Il Parlamento europeo ha pubblicato il 2 settembre 2024 un documento informativo di sintesi che riassume il contenuto ed il percorso legislativo che ha condotto all’approvazione del Regolamento (UE) 2024/1689, ovvero l’AI Act.
Percorso legislativo e adozione dell’AI Act
Il percorso legislativo dell’AI Act è iniziato con la proposta della Commissione Europea nell’aprile 2021; il Parlamento Europeo e il Consiglio UE hanno adottato l’atto attraverso la procedura legislativa ordinaria.
Il testo definitivo dell’AI Act è stato il risultato di numerosi negoziati tra il Parlamento e il Consiglio, che si sono svolti in varie sessioni tra il 2021 e il 2023; il Parlamento ha apportato modifiche significative alla proposta della Commissione, inclusa una maggiore attenzione alle questioni della trasparenza ed alla tutela dei diritti fondamentali.
Il Consiglio ha adottato la sua posizione comune nel dicembre 2022; dopo ulteriori triloghi (ovvero le riunioni informali tra Parlamento, Consiglio e Commissione), un accordo provvisorio è stato raggiunto nel dicembre 2023.
Successivamente, il Parlamento ha adottato il Regolamento nel marzo 2024, seguito dal Consiglio nel maggio dello stesso anno.
L’AI Act è stato firmato ufficialmente il 13 giugno 2024 e pubblicato nella Gazzetta Ufficiale dell’UE il 12 luglio 2024.
È entrato in vigore nell’agosto 2024, con alcune disposizioni che diventeranno applicabili nei mesi successivi, a seconda della categoria di rischio dei sistemi di IA regolamentati:
- i sistemi vietati devono essere eliminati entro 6 mesi dall’entrata in vigore
- le norme sui sistemi di IA ad uso generico (GPAI) entreranno in vigore dopo 12 mesi
- le norme sui sistemi di IA ad alto rischio dopo 24 mesi.
Stakeholder Views
Le opinioni degli stakeholder sull’AI Act sono state varie e, in alcuni casi, contrastanti.
Tra le principali preoccupazioni emerse, vengono riportate le seguenti:
- Settore industriale: alcuni attori del settore tecnologico hanno espresso preoccupazioni sul fatto che la definizione di “sistema di IA” fosse troppo ampia, includendo anche algoritmi semplici, sottoponendo così a regolamentazione anche tecnologie che non sono considerate IA nel senso comune; hanno quindi raccomandato di adottare una definizione più ristretta, focalizzandosi solo sui sistemi di IA ad alto rischio.
- Organizzazioni per i diritti civili: alcuni gruppi della società civile hanno richiesto una regolamentazione più severa, chiedendo il divieto di utilizzo indiscriminato delle tecnologie biometriche, in particolare nei contesti di sorveglianza pubblica e controllo delle frontiere.
- Preoccupazioni sul rischio e l’impatto: altri stakeholder hanno sottolineato che la regolamentazione dovrebbe essere basata sull’impatto che i sistemi di IA hanno sugli individui e sulla società, piuttosto che solo sul tipo di tecnologia utilizzata; alcuni hanno anche proposto l’introduzione di valutazioni obbligatorie dell’impatto dei sistemi IA sui diritti fondamentali.
- Impatto sugli investimenti: alcuni studi hanno indicato che i costi di conformità del regolamento potrebbero ridurre gli investimenti nell’IA in Europa, in particolare per le piccole e medie imprese (PMI); tuttavia, tali stime sono state contestate da altri esperti, che hanno invece evidenziato i potenziali benefici a lungo termine di una regolamentazione chiara.
Classificazione dei Sistemi di IA
L’AI Act adotta una classificazione dei sistemi IA in base al rischio:
- Rischio inaccettabile: i sistemi che comportino un tale rischio sono vietati, poiché comportano rischi per la sicurezza, la salute o i diritti fondamentali
- Rischio elevato: tali sistemi sono autorizzati, ma soggetti a requisiti rigorosi prima di essere immessi nel mercato
- Rischio limitato: i sistemi che comportino un tale rischio richiedono ulteriori obblighi di trasparenza
- Rischio minimo: tali sistemi non soggetti a particolari obblighi.
IA ad uso Generico
L’AI Act include specifiche regole per i modelli di IA ad uso generico (GPAI), ovvero quei modelli di IA addestrati con grandi quantità di dati e capaci di svolgere una vasta gamma di compiti distinti: questi modelli, grazie alla loro flessibilità, possono essere integrati in diversi sistemi o applicazioni a valle.
Tutti i fornitori di modelli GPAI devono rispettare rigidi requisiti di trasparenza:
- devono mantenere una documentazione tecnica aggiornata
- sono tenuti a rendere disponibili informazioni e documenti ai fornitori di sistemi IA che utilizzano tali modelli
- devono garantire il rispetto della normativa sul copyright dell’Unione Europea, anche tramite tecnologie avanzate come il watermarking.
Alcuni modelli di GPAI con capacità “ad alto impatto” sono considerati potenzialmente rischiosi a livello sistemico, poiché potrebbero avere un impatto significativo sulla sicurezza pubblica, sui diritti fondamentali o sull’intero mercato interno.
Questi modelli sono soggetti a requisiti aggiuntivi, come:
- monitoraggio continuo dei rischi e delle minacce alla sicurezza
- implementazione di misure correttive in caso di incidenti gravi
- obbligo di notifica alla Commissione Europea se il modello supera una certa soglia di potenza computazionale (espressa in FLOPs), utilizzata come indicatore del rischio sistemico.
I modelli di IA ad uso generico che sono resi disponibili come software open source sono esonerati da alcuni degli obblighi, come la divulgazione completa della documentazione tecnica; tuttavia, questi modelli devono comunque rispettare il regolamento se sono integrati in sistemi vietati o ad alto rischio.
Sandbox e Innovazione nell’AI Act
I fornitori di GPAI possono anche beneficiare delle sandbox regolatori, che consentono di testare e sviluppare modelli di IA in ambienti controllati prima della loro immissione sul mercato, favorendo così l’innovazione senza compromettere la sicurezza o i diritti degli utenti.
Struttura di Governance e Sanzioni
L’attuazione dell’AI Act prevede la designazione di autorità nazionali competenti per la sorveglianza del mercato e un’Autorità Europea per l’Intelligenza Artificiale.
Le sanzioni per il mancato rispetto possono arrivare fino al 7% del fatturato annuo globale.
AI Act e Impatto sulle PMI
L’AI Act riconosce l’importanza di sostenere le piccole e medie imprese (PMI) nell’adozione e sviluppo dell’IA, bilanciando i requisiti normativi con la necessità di promuovere l’innovazione.
Alcuni stakeholder hanno espresso preoccupazioni riguardo ai costi di conformità, che potrebbero ostacolare lo sviluppo di sistemi IA ad alto rischio da parte delle PMI: per mitigare questo rischio, il regolamento prevede misure specifiche per agevolare le PMI, come la possibilità di partecipare ai sandbox regolatori, ovvero ambienti controllati che consentono alle PMI di testare e sviluppare sistemi IA innovativi senza dover rispettare immediatamente tutte le norme di conformità.
Viene inoltre richiesta una rappresentanza efficace delle PMI nei processi di definizione degli standard, affinché le loro esigenze vengano prese in considerazione; non si nasconde che le PMI potrebbero comunque affrontare sfide legate ai costi di adeguamento e alle competenze tecniche richieste.
