Dopo un negoziato fiume di oltre 36 ore, le istituzioni dell’Unione europea, Parlamento e Consiglio Ue, hanno raggiunto l’accordo sull’AI Act, la legge europea sull’intelligenza artificiale. Si tratta del primo quadro normativo al mondo che regola lo sviluppo e l’uso dei sistemi di IA. Il commissario europeo al Mercato Interno Thierry Breton su X ha parlato di accordo “storico”. La palla ora passa agli Stati membri per l’approvazione finale.
La complessità delle trattative dà l’idea della portata della sfida raccolta dall’Unione europea nel disegnare un quadro giuridico per l’IA, tessendo un delicato equilibrio tra la tutela dei diritti fondamentali e il sostegno all’innovazione. Un terreno inesplorato, quello in cui si è mossa Bruxelles, che necessita di essere regolato in modo tale da consentire al Vecchio Continente di cogliere le opportunità e gestire i rischi derivanti dallo sviluppo impetuoso dell’IA, esploso con la diffusione di chatbot come ChatGPT di OpenAi.
“L’AI Act è una novità mondiale. Un quadro giuridico unico per lo sviluppo dell’intelligenza artificiale di cui ci si può fidare. E per la sicurezza e i diritti fondamentali delle persone e delle imprese. Un impegno che abbiamo assunto nei nostri orientamenti politici e che abbiamo mantenuto“, ha rivendicato la presidente ella Commissione europea Ursula von der Leyen, celebrando uno dei cavalli di battaglia del suo mandato alla guida dell’esecutivo comunitario, che nel 2021 ha avanzato la proposta. “Il potenziale dell’Intelligenza artificiale è immenso in tutti gli ambiti, dall’assistenza sanitaria all’informatica agricoltura. Ma dobbiamo anche proteggere gli europei dai rischi di un’intelligenza artificiale non regolamentata”.
Cosa prevede il regolamento europeo sull’IA
Obiettivo della normativa è garantire che l‘IA protegga i diritti fondamentali, la democrazia, lo Stato di diritto e la sostenibilità ambientale, stimolando al tempo stesso l’innovazione e rendendo l’Europa leader nel settore. Il nocciolo della legge è l’adozione di un approccio basato sul rischio. In altre parole, sono previsti una serie di obblighi per i fornitori e gli sviluppatori di sistemi di IA a seconda dei diversi livelli di rischio identificati.
Il riconoscimento biometrico
Simbolo di tutte le battaglie è stato il divieto dei sistemi di identificazione biometrica in tempo reale e a distanza, come il riconoscimento facciale, il cui uso sarà ora limitato a casi specifici. I negoziatori hanno concordato una serie di salvaguardie e di eccezioni limitate per l’uso di sistemi di identificazione biometrica (Rbi) in spazi accessibili al pubblico nei casi previsti dalla legge, previa autorizzazione giudiziaria e per reati rigorosamente definiti. L’Rbi “remoto” verrebbe utilizzato esclusivamente per la ricerca mirata di una persona condannata o sospettata di aver commesso un reato grave.
I sistemi di identificazione biometrica “in tempo reale” devono rispettare condizioni rigorose e il loro uso limitato nel tempo e nel luogo e circoscritto a precisi casi: ricerche mirate di vittime (rapimento, traffico, sfruttamento sessuale), prevenzione di una minaccia terroristica specifica e attuale, o localizzazione o identificazione di una persona sospettata di aver commesso uno dei reati specifici menzionati nel regolamento (tra cui terrorismo, traffico di esseri umani, omicidio, stupro).
“Alcuni governi compreso quello italiano avrebbero voluto più mano libera nel mettere sotto controllo i cittadini e fare profilazione ma hanno trovato un muro invalicabile da parte nostra a tutela delle libertà“, ha rivendicato il capodelegazione del Partito democratico al Parlamento Europeo e relatore dell’AI Act, Brando Benifei. Per Amnesty International tuttavia l’Ue ha dato “via libera alla sorveglianza digitale distopica“, creando “un precedente devastante a livello mondiale”. Critica anche l’associazione europea dei consumatori (Beuc), che lamenta “l’ampiezza dei rischi da cui i consumatori saranno impropriamente protetti in futuro”.
I divieti
Uno dei capitoli più importanti, su cui il negoziato si è incagliato per ore, è quello delle pratiche di IA vietate perché comportano un rischio inaccettabile per la sicurezza e i diritti fondamentali. La lista dei divieti include i sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili, come le convinzioni politiche, religiose e la razza, la raccolta non mirata di immagini del volto da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale, il riconoscimento delle emozioni sul posto di lavoro e nelle scuole, le tecniche manipolative, l’IA usata per sfruttare le vulnerabilità delle persone e il “social scoring” (valutazione basata su un sistema di credito sociale).
Gli obblighi
L’accordo prevede inoltre una serie di obblighi per i sistemi ad alto rischio con rischio sistemico, tra cui quello di una In questa categoria saranno inseriti anche i sistemi di IA usati per influenzare l’esito delle elezioni e il comportamento degli elettori. Sono previsti obblighi più stringenti che vanno dalla valutazione dell’impatto sui diritti fondamentali alla mitigazione dei rischi sistemici fino alla protezione della sicurezza informatica.
Norme che Berlino, Parigi e in parte Roma avrebbero voluto diluire in codici di condotta, temendo che gli oneri imposti soffocheranno l’innovazione in Ue. “Non siamo ancora convinti che questo sia il modo giusto per garantire che l’Europa rimanga competitiva nell’IA. L’innovazione si farà comunque altrove. Qui abbiamo perso la nostra occasione”, ha commentato a caldo l’eurodeputato del Ppe Axel Voss.
Il diritto di reclamo per i cittadini
il regolamento introduce per i cittadini il diritto di presentare reclami sui sistemi di IA e di ricevere spiegazioni sulle decisioni basate sui sistemi di IA ad alto rischio che hanno un impatto sui loro diritti.
Le sanzioni e le misure a sostegno dell’innovazione e delle Pmi
Il testo include misure a sostegno dell’innovazione e delle Piccole e medie imprese e un regime di sanzioni, con multe che vanno da 35 milioni di euro o il 7% del fatturato globale a 7,5 milioni o l’1,5% del fatturato, a seconda della violazione e delle dimensioni dell’azienda.
L’authority europea di vigilanza
Viene istituzione di un AI Office a Bruxelles, un’authority europea con un proprio budget e con il compito di sovrintendere all’applicazione della legge, garantendo che le disposizioni dell’AI Act siano implementate e rispettate efficacemente. Anche i singoli Stati membri sono chiamati a dar vita a un’autorità indipendente oppure ad affidare la vigilanza a un organismo già esistente.
