AI ACT è il primo quadro giuridico al mondo che affronta i rischi dell’intelligenza artificiale e fornisce indicazioni chiare su requisiti e obblighi per le aziende. Entrato in vigore l’1 agosto 2024, tra le altre cose ha identificato alcune categorie di sistemi di IA considerati particolarmente pericolosi, per i quali il divieto di utilizzo decorre a partire dal 2 febbraio 2025. Il loro uso potrebbe comportare, a partire dal 2 agosto 2025, la possibilità per le autorità nazionali dei Paesi dell’Ue di imporre multe fino a 35 milioni di euro o al 7% del fatturato mondiale del gruppo.
AI ACT: cosa dice l’atto
Gianluigi Marino, Head of Digitalisation in Italia, Osborne Clarke
Con meno di 10 settimane per garantire la conformità, le aziende devono iniziare a valutare il loro rischio in questo settore. Inoltre sviluppare piani per affrontare qualsiasi area di potenziale non conformità. Le multe sono state fissate a un livello ancora più alto rispetto al GDPR. Ci aspettiamo che l’Ue applichi il nuovo regime fin dal primo giorno.
Non ci aspettiamo un periodo di grazia per la non conformità come nel caso del GDPR. La Commissione Ue ritiene dato un preavviso sufficiente per consentire a tutte le aziende dell’Ue di conformarsi. Comprese quelle che rientrano nell’ambito dello Spazio Economico Europeo (SEE) e le aziende internazionali con clienti e siti web che operano nell’Ue.
Prevedere il futuro
È fondamentale che le aziende inizino ad analizzare quali sistemi e modelli di IA stanno già utilizzando e prevedono di utilizzare nel prossimo futuro. In ambito IT i cicli di sviluppo sono piuttosto lunghi. Quindi è importante implementare un processo per eliminare l’IA vietata. Oltre a valutare quali misure devono essere adottate per conformarsi agli obblighi previsti dall’AI Act. Essi includono i requisiti di trasparenza, i sistemi di gestione del rischio e la necessità di documentazione.
AI ACT: requisiti, obblighi e divieti
I divieti, stabiliti nell’articolo 5 dell’AI Act, riguardano gli usi dei sistemi di IA che comportano rischi considerati inaccettabili per la salute e la sicurezza o per i diritti fondamentali. Tra questi rientrano:
I sistemi di intelligenza artificiale che utilizzano tecniche subliminali, manipolative o ingannevoli volte a distorcere materialmente il comportamento di una persona, compromettendo la sua capacità di prendere una decisione informata e inducendola a prendere una decisione che non avrebbe altrimenti preso, derivandone un danno significativo.
I sistemi di AI che sfruttano le vulnerabilità di una persona dovute a età, disabilità, condizioni sociali o economiche per distorcerne il comportamento, causando un danno significativo. Come nel caso del divieto di “tecniche ingannevoli”, è probabile che questo aspetto interessi i fornitori di sistemi che consentono la vendita o il gioco online.
Punteggio sociale (social score) basato sul comportamento o sulle caratteristiche personali. Si traduce in un trattamento dannoso nei confronti di una persona in un contesto sociale che non è correlato al luogo in cui i dati di punteggio sono stati originariamente raccolti. Oppure è ingiustificato o sproporzionato. Le preoccupazioni in questo caso riguardano gli strumenti di intelligenza artificiale utilizzati dai social media per classificare i comportamenti.
I sistemi di intelligenza artificiale che creano o ampliano i database di riconoscimento facciale attraverso lo scraping non mirato di immagini facciali da Internet o da riprese delle telecamere a circuito chiuso.
I sistemi per inferire le emozioni di una persona utilizzati sul posto di lavoro o in contesti educativi (a meno che non si tratti di ragioni mediche o di sicurezza).
I sistemi di categorizzazione biometrica in cui informazioni come il volto o l’impronta digitale di una persona sono utilizzate per dedurre caratteristiche sensibili come la razza, le opinioni politiche, religiose o filosofiche (con eccezioni per le forze dell’ordine).
I sistemi di intelligenza artificiale utilizzati per prevedere la probabilità che una persona commetta un reato. Basandosi esclusivamente sul profilo o sulla valutazione dei suoi tratti di personalità (la cosiddetta esclusione “Minority Report”).
I sistemi di riconoscimento facciale a distanza in tempo reale utilizzati in spazi accessibili al pubblico per le forze dell’ordine, con alcune eccezioni.
AI ACT: come limitare i rischi dell’intelligenza artificiale
L’Ufficio dell’Ue per l’IA deve ancora fornire informazioni dettagliate in merito a ciascuno di questi punti. Per le aziende che utilizzano sistemi di intelligenza artificiale, la legge prevede una serie di disposizioni aggiuntive che entreranno in vigore progressivamente nei prossimi anni:
2 agosto 2025: entreranno in vigore le disposizioni sull’IA per scopi generali, nonché le disposizioni in materia di notifica, governance, sanzioni e riservatezza.
2 agosto 2026: sarà applicabile la maggior parte delle altre disposizioni, comprese le regole per i modelli ad alto rischio definite nell’Allegato III.
2 Agosto 2027: saranno applicabili le norme per le IA ad alto rischio contenute in sistemi o prodotti già soggetti alla normativa Ue sulla sicurezza dei prodotti, come elencato nell’Allegato I.
Sul boom della domanda di prodotti elettronici e la carenza di chip si è espresso Alberto Canni Ferrari, Procuratore Speciale del Consorzio ERP Italia che ha sottolineato la sua posizione.
Con Fabrizio Croce, Vice President Sales South Europe e Ivan De Tomasi, Country Manager per WatchGuard Italia e Malta, ripercorriamo questi 25 anni per capirne il futuro.
