L’AI Act, di cui abbiamo più volte parlato, è entrato in vigore il 1° agosto 2024 e, come sappiamo è il primo quadro giuridico al mondo che affronta i rischi dell’Intelligenza Artificiale, fornendo agli sviluppatori e agli utilizzatori indicazioni chiare su requisiti e obblighi da rispettare. Tra le altre cose, ha identificato alcune categorie di sistemi di AI considerati particolarmente pericolosi, per i quali il divieto di utilizzo decorre a partire dal 2 febbraio 2025, il che vuol dire che le aziende hanno meno di 10 settimane per adeguarsi a quanto previsto dalla disposizione comunitaria.

Ricordiamo a tale proposito che:

  • sono vietati i sistemi che utilizzano tecniche subliminali, manipolative o ingannevoli e che sfruttano le vulnerabilità delle persone, ad esempio in relazione a età e/o disabilità;
  • è vietato l’uso di database di riconoscimento facciale creati attraverso il web-scraping e alcuni casi di utilizzo biometrico;
  • sono previste sanzioni fino a 35 milioni di euro o al 7% del fatturato mondiale.

Il loro uso potrebbe comportare, sebbene a partire dal 2 agosto 2025, la possibilità per le autorità nazionali dei Paesi dell’Ue di imporre multe fino a 35 milioni di euro o al 7% del fatturato mondiale del gruppo (a seconda di quale sia il valore più alto) ai sensi dell’articolo 99(3) dell’AI Act.  

“Con meno di 10 settimane per garantire la conformità, le aziende devono iniziare a valutare il loro rischio in questo settore e sviluppare piani per affrontare qualsiasi area di potenziale non conformità” dichiara a questo proposito Gianluigi Marino, Head of Digitalisation in Italia, Osborne Clarke che osserva come le multe sianostate fissate a un livello ancora più alto rispetto al GDPR e ci aspettiamo che l’Ue applichi il nuovo regime fin dal primo giorno; non ci aspettiamo un periodo di grazia per la non conformità come nel caso del GDPR”.

Gianluigi Marino è Head of Digitalisation di Osborne Clarke in Italia ed è a capo del team italiano di Tech, Media and Comms oltre che del dipartimento Data Protection.

In poche parole, conclude Marino “la Commissione Ue ritiene che sia stato dato un preavviso sufficiente per consentire a tutte le aziende dell’Ue di conformarsi, comprese quelle che rientrano nell’ambito dello Spazio Economico Europeo (SEE) e le aziende internazionali con clienti e siti web che operano nell’Ue.

È fondamentale quindi che le aziende inizino ad analizzare quali sistemi e modelli di AI stanno già utilizzando e prevedono di utilizzare nel prossimo futuro.  In ambito IT i cicli di sviluppo possono essere piuttosto lunghi ed è importante non solo implementare un processo per eliminare l’AI vietata, ma anche valutare quali misure devono essere adottate per conformarsi agli obblighi previsti dall’AI Act. Questi includono i requisiti di trasparenza, i sistemi di gestione del rischio e la necessità di documentazione. La conformità del software diventa sempre più una questione di responsabilità da prodotto, e l’AI Act è ora una parte fondamentale di questo processo.

In particolare, i divieti stabiliti nell’articolo 5 dell’AI Act, riguardano gli usi dei sistemi di IA che comportano rischi considerati inaccettabili per la salute e la sicurezza o per i diritti fondamentali. Tra questi rientrano:

  • I sistemi di intelligenza artificiale che utilizzano tecniche subliminali, manipolative o ingannevoli volte a distorcere materialmente il comportamento di una persona, compromettendo la sua capacità di prendere una decisione informata e inducendola a prendere una decisione che non avrebbe altrimenti preso, derivandone un danno significativo;
  • I sistemi di intelligenza artificiale che sfruttano le vulnerabilità di una persona dovute a età, disabilità, condizioni sociali o economiche per distorcerne il comportamento, causando un danno significativo.  Come nel caso del divieto di “tecniche ingannevoli”, è probabile che questo aspetto interessi i fornitori di sistemi che consentono la vendita o il gioco online;
  • Punteggio sociale (social score) basato sul comportamento o sulle caratteristiche personali che si traduce in un trattamento dannoso nei confronti di una persona in un contesto sociale che non è correlato al luogo in cui i dati di punteggio sono stati originariamente raccolti, o è ingiustificato o sproporzionato. Le preoccupazioni in questo caso riguardano gli strumenti di intelligenza artificiale utilizzati dai social media per classificare i comportamenti;
  • I sistemi di intelligenza artificiale che creano o ampliano i database di riconoscimento facciale attraverso lo scraping non mirato di immagini facciali da Internet o da riprese delle telecamere a circuito chiuso. L’obiettivo è quello di impedire esplicitamente l’introduzione nell’Ue di modelli di business analoghi a Clearview, azienda statunitense che ha raccolto immagini facciali pubblicate su Internet in modo illegale e le ha utilizzate in un sistema di riconoscimento facciale fornito alle autorità di polizia nell’Ue;
  • I sistemi per inferire le emozioni di una persona utilizzati sul posto di lavoro o in contesti educativi (a meno che non si tratti di ragioni mediche o di sicurezza);
  • I sistemi di categorizzazione biometrica in cui informazioni come il volto o l’impronta digitale di una persona vengono utilizzate per dedurre caratteristiche sensibili come la razza, le opinioni politiche, l’appartenenza a sindacati, le convinzioni religiose o filosofiche, la vita sessuale o l’orientamento sessuale (con eccezioni per le forze dell’ordine);
  • I sistemi di intelligenza artificiale utilizzati per prevedere la probabilità che una persona commetta un reato, basandosi esclusivamente sul profilo o sulla valutazione dei suoi tratti di personalità (la cosiddetta esclusione “Minority Report”);
  • I sistemi di riconoscimento facciale a distanza in tempo reale utilizzati in spazi accessibili al pubblico per le forze dell’ordine, con alcune eccezioni.

L’Ufficio dell’Ue per l’AI dal canto suo deve ancora fornire informazioni dettagliate in merito a ciascuno di questi punti, tuttavia per le aziende che utilizzano sistemi di intelligenza artificiale, la legge prevede una serie di disposizioni aggiuntive che entreranno in vigore progressivamente nei prossimi anni:

  • 2 agosto 2025: entreranno in vigore le disposizioni sull’IA per scopi generali, nonché le disposizioni in materia di notifica, governance, sanzioni e riservatezza;
  • 2 agosto 2026: sarà applicabile la maggior parte delle altre disposizioni, comprese le regole per i modelli ad alto rischio definite nell’Allegato III;
  • 2 Agosto 2027: saranno applicabili le norme per le IA ad alto rischio contenute in sistemi o prodotti già soggetti alla normativa Ue sulla sicurezza dei prodotti, come elencato nell’Allegato I.

Newsletter – Non perderti le ultime novità sul mondo dell’Intelligenza Artificiale: iscriviti alla newsletter di Rivista.AI e accedi a un mondo di contenuti esclusivi direttamente nella tua casella di posta!

ISCRIVITI ALLA NEWSLETTER