Dopo una “maratona” di tre giorni di colloqui, la presidenza del Consiglio e i negoziatori del Parlamento europeo hanno raggiunto un accordo provvisorio sulla proposta di norme armonizzate sull’intelligenza artificiale (IA), il cosiddetto “ Artificial intelligence act” (atto sull’intelligenza artificiale) e intitolato “il regolamento del Parlamento europeo e del Consiglio che stabilisce norme armonizzate in materia di intelligenza artificiale e che modifica alcuni atti legislativi dell’Unione“. Il disegno di legge mira a garantire che i sistemi di IA immessi sul mercato europeo e utilizzati nell’UE siano sicuri e rispettino i diritti fondamentali e i valori dell’UE. Questa storica proposta mira, inoltre, a stimolare gli investimenti e l’innovazione in materia di IA in Europa. L’idea principale è quella di regolamentare l’IA in base alla capacità di quest’ultima di causare danni alla società, seguendo un approccio “basato sul rischio”: più alto è il rischio, più severe sono le regole. Essendo la prima proposta legislativa di questo tipo al mondo, può può essere vista come norma pioneristica anche per altri stati.
I principali elementi dell’accordo
L’accordo provvisorio presenta delle modifiche rispetto alla proposta iniziale della Commissione:
- Introduce norme per i modelli di intelligenza artificiale (IA) ad alto impatto generale e sistemi di IA ad alto rischio, considerati potenzialmente rischiosi a livello sistemico in futuro.
- Rivede il sistema di governance con alcuni poteri di applicazione a livello dell’Unione Europea.
- Espande l’elenco dei divieti, consentendo l’identificazione biometrica a distanza da parte delle autorità di polizia negli spazi pubblici, ma solo se sono presenti garanzie specifiche.
- Migliora la protezione dei diritti stabilendo l’obbligo per coloro che utilizzano sistemi di IA ad alto rischio di condurre una valutazione d’impatto sui diritti fondamentali prima dell’implementazione di tali sistemi.
In termini più concreti, l’accordo provvisorio copre i seguenti aspetti:
Definizioni e Ambito di Applicazione
L’accordo concordato ha definito chiaramente cosa costituisce un sistema di intelligenza artificiale (IA) in modo da distinguere meglio tra IA e software meno complessi. L’ambito di applicazione del regolamento è limitato al diritto dell’UE e non interferisce con la sicurezza nazionale degli Stati membri o con l’uso militare della tecnologia.
Classificazione dei Sistemi di IA e Pratiche Vietate
Il regolamento stabilisce livelli di protezione per i sistemi di IA ad alto rischio, consentendo pratiche più leggere per sistemi a rischio limitato. I requisiti per l’accesso al mercato dell’UE sono stati resi più praticabili, mentre le responsabilità degli attori coinvolti nella catena di distribuzione dei sistemi di IA sono state chiarite. Alcuni usi dell’IA sono vietati nell’UE, come la manipolazione cognitiva.
Quanto alle pratiche vietate, la lista dei divieti include i sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili, come le convinzioni politiche, religiose e la razza; la raccolta non mirata di immagini del volto da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale; il riconoscimento delle emozioni sul posto di lavoro e nelle scuole; il social scoring; le tecniche manipolative; l’Ia usata per sfruttare le vulnerabilità delle persone. Tra i punti dell’accordo c’è quello di permettere il riconoscimento facciale solo in casi limitati.
Eccezioni per le Forze dell’Ordine
Sono state apportate modifiche specifiche per consentire alle forze dell’ordine di utilizzare l’IA in situazioni di emergenza, tutelando al contempo i diritti fondamentali. Le eccezioni all’uso di identificazione biometrica sono limitate a situazioni specifiche. I legislatori hanno concordato, infatti, una serie di ristrette eccezioni per l’uso di sistemi di identificazione biometrica (Rbi) in spazi accessibili al pubblico a fini di applicazione della legge, previa autorizzazione giudiziaria e per elenchi di reati rigorosamente definiti. L’Rbi “post-remoto”, si spiega in una nota del Parlamento europeo, verrebbe utilizzato esclusivamente per la ricerca mirata di una persona (rapimento, traffico, sfruttamento sessuale) o prevenzione di una minaccia terroristica specifica e attuale, localizzazione o identificazione di una persona sospettata di aver commesso uno dei reati specifici menzionati nel regolamento (tra cui terrorismo, traffico di esseri umani, omicidio, stupro).
Nuova Governance
È stato istituito un Ufficio AI per supervisionare i modelli più avanzati, supportato da un gruppo di esperti indipendenti. Il consiglio per l’IA rimane un organo consultivo, mentre un forum consultivo coinvolge parti interessate come industrie, PMI (Piccole e medie imprese) e società civile per fornire competenze al comitato per l’AI.
Le sanzioni
Le ammende per le violazioni della legge sull’IA sono state fissate come una percentuale del fatturato annuo globale dell’azienda colpevole o di un importo predeterminato, a seconda di quale sia il più alto. Si tratterebbe di 35 milioni di euro o del 7% per le violazioni delle applicazioni, un regime di sanzioni, quindi, con multe che vanno da 35 milioni di euro o il 7% del fatturato globale a 7,5 milioni o l’1,5% del fatturato, a seconda della violazione e delle dimensioni dell’azienda. Tuttavia, l’accordo provvisorio prevede massimali più proporzionati per le ammende amministrative per le PMI e le start-up in caso di violazione delle disposizioni della legge sull’IA. L’accordo di compromesso chiarisce inoltre che una persona fisica o giuridica può presentare un reclamo all’autorità di vigilanza del mercato competente in merito alla mancata osservanza della legge sull’AI.
Trasparenza e tutela dei diritti fondamentali
L’accordo provvisorio prevede una valutazione dell’impatto sui diritti fondamentali prima che un sistema di IA ad alto rischio venga immesso sul mercato da chi lo utilizza. L’accordo provvisorio prevede inoltre una maggiore trasparenza sull’uso dei sistemi di IA ad alto rischio. In particolare, alcune disposizioni della proposta della Commissione sono state modificate per indicare che anche alcuni utenti di un sistema di IA ad alto rischio, se sono enti pubblici, saranno obbligati a registrarsi nella banca dati dell’UE per i sistemi di IA ad alto rischio. Inoltre, le nuove disposizioni aggiunte pongono l’accento sull’obbligo per gli utenti di un sistema di riconoscimento delle emozioni di informare le persone fisiche quando sono esposte a tale sistema.