Dopo l’approvazione da parte del Parlamento europeo dello scorso marzo, arrivata a 9 mesi di distanza da quella del testo, anche il Consiglio europeo ha approvato all’unanimità l’AI Act dando il via libera alle prime norme mondiali sull’intelligenza artificiale che ne disciplinano lo sviluppo, l’immissione sul mercato e l’utilizzo in Europa.
La legge detta una serie di obblighi a fornitori e sviluppatori di sistemi di AI in base ai diversi livelli di rischio identificati. I sistemi che presentano solo un rischio limitato saranno soggetti a obblighi di trasparenza molto leggeri, mentre i sistemi di IA ad alto rischio saranno autorizzati, ma soggetti a una serie di requisiti e obblighi per ottenere l’accesso al mercato dell’Ue.
I sistemi di intelligenza artificiale come, ad esempio, quelli che prevedono la manipolazione cognitivo comportamentale e il social scoring (ossia la valutazione di azioni, comportamenti e le interazioni che possono essere utilizzati per limitare la libertà) saranno banditi dall’Ue perché il loro rischio è ritenuto inaccettabile. La legge vieta inoltre l’uso dell’intelligenza artificiale per la polizia predittiva basata sulla profilazione e sistemi che utilizzano dati biometrici per classificare le persone in base a categorie specifiche come razza, religione o orientamento sessuale.
Altra novità è il capitolo dedicato all’AI generativa, inserito in corso d’opera con l’obiettivo di dare una prima risposta alla diffusione di sistemi come ChatGPT. L’AI Act affronta l’uso di questi modelli di AI per scopi generali (GPAI) differenziandoli in base al rischio sistemico ovvero quelli che non ne presentano saranno soggetti ad alcuni requisiti limitati, ad esempio per quanto riguarda la trasparenza e quelli che li hanno dovranno rispettare regole decisamente più severe.
Per garantire una corretta applicazione, verranno istituiti diversi organi di governo:
- un ufficio AI all’interno della Commissione per far rispettare le regole comuni in tutta l’Ue
- un panel scientifico di esperti indipendenti a supporto delle attività di contrasto;
- un comitato per l’AI con rappresentanti degli Stati membri per consigliare e assistere la Commissione e gli Stati membri nell’applicazione coerente ed efficace della legge sull’AI;
- un forum consultivo per le parti interessate per fornire competenze tecniche al comitato AI e alla Commissione.
In linea di principio, secondo la normativa approvata, le forze dell’ordine “non potranno fare ricorso ai sistemi di identificazione biometrica”, tranne in alcune situazioni specifiche espressamente previste dalla legge. Tra queste, ad esempio, la ricerca di una persona scomparsa, la prevenzione di un attacco terroristico o l’investigazione di un reato grave.
L’identificazione “in tempo reale” potrà essere utilizzata solo se saranno rispettate garanzie rigorose, ad esempio se l’uso è limitato nel tempo e nello spazio e previa autorizzazione giudiziaria o amministrativa.
Le sanzioni per le violazioni della legge sull’AI saranno fissate in percentuale al fatturato annuo globale dell’azienda colpevole nell’anno finanziario precedente o in un importo predeterminato, a seconda di quale sia il più elevato. Si va comunque da un minimo di 7,5 milioni di euro o l’1,5% del fatturato fino a 35 milioni di euro o il 7% del fatturato globale. Le PMI e le start-up sono soggette a sanzioni amministrative proporzionali.
Prima che un sistema di AI ad alto rischio venga implementato da alcuni enti che forniscono servizi pubblici, la normativa prevede la necessità di valutarne l’impatto sui diritti fondamentali. Il regolamento prevede anche una maggiore trasparenza per quanto riguarda lo sviluppo e l’uso di questa tipologia di sistemi che dovranno essere registrati nella banca dati dell’Ue.
I Paesi dell’UE, infine, dovranno istituire e rendere accessibili a livello nazionale spazi di sperimentazione normativa e meccanismi di prova in condizioni reali (in inglese sandbox), in modo che PMI e start-up possano sviluppare sistemi di IA innovativi e addestrarli prima di immetterli sul mercato.
L’AI Act si applica solo alle aree che rientrano nel diritto dell’Ue. Dopo essere stato firmato dai presidenti del Parlamento europeo e del Consiglio, l’atto legislativo sarà pubblicato nei prossimi giorni sulla Gazzetta Ufficiale dell’Ue ed entrerà in vigore venti giorni dopo tale pubblicazione.
Il nuovo regolamento si applicherà due anni dopo la sua entrata in vigore, con alcune eccezioni per disposizioni specifiche, come ad esempio i divieti, che scatteranno dopo sei mesi, dei controlli sui sistemi di AI per finalità generali, compresa la governance (12 mesi) e degli obblighi per i sistemi ad alto rischio (36 mesi).