Il Parlamento europeo ha approvato una legge per regolamentare l’intelligenza artificiale, quasi tre anni dopo la bozza delle norme inizialmente proposto. I funzionari hanno raggiunto un accordo sullo sviluppo dell’IA in dicembre 2023. Mercoledì i deputati hanno approvato la legge sull’AI con 523 voti favorevoli, 46 contrari e 49 astensioni.
L’UE afferma che i regolamenti mirano a “proteggere i diritti fondamentali, la democrazia, lo stato di diritto e la sostenibilità ambientale dall’intelligenza artificiale ad alto rischio, promuovendo al tempo stesso l’innovazione e affermando l’Europa come leader nel settore”. La legge definisce gli obblighi per le applicazioni di intelligenza artificiale in base ai potenziali rischi e impatti.
La normativa non è ancora diventata legge
È ancora soggetto ai controlli dei giuristi-linguisti, mentre il Consiglio europeo deve applicarlo formalmente. Ma è probabile che la legge sull’AI entri in vigore prima della fine della legislatura, prima delle prossime elezioni parlamentari di inizio giugno.
La maggior parte delle disposizioni entrerà in vigore 24 mesi dopo l’entrata in vigore della legge sull’AI, ma i divieti sulle applicazioni vietate entreranno in vigore dopo sei mesi. L’UE sta vietando pratiche che ritiene possano minacciare i diritti dei cittadini. I “sistemi di categorizzazione biometrica basati su caratteristiche sensibili” saranno messi fuori legge, così come lo “scraping non mirato” di immagini di volti da filmati CCTV e dal web per creare database di riconoscimento facciale. L’attività di Clearview AI rientrerebbe in tale categoria.
Cosa prevede la regolamentazione
Altre applicazioni che verranno vietate includono punteggio sociale; riconoscimento delle emozioni nelle scuole e nei luoghi di lavoro; e “l’intelligenza artificiale che manipola il comportamento umano o sfrutta le vulnerabilità delle persone”. Alcuni aspetti della polizia predittiva saranno vietati, ad esempio quando si basa interamente sulla valutazione delle caratteristiche di qualcuno (come dedurre il suo orientamento sessuale o le sue opinioni politiche) o sulla sua profilazione. Sebbene l’AI Act vieti in generale l’uso di sistemi di identificazione biometrica da parte delle forze dell’ordine, in determinate circostanze sarà consentito previa autorizzazione, ad esempio per aiutare a trovare una persona scomparsa o prevenire un attacco terroristico.
Le applicazioni ritenute ad alto rischio, compreso l’uso dell’intelligenza artificiale nelle forze dell’ordine e nell’assistenza sanitaria, sono soggette a certe condizioni. Non devono discriminare e devono rispettare le norme sulla privacy. Gli sviluppatori devono dimostrare che i sistemi sono trasparenti, sicuri e spiegabili anche agli utenti. Per quanto riguarda i sistemi di intelligenza artificiale che l’UE ritiene a basso rischio (come i filtri antispam), gli sviluppatori devono comunque informare gli utenti che stanno interagendo con i contenuti generati dall’intelligenza artificiale.
La questione spinosa dei Deepfake
La legge ha alcune regole anche quando si tratta di intelligenza artificiale generativa e di media manipolati. I deepfake e qualsiasi altra immagine, video e audio generato dall’intelligenza artificiale dovranno essere chiaramente etichettati. Anche i modelli di intelligenza artificiale dovranno rispettare le leggi sul copyright. “I titolari dei diritti possono scegliere di riservarsi i propri diritti sulle proprie opere o altro materiale per impedire l’estrazione di testi e dati, a meno che ciò non avvenga per scopi di ricerca scientifica”, si legge nel testo della legge sull’AI. “Laddove il diritto di opt-out è stato espressamente riservato in modo appropriato, i fornitori di modelli di intelligenza artificiale per scopi generali devono ottenere un’autorizzazione dai titolari dei diritti se vogliono effettuare text e data mining su tali opere.” Tuttavia, i modelli di intelligenza artificiale realizzati esclusivamente per la ricerca, lo sviluppo e la prototipazione sono esenti.
I modelli di intelligenza artificiale generativa e generica più potenti (quelli addestrati utilizzando una potenza di calcolo totale superiore a 10 ^ 25 FLOP) sono ritenute aventi rischi sistemici secondo le regole. La soglia può essere modificata nel tempo, ma si ritiene che GPT-4 di OpenAI e Gemini di DeepMind rientrino in questa categoria.
I fornitori di tali modelli dovranno valutare e mitigare i rischi, segnalare incidenti gravi, fornire dettagli sul consumo energetico dei loro sistemi, garantire che soddisfino gli standard di sicurezza informatica ed effettuare test e valutazioni dei modelli all’avanguardia.
Le sanzioni
Come con altre normative UE riguardanti la tecnologia, le sanzioni per la violazione delle disposizioni della legge sull’AI possono essere elevate. Le aziende che infrangono le regole saranno soggette a multe fino a 35 milioni di euro (51,6 milioni di dollari) o fino al 7% dei loro profitti annuali globali, a seconda di quale valore sia più elevato.
L’AI Act si applica a qualsiasi modello operante nell’UE, quindi i fornitori di AI con sede negli Stati Uniti dovranno rispettarlo, almeno in Europa. Sam Altman, CEO del creatore di OpenAI OpenAI, ha suggerito lo scorso maggio che la sua azienda potrebbe ritirarsi dall’Europa se l’AI Act diventasse legge, ma poi detto la società non aveva intenzione di farlo.
Per far rispettare la legge, ogni Paese membro creerà il proprio watchdog sull’IA e la Commissione Europea istituirà un Ufficio AI. Ciò svilupperà metodi per valutare i modelli e monitorare i rischi nei modelli di uso generale. I fornitori di modelli universali ritenuti portatori di rischi sistemici saranno invitati a elaborare insieme all’Ufficio codici di condotta.