Dopo il 2 febbraio scorso con l’approvazione del testo finale dell’Artificial Intelligence Act, abbreviato in AI Act, da parte del Comitato dei Rappresentanti Permanenti (Coreper) degli Stati Membri il regolamento che disciplinerà le intelligenze artificiali (IA) in tutta l’Unione Europea è ormai prossimo alla promulgazione.
Si prevede che la votazione definitiva avvenga il 24 aprile 2024, con conseguente pubblicazione nella gazzetta ufficiale dell’Unione europea e una successiva entrata in vigore progressiva delle sue disposizioni nei due anni successivi.
L’AI Act sarà la prima regolamentazione delle IA a un livello così ampio e introdurrà una serie di obblighi nell’utilizzo delle IA che colpiranno sia chi le sviluppa sia chi le implementa e, quindi, anche le società e le aziende che, pur non lavorando nel settore dello sviluppo informatico, sempre più nei prossimi anni implementeranno IA sviluppate da terzi nelle proprie attività produttive.
È quindi un buon momento, adesso che siamo in dirittura di arrivo, per vedere velocemente come sarà impostata la nuova disciplina europea sulle IA.
La tutela basata sul rischio
Seguendo un approccio paragonabile a quello adottato con il GDPR (General Data Protection Regulation) per la tutela dei dati personali e particolari, l’Unione europea ha deciso di parametrare il livello di tutela garantito ai cittadini e, conseguentemente, il livello di adempimenti e obblighi imposti ai soggetti che faranno uso delle IA, al livello di rischio che il singolo sistema di IA e/o il suo uso ingenera.
L’AI Act prevede tre livelli di rischio cui conseguono diversi livelli di regolamentazione:
- rischio minimo: la maggior parte dei sistemi di IA attualmente usati rientra in questa categoria e potranno continuare a essere sviluppati e utilizzati nel rispetto della legislazione vigente senza ulteriori obblighi giuridici.
I fornitori di tali sistemi potranno scegliere di applicare su base volontaria i requisiti previsti per qualificare una IA come affidabile e di aderire a codici di condotta volontari che ricalchino i requisiti che saranno, invece, imposti ai sistemi di IA ad alto rischio o ad alto impatto;
- rischio alto: i sistemi di IA che possono potenzialmente avere ripercussioni negative sulla sicurezza delle persone o sui loro diritti fondamentali e che saranno sottoposti all’applicazione dei requisiti previsti dall’AI Act (presenza di un sistema di gestione dei rischi, governance dei dati, documentazione tecnica, conservazione delle registrazioni, trasparenza e fornitura di informazioni agli utenti, sorveglianza umana, accuratezza e robustezza del sistema, cybersicurezza), a una valutazione della conformità prima dell’immissione in commercio e alla registrazione in una apposita banca dati pubblica;
- rischio inaccettabile: sistemi di IA impiegati per una serie limitata di usi particolarmente dannosi e che contravvengono ai valori dell’Unione e che, pertanto, verranno vietati.
Gli usi vietati della IA saranno: realizzazione di punteggi sociali, sfruttamento delle vulnerabilità delle persone, utilizzo di tecniche subliminali, identificazione biometrica remota in tempo reale (salvo eccezioni), categorizzazione biometrica delle persone fisiche per desumerne razza, opinioni politiche, orientamento sessuale ecc., polizia predittiva, riconoscimento delle emozioni sul posto di lavoro (salvo eccezioni), estrazione non mirata di immagini facciali.
Sono, inoltre, considerati altrui due tipi di rischio:
- rischio specifico per la trasparenza: a determinati sistemi di IA saranno imposti specifici obblighi di trasparenza laddove esiste un rischio di manipolazione degli utenti, così che questi siano consapevoli di starsi interfacciando con un sistema di IA;
- rischi sistemici: i rischi che potrebbero derivare dai modelli di IA per finalità generali, soprattutto i modelli di AI generativa di elevata potenza (con potenza di calcolo totale superiore a 10^25 FLOPS, come ad esempio ChatGPT), utilizzati estesamente e per una ampia serie di compiti i cui utilizzi impropri ed errori, quindi, potrebbero colpire molte persone, detti anche sistemi di IA ad alto impatto.
I fornitori di questi modelli dovranno rispettare obblighi di trasparenza, mettere in atto politiche atte a garantire il diritto d’autore nel corso della formazione delle AI, valutare e attenuare i rischi, segnalare gli incidenti gravi, condurre prove e valutazioni dei modelli all’avanguardia, garantire la cybersicurezza dei sistemi e a fornire informazioni sul loro consumo energetico.
In sostanza, a diversi livelli e tipi di rischio seguiranno diverse intensità della tutela dei cittadini, dal divieto delle IA che hanno come finalità scopi che violerebbero i diritti fondamentali dei cittadini dell’Unione a più semplici obblighi di trasparenza e di gestione del rischio, per tutelare i cittadini dalla possibilità di interagire con delle IA senza saperlo e dal rischio che la implementazione delle IA nei loro rapporti con i soggetti che le implementano possano causare loro danni quali la perdita di dati, il loro incorretto utilizzo, danni patrimoniali ecc.
Gli obblighi delle aziende
In questo quadro nuovo venturo, quindi, cosa dovranno fare le aziende?
Nel caso di utilizzo di sistemi di IA a basso rischio, come visto, non ci saranno obblighi particolari anche se sarà incoraggiata l’adesione alle convenzioni per un utilizzo responsabile delle IA, che ricalchino gli obblighi imposti ai sistemi di IA ad alto rischio.
Probabilmente ci saranno delle spinte perché le aziende si muovano in questa direzione, sia dirette (ad esempio chiedendo la adesione a una convenzione come requisito per l’accesso a risorse pubbliche) che indirette (la probabile aspettativa del legislatore europeo è che il mercato premi le aziende che aderiranno alle convenzioni, mostrando così maggior attenzione per gli utenti).
Nel caso di utilizzo di IA per usi generali ad alto impatto (come, ad esempio, ChatGPT) ci saranno soprattutto obblighi di trasparenza nei confronti degli utenti e dei clienti, perché sappiano che tutto o parte del rapporto con la azienda sarà gestito tramite una IA.
Tanto per le IA per usi generali ad alto impatto che, a maggior ragione, per le IA ad alto rischio, poi, vi sarà l’obbligo di predisporre sistemi di analisi e di gestione dei rischi, sulla falsariga di quanto già avviene in ambito privacy per la conservazione e il trattamento dei dati personali con la valutazione di impatto.
La FRIA
Così come in ambito privacy vi è l’obbligo, per chi raccoglie e tratta dati personali, di redigere la DPIA (Data Protection Impact Assessment, giustappunto la valutazione di impatto) chi utilizzerà sistemi IA ad alto rischio o per usi generali all’interno della propria attività dovrà redigere la FRIA (Fundamental Rights Impact Assessment).
Questa valutazione di impatto per le IA dovrà comprendere i seguenti aspetti:
- descrizione del processo di attuazione: dovrà essere fatta una descrizione dettagliata del processo o dei processi in cui verrà utilizzato il sistema di IA ad alto rischio o ad alto impatto;
- tempo di utilizzo e frequenza: andranno specificate la durata e la frequenza di utilizzo previste per il sistema di IA ad alto rischio o ad alto impatto;
- categorie di persone o gruppi interessati: dovranno essere identificate le categorie di individui e/o gruppi che potrebbero essere interessati dall'uso del sistema di IA fatto dal soggetto redigente la FRIA;
- rischi specifici di danno: andranno specificati e descritti i potenziali rischi derivanti dagli utilizzi individuati del sistema di IA ad alto rischio o ad alto impatto che potrebbero arrecare danno alle categorie di persone e/o gruppi identificati.
- misure di supervisione umana: andranno descritte in dettaglio le misure di supervisione umana che verranno messe in atto per monitorare il sistema di IA;
- misure di rimedio: andranno descritte in dettaglio le misure da adottare per rimediare alle conseguenze, nel caso in cui i rischi individuati si verifichino.
Per chi ha dovuto redigere, nell’ambito della propria attività aziendale, una DPIA, i punti appena esposti appariranno subito chiari in quanto, appunto, la FRIA ricalca gli stessi principi e quasi gli stessi passaggi della valutazione di impatto del trattamento dei dati personali, solo adattandola ai processi che coinvolgono le IA.
Questo significa che le aziende che sono già passate attraverso gli obblighi più stringenti del GDPR saranno avvantaggiate, grazie al know how acquisito, nell’adempiere agli obblighi dell’AI Act.
Le aziende che, invece, non eseguono trattamenti di dati personali, o comunque trattamenti tali da richiedere la redazione della DPIA, ma utilizzano sistemi di IA che la nuova normativa indica come ad alto rischio o alto impatto dovranno imparare a redigere una FRIA solida partendo quasi da zero e il nostro consiglio è di non cercare di fare da soli ma farsi affiancare da dei professionisti.
Il rischio dell’agire da sé, infatti, è di ritrovarsi con una valutazione di impatto che, sottoposta a verifica dagli enti competenti, non risulti conforme, con conseguenti sanzioni.
Le sanzioni
L’AI Act prevede tre diversi scaglioni per le sanzioni a seconda delle norme del regolamento violate:
- sanzioni fino a 30.000.000 di euro o il 6% del fatturato mondiale totale annuo dell’esercizio precedente in caso di violazione dell’art. 5, ossia in caso di impiego di sistemi di IA per gli scopi assolutamente vietati in quanto integranti un rischio inaccettabile, o dell’art. 10, che prescrive i limiti e le caratteristiche dei set di dati coi quali sarà lecito addestrare i sistemi di AI ad alto rischio;
- sanzioni fino a 20.000.000 di euro o il 4% del fatturato mondiale totale annuo dell’esercizio precedente in caso di non conformità del sistema di IA ai requisiti o agli obblighi previsti dall’AI Act agli articoli diversi dal 5 e dal 10;
- sanzioni fino a 10.000.000 di euro o il 2% del fatturato mondiale totale annuo dell’esercizio precedente in caso di fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti.
Appare evidente che le sanzioni sono potenzialmente molto alte anche per la violazione dei soli obblighi di documentazione e controllo interno all’azienda sui processi integranti i sistemi di IA.
Le aziende che già usano, o progettano di usare, sistemi di IA per le proprie attività è meglio che inizino già da adesso a valutare i livelli di adempimento ai quali saranno sottoposte in ragione dei sistemi di IA scelti e dei procedimenti in cui questa saranno usate, e a prepararsi per risultare perfettamente adempienti in caso di controlli da parte degli organismi di vigilanza che saranno designati dagli Stati membri.
In RUP Legal & Consulting siamo a vostra disposizione per assistervi nel valutare la vostra situazione e aiutarvi ad arrivare preparati all’entrata in vigore dell'AI Act.
Comments