AI Act: come viene regolamentata l’intelligenza artificiale in UE?

Si svolge oggi, a Milano e in live streaming, il Forum HSE 2024, dedicato a “L’HSE Manager oggi: nuovi approcci strategici tra safety, sustainability, digital transformation e well-being”.

Gabriele Mazzini, EU AI Act Team Leader della Commissione europea, anticipa a IPSOA Quotidiano i temi oggetto del suo intervento.

L’importanza di questo regolamento é legata a molti fattori. Per esempio, si tratta della prima iniziativa a livello mondiale che cerca di inquadrare in modo vincolante l’uso dell’intelligenza artificiale, tenendo conto sia dei rischi che delle opportunità di quest’ultima. Un altro aspetto di rilievo é che si tratta di un regolamento molto articolato, e per certi versi complesso, in ragione della sua natura cosiddetta orizzontale. In altri termini, il regolamento impatta sostanzialmente tutti i settori della nostra vita economica e sociale, dalla sicurezza dei prodotti ai servizi finanziari, dal mondo del lavoro a quello dell’educazione e della formazione, dal settore della pubblica sicurezza a quello dell’immigrazione e dell’amministrazione della giustizia. Queste considerazioni hanno ovviamente avuto un ruolo di peso nella fase di concezione e di redazione della proposta da parte della Commissione e sono state al centro del dibattito politico da parte dei due legislatori europei, il Parlamento europeo e il Consiglio. Personalmente mi sono occupato dei profili di policy dell’intelligenza artificiale e delle nuove tecnologie a partire dal mio primo giorno di lavoro alla Commissione nel 2017. Dal 2019, a seguito dell’insediamento della Commissione a guida Von del Leyen, mi sono dedicato a riflettere in modo specifico su un possibile quadro regolamentare per l’IA. In particolare, ho ideato la struttura e i principi di fondo della bozza di regolamento e ho guidato il lavoro di stesura giuridica della stessa e poi di negoziazione della proposta durante il suo iter legislativo.

Leggi anche Intelligenza artificiale: approvato il nuovo regolamento UE

L’idea di fondo dell’AI Act é quella di regolamentare non tanto la tecnologia di per sè, che in quanto tale non è né buona né cattiva, ma l’utilizzo della tecnologia. É l’uso della tecnologia che può creare tanto rischi quanto opportunità e benefici e quindi la regolamentazione mira proprio a fare in modo che l’uso della tecnologia in Europa sia soggetto a delle regole e che queste regole siano in funzione del rischio potenzialmente generato dall’utilizzo. Questo è il cosiddetto “approccio basato sul rischio” che secondo me è veramente la cifra dell’AI Act. Per esempio, se abbiamo un utilizzo che crea un rischio di tipo inaccettabile, come per esempio casi di punteggio sociale (social scoring), di norma la regola che si applica è una proibizione. Se l’applicazione pone un rischio di tipo alto, il sistema di AI é assoggettato a determinati requisiti obbligatori ex ante, cioè prima della immissione sul mercato, come per esempio in materia di dati per l’allenamento del sistema, di documentazione, di trasparenza, ecc. Se pensiamo ad altre situazioni dove invece non c'è né un rischio inaccettabile né un rischio alto, ma un rischio legato alla mancanza di informazione rispetto all’impiego di un determinato sistema, o al contenuto generato da un determinato sistema (pensiamo alla AI generativa di testi, immagini, video, ecc.), la risposta regolamentare è quella di stabilire degli obblighi di trasparenza.

L’impatto di questo regolamento é senz’altro molto importante, sia per i cittadini e le imprese in Europa, ma direi anche per quelli non europei. A questo proposito, non é un caso che si cominci a discutere del cosiddetto “effetto Bruxelles” dell’AI Act, cioè dell’effetto di questa normativa al di fuori dei confini geografici dell’ordinamento giuridico europeo, su cui l’Unione europea ha una competenza regolatoria. E infatti non è nemmeno un caso che non solo ci sia un grande interesse rispetto al nostro lavoro da parte di tanti paesi nel mondo, dall’Asia alle Americhe e persino all’Africa, ma che anche altre organizzazioni internazionali stiano riflettendo intensamente sulla governance dell’AI, a partire dalle Nazioni Unite fino al Consiglio d’Europa e all'Organizzazione per la Cooperazione e lo Sviluppo Economici.

Sul piano dell’impatto. Assoggettando certi casi d’uso ad alto rischio, come per esempio sistemi usati per decidere sulla concessione di mutui alle persone, o sulla ammissione di studenti alle scuole o alle università, o sulla performance e la carriera di lavoratori, i cittadini beneficiano di un livello di protezione dato dalla certificazione del sistema e diretto ad evitare che tali decisioni siano discriminatorie o ingiuste. Altri esempi riguardano più marcatamente la tutela della salute e della sicurezza delle persone, compresi i lavoratori, come quando l’AI è una componente digitale di un prodotto (che sia direttamente accessibile ai consumatori, come un giocattolo, o meno, come un robot industriale) il cui malfunzionamento può creare un rischio. Chiaramente gli sviluppatori e le aziende che mirano a servire il mercato dell’AI devono assicurarsi che la loro applicazione risponda ai requisiti imposti dal regolamento di modo che tale applicazione sia affidabile.

- Intelligenza artificiale: impatto del regolamento UE su settori industriali e professioni

- Regolamento UE sull’intelligenza artificiale: a cosa devono prestare attenzione le imprese

Anzitutto bisogna notare che il regolamento prevede una applicazione progressiva delle varie norme. In altri termini, non tutte le disposizioni del regolamento saranno applicabili sin da subito, cioé dalla pubblicazione del regolamento in Gazzetta Ufficiale. A dire il vero nessuna regola é immediatamente applicabile, ma ci saranno delle fasi. La prima fase (6 mesi dopo l’entrata in vigore) riguarda l’applicazione delle disposizioni sulle proibizioni; la seconda fase riguarda l’applicazione delle regole sui modelli cosiddetti fondazionali o ad utilizzo generale (per intenderci i modelli alla base di chatbot or applicazioni di AI generativa come ChatGPT): queste regole, che sono state in introdotte ex-novo dai co-legislatore durante i negoziati, saranno applicabili dopo un anno. Dopo due anni, invece, sostanzialmente il resto del regolamento diventa applicabile. Questo significa che le aziende come anche le pubbliche amministrazioni che sono soggette alle nuove regole avranno un po’ di tempo per adattarsi. Allo stesso tempo, tuttavia, del lavoro importante rimane da fare soprattutto per la Commissione, che ha ricevuto mandato in tal senso per mettere a terra il testo legislativo e apportare tutta una serie di chiarimenti necessari per facilitare l’applicazione pratica di tutte queste nuove disposizioni. A questo riguardo uno degli aspetti più importanti e critici sarà lo sviluppo tempestivo di standard armonizzati da parte delle organizzazioni europee di standardizzazione che conterranno le specifiche tecniche necessarie per implementare i requisiti legali del regolamento.