Il Parlamento europeo ha approvato in via definitiva la legge sull’intelligenza artificiale (AI Act). Sono previsti precisi obblighi in tema di trasparenza e soprattutto per i cosiddetti sistemi ad alto rischio. Le nuove norme stabiliscono inoltre le applicazioni vietate, ovvero quelle che minacciano i diritti dei cittadini (con alcune eccezioni per le forze dell’ordine).
AI Act: divieti e obblighi
Dopo diversi mesi di discussioni era stato raggiunto un accordo politico sulla regolamentazione dell’intelligenza artificiale. Rispetto alla proposta della Commissione, annunciata quasi tre anni fa, non è cambiata la classificazione in base al livello di rischio, ma sono stati aggiunti anche i sistemi di IA generativa, sui quali c’è stato un duro scontro tra gli Stati membri.
La legge, approvata con 523 voti favorevoli, 46 contrari e 49 astensioni, prevede innanzitutto il divieto per i sistemi di identificazione biometrica basati su caratteristiche sensibili e l’estrapolazione indiscriminata di immagini da Internet o dalle registrazioni dei sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale. Sono vietati anche i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole, i sistemi di credito sociale, le pratiche di polizia predittiva (se basate esclusivamente sulla profilazione o sulla valutazione delle caratteristiche di una persona) e i sistemi che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone.
Le nuove norme stabiliscono alcune eccezioni per le forze dell’ordine. L’uso dell’identificazione biometrica in tempo reale è consentito solo se limitato nel tempo e previa autorizzazione giudiziaria per la ricerca di una persona scomparsa o la prevenzione di un attacco terroristico. L’uso di questi sistemi a posteriori è possibile solo se esiste un reato (previa autorizzazione giudiziaria).
Specifici obblighi sono previsti per i sistemi IA ad alto rischio, come quelli che potrebbero arrecare danni significativi alla salute, alla sicurezza, ai diritti fondamentali, all’ambiente, alla democrazia e allo Stato di diritto. Per tali sistemi è necessario valutare e ridurre i rischi, mantenere registri d’uso, essere trasparenti e garantire la sorveglianza umana.
I sistemi a basso rischio devono rispettare solo l’obbligo di trasparenza e rispettare le norme sul diritto d’autore. Obblighi aggiuntivi per i sistemi di IA generativa più potenti che potrebbero comportare rischi sistemici: valutazione dei modelli, mitigazione dei rischi e monitoraggio degli incidenti gravi. Le immagini e i contenuti audio o video artificiali o manipolati (deepfake) dovranno essere chiaramente etichettati.
L’AI Act dovrà ora essere approvato dal Consiglio per diventare legge. Entrerà in vigore 20 giorni dopo la pubblicazione sulla Gazzetta Ufficiale dell’UE, ma l’applicazione avverrà in maniera graduale: 6 mesi dopo per le applicazioni vietate, 9 mesi dopo per i codici di buone pratiche, 12 mesi dopo per i sistemi IA general purpose, 36 mesi dopo per i sistemi IA ad alto rischio e 24 mesi dopo per tutte le altre regole.