L’AI Act mira a regolare l’intelligenza artificiale attraverso il cosiddetto risk-based approach che distingue diversi livelli di impegni di conformità a seconda del rischio (basso, medio o elevato) che software e applicazioni intelligenti possono causare a danno dei diritti fondamentali. Più alto è il rischio e maggiori sono gli oneri di compliance e le responsabilità degli autori delle applicazioni intelligenti. Una delle prime premure del nuovo regolamento sarà bloccare gli utilizzi dell’intelligenza artificiale per alcune finalità considerate contrarie ai valori dell’UE, come il social scoring, ossia l’assegnazione di punteggi sociali alle persone, il loro monitoraggio e la discriminazione in base al punteggio di ciascuno.
È evidente come questa complessa e tecnica disciplina dovrà avere a livello europeo, ma soprattutto a livello nazionale, autorità altamente specializzate e in grado di affermare standard e prassi applicative chiare. Visto che l’oggetto del regolamento è una tecnologia in continua evoluzione, il ruolo delle autorità sarà particolarmente importante nell’assicurare regole certe che possano semplificare il lavoro di chi crea innovazione tecnologica e di chi la utilizza. Un quadro normativo, ma soprattutto applicativo, che risultasse contraddittorio rappresenterebbe un fattore di incertezza e ostacolo all’innovazione.
In tale contesto, le Autorità già dotate delle competenze e dell’esperienza per “gestire” l’intelligenza artificiale sono i Garanti della privacy (sia quello europeo, sia dei singoli Stati) anche perché il trattamento dei dati personali richiede sempre l’applicazione del regolamento sulla privacy (GDPR), attivando conseguentemente le competenze del Garante.
L’attuale bozza dell’AI Act non affida la governance ai Garanti ma lascia agli Stati la libertà di definire l’autorità nazionale di governo dell’intelligenza artificiale. La creazione di nuove autorità ad hoc rischia di portare a un aumento dei costi e alla complicazione dell’organizzazione amministrativa a causa del possibile (e frequente) conflitto nel caso in cui si istituisse un’Autorità per l’intelligenza artificiale in concorrenza e aggiunta al Garante privacy.
Un punto molto controverso è quello della giurisdizione e delle relative leggi a cui si deve attenere ciascun sistema di IA. L’AI Act si propone di regolamentare tale difficile aspetto al fine di evitare conflitti e problemi legali soprattutto alle Big Tech e di non ledere i diritti dei cittadini dell’UE in cui in generale le leggi sono più severe e restrittive rispetto agli Stati Uniti o altre potenze mondiali.
Un capitolo a parte dell’AI Act è quello dei sistemi di AI che imitano il linguaggio umano e producono testi e conversazioni in tempo reale, come il famoso ChatGPT. Di fatto, il ritardo nell’approvazione del regolamento europeo è dovuto soprattutto al lancio di questa tecnologia, che a dicembre del 2022 ha costretto i legislatori a rivedere il testo dell’AI Act per includere alcune norme specifiche.
I sistemi di machine learning come ChatGPT creano problemi anche a livello etico e di trasparenza, ma il pericolo più grosso secondo l’UE rimane la disinformazione. ChatGPT non controlla le fonti durante il processo di apprendimento e può favorire la diffusione di opinioni infondate, pregiudizi e notizie false. Per questo, una prima misura da prendere sarà sicuramente avvertire l’utente quando il contenuto che viene proposto è stato generato da un algoritmo di IA e non da una persona.
L’AI Act, per quanto trapelato finora, si propone di affrontare i problemi con tre punti chiave.
Prima di tutto il regolamento europeo obbligherà le aziende a sviluppare e applicare le tecnologie di IA pensando innanzitutto all’utente e ai diritti umani. Le aziende dovranno dimostrare attivamente che i propri prodotti e servizi basati su IA non ledono i diritti delle persone, da quello alla libertà alla mancanza di discriminazione, fino al diritto all’accesso all’informazione.
In secondo luogo, i sistemi di IA dovranno rispettare precisi standard di sicurezza e affidabilità prima di poter essere commercializzati, per ridurre al minimo gli errori e l’impatto che questi possono avere sulle infrastrutture critiche.
Infine, le applicazioni di IA verranno classificate in base al livello di pericolosità per le persone e a ciascun livello saranno applicati requisiti più o meno stringenti. Il rilevamento biometrico delle emozioni, ad esempio, sarà considerato un’applicazione ad alto rischio e sarà soggetto a molte limitazioni.
(S.F.)