Intelligenza artificiale: in vigore il nuovo Regolamento europeo

In vigore, dal 1° agosto 2024, il nuovo Regolamento UE n. 2024/1689 del 13 giugno 2024 che stabilisce regole armonizzate sull'intelligenza artificiale e modifica i precedenti regolamenti e le direttive in materia (Regolamento sull'intelligenza artificiale).

Il provvedimento è stato pubblicato nella Gazzetta Ufficiale dell'Unione Europea del 12 luglio 2024.

Il Regolamento era stato approvato dal Parlamento europeo nella seduta del 13 marzo 2024.

La nuova legge, frutto dell'accordo raggiunto con gli Stati membri nel dicembre 2023, è stata formalmente approvata dal Consiglio dell'Unione europea il 21 maggio 2024.

Si tratta della prima normativa al mondo a regolare il funzionamento dell’IA.

Intelligenza artificiale: le nuove regole europee

L'obiettivo del testo Ue è quello di garantire il rispetto dei diritti fondamentali e la sicurezza, promuovendo, contestualmente, l'innovazione dei sistemi.

Questo, attraverso un quadro giuridico uniforme per quanto riguarda lo sviluppo, l'immissione sul mercato, la messa in servizio e l'uso di sistemi di intelligenza artificiale nell'Unione europea, in conformità dei valori comunitari.

L'intento è di promuovere la diffusione di un'intelligenza artificiale "antropocentrica e affidabile", garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali (democrazia, stato di diritto e protezione dell'ambiente), e incoraggiando l'innovazione.

In esso sono stabiliti alcuni obblighi per l'intelligenza artificiale, in funzione dei possibili rischi e del livello d'impatto degli strumenti utilizzati.

E' previsto, infatti, un approccio basato sul rischio definito in modo chiaro, in cui la tipologia e il contenuto delle regole sono adattate tenendo conto dell'intensità e della portata dei rischi che possono essere generati dai sistemi di IA.

Sistemi IA di uso generale: gli obblighi da rispettare

In primo luogo, i modelli dei sistemi di IA per finalità generali dovranno:

• soddisfare determinati requisiti di trasparenza;
• rispettare le norme europee sul diritto d'autore.

I modelli a maggiore impatto, invece, vale a dire quelli che potrebbero comportare dei rischi sistemici, saranno tenuti a rispettare anche altri obblighi, come quello di effettuare valutazioni dei modelli, di valutare e mitigare i rischi sistemici e di riferire in merito agli incidenti.

Sistemi IA ad alto rischio: obblighi più stringenti

Specifici obblighi sono previsti per i sistemi di IA definiti ad alto rischio, quei sistemi, ossia, che potrebbero arrecare danni significativi alla salute, alla sicurezza, ai diritti fondamentali, all'ambiente, alla democrazia e allo Stato di diritto.

Rientrano nel novero dei predetti sistemi gli usi legati a infrastrutture critiche, istruzione e formazione professionale, occupazione, servizi pubblici e privati di base, alcuni sistemi di contrasto, migrazione e gestione delle frontiere, giustizia e processi democratici.

Per i sistemi ad alto rischio, così, sono previsti obblighi più stringenti, quali quelli:

• di valutare e ridurre i rischi,
• di mantenere registri d'uso;
• di trasparenza e accuratezza;
• di garantire la sorveglianza umana.

Controlli di massa e identificazioni biometriche: le applicazione vietate

Nella normativa sono individuate anche alcune applicazioni di IA espressamente vietate, in considerazione della loro idoneità a minacciare i diritti dei cittadini.

Il divieto riguarda:

• sistemi di categorizzazione biometrica basati su caratteristiche sensibili;
• estrapolazione indiscriminata di immagini facciali da internet o dalle registrazioni dei sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale;
• sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole;
• sistemi di credito sociale;
• pratiche di polizia predittiva (laddove risultino basate esclusivamente sulla profilazione o sulla valutazione delle caratteristiche di una persona);
• sistemi che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone.

Eccezioni per forze dell'ordine

Le forze dell’ordine, in linea generale, non potranno fare ricorso ai sistemi di identificazione biometrica, salvo che in alcune situazioni specifiche, espressamente previste dalla legge.

L'identificazione in tempo reale, così, è ammessa esclusivamente in presenza di garanzie rigorose (uso limitato nel tempo e nello spazio, previa autorizzazione giudiziaria o amministrativa).

L'utilizzo in questione è possibile, ad esempio, nelle ipotesi di ricerca di una persona scomparsa o per prevenire un attacco terroristico.

In ogni caso, l'autorizzazione giudiziaria per l'uso di questi sistemi a posteriori, considerati ad alto rischio, dovrà essere collegata a un reato.

Sostegno a innovazione e Pmi

Nel testo sono contenute anche misure a sostegno dell'innovazione e delle PMI.

Gli Stati membri, a tal fine, saranno tenuti ad istituire e rendere accessibili a livello nazionale spazi di sperimentazione normativa e meccanismi di prova in condizioni reali (sandbox).

In questo modo, le PMI e start-up potranno sviluppare sistemi di IA innovativi e addestrarli prima della relativa immissione sul mercato.

Prossimi passaggi per operatività delle nuove regole

Ai sensi di quanto disposto, il nuovo regolamento entra in vigore 20 giorni dopo la relativa pubblicazione nella Gazzetta ufficiale dell'UE, vale a dire dal 1° agosto 2024.

Il provvedimento, tuttavia, inizierà ad applicarsi dopo 24 mesi, ossia il 2 agosto 2026, salvo per quel che riguarda:

• i divieti relativi a pratiche vietate, applicabili a partire da 6 mesi dopo l’entrata in vigore;
• i codici di buone pratiche (9 mesi dopo);
• le norme sui sistemi di IA per finalità generali, compresa la governance (12 mesi dopo);
• gli obblighi per i sistemi ad alto rischio (36 mesi dopo).