Il Re­go­la­men­to UE sull’IA: il quadro giuridico europeo per l’in­tel­li­gen­za ar­ti­fi­cia­le

L’Unione Europea ha adottato nel 2024 il Re­go­la­men­to sull’in­tel­li­gen­za ar­ti­fi­cia­le (AI Act) per creare un quadro normativo uniforme che di­sci­pli­ni sviluppo e utilizzo dei sistemi di IA. Si tratta della prima normativa completa al mondo in questo ambito. L’obiettivo è quello di in­cen­ti­va­re le op­por­tu­ni­tà offerte dall’IA, riducendo al contempo i po­ten­zia­li rischi.

Perché è stato in­tro­dot­to il Re­go­la­men­to?

Il Re­go­la­men­to europeo sull’in­tel­li­gen­za ar­ti­fi­cia­le è stato in­tro­dot­to per creare un quadro giuridico chiaro e uniforme sull’uso dell’IA in Europa. La Com­mis­sio­ne europea ha pre­sen­ta­to la prima proposta nell’aprile 2021. Dopo lunghe trat­ta­ti­ve, la versione de­fi­ni­ti­va è stata adottata nel gennaio 2024. Il contesto di questo re­go­la­men­to è rap­pre­sen­ta­to dai rapidi progressi tec­no­lo­gi­ci nel campo dell’in­tel­li­gen­za ar­ti­fi­cia­le, che offrono sì op­por­tu­ni­tà, ma com­por­ta­no anche rischi si­gni­fi­ca­ti­vi. Le sfide di natura sociale ed etica, come la di­scri­mi­na­zio­ne causata da algoritmi distorti, la mancanza di tra­spa­ren­za nelle decisioni au­to­ma­tiz­za­te o l’uso improprio dell’IA per la sor­ve­glian­za di massa, hanno reso ne­ces­sa­ria una re­go­la­men­ta­zio­ne giuridica urgente.

L’obiettivo è favorire l’in­no­va­zio­ne senza com­pro­met­te­re i valori fon­da­men­ta­li europei, come la tutela dei dati personali, la sicurezza e i diritti umani. Con il Re­go­la­men­to, l’UE ha scelto di adottare un approccio basato sul rischio: vieta le ap­pli­ca­zio­ni più pe­ri­co­lo­se e impone obblighi più severi per quelle con­si­de­ra­te ad alto rischio.

Clas­si­fi­ca­zio­ne dei sistemi di IA per livello di rischio

Il re­go­la­men­to adotta un approccio basato sul rischio e clas­si­fi­ca i diversi sistemi di IA in quattro categorie:

1. Rischio inac­cet­ta­bi­le: rientrano in questa categoria tutti i sistemi di IA con­si­de­ra­ti una minaccia per la sicurezza, i mezzi di sus­si­sten­za o i diritti delle persone. Tali sistemi sono vietati. Ne sono un esempio i sistemi di social scoring, ovvero la va­lu­ta­zio­ne del com­por­ta­men­to o della per­so­na­li­tà degli individui da parte di enti statali, o i sistemi di IA uti­liz­za­ti per il ri­co­no­sci­men­to facciale negli spazi pubblici senza consenso.
2. Rischio elevato: questi sistemi sono con­sen­ti­ti, ma soggetti a requisiti rigorosi e com­por­ta­no obblighi si­gni­fi­ca­ti­vi per chi li sviluppa o utilizza. Ap­par­ten­go­no a questa classe di rischio, ad esempio, i sistemi di IA impiegati nelle in­fra­strut­tu­re critiche, come nel settore dei trasporti per garantire la sicurezza. Anche l’IA nella gestione del personale, che influisce su decisioni di as­sun­zio­ne o li­cen­zia­men­to, è soggetta a requisiti specifici.
3. Rischio limitato/di tra­spa­ren­za: la terza classe di rischio comprende i sistemi di IA soggetti a specifici requisiti di tra­spa­ren­za, pro­get­ta­ti per l’in­te­ra­zio­ne diretta con l’utente. Chi li utilizza deve essere informato del fatto che sta in­te­ra­gen­do con un sistema di questo tipo. La maggior parte delle IA ge­ne­ra­ti­ve rientra in questa categoria.
4. Rischio minimo: la maggior parte dei sistemi di IA rientra nella quarta categoria e non è soggetta a requisiti specifici previsti dal Re­go­la­men­to europeo sull’IA. Ne sono un esempio i filtri antispam o i per­so­nag­gi con­trol­la­ti da IA nei vi­deo­gio­chi.

Requisiti e obblighi per svi­lup­pa­to­ri e fornitori

Per chi sviluppa o fornisce sistemi di in­tel­li­gen­za ar­ti­fi­cia­le, in par­ti­co­la­re quelli a rischio elevato, il Re­go­la­men­to europeo sull’IA sta­bi­li­sce una serie di requisiti volti a garantire un utilizzo re­spon­sa­bi­le di queste tec­no­lo­gie. Tali requisiti ri­guar­da­no diversi aspetti, tra cui tra­spa­ren­za, sicurezza, ac­cu­ra­tez­za e qualità dei dati uti­liz­za­ti. L’obiettivo è as­si­cu­ra­re la sicurezza e l’af­fi­da­bi­li­tà delle tec­no­lo­gie basate sull’IA, senza osta­co­la­re inu­til­men­te l’in­no­va­zio­ne.

Gestione del rischio

Le aziende devono im­ple­men­ta­re un sistema di gestione del rischio continuo, in grado di iden­ti­fi­ca­re, valutare e ridurre al minimo i po­ten­zia­li pericoli. Questo include la verifica periodica dell’impatto che il sistema di IA può avere sulle singole persone e sulla società nel suo complesso. Par­ti­co­la­re at­ten­zio­ne è rivolta a possibili forme di di­scri­mi­na­zio­ne, di­stor­sio­ni in­vo­lon­ta­rie nei processi de­ci­sio­na­li e rischi per la sicurezza pubblica.

Qualità dei dati ed eli­mi­na­zio­ne delle di­stor­sio­ni

I dati di ad­de­stra­men­to uti­liz­za­ti per lo sviluppo di un sistema di IA devono sod­di­sfa­re elevati standard di qualità. Devono quindi essere rap­pre­sen­ta­ti­vi, privi di errori e suf­fi­cien­te­men­te di­ver­si­fi­ca­ti, al fine di evitare di­scri­mi­na­zio­ni e di­stor­sio­ni. Chi sviluppa o utilizza sistemi di IA ha l’obbligo di adottare mec­ca­ni­smi per in­di­vi­dua­re e cor­reg­ge­re eventuali di­stor­sio­ni, so­prat­tut­to quando l’in­tel­li­gen­za ar­ti­fi­cia­le viene impiegata in ambiti sensibili come le decisioni in ambito pro­fes­sio­na­le o l’ap­pli­ca­zio­ne della legge.

Do­cu­men­ta­zio­ne tecnica

Chi sviluppa sistemi di in­tel­li­gen­za ar­ti­fi­cia­le deve redigere e mantenere una do­cu­men­ta­zio­ne tecnica completa. Questa do­cu­men­ta­zio­ne deve de­scri­ve­re non solo la struttura e il fun­zio­na­men­to del sistema, ma anche rendere com­pren­si­bi­li i processi de­ci­sio­na­li dell’IA. Inoltre, è ob­bli­ga­to­rio tenere re­gi­stra­zio­ni sul fun­zio­na­men­to dei sistemi di IA, per con­sen­ti­re eventuali analisi suc­ces­si­ve e l’iden­ti­fi­ca­zio­ne di possibili errori.

Tra­spa­ren­za e diritto all’in­for­ma­zio­ne

Il Re­go­la­men­to sta­bi­li­sce che chi in­te­ra­gi­sce con un sistema di IA deve essere chia­ra­men­te informato di ciò. Ad esempio, chatbot o as­si­sten­ti virtuali devono indicare espli­ci­ta­men­te di non essere in­ter­lo­cu­to­ri umani. Nei casi in cui i sistemi di IA prendano decisioni con un impatto si­gni­fi­ca­ti­vo sulle persone, come nel caso delle richieste di credito o delle procedure di selezione del personale, le persone in­te­res­sa­te hanno il diritto di ricevere una spie­ga­zio­ne su come è stata presa la decisione.

Su­per­vi­sio­ne umana e pos­si­bi­li­tà di in­ter­ven­to

I sistemi di IA ad alto rischio non possono operare in modo com­ple­ta­men­te autonomo. Le aziende devono garantire l’in­te­gra­zio­ne di mec­ca­ni­smi di controllo umano, affinché le persone possano in­ter­ve­ni­re e cor­reg­ge­re eventuali mal­fun­zio­na­men­ti o com­por­ta­men­ti anomali del sistema. Questo aspetto è par­ti­co­lar­men­te cruciale in ambiti come la dia­gno­sti­ca medica o la mobilità autonoma, dove decisioni errate possono avere con­se­guen­ze gravi.

Ac­cu­ra­tez­za, ro­bu­stez­za e cy­ber­si­cu­rez­za

Il Re­go­la­men­to sull’IA richiede che i sistemi di in­tel­li­gen­za ar­ti­fi­cia­le siano af­fi­da­bi­li e robusti, al fine di ridurre al minimo errori de­ci­sio­na­li e rischi per la sicurezza. Chi sviluppa tali sistemi deve di­mo­stra­re che essi fun­zio­na­no in modo stabile in diverse con­di­zio­ni e che non possono essere fa­cil­men­te com­pro­mes­si da attacchi o ma­ni­po­la­zio­ni esterne. Ciò include anche misure di sicurezza in­for­ma­ti­ca come la pro­te­zio­ne da fughe di dati o da modifiche non au­to­riz­za­te agli algoritmi.

Con­for­mi­tà e cer­ti­fi­ca­zio­ne

Prima che un sistema di IA ad alto rischio venga immesso sul mercato, deve essere sot­to­po­sto a una va­lu­ta­zio­ne di con­for­mi­tà per ve­ri­fi­ca­re che soddisfi tutti i requisiti normativi. In alcuni casi è ne­ces­sa­ria una verifica esterna da parte di un organismo no­ti­fi­ca­to. Il Re­go­la­men­to prevede inoltre un mo­ni­to­rag­gio continuo e una riesamina periodica dei sistemi, per garantire che con­ti­nui­no a ri­spet­ta­re gli standard previsti.

Op­por­tu­ni­tà e sfide per le imprese

Il Re­go­la­men­to europeo sull’IA fornisce alle aziende un quadro giuridico chiaro, volto a pro­muo­ve­re l’in­no­va­zio­ne e la fiducia nelle tec­no­lo­gie basate sull’in­tel­li­gen­za ar­ti­fi­cia­le, ma comporta anche un aumento degli oneri legati alla con­for­mi­tà, agli ade­gua­men­ti tecnici e alle strategie di mercato. Chi sviluppa o utilizza tec­no­lo­gie di IA deve con­fron­tar­si in maniera intensiva con le nuove di­spo­si­zio­ni, per evitare rischi legali e mantenere la propria com­pe­ti­ti­vi­tà nel lungo periodo.

Costi più elevati e oneri bu­ro­cra­ti­ci

Una delle prin­ci­pa­li sfide per le aziende è rap­pre­sen­ta­ta dai costi ag­giun­ti­vi legati al rispetto delle nuove di­spo­si­zio­ni. In par­ti­co­la­re, per chi fornisce o utilizza sistemi di IA ad alto rischio sono ne­ces­sa­rie misure ar­ti­co­la­te, che ri­chie­do­no in­ve­sti­men­ti in nuove tec­no­lo­gie, personale qua­li­fi­ca­to e, in alcuni casi, anche il supporto di con­su­len­ti esterni o organismi di verifica. Le piccole e medie imprese (PMI), in par­ti­co­la­re, po­treb­be­ro in­con­tra­re dif­fi­col­tà nel reperire le risorse eco­no­mi­che e umane ne­ces­sa­rie per sod­di­sfa­re tutti i requisiti normativi.

Le aziende che non ri­spet­ta­no le di­spo­si­zio­ni rischiano sanzioni elevate, ana­lo­ga­men­te a quanto previsto dal Re­go­la­men­to generale sulla pro­te­zio­ne dei dati (GDPR).

Incentivo all’in­no­va­zio­ne

No­no­stan­te le re­go­la­men­ta­zio­ni ag­giun­ti­ve, il Re­go­la­men­to può con­tri­bui­re nel lungo periodo a raf­for­za­re la fiducia nei sistemi di in­tel­li­gen­za ar­ti­fi­cia­le e a in­cen­ti­va­re l’in­no­va­zio­ne. Le aziende che si adeguano tem­pe­sti­va­men­te alle nuove di­spo­si­zio­ni, svi­lup­pan­do soluzioni di IA tra­spa­ren­ti, sicure ed etiche, possono ottenere un vantaggio com­pe­ti­ti­vo.

L’in­tro­du­zio­ne di regole chiare crea un quadro giuridico uniforme all’interno dell’UE, riducendo le in­cer­tez­ze legate allo sviluppo e all’uso dell’IA. Questo sem­pli­fi­ca la com­mer­cia­liz­za­zio­ne delle tec­no­lo­gie a livello europeo, evitando alle imprese di dover af­fron­ta­re normative nazionali di­ver­gen­ti. Il Re­go­la­men­to UE sull’IA è inoltre uno dei primi del suo genere a livello globale e definisce standard elevati. Le aziende che li ri­spet­ta­no possono po­si­zio­nar­si come fornitori af­fi­da­bi­li e ottenere così un vantaggio rispetto ai con­cor­ren­ti soggetti a normative meno rigorose.

Effetto ex­tra­ter­ri­to­ria­le e impatto sulle aziende in­ter­na­zio­na­li

Il Re­go­la­men­to sull’IA non riguarda solo le aziende con sede nell’UE, ma anche le imprese in­ter­na­zio­na­li che offrono sistemi di in­tel­li­gen­za ar­ti­fi­cia­le all’interno dell’Unione o uti­liz­za­no dati raccolti nell’UE per ap­pli­ca­zio­ni basate sull’IA. Ciò significa, ad esempio, che un’azienda sta­tu­ni­ten­se che propone un software di selezione del personale basato sull’IA nel mercato europeo dovrà ri­spet­ta­re le normative europee.

Questo effetto ex­tra­ter­ri­to­ria­le obbliga molte aziende al di fuori dell’UE ad adeguare prodotti e servizi ai nuovi standard, se vogliono operare nel mercato europeo. Sebbene ciò possa con­tri­bui­re alla de­fi­ni­zio­ne di un approccio più uniforme a livello globale nella re­go­la­men­ta­zio­ne dell’IA, per molte realtà non europee potrebbe rap­pre­sen­ta­re un ostacolo all’ingresso nel mercato dell’UE.

Tuttavia, non mancano i timori che le aziende europee possano essere pe­na­liz­za­te a livello in­ter­na­zio­na­le dalla nuova re­go­la­men­ta­zio­ne. Mentre in Paesi come gli Stati Uniti o la Cina l’in­no­va­zio­ne nel campo dell’IA procede spesso con poche re­stri­zio­ni, le normative strin­gen­ti dell’UE po­treb­be­ro ral­len­ta­re lo sviluppo e l’adozione di nuove tec­no­lo­gie. Questo potrebbe rap­pre­sen­ta­re una sfida so­prat­tut­to per startup e PMI, che si trovano a competere con grandi aziende tec­no­lo­gi­che dotate di risorse ben più con­si­sten­ti.