La legge sull'IA (regolamento(UE) 2024/1689 che stabilisce norme armonizzate sull'intelligenza artificiale)fornisce agli sviluppatori e agli operatori di IA requisiti e obblighi chiari per quanto riguarda gli usi specifici dell'IA. Allo stesso tempo, il regolamento mira a ridurre gli oneri amministrativi e finanziari per le imprese, in particolare le piccole e medie imprese (PMI).

La legge sull'IA fa parte di un pacchetto più ampio di misure politiche a sostegno dello sviluppo di un'IA affidabile, che comprende anche il pacchetto sull'innovazione in materia di IA e ilpiano coordinato sull'IA. Insieme, queste misure garantiscono la sicurezza e i diritti fondamentali delle persone e delle imprese quando si tratta di IA. Esse rafforzano inoltre l'adozione, gli investimenti e l'innovazione nell'IA in tutta l'UE.

La legge sull'IA è il primo quadro giuridico globale in assoluto sull'IA a livello mondiale. L'obiettivo delle nuove norme è promuovere un'IA affidabile in Europa e nel resto del mondo, garantendo che i sistemi di IA rispettino i diritti fondamentali, la sicurezza e i principi etici e affrontando i rischi di modelli di IA molto potenti e di grande impatto.

Perché abbiamo bisogno di norme sull'IA?

La legge sull'IA garantisce che gli europei possano fidarsi di ciò che l'IA ha da offrire. Sebbene la maggior parte dei sistemi di IA non presenti rischi e possa contribuire a risolvere molte sfide sociali, alcuni sistemi di IA creano rischi che dobbiamo affrontare per evitare risultati indesiderati.

Ad esempio, spesso non è possibile scoprire perché un sistema di IA ha preso una decisione o una previsione e ha intrapreso una particolare azione. Pertanto, può diventare difficile valutare se qualcuno sia stato ingiustamente svantaggiato, ad esempio in una decisione di assunzione o in una domanda di un regime di pubblica utilità.

Sebbene la legislazione vigente offra una certa protezione, non è sufficiente per affrontare le sfide specifiche che i sistemi di IA possono comportare.

Le nuove norme:

• affrontare i rischi creati specificamente dalle applicazioni di IA
• vietare le pratiche di IA che comportano rischi inaccettabili
• stabilire un elenco di applicazioni ad alto rischio
• stabilire requisiti chiari per i sistemi di IA per le applicazioni ad alto rischio
• definire obblighi specifici per gli operatori e i fornitori di applicazioni di IA ad alto rischio
• richiedere una valutazione della conformità prima che un determinato sistema di IA sia messo in servizio o immesso sul mercato
• mettere in atto l'applicazione dopo l'immissione sul mercato di un determinato sistema di IA
• istituire una struttura di governance a livello europeo e nazionale

Un approccio basato sul rischio

Il quadro normativo definisce 4 livelli di rischio per i sistemi di IA:

 

Tutti i sistemi di IA considerati una chiara minaccia alla sicurezza, ai mezzi di sussistenza e ai diritti delle persone sono vietati, dal punteggio sociale da parte dei governi ai giocattoli che utilizzano l'assistenza vocale che incoraggia comportamenti pericolosi.

Rischio elevato

I sistemi di IA identificati come ad alto rischio comprendono la tecnologia di IA utilizzata in:

• infrastrutture critiche (ad esempio i trasporti), che potrebbero mettere a rischio la vita e la salute dei cittadini
• formazione scolastica o professionale, che può determinare l'accesso all'istruzione e al corso professionale della vita di una persona (ad esempio il punteggio degli esami)
• componenti di sicurezza dei prodotti (ad es. applicazione dell'IA nella chirurgia assistita da robot)
• occupazione, gestione dei lavoratori e accesso al lavoro autonomo (ad esempio software di selezione dei CV per le procedure di assunzione)
• servizi pubblici e privati essenziali (ad esempio il credit scoring che nega ai cittadini la possibilità di ottenere un prestito)
• attività di contrasto che possono interferire con i diritti fondamentali delle persone (ad esempio valutazione dell'affidabilità delle prove)
• gestione della migrazione, dell'asilo e del controllo delle frontiere (ad esempio esame automatizzato delle domande di visto)
• amministrazione della giustizia e processi democratici (ad esempio soluzioni di IA per la ricerca di decisioni giudiziarie)

I sistemi di IA ad alto rischio sono soggetti a obblighi rigorosi prima di poter essere immessi sul mercato:

• adeguati sistemi di valutazione e mitigazione dei rischi
• alta qualità delle serie di dati che alimentano il sistema per ridurre al minimo i rischi e i risultati discriminatori
• registrazione dell'attività per garantire la tracciabilità dei risultati
• documentazione dettagliata che fornisca tutte le informazioni necessarie sul sistema e sul suo scopo affinché le autorità ne valutino la conformità
• informazioni chiare e adeguate per l'operatore
• adeguate misure di sorveglianza umana per ridurre al minimo i rischi
• alto livello di robustezza, sicurezza e precisione

Tutti i sistemi di identificazione biometrica remota sono considerati ad alto rischio e soggetti a requisiti rigorosi. L'uso dell'identificazione biometrica remota in spazi accessibili al pubblico a fini di contrasto è, in linea di principio, vietato.

Sono rigorosamente definite e regolamentate eccezioni limitate, ad esempio quando necessario per cercare un minore scomparso, prevenire una minaccia terroristica specifica e imminente o individuare, localizzare, identificare o perseguire l'autore o il sospettato di un reato grave.

Tali usi sono subordinati all'autorizzazione di un organo giudiziario o di un altro organo indipendente e a limiti adeguati per quanto riguarda il tempo, la portata geografica e le banche dati consultate.

Rischio limitato

Il rischio limitatosi riferisce ai rischi associati alla mancanza di trasparenza nell'uso dell'IA. La legge sull'IA introduce specifici obblighi di trasparenza per garantire che gli esseri umani siano informati quando necessario, promuovendo la fiducia. Ad esempio, quando si utilizzano sistemi di intelligenza artificiale come i chatbot, gli esseri umani dovrebbero essere consapevoli del fatto che stanno interagendo con una macchina in modo che possano prendere una decisione informata di continuare o fare un passo indietro. I fornitori devono inoltre garantire che i contenuti generati dall'IA siano identificabili. Inoltre, il testo generato dall'IA pubblicato allo scopo di informare il pubblico su questioni di interesse pubblico deve essere etichettato come generato artificialmente. Ciò vale anche per i contenuti audio e video che costituiscono deep fake.

Rischio minimo o nullo

La legge sull'IA consente l'uso gratuito dell'IA a rischio minimo. Ciò include applicazioni come videogiochi abilitati all'intelligenza artificiale o filtri antispam. La stragrande maggioranza dei sistemi di IA attualmente utilizzati nell'UE rientra in questa categoria.

Come funziona tutto ciò nella pratica per i fornitori di sistemi di IA ad alto rischio?

 

 

Una volta che un sistema di IA è sul mercato, le autorità sono responsabili della vigilanza del mercato, gli operatori garantiscono la sorveglianza e il monitoraggio umani e i fornitori dispongono di un sistema di monitoraggio post-commercializzazione. I fornitori e gli operatori segnaleranno anche incidenti gravi e malfunzionamenti.

Una soluzione per l'uso affidabile di modelli di IA di grandi dimensioni

Sempre più spesso i modelli di IA generici stanno diventando componenti dei sistemi di IA. Questi modelli possono eseguire e adattare innumerevoli compiti diversi.

Mentre i modelli di IA generici possono consentire soluzioni di IA migliori e più potenti, è difficile supervisionare tutte le capacità.

Lì, la legge sull'IA introduce obblighi di trasparenza per tutti i modelli di IA generici per consentire una migliore comprensione di tali modelli e ulteriori obblighi di gestione del rischio per modelli molto capaci e di impatto. Tali obblighi aggiuntivi comprendono l'autovalutazione e l'attenuazione dei rischi sistemici, la segnalazione di incidenti gravi, lo svolgimento di valutazioni di test e modelli, nonché i requisiti di cibersicurezza.

Una legislazione adeguata alle esigenze future

Poiché l'IA è una tecnologia in rapida evoluzione, il regolamento ha un approccio adeguato alle esigenze future, che consente alle norme di adattarsi ai cambiamenti tecnologici. Le applicazioni di IA dovrebbero rimanere affidabili anche dopo essere state immesse sul mercato. Ciò richiede una gestione continua della qualità e del rischio da parte dei fornitori.

Applicazione e attuazione

L'Ufficio europeo per l'IA, istituito nel febbraio 2024 in seno alla Commissione, sovrintende all'applicazione e all'attuazione della legge sull'IA con gli Stati membri. Mira a creare un ambiente in cui le tecnologie di IA rispettino la dignità umana, i diritti e la fiducia. Promuove inoltre la collaborazione, l'innovazione e la ricerca in materia di IA tra i vari portatori di interessi. Inoltre, si impegna nel dialogo e nella cooperazione internazionali sulle questioni relative all'IA, riconoscendo la necessità di un allineamento globale sulla governance dell'IA. Attraverso questi sforzi, l'Ufficio europeo per l'IA si sforza di posizionare l'Europa come leader nello sviluppo etico e sostenibile delle tecnologie di IA.

Prossime tappe

La legge sull'IA è entrata in vigore il 1o agosto e sarà pienamente applicabile due anni dopo, con alcune eccezioni: i divieti entreranno in vigore dopo sei mesi, le norme di governance e gli obblighi per i modelli di IA per uso generale diventeranno applicabili dopo 12 mesi e le norme per i sistemi di IA - integrati in prodotti regolamentati - si applicheranno dopo 36 mesi. Per agevolare la transizione verso il nuovo quadro normativo, la Commissione ha varato ilpatto sull'IA, un'iniziativa volontaria che mira a sostenere la futura attuazione e invita gli sviluppatori di IA europei e non solo a rispettare in anticipo gli obblighi fondamentali della legge sull'IA.