L'AI Act europeo può funzionare?
La nuova normativa europea è molto ampia e richiede a tutti di adeguarsi, ma potrebbe risultare già vecchia quando entrerà davvero in vigore
L’utente deve sempre essere in grado di sapere quando interagisce con un sistema di intelligenza artificiale, ad esempio attraverso un chatbot
Laura Turini
Buongiorno e buon lunedì,
sta per arrivare l’episodio numero 3 del podcast La Confessione che nell’ultima settimana ha avuto molta attenzione, al punto da insediarsi alle prime posizioni di Spotify.
Se volete ascoltare le puntate precedenti prima della nuova - che si chiamerà L’uomo e il prete - le trovate qui.
In questi giorni pre-pasquali ho molte scadenze sui miei vari fronti professionali, ma vorrei scrivere qualcosa presto anche per anticipare alla comunità di Appunti il mio nuovo libro che sta per uscire.
Intanto, vi lascio per oggi con la nostra Laura Turini che interviene su un tema che qui ad Appunti ci sta molto a cuore: come regolare l’intelligenza artificiale. L’Artificial Intelligence Act dell’Unione europea è la soluzione? Forse, o forse no.
Vi ricordo che oggi, per lunedì 25 marzo, c’è il primo webinar dell’Institute for European Policymaing di un ciclo dedicato al futuro delle istituzioni europee. Come dovrebbero funzionare secondo i trattati, come funzionano davvero, quali problemi sono emersi e come si potrebbe risolverli.
I relatori sono Eleanor Spaventa, giurista, professoressa alla Bocconi e nel direttivo dello IEP@BU, che cura il ciclo di eventi, Giuliano Amato, presidente emerito della Corte Costituzionale, Sylvie Goulard, ex parlamentare europea e vicepresidente dello IEP@BU e Mario Monti, presidente onorario dello IEP@BU e senatore a vita.
Il webinar è oggi, 25 marzo, dalle 12.30 alle 14 (in inglese): potete iscrivervi QUI.
Buona giornata,
Stefano Feltri
AI Act, ormai ci siamo
di Laura Turini
Il 13 marzo il Parlamento Europeo ha votato il testo dell’AI Act in quella che dovrebbe essere la sua versione finale, ma non è l’ultimo passo dell’iter legislativo.
Se non cambierà l’agenda, il 22 Aprile dovrà essere votato dal Parlamento in seduta plenaria e poi entrerà in vigore dopo venti giorni da quella data, anche se la sua applicazione avverrà per fasi.
Il contenuto non è sostanzialmente cambiato rispetto alle bozze già pubblicate e di cui abbiamo scritto sulle pagine di Appunti. Per orientarci su cosa accadrà può essere utile focalizzarci su chi siano i soggetti interessati, quali attività regolamenti e quali siano le sanzioni in caso di mancato rispetto della normativa.
A chi e a cosa si applica l’AI Act
Il Regolamento si applica ai fornitori (provider) di sistemi di intelligenza artificiale che li sviluppano, o li fanno sviluppare a terzi, o li importano sul territorio dell’Unione, anche se hanno la sede al di fuori dell’Unione e agli utilizzatori (deployer) di detti sistemi che risiedono in Europa, a meno che detto uso non avvenga a scopo esclusivamente personale e al di fuori di un’attività professionale.
Si applica, inoltre, anche ai fornitori e agli utilizzatori che risiedono al di fuori dell’Unione se l’output prodotto dal sistema è utilizzato nell’Unione (art. 2).
La normativa ha quindi una portata molto ampia, anche perché saranno sempre più numerose le applicazioni che integreranno al loro interno sistemi di intelligenza artificiale di terze parti oltre che svilupparne di propri.
L’AI Act non si applica ai sistemi utilizzati per scopi militari, di sicurezza o difesa nazionali e a quelli utilizzati per scopi scientifici o di ricerca, se non sono immessi sul mercato e se non rappresentano un alto rischio.
L’intelligenza artificiale regolamentata è intesa in senso lato e ricomprende qualsiasi tecnologia riconducibile all’interno del concetto di «sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall'input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali» (art. 3).
Questa definizione, così ampia, obbligherà gli operatori a essere molto attenti, in quanto possono rientrare nell’ambito di applicazione del Regolamento anche sistemi di intelligenza artificiale non generativa, magari utilizzati da anni o desueti, che dovranno adeguarsi alle nuove previsioni.
Cosa prevede
La normativa europea ha un approccio basato sul rischio, che può essere basso, alto o inaccettabile.
I sistemi a basso rischio sono quelli che non mettono a repentaglio i diritti o la sicurezza dei cittadini, come i filtri antispam, e non sono soggetti a obblighi specifici.
Quelli ad alto rischio sono invece quelli che hanno un impatto rilevante sulla vita delle persone, ad esempio i sistemi per determinare l’accesso alle scuole o la selezione del personale, i sistemi utilizzati nella gestione della giustizia.
Questi sistemi devono adottare procedure per mitigare il rischio e garantire un’alta qualità dei dati di addestramento e, prima di essere immessi sul mercato, dovranno avere effettuato una valutazione di impatto sui rischi e adottato misure idonee: è già stata introdotta una specifica certificazione ISO a questo scopo.
Questi sistemi dovranno, inoltre, garantire la massima trasparenza per consentire agli utenti di comprendere che cosa stanno facendo e quali risultati possono ottenere, in modo da poterli usare con piena consapevolezza dei limiti dello strumento.
Devono dimostrare di essere particolarmente sicuri e, in caso di decisioni automatizzate, devono consentire di potere conoscere i criteri seguiti per generare un certo risultato o operare una determinata scelta.
Sono considerati a rischio inaccettabile:
a) i sistemi che, attraverso tecniche subliminali, manipolano il comportamento umano, inducendo una persona ad assumere una determinata decisione;
b) i sistemi che sfruttano le vulnerabilità di una persona o le caratteristiche legate all’età, alle condizioni di salute o economiche, con lo scopo di alterarne il comportamento;
c) i sistemi utilizzati per il social scoring, ossia per classificare le persone in base al loro comportamento, status socio-economico e caratteristiche personali;
d) i sistemi di identificazione biometrica remota “in tempo reale” negli spazi pubblici da parte delle forze dell’ordine (salvo deroghe eccezionali) e i sistemi di controllo tipo predittivo, ossia quelli che, in base alle caratteristiche o a comportamenti passati di una persona, provano a prevederne la pericolosità sociale. Questi sistemi sono vietati.
Oltre agli obblighi specifici, l’AI Act impone un obbligo generale di trasparenza su tutto il percorso, dalla programmazione all’addestramento.
Altra regola fondamentale è che l’utente deve sempre essere in grado di sapere quando interagisce con un sistema di intelligenza artificiale, ad esempio attraverso un chatbot.
Non solo, i contenuti generati dall’intelligenza artificiale devono essere contrassegnati in modo da essere riconoscibili dall’uomo, ma anche esposti in un formato leggibile dalle macchine. Questo dovrebbe consentire di potere distinguere immagini o notizie generate artificialmente sia all’uomo che alla macchina, che dovrebbe tenerne conto nelle sue elaborazioni.
Esistono inoltre regole più stringenti per l’intelligenza artificiale generale, quella che tutti temono, primo tra tutti Elon Musk che ha addirittura fatto causa a OpenAI. Viene richiesta l’adozione di una specifica Policy per la tutela del diritto d’autore e l’obbligo di. rendere disponibile, in modo comprensibile a chiunque, una sintesi dei contenuti usati per l’addestramento (art. 53).
Sanzioni
L’AI Act prevede sanzioni molto elevate (art. 99). La violazione delle disposizioni previste per le applicazioni vietate è soggetta a sanzioni amministrative pecuniarie fino a trentacinque milioni di Euro o, se l'autore del reato è un'impresa, fino al 7 per cento del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
La violazione delle altre disposizioni, è soggetta a sanzioni amministrative pecuniarie fino a quindici milioni di euro o, se l'autore del reato è un'impresa, fino al 3 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
La fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità nazionali competenti per dare seguito a una richiesta, è soggetta a sanzioni amministrative pecuniarie fino a 7,5 milioni di euro o, se l'autore del reato è un'impresa, fino all'1 per cento del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.
Entrata in vigore e applicazione
L’AI Act entra in vigore dopo venti giorni dalla data della pubblicazione in Gazzetta Ufficiale dell’Unione, che dovrebbe avvenire a fine Aprile. Da quel momento scattano una serie di termini diversi.
I divieti e le regole generali entreranno in vigore dopo sei mesi, quelle relative all’intelligenza artificiale generale dopo dodici mesi, a meno che non siano stati immessi già sul mercato nel qual caso si applica il termine generale di ventiquattro mesi, che opera in linea generale per tutto l’AI Act (art. 113).
Le norme relative ai sistemi di intelligenza artificiale ad alto rischio entreranno in vigore dopo trentasei mesi e addirittura dopo quarantotto mesi se sono destinate all’uso da parte di una pubblica autorità.
Concludendo, il Regolamento si propone di “migliorare il funzionamento del mercato interno e promuovere la diffusione di un'intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali, compresi la democrazia, lo Stato di diritto e la protezione dell'ambiente, contro gli effetti nocivi dei sistemi di intelligenza artificiale (sistemi di IA) nell'Unione nonché promuovere l'innovazione”.
Il proposito è sicuramente buono, la sostanza sono una serie di regole generiche che obbligano fin da subito ad attivarsi per un'accurata interpretazione e per adeguarsi in tempo utile.
Il rischio è che l’AI Act possa essere già vecchio quando diventerà operativo, e di questo la Commissione pare rendersi conto.
Non a caso sta promuovendo l’AI Pact, una piattaforma pensata per incentivare le imprese ad aderire su base volontaria ai principi etici, ai valori e alle regole previste nel Regolamento.
Appunti è possibile grazie al sostegno delle abbonate e degli abbonati. E’ con il loro contributo che Appunti può crescere e svilupparsi anche con progetti ambiziosi come La Confessione. Se pensi che quello che facciamo è importante, regala un abbonamento a qualcuno a cui tieni.
Il Podcast: La Confessione
Ascolta La Confessione, il podcast di inchiesta che rivela per la prima volta da dentro come funziona il sistema di copertura e insabbiamento degli abusi sessuali nella Chiesa cattolica italiana. Un podcast realizzato da Stefano Feltri, Giorgio Meletti e Federica Tourn, realizzato grazie al sostegno della comunità di Appunti
L’appuntamento: Milano, 4 aprile
Per chi c’è, ci vediamo a Milano giovedì 21 marzo al primo evento di un ciclo di incontri che organizziamo con l’Institute for European Policymaking della Bocconi con Il Grand Continent ed Egea, per parlare delle questioni più urgenti di geopolitica da una prospettiva europea.
Un’occasione per incontrare anche la comunità di Appunti! Dopo l’evento si continua a chiacchierare all’aperitivo… iscrivetevi qui
Grazie per l'informativa completa e chiara.
Leggendo il sunto del provvedimento esposto balzano all'occhio i limiti, già visti in altri ambiti, dell'azione legislativa europea:
- regole generiche: ciò rende l'accertamento delle violazioni difficoltoso e time-consuming e quindi promovibile solo da chi ne avrà i mezzi;
- sanzioni "trompe-l'œil": cifre roboanti che ai più paiono iperboliche sono spesso (quasi sempre) sostenibili dalle grandi compagnie, quando non già preventivate in funzione del vantaggio di posizionamento o direttamente economico che otterrebbero con la violazione.
- tempi biblici di applicazione che paradossalmente, a mio parere, paioni pensati al contrario:
perchè chi è già sul mercato (e quindi può commettere violazioni da subito) ha più tempo per adeguarsi di chi non c'è ancora?
perchè le AI ad "alto rischio" più tardi di tutti si dovranno conformare?
infine perchè tra le AI ad alto rischio quelle in uso a pubbliche autorità si addirittura dopo 4 anni dalla pubblicazione in gazzetta? (Orban ringrazia, vabbè che lui già fa quello che gli pare).
E' come se mettessimo un divieto di sosta davanti ad una scuola con entrata in vigore progressiva: dapprima per chi non ha ancora l'auto, poi per camion, poi per i trasporti di infiammabili ed infine per i carri armati.
Ma alla fine, perchè non siamo mica scemi, consapevoli che tale modulazione rende la regola inefficace proponiamo ai più volenterosi l'adesione volontaria, per l'appunto, ad una carta di principi che sopperisce alla inefficacia di una norma promulgata ma non ancora applicata per scelta dell'emittente stesso.
Ancora una volta l'apparato europeo si dimostra poco efficace e di mero indirizzo, del resto al momento impostato così e fa quello che può.
Ma, se si volesse cercare parte delle ragioni di disaffezione alla politica in generale, inclusa quella europea, secondo me è anche in questi provvedimenti, più enfatici che pratici (Vedasi effetti concreti del circo delle COP:28 anni di incocludenza).
A mio avviso la priorità su cui lavorare oggi è proprio il sistema legislativo e di governo europeo a cui vanno dati poteri e strumenti sovranazionali oggi divenuti urgenti per dare risposte veloci ad un mondo velocissimo e presentarsi uniti alle sfide internazionali.
L'alternativa, temo, sarà vedere il seme già ben radicato della plutocrazia sfoggiare forte tronco e folta chioma ad ombreggiare le democrazie europee (più pericoloso dei fuochi fatui dei vari populisti oggi in auge).
Grazie, articolo molto ben fatto ed estremamente interessante. Ho l'impressione che l'Unione stia cercando di promuovere qualche nuova certificazione sull'argomento, che ne pensa? Mi sembra che il termine di 24 mesi in questo senso sia significativo.