Cosa cambia nel regolamento europeo sull’intelligenza artificiale

Parlamento Europeo

È filtrato alla stampa, pubblicato inizialmente da Contexte, il documento con gli emendamenti all’AI Act, la proposta di regolamento dell’intelligenza artificiale in discussione in questi mesi presso il Parlamento europeo.

La testata francese riferisce che il deputato rumeno Dragoș Tudorache (Renew Europe) e il suo omologo italiano Brando Benifei (S&D) sono pronti a pubblicare la loro relazione sull’AI Act, dando il via a quello che potrebbe essere “uno dei negoziati più complessi dell’attuale mandato” al Parlamento europeo, come affermato da Dragoș Tudorache. I deputati hanno redatto 297 emendamenti che modificano, integrano e correggono una grande quantità di articoli.

In generale, le modifiche proposte coprono i seguenti aspetti:

  • L’AI Act sarà più allineato al testo del GDPR, in modo che i due regolamenti siano complementari l’uno all’altro per lo lo sviluppo e l’adozione dell’intelligenza artificiale in Europa.
  • I sistemi di polizia predittiva (quelli che prevedono chi è più a rischio di commettere crimini) dovranno essere banditi completamente poiché violano la dignità umana e la presunzione di innocenza e comportano un rischio particolare di discriminazione. Prima erano consentiti, seppur considerati ad alto rischio.
  • I co-relatori propongono di aggiungere una serie di casi d’uso all’elenco dei sistemi AI ad alto rischio. Anzitutto i sistemi di AI utilizzati per influenzare o modellare lo sviluppo dei bambini, poi quelli utilizzati da candidati o partiti per influenzare i voti nelle elezioni locali, nazionali o europee, nonché i sistemi di AI utilizzati per contare tali voti, poiché hanno il potenziale, influenzando un gran numero di cittadini dell’Unione, di manipolare il funzionamento stesso della democrazia europea. Anche i sistemi di intelligenza artificiale utilizzati per il triage dei pazienti nel settore sanitario, e quelli utilizzati per determinare l’idoneità all’assicurazione sanitaria e sulla vita saranno considerati ad alto rischio.
  • Farà probabilmente discutere l’inserimento nella lista dei sistemi ad alto rischio di quei programmi che generano da soli (o con pochi input) testi e articoli. Per intenderci, GPT-3 e simili usati al posto di redattori umani. Per il loro potenziale di inganno tali software dovrebbero essere soggetti sia ai requisiti di trasparenza sia ai requisiti di conformità che il regolamento chiede ai sistemi AI ad alto rischio. La stessa disposizione si applica ai sistemi che creano deepfakes.
  • Nel testo originale si contestava il requisito di avere dataset “senza errori”. Qualsiasi data scientist sa che questo non è praticamente possibile (a meno di avere un dataset estremamente piccolo). Nella proposta emendata viene chiarito che i dataset “senza errori” dovrebbero essere un obiettivo generale da raggiungere secondo un principio di best effort, piuttosto che un rigido requisito.
  • Sono stati chiariti anche i casi in cui i dataset sono in possesso degli utenti, dove il fornitore costruisce solo l’architettura generale del sistema. Chiarimenti che fanno un favore all’intero settore, poiché spesso la supply chain è complessa e tutt’altro che lineare. In quei casi le responsabilità devono essere chiaramente delineate tra i diversi attori che contribuiscono alla catena di valore.
  • Albo UE per i sistemi AI ad alto rischio usati nel pubblico. Le autorità pubbliche sono soggette a maggiori aspettative di trasparenza. Per questo motivo le autorità pubbliche, le istituzioni, le agenzie o gli organismi dell’Unione dovrebbero registrare l’uso di sistemi di intelligenza artificiale ad alto rischio in un apposito database UE. Questo permetterà una maggiore supervisione democratica, controllo pubblico e responsabilità, insieme a una maggiore trasparenza verso il pubblico sull’uso dei sistemi di AI in aree sensibili che impattano sulla vita delle persone. L’albo dei sistemi AI ad alto rischio conterrà quindi anche i loro utilizzatori, se organismi pubblici.
  • I compiti dell’AI Board saranno rafforzati. Questo organo dovrebbe svolgere un ruolo più significativo nell’applicazione uniforme del regolamento e nel fornire consigli e raccomandazioni alla Commissione, ad esempio sulla necessità di modificare l’allegato III (i sistemi ad alto rischio), nonché alle autorità nazionali di vigilanza. Il consiglio dovrebbe fungere da forum di scambio tra le autorità nazionali di vigilanza e, allo stesso tempo, dovrebbe costituire un luogo di arbitrato per le controversie che coinvolgono le autorità di due o più Stati membri, al fine di evitare la frammentazione del mercato unico attraverso un’applicazione differenziata.
  • A livello nazionale, si sottolinea la necessità di una stretta cooperazione tra le autorità di sorveglianza del mercato e le autorità di protezione dei dati, poiché l’applicazione del regolamento richiederà le competenze di entrambi. Nei casi di violazione dei diritti fondamentali, dovranno essere coinvolgi anche gli organi competenti in materia di diritti fondamentali.
  • È stato proposto un nuovo meccanismo da attivare nei casi di violazioni diffuse (in tre o più Stati membri), anche in caso di inazione su una violazione che ha un impatto su almeno tre Stati membri. Questo meccanismo, basato sul modello della legge sui servizi digitali, mira ad affrontare alcuni dei problemi di applicazione che sono stati osservati in altri sistemi di governance, a contribuire all’attuazione uniforme del regolamento e a rafforzare il mercato unico digitale. Secondo il meccanismo, in casi di violazioni diffuse, la Commissione dovrebbe avere i poteri di autorità di sorveglianza del mercato.
  • Viene rafforzato il coinvolgimento di tutte le parti interessate e delle organizzazioni della società civile in diverse disposizioni chiave del regolamento, come gli aggiornamenti della lista dei sistemi AI ad alto rischio, il processo di standardizzazione, così come le attività del consiglio e le sandbox.

Fin qui le modifiche raggruppate in criteri generali. Fra i molti emendamenti, cito alcuni di quelli che mi hanno maggiormente colpito (la traduzione italiano è la mia e non è ufficiale).

In neretto potete vedere le aggiunte apportate al testo originale, mentre le cancellazioni sono barrate. Se un emendamento è tutto in neretto, significa che va ad aggiungere al testo un intero punto che prima non era presente.

Emendamento 51

Articolo 2 comma 1 punto c: fornitori e utenti di sistemi di intelligenza artificiale che si trovano in un paese terzo, qualora l’output prodotto dal sistema sia utilizzato nell’Unione o interessi persone fisiche all’interno dell’Unione;

Perché è importante: è stato rafforzato il carattere extraterritoriale del regolamento, che ha effetto anche quando il sistema sia utilizzato all’estero, fintanto che i suoi effetti abbiano ripercussioni su cittadini all’interno dell’UE.

Emendamento 55

Articolo 3 comma 1 punto 1: Per “sistema di intelligenza artificiale” (sistema AI) si intende un software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I e in grado, per una determinata serie di obiettivi definiti dall’uomo, di generare risultati quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono;

Perché è importante: dalla definizione dell’AI scompare l’obbligo che gli obiettivi siano definiti dagli umani. Questo è in linea con la realtà, poiché può succedere che gli obiettivi impartiti a un sistema di intelligenza artificiale possano provenire da un altro sistema informatico. Si tratta comunque di una correzione interessante, perché qualcuno potrebbe pensare che vada a intaccare il primato dell’essere umano come unico dispensatore di ordini.

Emendamento 87

Articolo 7 comma 2 punto a: Nel valutare se un sistema di intelligenza artificiale presenta un rischio di danno alla salute e alla sicurezza o un rischio di impatto negativo sui diritti fondamentali equivalente o superiore al rischio di danno posto dal sistema di intelligenza artificiale ad alto rischio, la Commissione consulta, se del caso, i rappresentanti dei gruppi su cui un sistema di intelligenza artificiale ha un impatto, l’industria, esperti indipendenti e organizzazioni della società civile. La Commissione al riguardo organizza consultazioni pubbliche.

Perché è importante: si crea un meccanismo di consultazione che coinvolge le persone e i gruppi penalizzati dal sistema AI. È importante portare al tavolo anche quegli stakeholder che sono impattati da un sistema di intelligenza artificiale ma che normalmente non avrebbero voce in capitolo.

Emendamento 96

Articolo 10 comma 3: I dataset di addestramento, di convalida e di test sono pertinenti, rappresentativi, aggiornati e, nella misura del possibile, tenuto conto dello stato dell’arte, privi di errori e il più possibile completi.

Perché è importante: l’emendamento corregge una disposizione che sarebbe stata impossibile da soddisfare. Errori e mancanza di completezza sono condizioni praticamente standard, che aumentano con le dimensioni del dataset. È sufficiente chiedere agli operatori di fare del loro meglio (dimostrandolo) per mitigare questi problemi.

Emendamento 105

Articolo 16 comma 1 punto a: garantire che le persone fisiche a cui viene assegnata la supervisione umana dei sistemi AI ad alto rischio siano specificamente rese consapevoli e rimangano consapevoli del rischio di bias di automazione;

Perché è importante: una piccola ma importante aggiunta al testo che chiede a chi supervisiona i sistemi AI ad alto rischio di essere edotti all’automation bias, ovvero la tendenza umana a conferire maggiore correttezza ai sistemi automatici. Spesso a tutti noi viene naturale fidarsi maggiormente delle macchine, soprattutto in quei contesti dove sbagliano poco. Così facendo, però, abbassiamo la guardia e veniamo meno ai nostri compiti, che sono quelli di individuare e correggere eventuali errori della procedura automatica.

Emendamento 146

Articolo 29 comma 6 punto b: Gli utenti di sistemi di AI che generano, sulla base di un input umano limitato, contenuti testuali complessi, come notizie, articoli di opinione, romanzi, sceneggiature e articoli scientifici, devono rivelare che il contenuto testuale è stato generato o manipolato artificialmente, anche alle persone fisiche che sono esposte al contenuto, ogni volta che sono esposte, in modo chiaro e comprensibile.

Perché è importante: l’articolo imporrà di fare chiarezza su quali contenuti testuali sono generati da esseri umani e quali dall’intelligenza artificiale. Con questo articolo i giornali, i siti, gli organi di informazione dovranno indicare quando un testo è stato redatto dall’AI o con un sostanziale contributo dell’AI. Poiché si parla di “manipolato artificialmente”, viene da pensare che anche le traduzioni automatiche dovranno essere indicate come tali. Da notare, infine, che l’articolo 29 si occupa di “Obblighi degli utenti di sistemi AI ad alto rischio“. Da comprendere, quindi, se questo obbligo interessa solo chi usa i sistemi identificati come ad alto rischio (l’ormai famoso Allegato III), o tutti coloro che pubblicano articoli, romanzi, ecc.

A parte queste disposizioni, vi sono ancora diverse questioni in sospeso. Tra queste: il divieto di identificazione biometrica nei luoghi pubblici, l’autovalutazione, la valutazione della conformità da parte di terzi e la valutazione dell’impatto sui diritti fondamentali per i sistemi AI ad alto rischio.

È plausibile pensare che questi argomenti saranno ancora oggetto di intenso dibattito e che serviranno nuovi compromessi. Insomma, il percorso dell’AI Act è ancora lungo.

Sono Head of Artificial Intelligence di SNGLR Holding AG, un gruppo svizzero specializzato in tecnologie esponenziali con sedi in Europa, USA e UAE, dove curo i programmi inerenti all'intelligenza artificiale. Dopo la laurea in Management ho conseguito una specializzazione in Business Analytics a Wharton, una certificazione Artificial Intelligence Professional da IBM e una sul machine learning da Google Cloud. Ho trascorso la maggior parte della carriera – trent'anni - nel settore della cybersecurity, dove fra le altre cose sono stato consigliere del Ministro delle Comunicazioni e consulente di Telespazio (gruppo Leonardo). Oggi mi occupo prevalentemente di intelligenza artificiale, con consulenze sull'AI presso aziende private e per la Commissione Europea, dove collaboro con la European Defence Agency e il Joint Research Centre. Questo blog è personale.