L’AI Act è entrato in vigore l’1 agosto 2024 ed è il primo quadro giuridico al mondo che affronta i rischi dell’IA e fornisce agli sviluppatori e agli utilizzatori indicazioni chiare su requisiti e obblighi. Tra gli altri, ha identificato alcune categorie di sistemi di IA considerati particolarmente pericolosi, per i quali il divieto di utilizzo decorre a partire dal 2 febbraio 2025. Il loro uso potrebbe comportare, a partire dal 2 agosto 2025, la possibilità per le autorità nazionali dei Paesi dell’Ue di imporre multe fino a 35 milioni di euro o al 7% del fatturato mondiale del gruppo (a seconda di quale sia il valore più alto) ai sensi dell’articolo 99(3) dell’AI Act.
Gianluigi Marino, Head of Digitalisation in Italia, Osborne Clarke: “Con meno di 10 settimane per garantire la conformità, le aziende devono iniziare a valutare il loro rischio in questo settore e sviluppare piani per affrontare qualsiasi area di potenziale non conformità. Le multe sono state fissate a un livello ancora più alto rispetto al GDPR e ci aspettiamo che l’Ue applichi il nuovo regime fin dal primo giorno; non ci aspettiamo un periodo di grazia per la non conformità come nel caso del GDPR. La Commissione Ue ritiene che sia stato dato un preavviso sufficiente per consentire a tutte le aziende dell’Ue di conformarsi, comprese quelle che rientrano nell’ambito dello Spazio Economico Europeo (SEE) e le aziende internazionali con clienti e siti web che operano nell’Ue“.
È fondamentale che le aziende inizino ad analizzare quali sistemi e modelli di IA stanno già utilizzando e prevedono di utilizzare nel prossimo futuro. In ambito IT i cicli di sviluppo possono essere piuttosto lunghi, quindi è importante non solo implementare un processo per eliminare l’IA vietata, ma anche valutare quali misure devono essere adottate per conformarsi agli obblighi previsti dall’AI Act. Questi includono i requisiti di trasparenza, i sistemi di gestione del rischio e la necessità di documentazione. La conformità del software diventa sempre più una questione di responsabilità da prodotto, e l’AI Act è ora una parte fondamentale di questo processo.
I divieti, stabiliti nell’articolo 5 dell’AI Act, riguardano gli usi dei sistemi di IA che comportano rischi considerati inaccettabili per la salute e la sicurezza o per i diritti fondamentali. Tra questi rientrano:
- I sistemi di intelligenza artificiale che utilizzano tecniche subliminali, manipolative o ingannevoli volte a distorcere materialmente il comportamento di una persona, compromettendo la sua capacità di prendere una decisione informata e inducendola a prendere una decisione che non avrebbe altrimenti preso, derivandone un danno significativo.
- I sistemi di intelligenza artificiale che sfruttano le vulnerabilità di una persona dovute a età, disabilità, condizioni sociali o economiche per distorcerne il comportamento, causando un danno significativo. Come nel caso del divieto di “tecniche ingannevoli”, è probabile che questo aspetto interessi i fornitori di sistemi che consentono la vendita o il gioco online.
- Punteggio sociale (social score) basato sul comportamento o sulle caratteristiche personali che si traduce in un trattamento dannoso nei confronti di una persona in un contesto sociale che non è correlato al luogo in cui i dati di punteggio sono stati originariamente raccolti, o è ingiustificato o sproporzionato. Le preoccupazioni in questo caso riguardano gli strumenti di intelligenza artificiale utilizzati dai social media per classificare i comportamenti.
- I sistemi di intelligenza artificiale che creano o ampliano i database di riconoscimento facciale attraverso lo scraping non mirato di immagini facciali da Internet o da riprese delle telecamere a circuito chiuso. L’obiettivo è quello di impedire esplicitamente l’introduzione nell’Ue di modelli di business analoghi a Clearview, azienda statunitense che ha raccolto immagini facciali pubblicate su Internet in modo illegale e le ha utilizzate in un sistema di riconoscimento facciale fornito alle autorità di polizia nell’Ue.
- I sistemi per inferire le emozioni di una persona utilizzati sul posto di lavoro o in contesti educativi (a meno che non si tratti di ragioni mediche o di sicurezza).
- I sistemi di categorizzazione biometrica in cui informazioni come il volto o l’impronta digitale di una persona vengono utilizzate per dedurre caratteristiche sensibili come la razza, le opinioni politiche, l’appartenenza a sindacati, le convinzioni religiose o filosofiche, la vita sessuale o l’orientamento sessuale (con eccezioni per le forze dell’ordine).
- I sistemi di intelligenza artificiale utilizzati per prevedere la probabilità che una persona commetta un reato, basandosi esclusivamente sul profilo o sulla valutazione dei suoi tratti di personalità (la cosiddetta esclusione “Minority Report”).
- I sistemi di riconoscimento facciale a distanza in tempo reale utilizzati in spazi accessibili al pubblico per le forze dell’ordine, con alcune eccezioni.
L’Ufficio dell’Ue per l’IA deve ancora fornire informazioni dettagliate in merito a ciascuno di questi punti. Per le aziende che utilizzano sistemi di intelligenza artificiale, la legge prevede una serie di disposizioni aggiuntive che entreranno in vigore progressivamente nei prossimi anni:
- 2 agosto 2025: entreranno in vigore le disposizioni sull’IA per scopi generali, nonché le disposizioni in materia di notifica, governance, sanzioni e riservatezza.
- 2 agosto 2026: sarà applicabile la maggior parte delle altre disposizioni, comprese le regole per i modelli ad alto rischio definite nell’Allegato III.
- 2 Agosto 2027: saranno applicabili le norme per le IA ad alto rischio contenute in sistemi o prodotti già soggetti alla normativa Ue sulla sicurezza dei prodotti, come elencato nell’Allegato I.