Legge sull'IA

La legge sull'IA mira a fornire agli sviluppatori e agli operatori dell'IA requisiti e obblighi chiari per quanto riguarda gli usi specifici dell'IA. Allo stesso tempo, il regolamento mira a ridurre gli oneri amministrativi e finanziari per le imprese, in particolare le piccole e medie imprese (PMI).

La legge sull'IA fa parte di un più ampio pacchetto di misure politiche a sostegno dello sviluppo di un'IA affidabile, che comprende anche il pacchetto sull'innovazione in materia di IA e il piano coordinato sull'IA. Insieme, queste misure garantiranno la sicurezza e i diritti fondamentali delle persone e delle imprese quando si tratta di IA. Rafforzeranno inoltre la diffusione, gli investimenti e l'innovazione nell'IA in tutta l'UE.

La legge sull'IA è il primo quadro giuridico completo in assoluto sull'IA in tutto il mondo. L'obiettivo delle nuove norme è promuovere un'IA affidabile in Europa e oltre, garantendo che i sistemi di IA rispettino i diritti fondamentali, la sicurezza e i principi etici e affrontando i rischi di modelli di IA molto potenti e di impatto.

Perché abbiamo bisogno di regole sull'IA?

La legge sull'IA garantisce che gli europei possano fidarsi di ciò che l'IA ha da offrire. Mentre la maggior parte dei sistemi di IA non comporta rischi e può contribuire a risolvere molte sfide sociali, alcuni sistemi di IA creano rischi che dobbiamo affrontare per evitare risultati indesiderati.

Ad esempio, spesso non è possibile scoprire perché un sistema di IA ha preso una decisione o una previsione e ha intrapreso una particolare azione. Pertanto, può diventare difficile valutare se qualcuno sia stato ingiustamente svantaggiato, ad esempio in una decisione di assunzione o in una domanda di un regime di pubblica utilità.

Sebbene la legislazione esistente preveda una certa protezione, non è sufficiente ad affrontare le sfide specifiche che i sistemi di IA possono presentare.

Le norme proposte:

• affrontare i rischi creati specificamente dalle applicazioni di IA;
• vietare le pratiche di IA che comportano rischi inaccettabili;
• definire un elenco di applicazioni ad alto rischio;
• stabilire requisiti chiari per i sistemi di IA per applicazioni ad alto rischio;
• definire obblighi specifici che distribuiscono e forniscono applicazioni di IA ad alto rischio;
• richiedere una valutazione della conformità prima che un dato sistema di IA sia messo in servizio o immesso sul mercato;
• mettere in atto l'applicazione delle norme dopo l'immissione sul mercato di un determinato sistema di IA;
• istituire una struttura di governance a livello europeo e nazionale.

Un approccio basato sul rischio

Il quadro normativo definisce 4 livelli di rischio per i sistemi di IA:

Tutti i sistemi di IA considerati una chiara minaccia per la sicurezza, i mezzi di sussistenza e i diritti delle persone saranno vietati, dal punteggio sociale da parte dei governi ai giocattoli che utilizzano l'assistenza vocale che incoraggia comportamenti pericolosi.

Rischio elevato

I sistemi di IA identificati come ad alto rischio includono la tecnologia di IA utilizzata in:

• infrastrutture critiche (ad esempio i trasporti), che potrebbero mettere a rischio la vita e la salute dei cittadini;
• istruzione o formazione professionale, che può determinare l'accesso all'istruzione e al corso professionale della vita di qualcuno (ad esempio, il punteggio degli esami);
• componenti di sicurezza dei prodotti (ad esempio applicazione di IA in chirurgia robotizzata);
• occupazione, gestione dei lavoratori e accesso al lavoro autonomo (ad esempio software di selezione dei CV per le procedure di assunzione);
• servizi privati e pubblici essenziali (ad esempio, crediti che negano ai cittadini l'opportunità di ottenere un prestito);
• applicazione della legge che può interferire con i diritti fondamentali delle persone (ad esempio valutazione dell'affidabilità delle prove);
• gestione della migrazione, dell'asilo e del controllo delle frontiere (ad es. esame automatizzato delle domande di visto);
• amministrazione della giustizia e processi democratici (ad esempio soluzioni di IA per la ricerca di sentenze giudiziarie).

I sistemi di IA ad alto rischio saranno soggetti a obblighi rigorosi prima di poter essere immessi sul mercato:

• adeguati sistemi di valutazione e mitigazione dei rischi;
• elevata qualità delle serie di dati che alimentano il sistema per ridurre al minimo i rischi e i risultati discriminatori;
• registrazione dell'attività per garantire la tracciabilità dei risultati;
• documentazione dettagliata che fornisca tutte le informazioni necessarie sul sistema e sul suo scopo per le autorità di valutarne la conformità;
• informazioni chiare e adeguate all'operatore;
• adeguate misure di sorveglianza umana per ridurre al minimo il rischio;
• elevato livello di robustezza, sicurezza e precisione.

Tutti i sistemi di identificazione biometrica a distanza sono considerati ad alto rischio e soggetti a requisiti rigorosi. L'uso dell'identificazione biometrica a distanza in spazi accessibili al pubblico a fini di contrasto è, in linea di principio, vietato.

Le eccezioni ristrette sono rigorosamente definite e regolamentate, ad esempio quando necessario per la ricerca di un minore scomparso, per prevenire una minaccia terroristica specifica e imminente o per individuare, individuare, identificare o perseguire un autore o sospettato di un reato grave.

Tali usi sono soggetti all'autorizzazione di un organo giudiziario o di altro organo indipendente e a limiti di tempo, di portata geografica e di ricerca delle banche dati.

Rischio limitato

Il rischio limitatosi riferisce ai rischi associati alla mancanza di trasparenza nell'utilizzo dell'IA. La legge sull'IA introduce specifici obblighi di trasparenza per garantire che gli esseri umani siano informati quando necessario, promuovendo la fiducia. Ad esempio, quando si utilizzano sistemi di IA come i chatbot, gli esseri umani dovrebbero essere consapevoli del fatto che stanno interagendo con una macchina in modo da poter prendere una decisione informata di continuare o fare un passo indietro. I fornitori dovranno inoltre garantire che i contenuti generati dall'IA siano identificabili. Inoltre, il testo generato dall'IA pubblicato con lo scopo di informare il pubblico su questioni di interesse pubblico deve essere etichettato come generato artificialmente. Questo vale anche per i contenuti audio e video che costituiscono falsi profondi.

Rischio minimo o nullo

L'AI Act consente l'uso gratuito dell'IA a rischio minimo. Ciò include applicazioni come videogiochi abilitati per l'IA o filtri antispam. La stragrande maggioranza dei sistemi di IA attualmente utilizzati nell'UE rientrano in questa categoria.

Come funziona nella pratica tutto ciò per i fornitori di sistemi di IA ad alto rischio?

Una volta che un sistema di IA è sul mercato, le autorità sono responsabili della vigilanza del mercato, gli operatori assicurano la sorveglianza e il monitoraggio umano e i fornitori dispongono di un sistema di monitoraggio post-commercializzazione. I fornitori e gli operatori segnalano anche incidenti gravi e malfunzionamenti.

Una soluzione per l'uso affidabile di grandi modelli di IA

Sempre più, i modelli di IA per uso generale stanno diventando componenti dei sistemi di IA. Questi modelli possono eseguire e adattare innumerevoli compiti diversi.

Mentre i modelli di intelligenza artificiale di uso generale possono consentire soluzioni di IA migliori e più potenti, è difficile supervisionare tutte le funzionalità.

In tale ambito, la legge sull'IA introduce obblighi di trasparenza per tutti i modelli di IA per uso generale, al fine di consentire una migliore comprensione di tali modelli e ulteriori obblighi di gestione del rischio per modelli molto capaci e di impatto. Tali obblighi aggiuntivi comprendono l'autovalutazione e l'attenuazione dei rischi sistemici, la segnalazione di incidenti gravi, lo svolgimento di valutazioni di test e modelli, nonché i requisiti in materia di cibersicurezza.

Legislazione a prova di futuro

Poiché l'IA è una tecnologia in rapida evoluzione, la proposta ha un approccio adeguato al futuro, che consente alle norme di adattarsi ai cambiamenti tecnologici. Le applicazioni di IA dovrebbero rimanere affidabili anche dopo l'immissione sul mercato. Ciò richiede una continua gestione della qualità e del rischio da parte dei fornitori.

Applicazione e attuazione

L' Ufficio europeo per l'IA, istituito nel febbraio 2024 all'interno della Commissione, supervisiona l'applicazione e l'attuazione della legge sull'IA con gli Stati membri. Mira a creare un ambiente in cui le tecnologie di IA rispettino la dignità umana, i diritti e la fiducia. Promuove inoltre la collaborazione, l'innovazione e la ricerca nell'IA tra le varie parti interessate. Inoltre, si impegna nel dialogo internazionale e nella cooperazione sulle questioni relative all'IA, riconoscendo la necessità di un allineamento globale sulla governance dell'IA. Attraverso questi sforzi, l'Ufficio europeo per l'IA si sforza di posizionare l'Europa come leader nello sviluppo etico e sostenibile delle tecnologie di IA.

I prossimi passi

Nel dicembre 2023 il Parlamento europeo e il Consiglio dell'UE hanno raggiunto un accordo politico sulla legge sull'IA. Il testo è in procinto di essere formalmente adottato e tradotto. La legge sull'IA entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta ufficiale e sarà pienamente applicabile due anni dopo, con alcune eccezioni: i divieti entreranno in vigore dopo sei mesi, le regole di governance e gli obblighi per i modelli di IA per uso generale diventeranno applicabili dopo 12 mesi e le norme per i sistemi di IA — incorporate nei prodotti regolamentati — si applicheranno dopo 36 mesi. Per facilitare la transizione verso il nuovo quadro normativo, la Commissione ha lanciato il patto sull'IA, un'iniziativa volontaria che mira a sostenere la futura attuazione e invita gli sviluppatori di IA provenienti dall'Europa e da altri paesi a rispettare gli obblighi fondamentali della legge sull'IA in anticipo.