Alla scoperta delle norme dedicate all’intelligenza artificiale
Regolamento IA: facciamo un ripasso
L’AI Act, il Regolamento 1689/2024
I sistemi e i modelli di intelligenza artificiale possono apportare benefici di diverso genere alla società, una maggiore crescita economica e, in generale, migliorare lo sviluppo e l’innovazione.
Tuttavia, in alcuni casi, alcune caratteristiche o modalità di progettazione oppure di sviluppo e applicazione, possono presentare rischi, conosciuti o meno, alle persone, ai loro diritti e, talvolta, anche alla loro sicurezza.
L’Europa ha sentito la necessità di intervenire in questo campo prima ancora che modelli e sistemi “intelligenti” si diffondano, ancora più velocemente di quanto non stia già accadendo, per creare un “ecosistema” di regole di progettazione, sviluppo e utilizzo uniformi in tutta l’Unione.
Si tratta inoltre di un “ecosistema” di regole che, proprio come è avvenuto per il Gdpr e la protezione dei dati, estende la propria applicabilità anche oltre i confini europei, perché il quadro giuridico delineato a Bruxell si applicherà a operatori pubblici e privati comunitari ma anche extra Unione, laddove il sistema, o il modello, sarà immesso sul mercato europeo oppure il suo utilizzo avrà un impatto sulle persone che si trovano nell’UE (ne abbiamo parlato nel nr. #01 della newsletter: https://studiolegalebroglia.com/2024/05/24/di-cosa-parla-lai-act/).
Le norme riguardano non solo i fornitori, come ad esempio una società che sviluppa strumenti che adoperano l’AI, ma anche una azienda che, acquistato tale strumento, lo utilizzi (abbiamo indagato le definizioni dei soggetti che devono conoscere il Regolamento, perché li riguarda, e alcune attività principali riguardanti l’IA, nella seconda uscita: https://studiolegalebroglia.com/2024/06/09/frid_ai_news-02-31-05-2024-2/).
Come sempre, ci sono alcune esclusioni: non sono soggette agli obblighi regolamentari le attività di ricerca e sviluppo precedenti all’immissione sul mercato, così come i sistemi progettati esclusivamente per scopi militari, di difesa o di sicurezza nazionale.
Una regolamentazione basata sui rischi che l’IA può presentare
Come molte norme recentemente adottate, anche l’AI Act adotta un approccio “risk based”.
Secondo il legislatore europeo, infatti, è controproducente imporre regole troppo rigide per attività a basso rischio, così come sarebbe pericoloso sottovalutare i rischi di attività ad alto impatto. Questo approccio permette di concentrare gli sforzi e i conseguenti oneri di compliance, dove sono davvero necessari.
Il mondo cambia rapidamente, soprattutto nel digitale.
Un approccio “risk based”, infatti,
- permette alle norme di adattarsi a nuove tecnologie e a nuovi rischi mantenendo fede al principio della neutralità tecnologica*;
- consente maggiore proporzionalità e adattamento alle singole realtà: un’azienda che tratta dati personali sensibili deve adottare misure di sicurezza più stringenti rispetto a un’azienda che tratta dati meno delicati, così come sistemi che possono generare rischi di discriminazione deve essere trattata diversamente da sistemi “semplicemente intelligenti come ad esempio quelli che analizzano messaggi di posta elettronica che sono probabilmente sma generato da bot automatizzati.
*«Per neutralità tecnologica si intende un approccio non discriminatorio alla regolazione dell’uso delle tecnologie, lasciando il mercato deciderne la combinazione ottimale»: https://www.ilsole24ore.com/art/auto-governo-punta-strada-neutralita-tecnologica-ecco-cosa-vuol-dire-AEGj1Z5C?refresh_ce=1
I “livelli di rischio” nel Regolamento
L’AI Act definisce 4 valori di rischio, cui sono applicate disposizioni diverse.
- Rischio inaccettabile: un insieme limitato di usi (modelli o sistemi che effettuino attività) particolarmente dannosi perché violano i diritti fondamentali. Sono vietati:
-
- sistemi che sfruttano o manipolano le vulnerabilità delle persone;
-
- sistemi che utilizzano tecniche subliminali, manipolative o ingannevoli per far fare qualcosa che le persone, se non fossero, appunto, manipolate, non farebbero;
-
- sistemi e modelli che utilizzano sistemi di categorizzazione, catalogazione, assegnazione di un punteggio (scoring sociale, come in Cina) per trattarle diversamente rispetto ad altre;
-
- sistemi predittivi del rischio dei comportamenti umani basati su caratteristiche fisiche o somatiche;
-
- sistemi che creano o ampliano basi di dati mediante scraping non mirato del web o con sistemi video di cattura delle immagini;
-
- sistemi che inferiscono le emozioni nei luoghi di lavoro o nelle istituzioni scolastiche, se non per ragioni di sicurezza delle persone;
-
- sistemi di categorizzazione biometrica per dedurre o inferire in base alla razza, le opinioni politiche, le convinzioni religiose o le abitudini e i gusti sessuali;
-
- sistemi di identificazione biometrica da remoto in spazi pubblici.
- sistemi o modelli ad alto rischio, che sono soggetti a particolari disposizioni e obbligazioni;
- sistemi a rischio limitato o specifico;
- sistemi considerati a basso rischio.
- Accanto a questi sistemi va aggiunta la categoria dei modelli per finalità generali, addestrati con grandi quantità di dati e che utilizzano l’auto supervisione su larga scala, caratterizzati da una generalità significativa e in grado di svolgere con competenza un’ampia gamma di compiti, come i noti Chat GPT, Claude, Gemini, ecc. (ne abbiamo parlato nella quinta uscita: https://studiolegalebroglia.com/2024/06/21/frid_ai_news-05-21-06-2024/).
Obblighi e regolamentazione
Oltre ai sistemi vietati, quindi, la parte più “corposa” degli adempimenti è in capo, ovviamente, agli sviluppatori, agli importatori e agli utilizzatori (per le definizioni: https://studiolegalebroglia.com/2024/06/09/frid_ai_news-02-31-05-2024-2/) di sistemi ad alto rischio.
I più rilevanti di questi requisiti, dettagliatamente, poi, specificati in più necessità specifiche, sono i seguenti:
- obblighi di conformità;
- necessità di adozione di sistemi formalizzati di gestione del rischio;
- necessità di adozione di modelli di governance dei dati trattati;
- necessità di predisposizione, mantenimento e aggiornamento di debita documentazione;
- conservazione dei log di funzionamento e utilizzo;
- obblighi di trasparenza e informazione;
- necessità di sorveglianza umana;
- necessità di progettazione, sviluppo, manutenzione e utilizzo secondo criteri di accuratezza, robustezza, cybersicurezza (per i dettagli: dei requisiti:https://studiolegalebroglia.com/2024/07/05/frid_ai_news-07-05-07-2024/).
Altri obblighi
Molte necessità sono in capo, ovviamente, anche a tutti coloro che vorranno utilizzare sistemi e modelli di intelligenza artificiale.
Un elenco degli obblighi in capo a deployer, importatori e distributori è disponibile qui: https://studiolegalebroglia.com/2024/07/12/frid_ai_news-08-12-07-2024/.
Analisi di rischio e di impatto
A motivo della complessità tecnica, del potenziale impatto sui diritti e le libertà delle persone, delle tante possibili vulnerabilità di sicurezza, della mancanza di trasparenza e di spiegabilità e degli usi distorti che sistemi “potenti” come quelli dotati di intelligenza artificiale possono presentare, come visto, il Regolamento pone particolare enfasi sulle analisi e sulle valutazioni del rischio.
Benché non vi siano ancora indicazioni completamente sicure, in alcune uscite abbiamo provato a dare qualche indicazione al riguardo.
Qui per l’analisi di rischio e di impatto dell’adozione dei sistemi, con riferimenti ad alcuni framework utilizzabili: https://studiolegalebroglia.com/2024/07/19/frid_ai_news-09-19-07-2024/.
Qui, i particolare, su una “nuova” analisi che il Regolamento ha introdotto: la c.d. F.R.I.A., Fundamental Rights Impact Assessment, per determinati modelli AI: https://studiolegalebroglia.com/2024/07/26/frid_ai_news-010-26-07-2024-2/.
Qui, invece, alcune altre considerazioni su “che cosa” considerare nelle analisi di rischio sui sistemi e i modelli che analizziamo: https://studiolegalebroglia.com/2024/08/02/frid_ai_news-011-2-08-2024-2/.
👾
La prossima settimana continueremo l’analisi del testo.
👾
p.s.: come sempre, ogni suggerimento o correzione, come sempre, è più che ben accetta!
👾 👾 👾 👾 👾
Questa newsletter si propone di esaminare le principali disposizioni in arrivo con un linguaggio semplice e chiaro, accompagnato il più possibile da esempi concreti.
Se sei interessato, iscriviti. 👾