Vuoi usare l’Intelligenza artificiale? Iniziamo dalle basi

27/02/2024
di Giulia Rizza

Raggiunto l’accordo politico sui principali nodi del testo lo scorso dicembre, finalmente il 2 febbraio la versione finale dell’AI ACT (Artificial Intelligence Act) ha ricevuto l’approvazione degli stati membri dell’Unione Europea. Per chiudere definitivamente il cerchio e raggiungere il traguardo finale manca davvero poco e altissima è l’attesa per l’ultima approvazione e l’adozione formale stabilita per il prossimo 24 aprile.

Vuoi approfondire il tema dell’Intelligenza Artificiale?

Ti aspettiamo al prossimo Colin Focus Day giovedì 7 marzo alle 11.00

Risultato di lunghi anni di lavori preparatori, avvincenti dibattiti e intense negoziazioni l’AI ACT rappresenta il primo Regolamento sull’Intelligenza artificiale, sebbene già il GDPR e le norme ad esso connesso siano state sinora applicate anche per disciplinare l’utilizzo dell’AI. L’AI Act non mette infatti in discussione il regolamento generale sulla protezione dei dati né la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (direttiva UE 2016/680), ma li affianca e li integra con disposizioni indirizzate alla progettazione, allo sviluppo e all’impiego di sistemi di AI ritenuti ad alto rischio, disciplinando attraverso specifiche restrizioni determinati impieghi di soluzioni di identificazione biometrica remota.

Attraverso una serie di -come gli addetti ai lavori li definiscono – “assiomi-cardine” il Regolamento sull’AI intende orientare gli operatori del settore proponendo la direzione da seguire rispetto alla legittimità o meno delle attività. Prioritario, dunque, per l’Europarlamento accertarsi che le soluzioni adottate possano considerarsi sicure, trasparenti, non discriminatorie, tracciabili e sostenibili in termini ambientali.

La logica risk-based: il fil rouge dell’AI ACT

Per raggiungere tali obiettivi il testo- adottando una logica basata sulla classificazione del rischio – individua un significativo elenco di usi vietati dell’AI ben rappresentati nell’Art. 5: dalle tecniche di manipolazione cognitivo-comportamentale, alla categorizzazione biometrica riferita ai dati personali sensibili, compresi il riconoscimento delle emozioni nei luoghi lavoro o a scuola, la polizia predittiva e il punteggio sociale (social scoring). Quest’ultima ipotesi consiste in un sistema di valutazione o classificazione delle persone basato su comportamenti, azioni o dati riferiti alle attività condotte nella vita quotidiana. Una pratica questa che suscita, oltre alle evidenti considerazioni sul piano etico, anche ripercussioni molto significative su quello privacy. Ragion per cui tale pratica è stata classificata “vietata” e posta al bando.

I sistemi di identificazione biometrica – il cui utilizzo è stato tra i più dibattuti degli ultimi mesi – trova, nella versione finale del testo, un sostanziale divieto, sebbene sia prevista una eccezione rispetto al suo utilizzo in alcune circostanze (previa autorizzazione dell’autorità giudiziaria o amministrativa), quali la ricerca di vittime di alcuni gravi delitti o di persone scomparse, la prevenzione di minacce all’incolumità pubblica o di attacchi terroristici e la localizzazione o l’identificazione di sospetta.ti di certi reati.

Accanto all’elenco relativo agli utilizzi vietati dell’AI trovano spazio il complesso di regole riferite agli usi ad alto rischio che si declinano poi in obblighi ben precisati in materia di data governance, gestione dei rischi, documentazione tecnica e di sicurezza informatica. Per la categoria “utilizzi ad alto rischio” sono previste inoltre misure di trasparenza e altre che consentono la supervisione umana degli algoritmi. Basti pensare all’obbligo di progettazione di un “bottone di stop o una procedura simile, che consente al sistema di bloccarsi in modo sicuro”.

L’AI ACT impone agli sviluppatori di prevedere un sistema di verifica della qualità, a sottoporre i sistemi alle opportune valutazioni di conformità, ad applicare il marchio CE, e a comunicare eventuali incidenti alle autorità. Tra i requisiti obbligatori individuati dall’AI ACT nella più recente versione di testo troviamo la valutazione di impatto sui diritti fondamentali.

Dal canto loro, importatori o distributori non sono esenti da oneri, in quanto sono tenuti a conservare i documenti relative alla sicurezza dei sistemi/prodotti di AI che hanno venduto. Nel caso in cui poi l’algoritmo venga modificato al punto da rientrare nella classificazione ad alto rischio saranno necessarie verifiche ancora maggiori e controlli più approfonditi. E’ opportuno ricordare che il Regolamento prevede inoltre un sistema di monitoraggio dopo l’immissione di un sistema sul mercato.

Sul fronte dei sistemi di AI a basso rischio sarà necessario applicare misure di trasparenza. Dal momento che le persone dovranno essere informate del fatto che stanno interagendo e si stanno interfacciando con un algoritmo, tutti i prodotti di AI generativa dovranno essere identificabili e riconoscibili. I contenuti deepfake pertanto dovranno essere distinguibili, ad esempio utilizzando sistemi come il watermarking, o la filigrana digitale, augurandoci che tali “etichettature” siano sufficienti a riconoscere le fake news ed impedirne la diffusione.

Il quadro sanzionatorio

Sotto il profilo sanzionatorio l’AI Act stabilisce conseguenze considerevoli e di grande impatto. Le sanzioni per le trasgressioni più rilevanti possono raggiungere i 35 milioni di euro o, in caso di società, il 7% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Si scende, per così dire, a 15 milioni e al 3% del fatturato per le ulteriori ipotesi di non conformità, mentre in caso di informazioni inesatte fornite alle autorità sono previsti massimali di 7,5 milioni e 1%.

Cosa fare adesso?

In attesa dell’adozione del testo definitivo dell’AI Act, come muoversi quindi qualora si intenda adottare nel proprio business sistemi e/o strumenti basati su algoritmi di intelligenza artificiale?

È opportuna un’adeguata individuazione preventiva degli usi che si intende fare della nuova tecnologia e dei rischi che il concreto utilizzo possono rappresentare per i diritti, valutazione dei rischi per la cui esecuzione sarà necessario l’adeguato supporto dei fornitori/sviluppatori della tecnologia. Un’opportuna selezione dei fornitori diventa quindi elemento imprescindibile e strettamente connesso ad un’adeguata disciplina contrattuale dei rapporti che evidenzi e rafforzi detti obblighi di collaborazione.

La classificazione dei rischi diventa così l’elemento fondamentale per l’individuazione ed adozione delle misure adeguate da adottare per garantire sicurezza, trasparenza e affidabilità, influendo la scelta di quali tecnologie sviluppare o adottare, considerando i potenziali costi e la complessità legati alla conformità. Sarà quindi necessario definire e mantenere adeguata documentazione a dimostrazione delle valutazioni svolte e delle conseguenti scelte adottate, implementate e monitorate.

Riproduzione riservata ©

ALTRE NEWS

copyright
Intelligenza artificiale generativa e diritto autore: a che punto siamo?

In attesa che l’AI ACT venga definitivamente approvato, termine previsto il prossimo 24 aprile, tra i molteplici usi che tale nuova tecnologia consente, le Intelligenze… Leggi Tutto

Regolamento europeo in materia di privacy: il traguardo sembra ormai vicino

Il 25 Gennaio 2012 è stata pubblicata la proposta di Regolamento europeo sulla protezione dei dati personali, con l’obiettivo di ridurre la frammentazione giuridica in… Leggi Tutto

DPS abolito? Avanti art. 34 ed Allegato B

Con tutta probabilità sarà approvato dal Parlamento il testo definitivo del Decreto Monti che comporterà la soppressione degli obblighi inerenti l’adozione del documento programmatico di… Leggi Tutto

COLIN & PARTNERS

CHI SIAMO


Consulenza legale specializzata sul diritto delle nuove tecnologie

CONOSCIAMOCI
CHI SIAMO

Cultura e innovazione

SPEECH & EVENTI


Le nostre competenze a disposizione della vostra azienda

I prossimi appuntamenti

Siamo felici di dare il nostro contributo in numerosi eventi che trattano di nuove tecnologie e business digitale sotto vari aspetti. Il nostro apporto si ispira ai temi di interesse legale che, sempre più spesso, coinvolgono l’intera organizzazione.

Inoltre, a cadenza mensile, organizziamo il Colin Focus Day, un incontro di approfondimento gratuito sempre molto apprezzato. A Milano, o in videoconferenza, il Colin Focus Day è occasione di confronto e networking su temi legali-informatici e business.

CONTATTACI

OPERIAMO
A LIVELLO
GLOBALE


Tel. +39 0572 78166

Tel. +39 02 87198390

info@consulentelegaleinformatico.it

Compila il form