Legge sull'IA

La legge sull'IA (regolamento (UE) 2024/1689 che stabilisce norme armonizzate sull'intelligenza artificiale) è il primo quadro giuridico globale in assoluto sull'IA a livello mondiale. L'obiettivo delle norme è promuovere un'IA affidabile in Europa.

La legge sull'IA stabilisce una serie chiara di norme basate sul rischio per gli sviluppatori e gli operatori di IA per quanto riguarda gli usi specifici dell'IA. La legge sull'IA fa parte di un pacchetto più ampio di misure politiche a sostegno dello sviluppo di un'IA affidabile, che comprende anche il pacchetto sull'innovazione in materia di IA, il lancio di fabbriche di IA e il piano coordinato sull'IA. Insieme, queste misure garantiscono la sicurezza, i diritti fondamentali e l'IA antropocentrica e rafforzano l'adozione, gli investimenti e l'innovazione nell'IA in tutta l'UE.

Per agevolare la transizione verso il nuovo quadro normativo, la Commissione ha varato il patto per l'IA, un'iniziativa volontaria che mira a sostenere la futura attuazione, a dialogare con i portatori di interessi e a invitare i fornitori e gli operatori di IA provenienti dall'Europa e da altri paesi a rispettare in anticipo gli obblighi fondamentali della legge sull'IA. 

Perché abbiamo bisogno di norme sull'IA?

La legge sull'IA garantisce che gli europei possano fidarsi di ciò che l'IA ha da offrire. Sebbene la maggior parte dei sistemi di IA non presenti rischi e possa contribuire a risolvere molte sfide sociali, alcuni sistemi di IA creano rischi che dobbiamo affrontare per evitare risultati indesiderati.

Ad esempio, spesso non è possibile scoprire perché un sistema di IA ha preso una decisione o una previsione e ha intrapreso una particolare azione. Pertanto, può diventare difficile valutare se qualcuno sia stato ingiustamente svantaggiato, ad esempio in una decisione di assunzione o in una domanda di un regime di pubblica utilità.

Sebbene la legislazione vigente offra una certa protezione, non è sufficiente per affrontare le sfide specifiche che i sistemi di IA possono comportare.

Un approccio basato sul rischio

La legge sull'IA definisce 4 livelli di rischio per i sistemi di IA:

Rischio inaccettabile

Tutti i sistemi di IA considerati una chiara minaccia alla sicurezza, ai mezzi di sussistenza e ai diritti delle persone sono vietati. La legge sull'IA vieta otto pratiche, vale a dire:

1. manipolazione e inganno dannosi basati sull'IA
2. sfruttamento dannoso delle vulnerabilità basato sull'IA
3. punteggio sociale
4. Valutazione o previsione del rischio di reato individuale
5. raschiatura non mirata di materiale di Internet o CCTV per creare o espandere database di riconoscimento facciale
6. riconoscimento delle emozioni nei luoghi di lavoro e negli istituti di istruzione
7. categorizzazione biometrica per dedurre determinate caratteristiche protette
8. identificazione biometrica remota in tempo reale a fini di contrasto in spazi accessibili al pubblico

Rischio elevato

I casi d'uso dell'IA che possono comportare gravi rischi per la salute, la sicurezza o i diritti fondamentali sono classificati come ad alto rischio. Questi casi d'uso ad alto rischio includono:

• Componenti di sicurezza dell'IA nelle infrastrutture critiche (ad esempio i trasporti), il cui guasto potrebbe mettere a rischio la vita e la salute dei cittadini
• Soluzioni di IA utilizzate negli istituti di istruzione, che possono determinare l'accesso all'istruzione e il corso della vita professionale di una persona (ad esempio il punteggio degli esami)
• Componenti di sicurezza dei prodotti basati sull'IA (ad es. applicazione dell'IA nella chirurgia assistita da robot)
• Strumenti di IA per l'occupazione, la gestione dei lavoratori e l'accesso al lavoro autonomo (ad esempio software di selezione dei CV per l'assunzione)
• Alcuni casi d'uso dell'IA utilizzati per dare accesso a servizi pubblici e privati essenziali (ad esempio il credit scoring che nega ai cittadini l'opportunità di ottenere un prestito)
• Sistemi di IA utilizzati per l'identificazione biometrica remota, il riconoscimento delle emozioni e la categorizzazione biometrica (ad esempio un sistema di IA per identificare retroattivamente un taccheggiatore)
• casi d'uso dell'IA nelle attività di contrasto che possono interferire con i diritti fondamentali delle persone (ad esempio valutazione dell'affidabilità delle prove)
• Casi d'uso dell'IA nella gestione della migrazione, dell'asilo e del controllo delle frontiere (ad esempio esame automatizzato delle domande di visto)
• Soluzioni di IA utilizzate nell'amministrazione della giustizia e dei processi democratici (ad esempio soluzioni di IA per preparare le sentenze dei tribunali)

I sistemi di IA ad alto rischio sono soggetti a obblighi rigorosi prima di poter essere immessi sul mercato:

• adeguati sistemi di valutazione e mitigazione dei rischi
• alta qualità delle serie di dati che alimentano il sistema per ridurre al minimo i rischi di risultati discriminatori
• registrazione dell'attività per garantire la tracciabilità dei risultati
• documentazione dettagliata che fornisca tutte le informazioni necessarie sul sistema e sul suo scopo affinché le autorità ne valutino la conformità
• informazioni chiare e adeguate per l'operatore
• adeguate misure di sorveglianza umana
• elevato livello di robustezza, cibersicurezza e accuratezza

Rischio di trasparenza

Ciò si riferisce ai rischi associati alla necessità di trasparenza sull'uso dell'IA. La legge sull'IA introduce obblighi di divulgazione specifici per garantire che gli esseri umani siano informati quando necessario per preservare la fiducia. Ad esempio, quando si utilizzano sistemi di intelligenza artificiale come i chatbot, gli esseri umani dovrebbero essere consapevoli del fatto che stanno interagendo con una macchina in modo che possano prendere una decisione informata.

Inoltre, i fornitori di IA generativa devono garantire che i contenuti generati dall'IA siano identificabili. Inoltre, alcuni contenuti generati dall'IA dovrebbero essere etichettati in modo chiaro e visibile, vale a dire deep fake e testi pubblicati allo scopo di informare il pubblico su questioni di interesse pubblico.

Rischio minimo o nullo

La legge sull'IA non introduce norme per l'IA ritenute a rischio minimo o nullo. La stragrande maggioranza dei sistemi di IA attualmente utilizzati nell'UE rientra in questa categoria. Ciò include applicazioni come videogiochi abilitati all'intelligenza artificiale o filtri antispam.

Come funziona tutto ciò nella pratica per i fornitori di sistemi di IA ad alto rischio?

Come funziona tutto ciò nella pratica per i fornitori di sistemi di IA ad alto rischio?

Una volta che un sistema di IA è sul mercato, le autorità sono responsabili della vigilanza del mercato, gli operatori garantiscono la sorveglianza e il monitoraggio umani e i fornitori dispongono di un sistema di monitoraggio post-commercializzazione. I fornitori e gli operatori segnaleranno anche incidenti gravi e malfunzionamenti.

Una soluzione per l'uso affidabile di modelli di IA di grandi dimensioni

I modelli di IA per uso generale possono svolgere un'ampia gamma di compiti e stanno diventando la base di molti sistemi di IA nell'UE. Alcuni di questi modelli potrebbero comportare rischi sistemici se sono molto capaci o ampiamente utilizzati. Per garantire un'IA sicura e affidabile, la legge sull'IA stabilisce norme per i fornitori di tali modelli. Ciò include la trasparenza e le norme relative al diritto d'autore. Per i modelli che possono comportare rischi sistemici, i fornitori dovrebbero valutare e mitigare tali rischi.

Le norme della legge sull'IA relative all'IA per uso generale entreranno in vigore nell'agosto 2025. L'Ufficio per l'IA sta agevolando l'elaborazione di un codice di buone pratiche per definire nel dettaglio tali norme. Il codice dovrebbe rappresentare uno strumento centrale per i fornitori per dimostrare la conformità alla legge sull'IA, integrando pratiche all'avanguardia. 

Governance e attuazione

L'Ufficio europeo per l'IA e le autorità degli Stati membri sono responsabili dell'attuazione, della supervisione e dell'applicazione della legge sull'IA. Il comitato per l'IA, il gruppo di esperti scientifici e il forum consultivo guidano e consigliano la governance della legge sull'IA. Per saperne di più sulla governance e l'applicazione della legge sull'IA.  

Prossime tappe

La legge sull'IA è entrata in vigore il 1o agosto 2024 e sarà pienamente applicabile due anni dopo, il 2 agosto 2026, con alcune eccezioni:

• divieti e obblighi di alfabetizzazione in materia di IA entrati in vigore a decorrere dal 2 febbraio 2025
• le norme di governance e gli obblighi per i modelli di IA per uso generale diventano applicabili il 2 agosto 2025
• le norme per i sistemi di IA ad alto rischio - integrati in prodotti regolamentati - hanno un periodo di transizione prolungato fino al 2 agosto 2027