Alla scoperta delle norme dedicate all’intelligenza artificiale
Una banca dati per i sistemi ad alto rischio e il monitoraggio successivo all’immissione sul mercato
Ed eccoci arrivati alla diciassettesima uscita di Frid_AI_news.
Oggi ci occupiamo di due Capi, l’ottavo e il nono, dedicati alla Banca Dati per i sistemi ad alto rischio e al monitoraggio dei sistemi una volta immessi sul mercato.
La Banca Dati per i sistemi ad alto rischio
Nella sesta uscita della newsletter abbiamo analizzato quali sistemi il Regolamento ritenga altamente rischiosi.
L’immagine qui sotto riassume i modelli e i sistemi più specificamente individuati nell’Allegato III del Regolamento.
L’intento del Regolamento è quello di creare un database centralizzato contenente informazioni sui sistemi ad alto rischio: la Commissione Europea, in collaborazione con gli Stati membri, creerà e gestirà questa banca dati (vedi l’Art. 71), nella quale fornitori e rappresentanti autorizzati inseriranno i dati richiesti. La maggior parte delle informazioni sarà accessibile al pubblico, tranne alcuni dati che rimarranno riservati (dati relativi a sistemi utilizzati nel controllo della migrazione, delle frontiere, ad esempio).
Un’azienda, ad esempio, che sviluppi un sistema per la selezione del personale dovrebbe registrare questo sistema nella banca dati, fornendo dettagli sulla sua funzionalità, sui potenziali rischi e sulle misure di sicurezza adottate.
Il monitoraggio successivo all’immissione sul mercato
Gli articoli 72 e seguenti si occupano dell’istituzione di meccanismi per monitorare i sistemi ad alto rischio una volta che questi siano stati immessi sul mercato.
L’intento è, evidentemente, quello di spingere i fornitori a mettere in atto sistemi di monitoraggio proporzionati ai rischi che il sistema o il modello presentino, al fine di raccogliere e analizzare dati sulle prestazioni durante tutto il ciclo di vita.
Se un’azienda rilascia un sistema per la diagnosi medica, quindi, dovrà continuare a raccogliere dati sulle sue prestazioni negli ospedali, analizzando eventuali errori o imprecisioni per migliorare costantemente il modello.
La seconda sezione del Capo IX si occupa della necessità di condividere informazioni su incidenti gravi che possano accadere.
Ciò avviene con l’imposizione di un obbligo, per i fornitori, di segnalare gli incidenti alle autorità competenti in generale entro 15 giorni, per consentire alle autorità di vigilanza di prendere misure appropriate.
Particolari procedure sono previste per settori specifici come quello medico o finanziario.
Il sistema di monitoraggio è accompagnato da particolari poteri di controllo e intervento in capo alle autorità.
Le autorità di vigilanza del mercato potranno infatti chiedere l’accesso alla documentazione e ai set di dati utilizzati per lo sviluppo dei sistemi e, in casi specifici, accedere anche al codice sorgente.
Un’autorità di vigilanza potrà dunque probabilmente richiedere l’accesso ai dati di addestramento di un modello utilizzato per la valutazione del rischio creditizio, per verificare che non contenga bias discriminatori.
Al fine di garantire i diritti dei cittadini in relazione alle decisioni prese dai sistemi di IA, sono previsti il diritto di presentare reclami e di ottenere spiegazioni.
I cittadini, quindi, potranno presentare istanze nel caso di sottoposizione a decisioni basate su modelli ad alto rischio che li abbiano riguardati. Altre previsioni riguardano la possibilità di segnalare violazioni come previsto dalle norme in materia di whistleblowing.
Modelli con finalità generali (GPAI)
In relazione a questi sistemi vengono attribuite competenze di vigilanza alla Commissione europea, la quale potrà richiedere documentazione, effettuare valutazioni e imporre l’adozione di misure specifiche.
Per esempio, se un modello di AI generativa come Chat, Claude, Gemini o altri similari venissero sospettati di presentare rischi sistemici, la Commissione potrebbe richiedere una valutazione approfondita e, se necessario, imporre misure di mitigazione al fornitore.
Come si vede, il quadro regolatorio dell’AI Act è chiaramente finalizzato a mitigare possibili rischi o derive pericolose dei sistemi e dei modelli, sia in senso preventivo, con la previsione di banche dati di monitoraggio, sia con sistemi di verifica e controllo post immissione sul mercato, affiancati da meccanismi di tutela dei cittadini.
Vedremo, da un lato, se ce ne sarà bisogno e, dall’altro, se questi meccanismi si riveleranno efficaci.
👾
La prossima settimana continueremo l’analisi e, come sempre, ogni suggerimento o correzione è più che ben accetta!
👾 👾 👾 👾 👾
Questa newsletter si propone di esaminare le principali disposizioni in arrivo con un linguaggio semplice e chiaro, accompagnato il più possibile da esempi concreti.
Se sei interessato, iscriviti. 👾