Il Consiglio Europeo approva il Regolamento AI Act
Il Regolamento AI ACT è stato approvato dal Consiglio europeo in via definitiva. Ora attende solo la pubblicazione in Gazzetta Ufficiale per entrare pienamente in vigore. La pubblicazione è prevista per il 12 luglio 2024, e il regolamento entrerà in vigore il 2 agosto. Dopo un lungo iter legislativo, il regolamento diventerà legge venti giorni dopo la pubblicazione nella Gazzetta Ufficiale dell’UE.
Tutte le aziende dovranno adeguarsi alle nuove norme dell’Unione, poiché, come tutti i regolamenti europei, è direttamente applicabile e non richiede alcuna legge di recepimento, integrandosi automaticamente nel corpo legislativo nazionale di ciascun Stato membro.
Regolamento AI ACT: che cos’è
Il Regolamento AI ACT è stato approvato con il voto del Parlamento del 13 marzo 2024. L’Unione europea è la prima al mondo a regolamentare l’intelligenza artificiale, diventando apripista e pioniera in una tecnologia destinata a trasformare radicalmente la nostra vita. L’approvazione del Parlamento dell’Unione Europea è stata quasi unanime, con 523 voti a favore, 46 contrari e 49 astenuti, celebrata a Strasburgo come una “giornata storica”.
Grande attenzione è stata data alla definizione di sistema di intelligenza artificiale, descritta come: “un sistema automatizzato progettato per funzionare con diversi livelli di autonomia e che può mostrare capacità di adattamento dopo l’installazione, deducendo, dagli input ricevuti, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.
Il nuovo Regolamento AI ACT, in cui sono presenti molti principi del “vecchio” GDPR, si applicherà ai soggetti pubblici e privati che operano nella produzione di strumenti aventi tecnologia di intelligenza artificiale indirizzati al mercato europeo, indipendentemente dalla loro provenienza. Anche le grandi aziende americane dovranno adeguarsi se vorranno continuare a operare nel mercato europeo. Non solo i fornitori, ma anche gli utilizzatori dovranno assicurarsi che i prodotti siano conformi alle norme (compliant), termine già noto in ambito di protezione dei dati, antiriciclaggio e legge 231.
Eccezioni nell’applicazione del Regolamento AI ACT
Esistono delle eccezioni nell’applicazione del Regolamento, che non verrà applicato ai sistemi di AI:
- sviluppati o utilizzati esclusivamente per scopi militari, di difesa o di sicurezza nazionale;
- utilizzati per la ricerca e lo sviluppo scientifico, purché rispettino il regolamento. Tali attività, inoltre, non devono comportare un rischio significativo per i diritti fondamentali o la sicurezza delle persone;
- open source o con licenze libere, ad eccezione che rappresentino un rischio sistemico;
- utilizzati per le attività di ricerca, prova e sviluppo riguardanti sistemi di intelligenza artificiale, a meno che non vi sia un rischio significativo per i diritti fondamentali;
- per scopi esclusivamente personali e, quindi, non di tipo commerciale, come era già previsto dal GDPR (la norma non si applicava ai trattamenti di dati personali di una persona fisica per attività unicamente personale o domestica).
Queste eccezioni sono state introdotte per bilanciare la necessità di regolamentare l’uso dell’intelligenza artificiale con la necessità di promuovere l’innovazione e la ricerca, senza imporre oneri regolamentari eccessivi in contesti in cui i rischi per i diritti fondamentali e la sicurezza sono limitati o assenti.
Tempistiche sull’entrata in vigore
L’entrate in vigore delle regole dell’AI ACT, così come era avvenuto per il GDPR, saranno scaglionate nel tempo. In questo modo le PA e le aziende avranno tutto il tempo di prendere confidenza con il nuovo regolamento. Il mercato, però, tenderà a premiare chi si adeguerà tempestivamente, invece, di aspettare l’ultimo minuto (come avvenne nel maggio 2018 quando divenne pienamente operativo il GDPR, entrato in vigore ben due anni prima e snobbato dai più). I tempi sono comunque ridotti:
- i sistemi vietati dall’AI ACT dovranno essere eliminati in modo graduale entro sei mesi dall’entrata in vigore del regolamento;
- le norme di governance generali si applicheranno entro dodici mesi a tutte le PA e le aziende.
Il Regolamento AC ACT sarà pienamente applicabile entro due anni dalla sua entrata in vigore, incluse le norme per i sistemi ad alto rischio.
Sanzioni previste
Nel regolamento sono presenti le soglie delle sanzioni, le quali sono rigorose per tutelare la conformità alle disposizioni della norma a cui fanno capo. Esse mirano a garantire un alto livello di conformità e a dissuadere comportamenti non conformi. Le autorità nazionali competenti degli Stati membri dell’UE sono responsabili dell’applicazione delle sanzioni e della supervisione del rispetto del Regolamento.
Le sanzioni sono proporzionate alla gravità delle violazioni e mirano a fare in modo che le aziende rispettino rigorosamente i requisiti del Regolamento. Quelle elevate fungono da deterrente contro le violazioni, promuovendo una maggiore attenzione alla conformità. Le aziende devono fornire informazioni precise e complete alle autorità competenti, garantendo trasparenza e accountability. Il regime sanzionatorio dell’AI ACT, in sintesi, è progettato per essere severo ma equo, garantendo che tutte le parti coinvolte rispettino le nuove norme e promuovendo l’uso sicuro e responsabile dell’intelligenza artificiale.
Regolamento AI ACT: Che cosa devono fare le aziende?
Le aziende, prima di tutto, dovrebbero compiere un censimento dei propri software che utilizzano sistemi di AI per identificare quelli che rientrano nei sistemi ad alto rischio. L’approccio si basa sul rischio e i sistemi di AI si suddividono in quattro macrocategorie: a rischio minimo, limitato, alto e inaccettabile. Più alto è il rischio, più alto saranno i limiti e le responsabilità per sviluppatori e utilizzatori. Un assessment del rischio a livello di AI è, dunque, il primo passo per sapere quali azioni intraprendere per adeguarsi al nuovo Regolamento AI ACT.
Le imprese con sistemi a basso rischio dovranno autoregolamentarsi.
I fornitori dovranno volontariamente adottare i requisiti affinché l’AI sia affidabile e rientri all’interno dei codici di condotta. In questo caso tra la promozione dell’innovazione e la minimizzazione dei rischi vi è una sorta di equilibrio, in cui non vengono imposti oneri regolamentari eccessivi per il possesso di tecnologie con rischi limitati.
I sistemi di AI ad alto rischio, al contrario, saranno soggetti a requisiti più rigorosi. Una valutazione di conformità, prima di vendere i sistemi o renderli disponibili, dovrà certificare che le caratteristiche rese obbligatorie dal Regolamento AI ACT siano rispettate. Questa tipologia di sistemi saranno ritenuti sicuri ed affidabili, oltre che trasparenti: i rischi potenziali per gli individui e per la società saranno, quindi, attenuati.
L’arrivo del Regolamento AI ACT comporterà la necessità per entità pubbliche e private di valutare i rischi dei sistemi di AI in uso, portando a un possibile periodo di transizione critico. Le organizzazioni aziendali dovranno, quindi, analizzare in modo attento i sistemi di AI presenti nelle loro strutture, al fine di determinare il grado di rischio e mettere in campo le misure necessarie per adattarsi ai nuovi requisiti di legge richiesti