Regolamento europeo sull’intelligenza artificiale (AI Act): l’ok del Parlamento Ue

Il Parlamento europeo ha approvato in via definitiva il Regolamento Europeo sull’intelligenza artificiale (AI ACT), che dovrà ormai solo attendere la pubblicazione in Gazzetta Ufficiale per essere pienamente in vigore. Dopo un lungo iter legislativo il Regolamento è legge e tutte le aziende e le PA dovranno adeguarsi alle nuove norme dell’Unione, che, come tutti i regolamenti, sono self executive e dunque non richiedono alcuna legge di recepimento, entrando direttamente nel corpo legislativo nazionale di ciascun Stato membro.

>> IL TESTO DELL’AI ACT.

AI Act: l’ok del Parlamento europeo

Il fulcro dell’AI Act fa riferimento alla precisa definizione di intelligenza artificiale. Questo punto cruciale, che ha sollevato notevoli dibattiti, è essenziale per delineare l’ambito di applicazione della normativa: ciò che rientra nel quadro regolamentare e ciò che ne rimane escluso. Inizialmente, la Commissione UE aveva proposto una definizione flessibile di “sistema di IA”, successivamente rivisitata per allinearsi alla definizione dell’OCSE. Ora l’AI Act identifica i sistemi AI come entità automatizzate capaci di adattarsi e influenzare realtà fisiche o virtuali. Comprendere queste sfumature sarà vitale per navigare i nuovi requisiti e responsabilità introdotti.
Come si legge nell’articolo scritto da Luisa DI Giacomo su Diritto.it, “con il voto del 13 marzo 2024, l’Unione europea è la prima al mondo a regolamentare la rivoluzione dirompente dell’intelligenza artificiale, diventando apripista e pioniera nella tecnologia che oggi promette di cambiare per sempre la vita di tutti noi”.  L’approvazione è stata quasi plebiscitaria, con 523 voti a favore, 46 contrari e 49 astenuti e a Strasburgo si parla di “giornata storica”. Grande attenzione è stata data alla definizione di sistema di intelligenza artificiale, che è stata così espressa: “un sistema automatizzato progettato per funzionare con diversi livelli di autonomia e che può mostrare capacità di adattamento dopo l’installazione e che, per obiettivi espliciti o impliciti, deduce, dagli input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.

L’entrata in vigore

Le regole dell’AI Act, così come era avvenuto per il GDPR, entreranno in vigore scaglionate nel tempo, lasciando alle aziende e alle PA il tempo per prendere confidenza con il nuovo Regolamento, anche se il mercato tenderà a premiare chi si adeguerà tempestivamente invece di aspettare l’ultimo minuto (come avvenne nel maggio 2018 quando divenne pienamente operativo il GDPR, entrato in vigore ben due anni prima e snobbato dai più).
I tempi sono comunque ridotti: entro sei mesi dall’entrata in vigore dovranno essere eliminati gradualmente i sistemi vietati dall’AI Act, entro dodici si applicheranno le norme di governance generali a tutte le aziende e le PA. Entro due anni dall’entrata in vigore il Regolamento sarà pienamente applicabile, comprese le norme per i sistemi ad alto rischio.

>> LEGGI ANCHE: Guida per ripensare la cybersecurity negli Enti locali, dall’intelligenza umana a quella artificiale: il social engineering.

Una nuova realtà

Il nuovo Regolamento, in cui c’è molto del “vecchio” GDPR, si applicherà a tutti i soggetti pubblici e privati che producono strumenti con tecnologia di intelligenza artificiale rivolti al mercato europeo, indipendentemente dal fatto che le aziende siano o meno europee: anche i Big americani, dunque, se vorranno continuare ad operare sul mercato del vecchio continente, dovranno pertanto adeguarsi. Non solo i fornitori, ma anche gli utilizzatori dovranno assicurarsi che il prodotto sia compliant.
Luisa Di Giacomo segnala anche le eccezioni nell’applicazione del Regolamento, che non varrà per i sistemi di AI per scopi militari, di difesa o di sicurezza nazionale, a quelli per scopi di ricerca e sviluppo scientifico, o a quelli rilasciati con licenze free e open source (fatta salva la verifica di sussistenza di un rischio), per l’attività di ricerca, prova e sviluppo relative a sistemi di intelligenza artificiale e per le persone fisiche che utilizzano i sistemi di AI per scopi puramente personali (ricalcando quanti previsto dal GDPR, che non si applica tra privati).
L’approccio è quello già noto basato sul rischio. I sistemi di AI sono divisi in quattro macrocategorie: a rischio minimo, limitato, alto ed inaccettabile. Come sempre, maggiore è il livello di rischio maggiori saranno le responsabilità e i limiti per sviluppatori e utilizzatori. Vietati in ogni caso gli utilizzi dei sistemi di AI per manipolare i comportamenti delle persone, per la categorizzazione biometrica in riferimento ai dati sensibili, per la raccolta massiccia e illimitata di foto di volti da internet, per il riconoscimento delle emozioni sul posto di lavoro o a scuola, per i sistemi di punteggio sociale o social scoring e per meccanismi di polizia predittiva, cioè l’uso di dati sensibili per calcolare le probabilità che una persona commetta un reato.

>> LEGGE ZERO, la newsletter gratuita di Maggioli Editore su intelligenza artificiale, diritto e l’interazione tra questi due ambiti. ISCRIVITI QUI.