I sistemi AI con rischio inaccettabile sono ora vietati nell'UE

Dal 2 febbraio nell'Unione Europea, i regolatori del blocco possono vietare l'uso di sistemi AI che ritengono comportare un rischio o danno 'inaccettabile'.

Il 2 febbraio è la prima scadenza di conformità per l'AI Act dell'UE, il quadro normativo completo sull'IA che il Parlamento europeo ha finalmente approvato lo scorso marzo dopo anni di sviluppo. La legge è entrata ufficialmente in vigore l'1 agosto; ciò che segue ora sono le prime scadenze di conformità.

Le specifiche sono stabilite nell'articolo 5, ma in generale, l'Atto è progettato per coprire una moltitudine di casi d'uso in cui l'IA potrebbe apparire e interagire con gli individui, dalle applicazioni per i consumatori fino agli ambienti fisici.

Sotto l'approccio del blocco, ci sono quattro ampi livelli di rischio: (1) Rischio minimo (ad es., filtri anti-spam per le email) non sarà soggetto a supervisione normativa; (2) rischio limitato, che include i chatbot per il servizio clienti, sarà soggetto a una supervisione normativa leggera; (3) alto rischio - l'IA per le raccomandazioni sanitarie è un esempio - sarà soggetto a una rigorosa supervisione normativa; e (4) applicazioni a rischio inaccettabile - l'attenzione dei requisiti di conformità di questo mese - saranno vietate del tutto.

Alcune delle attività inaccettabili includono:

• IA utilizzata per il punteggio sociale (ad es., creazione di profili di rischio basati sul comportamento di una persona).
\n\n\n\n
• IA che manipola le decisioni di una persona in modo subliminale o ingannevole.
\n\n\n\n
• IA che sfrutta vulnerabilità come l'età, la disabilità o lo status socioeconomico.
\n\n\n\n
• AI che cerca di prevedere che le persone commettano crimini basandosi sulla loro apparenza.
\n\n\n\n
• AI che utilizza la biometria per inferire le caratteristiche di una persona, come la loro orientamento sessuale.
\n\n\n\n
• AI che raccoglie dati biometrici "in tempo reale" nei luoghi pubblici a fini di applicazione della legge.
\n\n\n\n
• AI che cerca di inferire le emozioni delle persone sul luogo di lavoro o a scuola.
\n\n\n\n
• IA che crea - o espande - basi dati di riconoscimento facciale raschiando immagini online o da telecamere di sicurezza.
\n

Le aziende che vengono trovate a utilizzare una qualsiasi delle suddette applicazioni AI nell'UE saranno soggette a multe, indipendentemente dalla sede principale. Potrebbero essere responsabili fino a €35 milioni (~$36 milioni), o il 7% del loro fatturato annuale dell'anno fiscale precedente, il maggiore dei due.

Le multe non entreranno in vigore per un po' di tempo, ha osservato Rob Sumroy, capo della tecnologia presso lo studio legale britannico Slaughter and May, in un'intervista con TechCrunch.

'Le organizzazioni devono essere pienamente conformi entro il 2 febbraio, ma... il prossimo grande termine di scadenza di cui le aziende devono essere consapevoli è ad agosto,' ha detto Sumroy. 'Entro tale data, sapremo chi sono le autorità competenti e le sanzioni e le disposizioni esecutive entreranno in vigore.'

Promesse preliminari

La scadenza del 2 febbraio è in qualche modo una formalità.

Lo scorso settembre, oltre 100 aziende hanno firmato il Patto sull'IA dell'UE, un impegno volontario ad iniziare ad applicare i principi dell'AI Act prima della sua entrata in vigore. Come parte del Patto, i firmatari - tra cui Amazon, Google e OpenAI - si sono impegnati a identificare i sistemi AI che probabilmente saranno categorizzati ad alto rischio in base all'AI Act.

Alcuni giganti della tecnologia, in particolare Meta e Apple, hanno saltato il Patto. La startup francese di AI Mistral, una delle più accese critiche dell'AI Act, ha anche scelto di non firmare.

Ciò non significa che Apple, Meta, Mistral, o altri che non hanno accettato il Patto non rispetteranno i loro obblighi, incluso il divieto di sistemi ad alto rischio inaccettabile. Sumroy sottolinea che, data la natura dei casi d'uso vietati elencati, la maggior parte delle aziende non si impegnerà in quelle pratiche comunque.

'Per le organizzazioni, una preoccupazione chiave riguardo all'AI Act dell'UE è se linee guida chiare, standard e codici di condotta arriveranno in tempo - e soprattutto, se forniranno alle organizzazioni chiarezza sulla conformità,' ha detto Sumroy. 'Tuttavia, i gruppi di lavoro stanno, finora, rispettando le loro scadenze per il codice di condotta per... gli sviluppatori.'

Possibili esenzioni

Vi sono eccezioni per diverse delle prohibizioni dell'AI Act.

Ad esempio, la legge consente alle forze dell'ordine di utilizzare determinati sistemi che raccolgono biometria nei luoghi pubblici se quei sistemi aiutano a effettuare una 'ricerca mirata' per, ad esempio, una vittima di rapimento, o per aiutare a prevenire una minaccia 'specifica, sostanziale ed imminente' alla vita. Questa esenzione richiede l'autorizzazione dall'organo competente, e la legge sottolinea che le forze dell'ordine non possono prendere decisioni che 'producono un effetto legale avverso' su una persona esclusivamente basandosi sui risultati di questi sistemi.

L'Atto prevede anche eccezioni per sistemi che inferiscono emozioni nei luoghi di lavoro e scuole dove c'è una giustificazione 'medica o di sicurezza', come i sistemi progettati per uso terapeutico.

La Commissione europea, il braccio esecutivo dell'UE, ha detto che rilascerà linee guida aggiuntive all'inizio del 2025, a seguito di una consultazione con le parti interessate a novembre. Tuttavia, quelle linee guida devono ancora essere pubblicate.

Sumroy ha detto che non è chiaro come altri leggi possano interagire con le prohibizioni dell'AI Act e le relative disposizioni. La chiarezza potrebbe non arrivare fino a più avanti nell'anno, man mano che si avvicina il periodo di attuazione.

'È importante che le organizzazioni ricordino che la regolamentazione AI non esiste in isolamento,' ha detto Sumroy. 'Altri quadri giuridici, come il GDPR, il NIS2 e il DORA, interagiranno con l'AI Act, creando potenziali sfide - specialmente attorno ai requisiti di notifica di incidenti sovrapposti. Comprendere come queste leggi si integrino sarà altrettanto cruciale quanto comprendere l'AI Act stesso.'