Il termine “Intelligenza Artificiale“ – AI, Artificial Intelligence in inglese – fu coniato per la prima volta nel 1955 da John McCarthy durante un seminario al Dartmouth College, negli Stati Uniti, e già allora ci si rese conto che l’impatto sociale, tecnologico ed economico delle IA sarebbe stato molto importante, se alimentato con dovizia e senso etico.

Oggi, la capacità e la velocità dell’IA nell’analizzare dati complessi stanno trasformando tutti i settori dell’industria, dalla chimica al marketing, dal manifatturiero alla finanza, dal settore sanitario a quello assicurativo.

Secondo i dati forniti da Anitec-Assinform, l’associazione delle aziende ICT di Confindustria, il mercato dell’IA in Italia è aumentato del 21,9% nel 2022, raggiungendo un fatturato di circa 422 milioni di euro, con una previsione di crescita media annua del 22% entro il 2025.

All’inizio del 2023, l’Osservatorio Artificial Intelligence del Politecnico di Milano ha confermato che il 61% delle grandi imprese italiane ha avviato almeno un progetto di IA e il 42% di queste ha più di un progetto operativo. Anche le PMI stanno adottando l’IA, con il 15% che ha già avviato almeno un progetto e un terzo di esse ha in programma di avviarne di nuovi nei prossimi due anni.

I settori in cui l’IA viene maggiormente applicata includono l’elaborazione intelligente dei dati (analisi e estrazione di informazioni per previsioni, come gestione degli investimenti o pianificazione aziendale), i sistemi di raccomandazione (algoritmi che suggeriscono contenuti, prodotti e servizi in base alle preferenze degli utenti), le generative AI e le applicazioni legate all’interpretazione del linguaggio, nonché le soluzioni di computer vision per l’analisi di immagini, che possono essere utilizzate anche per la sorveglianza pubblica.

Di fronte a questi dati, è evidente che sorgono questioni giuridiche ed etiche che richiedono una disciplina tempestiva.

AI Act

Il 14 giugno, il Parlamento europeo ha approvato la proposta AI Act, il primo regolamento al mondo che disciplinerà l’uso dell’intelligenza artificiale in tutti gli Stati membri dell’Unione Europea in maniera uniforme. I negoziati informali tra rappresentanti del Parlamento, del Consiglio e della Commissione inizieranno presto per arrivare all’approvazione del testo definitivo entro la fine dell’anno. Una volta pubblicato nella Gazzetta Ufficiale dell’Unione Europea, il regolamento entrerà in vigore direttamente senza bisogno di ratifica e non potrà essere modificato se non in casi molto limitati.

I punti salienti della bozza approvata dall’Europarlamento includono un quadro giuridico uniforme per lo sviluppo, la commercializzazione e l’uso dell’IA, la libera circolazione transfrontaliera di prodotti e servizi basati sull’IA, la protezione della salute, della sicurezza e dei diritti fondamentali, la tutela dei principi etici, il monitoraggio del mercato, la governance e il sostegno all’innovazione, l’approccio basato sul rischio e la complementarietà con altre normative europee.

La bozza definisce l’intelligenza artificiale come “un sistema progettato per funzionare con elementi di autonomia e che, sulla base di dati e input forniti da macchine e/o dall’uomo, deduce come raggiungere una determinata serie di obiettivi avvalendosi di approcci di apprendimento automatico e/o basati sulla logica e sulla conoscenza, e produce output generati dal sistema quali contenuti (sistemi di intelligenza artificiale generativi), previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui il sistema di intelligenza artificiale interagisce.”

Il regolamento si applicherà ai fornitori di sistemi di IA indipendentemente dalla loro ubicazione geografica, agli utenti di tali sistemi stabiliti nell’UE e anche agli utenti esterni all’UE se influiscono sulle persone residenti all’interno della Comunità Europea.

Forme di rischio

Le forme di rischio – chiamate comunemente “risk based” – classificano i sistemi di IA in base al livello di rischio che comportano ai diritti fondamentali, indipendentemente dalla tecnologia e dall’algoritmo utilizzati. Questo permette di distinguere i vari tipi di prodotti in base al rischio e di identificare le soluzioni appropriate a seconda del sistema utilizzato. Ad esempio, l’uso di sistemi che possono causare danni fisici o psicologici è vietato, mentre è consentito l’utilizzo di prodotti in grado di interagire con le persone fisiche a condizione che vengano debitamente informate su tutti gli aspetti necessari per comprendere lo strumento e il trattamento dei propri dati.

Il testo originale prevedeva il divieto di pratiche inaccettabili in cui i sistemi di IA vengono utilizzati per scopi contrari ai valori dell’Unione, tipo la manipolazione delle persone attraverso tecniche subliminali o lo sfruttamento della vulnerabilità dei minori o di persone con disabilità per provocare danni psicologici o fisici.

Il testo approvato il 14 giugno, con alcune modifiche rispetto alla bozza presentata all’Europarlamento, individua e vieta i seguenti software:

  • Riconoscimento biometrico remoto, in tempo reale e a posteriori in aree pubbliche;
  • Software predittivi, inclusi quelli relativi a illeciti (già vietati in ambito penale);
  • Software utilizzati per l’assegnazione di punteggi sociali, anche da parte di enti privati, che sfruttano le vulnerabilità di gruppi di persone a causa della loro condizione sociale ed economica;
  • Software di riconoscimento delle emozioni applicati in ambito giudiziario, di gestione delle frontiere, sul luoghi di lavoro e in contesti educativi;
  • Software di categorizzazione biometrica basati su genere, razza, etnia, cittadinanza, religione o credo politico;
  • Software di estrazione non mirata di dati biometrici da Internet o da video di telecamere a circuito chiuso.

Il documento regolamenta i sistemi di IA ad alto rischio per la salute, la sicurezza e i diritti delle persone. Tali sistemi possono essere commercializzati nell’Unione Europea solo se soddisfano determinati requisiti obbligatori e previa valutazione preventiva.

La classificazione dei sistemi di IA come ad alto rischio si basa sulla loro finalità prevista, oltre che sulla loro funzione specifica. Il regolamento stabilisce obblighi di conformità differenziati in base al livello di rischio, imponendo maggiori responsabilità ai produttori e fornitori di software e servizi di IA a rischio elevato.

Ad esempio, i sistemi di IA ad alto rischio devono adottare un sistema di gestione dei rischi, seguire criteri qualitativi specifici per i dati e i modelli utilizzati, documentare lo sviluppo e il funzionamento, garantire trasparenza agli utenti, consentire la supervisione umana e assicurare affidabilità, precisione e sicurezza. La valutazione della conformità può essere effettuata autonomamente o coinvolgere un organismo esterno.

Il regolamento impone norme più rigide per i foundation model, che sono modelli di machine learning addestrati su grandi quantità di dati e successivamente utilizzati come base per l’addestramento di altri modelli specializzati. Ad esempio, i sistemi di IA generativi come ChatGPT devono:

  • rispettare ulteriori obblighi di trasparenza;
  • implementare salvaguardie per prevenire la generazione di contenuti illegali;
  • essere sottoposti a test continui per garantire prestazioni adeguate, , interoperabilità, correggibilità, sicurezza e sicurezza informatica;
  • implementare un sistema di gestione della qualità, conservare documentazione pertinente per almeno 10 anni, registrare i modelli nel database dell’UE;
  • adottare misure di governance dei dati e divulgarne le specifiche tecniche come potenza di calcolo e tempo di addestramento.

Sanzioni

Il AI Act non si applica ai sistemi militari, di difesa e di sicurezza nazionale, alla ricerca e sviluppo, e ai sistemi utilizzati da privati per scopi professionali. Tuttavia, i privati devono comunque rispettare gli obblighi di trasparenza. L’omissione della regolamentazione di settori in cui l’IA potrebbe essere impiegata in modo invasivo, ledendo i diritti e le libertà delle persone, costituisce indubbiamente un problema potenziale.

La scelta del legislatore europeo, frutto di ovvi compromessi, dimostra comunque l’apertura dei Paesi dell’Unione verso i sistemi idi intelligenza artificiale. Ci si aspetta quindi che tutto il personale che ruota attorno alle IA agisca per non limitare mai i diritti dei cittadini, altrimenti potrebbero essere espulsi dall’UE.

Il Regolamento prevede tre fasce di sanzioni amministrative pecuniarie per le violazioni, con importi massimi di 30-20-10 milioni di euro o, nel caso di aziende, fino al 6% del fatturato mondiale annuo. La proposta modificata a seguito dell’approvazione avvenuta lo scorso aprile, ha reso i massimali delle sanzioni proporzionati in caso di violazione da parte delle piccole e medie imprese o delle start-up.

Tra le violazioni più gravi rientra l’immissione sul mercato o l’uso di un servizio vietato dal Regolamento. Le violazioni dei requisiti richiesti per un sistema di IA rientrano nel livello medio di sanzioni, mentre la mancata cooperazione e informazione alle autorità competenti rientrano nel livello basso.

Naturalmente, l’Intelligenza Artificiale e la protezione dei dati personali sono fortemente interconnessi, quindi richiedono una tutela adeguata per garantire la libertà e i diritti fondamentali delle persone. È questo che lo AI Act cerca di regolare.

L'immagine di copertina è di @dezuzel su Midjourney