Elementi fondamentali dell’IA Act
Fonte JuraNews
Pubblicato in Gazzetta Ufficiale dell’Unione Europea del 12 luglio 2024 il Regolamento n. 2420/1689 del 13 giugno 2024, denominato “IA ACT”.
Il regolamento stabilisce regole armonizzate sull’intelligenza artificiale definendo in primis il «sistema di IA» come un “sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.
Secondo quanto disposto nell’articolo 1, il regolamento ha la finalità di “migliorare il funzionamento del mercato interno e promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea, compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente, contro gli effetti nocivi dei sistemi di IA nell’Unione, e promuovendo l’innovazione”.
All’interno del regolamento sono sancite:
“a) regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA nell’Unione;
b) divieti di talune pratiche di IA;
c) requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi;
d) regole di trasparenza armonizzate per determinati sistemi di IA;
e) regole armonizzate per l’immissione sul mercato di modelli di IA per finalità generali;
f) regole in materia di monitoraggio del mercato, vigilanza del mercato, governance ed esecuzione;
g) misure a sostegno dell’innovazione, con particolare attenzione alle PMI, comprese le start-up”.
L’articolo 2 disciplina l’applicabilità del regolamento a:
“a) ai fornitori che immettono sul mercato o mettono in servizio sistemi di IA o immettono sul mercato modelli di IA per finalità generali nell’Unione, indipendentemente dal fatto che siano stabiliti o ubicati nell’Unione o in un paese terzo;
b) ai deployer dei sistemi di IA che hanno il loro luogo di stabilimento o sono situati all’interno dell’Unione;
c) ai fornitori e ai deployer di sistemi di IA che hanno il loro luogo di stabilimento o sono situati in un paese terzo, laddove l’output prodotto dal sistema di IA sia utilizzato nell’Unione;
d) agli importatori e ai distributori di sistemi di IA;
e) ai fabbricanti di prodotti che immettono sul mercato o mettono in servizio un sistema di IA insieme al loro prodotto e con il loro nome o marchio;
f) ai rappresentanti autorizzati di fornitori, non stabiliti nell’Unione;
g) alle persone interessate che si trovano nell’Unione”.
L’articolo 5 vieta le pratiche di AI che utilizzino tecniche che condizionino inconsapevolmente o che sfruttino la vulnerabilità di una persona o un gruppo di persone, inducendole a prendere una decisione che non avrebbero altrimenti preso, provocando un danno significativo. Lo stesso articolo indica tutte quelle applicazioni in grado di minacciare i diritti della persona tra cui i sistemi di categorizzazione biometrica basati sui dati sensibili, la estrapolazione indiscriminata di immagini facciali da internet e le registrazioni dei sistemi di telecamere a circuito chiuso.
L’articolo 6, fissa le regole di classificazione per i sistemi di IA ad alto rischio, individuandoli, nello specifico:
a) sistemi di AI destinati a essere utilizzati come componenti di sicurezza di prodotti, o i sistemi di IA siano essi stessi prodotti;
b) il prodotto, il cui componente di sicurezza è il sistema di IA, o il sistema di IA stesso in quanto prodotto.
Vengono inoltre considerati ad alto rischi i sistemi di IA ricompresi nell’Allegato III al Regolamento, tra cui i sistemi di identificazione biometrica remota, categorizzazione biometrica e riconoscimento delle emozioni, i sistemi usati per determinare l’accesso a servizi e a prestazioni pubblici e privati essenziali, alla valutazione dell’occupazione o dell’affidabilità creditizia.
L’articolo 9, prevede un sistema di gestione dei rischi, ovvero un processo iterativo continuo pianificato ed eseguito nel corso dell’intero ciclo di vita di un sistema di IA ad alto rischio, che richiede un riesame e un aggiornamento costanti e sistematici.
Inoltre, i sistemi di IA ad alto rischio dovranno essere progettati e sviluppati in modo tale da garantire che il loro funzionamento sia sufficientemente trasparente da consentire ai deployer di interpretare l’output del sistema e utilizzarlo adeguatamente (articolo 13).
La progettazione e sviluppo dei sistemi IA ad alto rischio potrà essere effettuata anche con strumenti di interfaccia uomo-macchina adeguati, in modo tale da poter essere efficacemente supervisionati da persone fisiche durante il periodo in cui sono in uso (articolo 14).
Il regolamento prevede spazi di sperimentazione e meccanismi di prova in condizioni reali, ovvero gli Stati membri dovranno provvedere affinché le loro autorità competenti istituiscano almeno uno spazio di sperimentazione normativa per l’IA a livello nazionale, che sia operativo entro il 2 agosto 2026 (articolo 57).
Gli spazi di sperimentazione normativa per l’IA dovranno garantire un ambiente controllato atto a promuovere l’innovazione, facilitando lo sviluppo, l’addestramento, la sperimentazione e la convalida di sistemi di IA innovativi per un periodo di tempo limitato prima della loro immissione sul mercato.
E’ prevista l’istituzione del Consiglio per l’IA, composto da un rappresentante per ogni Stato Membro, affiancato dall’Ufficio per l’IA, che avrà il compito di monitorare l’andamento generale potendo aggiornare le normative nel caso di evoluzioni tecnologiche (articoli 64, 65 e 66).
Il regolamento prevede, inoltre, un sistema di sanzioni.
Gli Stati membri stabiliranno le norme relative alle sanzioni e alle altre misure di esecuzione, che possono includere anche avvertimenti e misure non pecuniarie, applicabili in caso di violazione del presente regolamento da parte degli operatori. Le sanzioni previste saranno effettive, proporzionate e dissuasive, tenendo conto degli interessi delle PMI, comprese le start-up, e della loro sostenibilità economica (articolo 99).