La Proposta di Regolamento europeo sull’intelligenza artificiale (AI ACT) sarà, una volta concluso l’iter normativo, un nuovo strumento legislativo dell’Unione Europea che mira a regolare l’uso dell’intelligenza artificiale in modo responsabile e sicuro. Questo regolamento è stato proposto dalla Commissione europea il 21 aprile 2021 e, se approvato, diventerà il primo regolamento a livello europeo per l’IA.
Il Regolamento si applicherà a tutti i fornitori di IA che operano nell’UE, sia quelli con sede nell’UE che quelli situati al di fuori dell’UE che forniscono prodotti o servizi all’interno del territorio europeo. Il regolamento copre un’ampia gamma di applicazioni dell’IA, comprese le tecnologie di riconoscimento facciale, le tecnologie di profilazione e di scoring sociale, i sistemi di decisione automatizzati e molto altro ancora.
Il regolamento stabilisce un quadro normativo per l’uso dell’IA che include requisiti per la progettazione e l’implementazione dell’IA, nonché requisiti per la formazione degli utenti e la documentazione dei prodotti. In particolare, il regolamento richiede che l’IA sia progettata in modo che sia sicura, affidabile e rispettosa della privacy e dei diritti fondamentali ma soprattutto trasparente.
Secondo il criterio dell’approccio normativo basato sulla valutazione del rischio (risk-based approach) spesso utilizzato dal legislatore europeo, il Regolamento prevede 4 livelli di rischio a cui corrispondono 4 differenti approcci:
- Rischio inaccettabile = servizio proibito
- Rischio alto = servizio soggetto a un assessment preliminare e a regole stringenti
- Rischio medio = servizio soggetto a specifici obblighi informativi e di trasparenza
- Rischio minimo/assente = servizio permesso senza restrizioni
I servizi ad oggi proibiti nella proposta di Regolamento sono i sistemi di:
– manipolazione subliminale
– sfruttamento di soggetti fragili
– social scoring
– identificazione biometrica.
I servizi considerati “ad alto rischio” (Titolo III AI Act) dovranno assicurare un elevato livello di qualità dei data set utilizzati per il training (pertinenti, rappresentativi e vari), dovranno fornire un set documentale idoneo a rappresentare il funzionamento del sistema e la logica sottostante, dovranno fornire informazioni chiare e trasparenti sulle modalità di utilizzo del sistema e infine garantire una supervisione umana, resilienza, resistenza e sicurezza informatica.
La trasparenza: elemento cardine
La colonna portante dell’intero regolamento però è il principio di trasparenza che viene posto al centro della norma e che informa tutti i trattamenti e i servizi basati su Intelligenza Artificiale. L’art. 52 infatti prevede tra i vari obblighi di informazione, che debba essere sempre comunicata all’utente l’interazione con sistemi AI soprattutto se non evidente; l’utente/interessato deve inoltre essere notiziato, ove ci sia, del rilevamento di emozioni o di dati biometrici e del fatto che verranno utilizzati per produrre uno specifico output generativo.
Infine il Regolamento prevede un monitoraggio proattivo e costante dei dati raccolti e relativi ad affidabilità, performance e sicurezza dei sistemi di AI; tale monitoraggio deve essere garantito per tutta la durata del sistema.
Sarà quindi necessario prevedere sistemi di analisi continuativa della compliance normativa e di reportistica efficace e tempestiva di indicenti o malfunzionamenti dei sistemi che comportino violazione o compressione dei diritti fondamentali.
La proposta di regolamento pertanto porterà nuove sfide per i produttori dei sistemi di AI, che in considerazione del continuo auto apprendimento evolutivo dell’AI, dovranno dotarsi di processi di autocontrollo proattivi e in grado di evolvere essi stessi nel tempo.