L’atto normativo è composto da 85 articoli e nove allegati. Il regolamento si basa su una valutazione dei rischi, che vengono divisi in quattro categorie: minimi, limitati, elevati e inaccettabili. A ciascun livello corrispondono responsabilità crescenti e vincoli per chi sviluppa o utilizza la tecnologia, con la possibilità di vietare le applicazioni considerate troppo pericolose. Le uniche eccezioni riguardano le tecnologie impiegate a fini militari e di ricerca.
Nello specifico, l’articolo 5 dell’AI Act definisce ed elenca chiaramente le applicazioni proibite della tecnologia. Sono quindi vietati i sistemi che utilizzano tecnologie subliminali, categorizzazione biometrica basata su dati sensibili, webscraping di volti, riconoscimento emozionale sul lavoro, sistemi di punteggio sociale e polizia predittiva. Sono comunque previste alcune eccezioni, come l’etichettatura di dataset biometrici legalmente acquisiti e l’uso di sistemi di analisi del rischio senza profilazione individuale. Il riconoscimento facciale e quello biometrico in tempo reale, inoltre, sono permessi in situazioni specifiche, come per esempio la ricerca di vittime di reati, le minacce alla vita e l’identificazione di autori di gravi reati. La procedura d’urgenza consente la sorveglianza biometrica entro 24 ore ma, senza autorizzazione, l’uso deve essere interrotto ed i dati cancellati. Gli Stati membri devono anche inviare rapporti annuali sulla sorveglianza biometrica alla Commissione europea.
Il regolamento identifica i sistemi ad alto rischio, che comportano pericoli per la salute, la sicurezza e/o i diritti fondamentali. Ciò include sistemi biometrici, software educativi, algoritmi utilizzati per valutare curriculum e distribuire compiti. Gli algoritmi ad alto rischio sono soggetti a stringenti regole di controllo, trasparenza e registrazione dei dati, con linee guida fornite dalla Commissione non oltre i 18 mesi dall’entrata in vigore del regolamento. Gli sviluppatori devono garantire il controllo umano, la sicurezza informatica, la trasparenza dei dati e la conformità alle normative. Sono previsti anche sistemi di verifica della qualità, analisi di conformità e la comunicazione degli incidenti alle autorità.
Anche i sistemi di Intelligenza Artificiale ad uso generale, come per esempio GPT-4 di OpenAI o LaMDA di Google, devono rispettare le norme imposte dell’AI Act e quindi gli sviluppatori devono garantire che i contenuti generati dalla tecnologia siano riconoscibili. L’uso di sistemi AI per commettere reati è l’unica eccezione alle regole sulla marcatura e riconoscibilità dei contenuti.
Il regolamento identifica una soglia per i sistemi ad alto impatto, che devono seguire regole di sicurezza informatica, trasparenza e condivisione della documentazione tecnica prima di essere commercializzati. La soglia per i sistemi ad alto impatto può essere modificata in futuro per adattarsi alle evoluzioni di mercato, mentre i modelli offerti con licenza open source sono esclusi da tali norme.
L’AI Act stabilisce che i controlli siano affidati alle autorità locali, con l’istituzione di sandbox regolatorie nazionali per consentire test sicuri e favorire l’innovazione. La Commissione avrà un Consiglio dell’AI composto da rappresentanti di ciascuno Stato dell’Unione, con il Garante dei dati personali come osservatore. Il Consiglio sarà diviso in sotto-gruppi per sorvegliare il mercato e gestire le notifiche delle autorità, sarà affiancato da un forum di consulenti tecnici e la Commissione potrà consultare un comitato indipendente di scienziati ed esperti. Infine, l’AI Act introduce procedure di segnalazione degli incidenti per i sistemi ad alto rischio e prevede sanzioni fino a 35 milioni di euro o al 7% del fatturato globale in caso di violazioni.
La revisione finale del testo è ancora in corso, ma il voto finale si avvicina.
M.M.