nell’implementarlo, l’impresa deve tenere conto delle proprie dimensioni, della quantità dei sistemi impiegati e degli ambiti nei quali opera”. La prima azione da compiere per ogni impresa, sulla base della propria natura, sarà dunque quella di “dotarsi di un’organizzazione (e quindi implementare una buona governance, anche nel senso di buon governo societario) che possa facilitare il rispetto costante dell’Ai Act”.
In aggiunta alla considerazione del professor Raffiotta, possiamo evidenziare cinque macro-punti che sintetizzano i benefici, ma anche le maggiori responsabilità derivanti dall’AI Act per le aziende.
1. Maggiore chiarezza normativa: Il regolamento fornisce una definizione chiara e armonizzata di “sistemi di intelligenza artificiale” e stabilisce requisiti legali specifici per il loro sviluppo, distribuzione e utilizzo. Le aziende beneficeranno di linee guida più chiare per navigare nel panorama normativo dell’IA.
2. Classificazione dei rischi: come scritto sopra, i sistemi AI sono classificati in base al livello di rischio, con regole più stringenti per quelli considerati ad alto rischio. Le aziende dovranno valutare attentamente i rischi associati ai loro prodotti e assicurarsi di conformarsi ai requisiti pertinenti.
3. Trasparenza e accountability: le aziende saranno tenute a garantire la trasparenza dei loro sistemi AI. Dovranno fornire informazioni chiare sull’uso, sulle capacità e sui limiti dei loro sistemi, aumentando così la fiducia dei consumatori e degli utenti.
4. Protezione dei dati e privacy: il regolamento rafforza la protezione dei dati personali e la privacy, richiedendo che i sistemi di AI siano progettati e utilizzati in modo da rispettare la privacy e i dati degli utenti.
5. Sviluppo sostenibile ed etico: le aziende saranno incoraggiate a sviluppare e utilizzare sistemi di intelligenza artificiale in modo etico e sostenibile, promuovendo pratiche che rispettino i diritti umani e l’ambiente.
Sarà probabilmente solo dopo la sua completa attuazione che si potranno valutare i reali impatti dell’AI Act sulle aziende. Molte sono infatti le “aree grigie” che avranno bisogno di ulteriori interpretazioni e delucidazioni. Un esempio: al comma f dell’articolo 5 “pratiche di AI vietate”, l’AI Act vieta espressamente “l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione, tranne laddove l’uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza”.
La definizione di “sistema di riconoscimento delle emozioni” contenuta nello stesso AI Act (all’articolo 3) specifica che si intende in tal senso “un sistema di AI finalizzato all’identificazione o all’inferenza di emozioni o intenzioni di persone fisiche sulla base dei loro dati biometrici”, quindi i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona, tra cui l’immagine facciale o i dati dattiloscopici.
Questa precisazione sembra escludere da questo divieto tutti gli strumenti di AI volti a determinare il sentiment delle persone che partecipano a iniziative aziendali quali programmi formativi o community interne, che vengono già utilizzati in diversi contesti a fini analitici e anche per apportare modifiche e correttivi alle attività o ai progetti che vengono svolti.
In questi casi, infatti, le emozioni di solito non sono inferite da dati biometrici, ma da appositi feedback forniti dagli stessi partecipanti. Ma probabilmente sarà solo quando l’AI Act troverà piena applicazione che si capirà se sarà necessario, per le aziende, adottare alcuni accorgimenti (ad esempio, l’anonimizzazione delle informazioni ottenute, in maniera da non associare le emozioni a un determinato individuo) per proseguire con tali attività.
Il regolamento europeo sull’intelligenza artificiale, l’AI Act, rappresenta un importante passo avanti nella regolamentazione di questa tecnologia. È stato scritto con l’obiettivo di promuovere lo sviluppo e l’adozione di sistemi di AI sicuri e affidabili, garantendo il rispetto dei diritti fondamentali dei cittadini dell’Ue e riducendo i rischi legati a un utilizzo non regolamentato dell’AI.
Le aziende che utilizzano l’AI, che ormai pervade ogni industry, dovranno adattarsi a un ambiente normativo più strutturato, che richiede un approccio più consapevole e responsabile nello sviluppo e nell’uso dell’intelligenza artificiale. Con la giusta preparazione e comprensione delle nuove regole, le aziende possono non solo conformarsi ma anche trarre vantaggio dalla maggiore fiducia con cui i cittadini si approcceranno all’intelligenza artificiale e dalle opportunità di innovazione che ne derivano, evitando di incorrere nelle sanzioni che l’AI Act prevede per chi non rispetterà le regole.
