La Legge sull’Intelligenza Artificiale (AI) dell’Unione Europea è entrata ufficialmente in vigore il 1° agosto 2024 – un momento cruciale per la regolamentazione globale dell’AI.
Questa vasta legislazione classifica i sistemi di IA in base ai loro livelli di rischio, imponendo diversi gradi di supervisione che variano a seconda della categoria di rischio.
La legge vieterà completamente alcune forme di IA “a rischio inaccettabile”, come quelle progettate per manipolare il comportamento delle persone.
Sebbene la Legge sia ora legge in tutti i 27 Stati membri dell’UE, la maggior parte delle sue disposizioni non ha effetto immediato.
Al contrario, questa data segna l’inizio di una fase di preparazione sia per le autorità di regolamentazione che per le aziende.
Ciononostante, gli ingranaggi sono in movimento e la legge è destinata a plasmare il futuro dello sviluppo, dell’impiego e della gestione delle tecnologie AI, sia nell’UE che a livello internazionale.
La tempistica di attuazione è la seguente:
- Febbraio 2025: Entrano in vigore i divieti sulle pratiche di IA “a rischio inaccettabile”. Queste includono i sistemi di social scoring, lo scraping non mirato di immagini facciali e l’uso della tecnologia di riconoscimento delle emozioni nei luoghi di lavoro e di istruzione.
- Agosto 2025: Entrano in vigore i requisiti per i modelli di IA di uso generale. Questa categoria, che comprende modelli linguistici di grandi dimensioni come il GPT, dovrà rispettare le regole di trasparenza, sicurezza e riduzione dei rischi.
- Agosto 2026: diventano obbligatori i regolamenti per i sistemi di IA ad alto rischio in settori critici come la sanità, l’istruzione e l’occupazione.
La Commissione europea si sta attrezzando per far rispettare queste nuove regole.
Il portavoce della Commissione, Thomas Regnier, ha spiegato che circa 60 membri del personale esistente saranno riassegnati al nuovo Ufficio AI e altri 80 dipendenti esterni saranno assunti nel corso del prossimo anno.
Inoltre, ogni Stato membro dell’UE dovrà istituire autorità nazionali competenti per la supervisione e l’applicazione della legge entro l’agosto 2025.
La conformità non avverrà da un giorno all’altro. Sebbene qualsiasi grande azienda che si occupa di IA si stia preparando da tempo alla legge, gli esperti stimano che l’implementazione dei controlli e delle pratiche possa richiedere sei mesi o più.
La posta in gioco è alta per le aziende che finiscono nel mirino della legge. Le aziende che la violano potrebbero incorrere in multe fino a 35 milioni di euro o al 7% del loro fatturato annuo globale, se superiore.
Si tratta di unacifra superiore a quella del GPDR e l’UE non tende a fare minacce a vuoto, visto che ad oggi ha incassato oltre 4 miliardi di euro di multe per il GDPR.
Impatto internazionale
Essendo la prima normativa completa sull’IA al mondo, la legge europea sull’IA stabilirà nuovi standard a livello mondiale.
I principali operatori come Microsoft, Google, Amazon, Apple e Meta saranno tra i più bersagliati dalle nuove norme.
Come hadichiarato Charlie Thompson di Appian alla CNBC, “l’AI Act si applicherà probabilmente a tutte le organizzazioni con operazioni o impatto nell’UE, indipendentemente dalla loro sede centrale ”
Alcune aziende statunitensi stanno prendendo provvedimenti preventivi. Meta, ad esempio, ha limitato la disponibilità del suo modello di intelligenza artificiale LLaMa 400B in Europa, citando l’incertezza normativa. OpenAI ha minacciato di bloccare il rilascio di prodotti in Europa nel 2023, ma ha subito fatto marcia indietro.
Per conformarsi alla legge, le aziende di IA potrebbero dover rivedere i set di dati di formazione, implementare una più solida supervisione umana e fornire alle autorità dell’UE una documentazione dettagliata.
Tutto ciò è in contrasto con il modo in cui opera l’industria dell’IA. Imodelli di AI proprietari di OpenAI, Google, ecc. sono segreti e altamente protetti.
I dati di formazione hanno un valore eccezionale e la loro divulgazione potrebbe esporre grandi quantità di materiale protetto da copyright.
Ci sono domande difficili a cui rispondere se si vuole che lo sviluppo dell’IA progredisca allo stesso ritmo di quanto fatto finora.
Alcune aziende sono sotto pressione per agire prima di altre
Secondo le stime della Commissione europea, circa l’85% delle aziende che operano nel settore dell’IA rientra nella categoria “rischio minimo”, che richiede una scarsa sorveglianza, ma le norme della legge incidono comunque sulle attività delle aziende che rientrano nelle categorie superiori.
Le risorse umane e l’occupazione sono un’area che rientra nella categoria “ad alto rischio” della legge.
I principali fornitori di software aziendali come SAP, Oracle, IBM, Workday e ServiceNow hanno lanciato applicazioni HR potenziate con l’intelligenza artificiale che incorporano l’intelligenza artificiale nello screening e nella gestione dei candidati.
Jesper Schleimann, responsabile AI di SAP per l’area EMEA, ha dichiarato a The Register che l’azienda ha stabilito solidi processi per garantire la conformità alle nuove norme.
Allo stesso modo, Workday ha implementato un programma di AI responsabile guidato da dirigenti senior per allinearsi ai requisiti della legge.
Un’altra categoria prevista dalla legge è quella dei sistemi di IA utilizzati nelle infrastrutture critiche e nei servizi pubblici e privati essenziali.
Questa categoria comprende un’ampia gamma di applicazioni, dall’IA utilizzata nelle reti energetiche e nei sistemi di trasporto a quella impiegata nella sanità e nei servizi finanziari.
Le aziende che operano in questi settori dovranno dimostrare che i loro sistemi di IA soddisfano rigorosi standard di sicurezza e affidabilità. Dovranno inoltre condurre approfondite valutazioni del rischio, implementare solidi sistemi di monitoraggio e garantire che i loro modelli di IA siano spiegabili e trasparenti.
Sebbene l’AI Act vieti completamente alcuni usi dell’identificazione biometrica e della sorveglianza, fa delle concessioni limitate nei contesti di applicazione della legge e di sicurezza nazionale.
Questa si è rivelata un’area fertile per lo sviluppo dell’IA, con aziende come Palantir che hanno realizzato sistemi avanzati di previsione del crimine in grado di contraddire la legge.
IlRegno Unito ha già sperimentato molto con la sorveglianza alimentata dall’IA. Anche se il Regno Unito non fa parte dell’Unione Europea, molte aziende di IA con sede in questo paese dovranno quasi certamente rispettare la legge.
L’incertezza è alle porte
La risposta alla legge è stata contrastante. Numerose aziende del settore tecnologico dell’UE hanno espresso preoccupazione per il suo impatto sull’innovazione e sulla concorrenza.
A giugno, oltre 150 dirigenti di importanti aziende come Renault, Heineken, Airbus e Siemens si sono uniti in una lettera aperta per esprimere le loro preoccupazioni sull’impatto del regolamento sulle imprese.
Jeannette zu Fürstenberg, una delle firmatarie e socia fondatrice del fondo di venture capital La Famiglia VC con sede a Berlino, ha dichiarato che l’AI Act potrebbe avere “implicazioni catastrofiche per la competitività europea”
France Digitale, che rappresenta le startup tecnologiche in Europa, ha criticato le regole e le definizioni della legge, affermando: “Abbiamo chiesto di non regolamentare la tecnologia in quanto tale, ma di regolamentare gli usi della tecnologia. La soluzione adottata oggi dall’Europa equivale a regolamentare la matematica, il che non ha molto senso”
Tuttavia, i sostenitori sostengono che la legge presenta anche opportunità di innovazione nello sviluppo responsabile dell’IA. La posizione dell’UE è chiara: proteggere le persone dall’IA, e ne seguirà un’industria più completa ed etica.
Regnier ha dichiarato a Euro News: “Si sente dire ovunque che ciò che l’UE fa è puramente normativo (…) e che questo bloccherà l’innovazione. Questo non è corretto”
“La legislazione non ha lo scopo di impedire alle aziende di lanciare i loro sistemi, ma è l’opposto. Vogliamo che operino nell’UE ma vogliamo proteggere i nostri cittadini e le nostre imprese”
Sebbene lo scetticismo incomba, c’è motivo di ottimismo. Ladefinizione di limiti per il riconoscimento facciale, il social scoring e l’analisi comportamentale da parte dell’IA è pensata per proteggere le libertà civili dei cittadini dell’UE, che da tempo hanno la precedenza sulla tecnologia nelle normative europee.
A livello internazionale, la legge può aiutare a costruire la fiducia del pubblico nelle tecnologie dell’IA, a placare i timori e a stabilire standard più chiari per lo sviluppo e l’utilizzo dell’IA.
La costruzione di una fiducia a lungo termine nell’IA è fondamentale per far progredire l’industria, quindi la legge potrebbe avere dei risvolti commerciali, anche se ci vorrà pazienza per vederla realizzata.
