Intelligenza Artificiale, Pregi e Difetti del Nuovo Regolamento UE
di Fabio Picciolini, esperto consumerista
Il 2 febbraio 2024 il Consiglio europeo ha approvato il Regolamento UE sull’Intelligenza Artificiale; il voto finale dell’assemblea plenaria del Parlamento è previsto il prossimo 24 aprile.
L’Artificial Intelligence Act è la prima normativa organica al mondo in materia e potrebbe essere la base di normative omogenee a livello globale: il Regolamento andrà a regime in maniera scaglionata, in oltre 2 anni, per lasciare tempo alla Commissione e ai singoli Stati di emanare gli atti necessari per la sua piena attuazione e valutare i potenziali rischi. Sarà applicabile a tutti gli operatori attivi in Europa comprese le Big Tech come Microsoft, Apple, Amazon, Meta e quelle cinesi, che dovranno rispettare disposizioni vincolanti su trasparenza e sicurezza; oltre che dotarsi di una certificazione sugli algoritmi e i dati, che dovranno avere una conformità ambientale. L’Act assume una scelta molto importante, definita di “risk approach”: neutralità rispetto alla tecnologia, dunque verso le innovazioni, ma con la valutazione dell’utilizzo dell’IA sulla base di principi, azioni e conseguenze prodotte da tale tecnologia.
Il principio base è la distinzione delle applicazioni dell’AI secondo i livelli di rischio per i diritti fondamentali dell’uomo: 1) trascurabile (minimo), con nessun obbligo; 2) limitato (basso) con obbligo di trasparenza, ad esempio sulla generazione dei contenuti, per consentire agli utenti di prendere decisioni consapevoli sul loro uso; 3) alto (significativo), inteso come “risultato della combinazione di gravità, intensità, probabilità di accadimento e durata dei suoi effetti e la capacità di colpire un individuo, una pluralità di persone o un particolare gruppo”. Le applicazioni ad “alto rischio” devono sempre prevedere, attraverso prescrizioni in tema di sviluppo e utilizzo, la tutela di diritti fondamentali come salute, lavoro, educazione, immigrazione, giustizia. Dovranno poi esserne attentamente verificate le definizioni, per evitare interpretazioni ambigue e garantire una migliore comprensione delle responsabilità. Quindi, saranno emanate linee guida dettagliate sulle eccezioni.
A tal fine, per gli sviluppatori è obbligatorio predisporre preliminarmente la cosiddetta “valutazione d’impatto” (Data Protection Impact Assessment). La DPIA deve riportare, in maniera analitica: procedure eseguibili; tecnologie correlate; dichiarazione di impegno al rispetto dei principi di privacy, liceità, correttezza; limitazione di finalità, conservazione e minimizzazione dei dati e garanzia della loro esattezza, integrità e riservatezza. Contestualmente i soggetti privati dovranno individuare la base giuridica del trattamento, per cui oltre alla DPIA dovranno predisporre l’atto di analisi (o bilanciamento) del legittimo interesse all’utilizzo dei dati. Sarà rilasciata apposita certificazione per dimostrare che il sistema è conforme ai requisiti obbligatori per un’AI affidabile; dopo l’immissione sul mercato, inoltre, dovranno essere implementati i modelli di gestione della qualità e del rischio. L’ultimo livello di rischio è quello insostenibile (inaccettabile), del tutto escluso essendo contrario ai valori dell’Ue, come ad esempio tecniche subliminali di sfruttamento e manipolazione di singoli o collettività. Solo per le autorità di contrasto, e per l’importanza di preservare la loro capacità di impiegare l’IA nel lavoro, sono contemplate alcune esenzioni a fini della lotta alle criminalità.
Il Regolamento non impatterà sulle competenze dei singoli Paesi riguardo alla sicurezza nazionale e non si applicherà ai sistemi utilizzati esclusivamente per difesa o finalità militari, per la ricerca scientifica o per scopi non professionali. Il testo contiene Alert e regole su produzione e distribuzione in Rete di deep fake, con l’obbligo per gli sviluppatori di avvertimento in caso di contenuti creati dall’IA: a tal fine sono previste sandbox regolamentari, in cui le aziende potranno sperimentarne soluzioni in condizioni reali – ma con esenzioni al rispetto della normativa – per promuovere l’innovazione e il “real world testing” prima della commercializzazione. Viene introdotta, peraltro, la possibilità di presentate reclami a una autorità pubblica e chiedere un risarcimento collettivo in caso di danno di massa. La Commissione si doterà di apposito AI Office per garantire l’applicazione dell’Act e l’incremento di competenze e capacità dell’Unione in questo campo: sarà costituito l’AI board, organismo di coordinamento e consulenza con rappresentanti dei singoli Stati, e si designerà un’autorità nazionale competente per supervisionare l’esecuzione delle norme, e una di vigilanza nel Comitato europeo che fornirà raccomandazioni sui sistemi ad alto rischio. Il Regolamento, infine, prevede sanzioni per un massimo di 35 milioni di euro o dall’1,5 al 7% del fatturato annuo mondiale: soglie ridotte rispettivamente a 15 mln e al 3% per le Pmi.
L’Intelligenza artificiale, senza che molti se ne accorgessero, ha già avuto un grande impatto in campo economico, militare, legale, giuridico, accademico, politico, medico, nella logistica e nei trasporti: è e sarà fondamentale per servizi pubblici più efficienti, lotta alle frodi e al cyber crimine, rispetto della compliance, protezione dei dati, contrattualistica, produttività, gestione dei rischi finanziari e in molti altri campi ancora sconosciuti. L’AI consente di fornire informazioni sempre più utili, precise, rapide, capaci – attraverso l’analisi predittiva – di anticipare situazioni future ed eliminare gli errori umani. Le risposte basate su sistemi Large Language Model (Llm) – che imparano regole grammaticali, sintattiche e caratteristiche dei linguaggi umani – sono generate da enormi dataset di cui non si conosce però la fonte, che possono generare errori e quindi risposte “credibili” ma non necessariamente “vere”. L’Act ha molti meriti tra cui la forte difesa dei diritti fondamentali, lo sviluppo dell’innovazione in maniera controllata e la conservazione di principi etici fondamentali, ma non mancano pericoli. Uno è legato ai lunghi tempi di applicazione, giustificati dalla scelta di introdurre regole certe e vincolanti, ma che, all’atto della completa adozione, potrebbero essere superate dalla velocità della tecnologia. Da valutare, inoltre, il rischio occupazionale, su cui le teorie proposte sono molto diverse: dalla forte perdita di posti di lavoro per i profili meno professionali, alla sostituzione dei posti perduti con altri di maggior valore. Non ultima, la minaccia alla sostenibilità ambientale, per l’enorme energia necessaria all’AI, di origine in massima parte ancora fossile. Tra i rischi vanno annoverati pure i “deep learning”, che insegnano ai computer a elaborare i dati “imitando” il cervello umano: incontrollabili per gli sviluppatori, possono sfuggire di mano con effetti inimmaginabili.
In conclusione, si può solo proporre una considerazione personale. L’AI non profetizza il futuro, come qualcuno vuol far credere, ma agisce sul passato attraverso i dati immagazzinati: il suo uso deve essere un supporto decisionale ma le scelte, in qualsiasi campo, devono spettare all’uomo. Perché la macchina non può replicare la natura complessa del processo cognitivo della mente umana, la creatività progettuale, la forza di immaginazione utopica, frutto di aspirazioni e stimoli personali, emozioni e sentimenti, che per fortuna i robot non sono (ancora) capaci di replicare.
Massimiliano Locci (Finwave): “Non c’è Intelligenza Artificiale senza quella Umana”
