Il 13 giugno 2024 ha rappresentato una data importante nel campo dell’Intelligenza Artificiale. In votazione plenaria, è stata approvato dal Parlamento Europeo e dal Consiglio il Regolamento (UE) 2024/1689 che stabilisce regole armonizzate sull’AI. L’obiettivo è ridurre al minimo i rischi che derivano dai sistemi che si basano su questo tipo di tecnologia, regolamentando l’intero ciclo di vita dei diversi tipi di sistema di Intelligenza Artificiale. La vera sfida ora è l’attuazione. È fondamentale che le normative non soffochino l’evoluzione dell’AI e la sua capacità di fornire benefici significativi alla società. «Bisogna muoversi tutti in maniera armonizzata in un’unica direzione», dice Edoardo Carlo Raffiotta, componente del Comitato per la strategia nazionale sull’Intelligenza Artificiale, organismo composto da esperti di comprovata competenza ed esperienza, che ha lo scopo di analizzare l’impatto dell’Intelligenza Artificiale e mettere a punto il piano strategico italiano con l’obiettivo di guidare lo sviluppo di questa tecnologia in modo responsabile e inclusivo.
A che punto siamo?
«Le istituzioni europee stanno dando vita al board che avrà la funzione di gestire a livello centrale l’attuazione dell’AI Act. Saranno inoltre fondamentali, specialmente in questa prima fase, le linee guida e le best practice: sebbene l’AI Act sarà ufficialmente applicabile dal 2 di agosto, la maggior parte delle disposizioni saranno applicabili solo dopo determinati periodi di transizione, disseminati nell’arco di tre anni. Per questo motivo, l’AI Act prevede espressamente l’elaborazione, da parte delle imprese, di codici di condotta relativi all’applicazione volontaria di requisiti specifici ai sistemi di AI, al fine di costituire una base per l’adozione di standard armonizzati a livello comunitario. Non possiamo inoltre dimenticare il fatto che anche gli Stati membri sono delegati a istituire le loro autorità nazionali, di vigilanza e notificazione».
Cosa sta facendo l’Italia in tal senso?
«Il Paese ha avviato un disegno di legge che istituisce due autorità: l’ACN (Agenzia per la cybersicurezza nazionale) e l’AGID (Agenzia per l’Italia Digitale). A loro spetterà un ruolo molto importante perché dovranno coordinarsi con le altre autorità e lavorare sulle normative nazionali che applicheranno quelle europee, come è stato già fatto per la privacy. La sfida sarà quella di muoversi tutti in maniera armonizzata in un’unica direzione».
Adesso facciamo un breve passo indietro. Quali impatti ha avuto e sta avendo l’AI Act sui diritti?
«Innanzitutto, è bene chiarire che l’utilizzo dell’Intelligenza Artificiale ha un’impatto sui diritti degli utenti in quanto acquisisce ed elabora i dati che vengono immessi – spesso dati personali. In parole semplici, quindi, vengono acquisite informazioni tramite l’input degli utenti; successivamente, i sistemi che elaborano questi dati generano degli output che possono avere effetti negativi sulle persone (quali la profilazione degli utenti)».
Un esempio?
«La selezione di un candidato fatta attraverso un sistema di Intelligenza Artificiale può determinare una discriminazione o, semplicemente, un’applicazione non legittima delle regole preposte a quella determinata selezione. La legittimità del sistema è indispensabile affinché si evitino dei danni o delle compressioni di diritti. È in questa direzione che interviene l’AI Act».
Ci sono ambiti in cui è vietato l’uso dell’AI?
«Sì, alcuni sistemi di Intelligenza Artificiale sono espressamente vietati, non si possono utilizzare i sistemi di Intelligenza Artificiale che comportino un rischio inaccettabile per le persone, come ad esempio, sistemi di c.d. social scoring, o ancora sistemi di sorveglianza di aree pubbliche in tempo reale basati su modelli di riconoscimento biometrico. In generale, l’AI Act adotta in approccio basato sul livello di rischio: sono previsti vari livelli di rischio a seconda dell’impatto, più o meno negativo, che questa tecnologia può avere sui diritti».
Quanti sono i livelli di rischio?
«Tre. Si distinguono i sistemi di Intelligenza Artificiale vietati, quelli ad alto rischio, e quelli per scopi generali – i quali a loro volta possono avere o meno un rischio sistemico. Ad esempio, i sistemi di Intelligenza Artificiale relativi all’ambito sanitario sono classificati come “ad alto rischio” (sono infatti annoverati, nell’elenco fornito dall’Allegato III dell’AI Act, fra i servizi essenziali pubblici e privati proprio perché trattano una serie di dati molto sensibili il cui utilizzo da parte dei sistemi di AI potrebbe generare una elevata compressione dei diritti)».
L’AI Act potrà essere aggiornato?
«Sì. La Commissione, in modo agevole, ha dato la possibilità di adeguarsi rapidamente alle trasformazioni tecnologiche, soprattutto nell’ambito della sanità, per la sensibilità delle informazioni e dei dati raccolti, nonché per gli impatti che l’utilizzo delle nuove tecnologie possono avere sulla salute e sulle nostre vite».
Quali possibili conseguenze e rischi per le imprese del settore sanitario?
«Le imprese hanno l’onere di conformarsi a queste regole: hanno un obbligo di compliance che è direttamente previsto dall’AI Act. Come anzidetto, qualsiasi azienda che opera in ambito sanitario e utilizza sistemi di AI, è classificata come ad alto rischio. Queste imprese devono avere un sistema di governance preventivo, previsto dall’AI Act, per valutare innanzitutto il ciclo di elaborazione dei dati di produzione dell’output, verificare la qualità dei dati di input e gestire e governare l’elaborazione di questi dati, sempre con la supervisione e il controllo umano (c.d. human oversight). Devono, altresì, assicurare la trasparenza, che costituisce uno dei pilastri per assicurare agli utenti la consapevolezza di stare interagendo con sistemi di IA e non con un essere umano».
In che modo?
«Facendo capire in modo chiaro come si è giunti ad un determinato esito, oppure esplicitando che il sistema raccoglie ed elabora informazioni sensibili e dati personali».
Il passo successivo?
«Si deve poi fare una valutazione di impatto sull’output e verificare che non ci sia una lesione dei diritti dovuta all’utilizzo dell’AI se il servizio è classificato come pubblico (anche se offerto da privati). I sistemi digitali utilizzati dalle aziende devono essere sicuri e conformi alle normative vigenti, e avere sempre come principale obiettivo la salvaguardia dei diritti delle persone».
Una delle questioni chiave riguarda la privacy: con l’aumento dell’utilizzo dell’AI, è fondamentale garantire che i dati personali siano trattati in modo sicuro e conforme alle leggi sulla privacy. L’Intelligenza Artificiale generativa (GAI) è strumento potentissimo che permette di creare testi, immagini, video a partire da un semplice comando. Come muoversi?
«I sistemi che oggi utilizziamo e che sempre più utilizzeremo sono i c.d. sistemi di Intelligenza Artificiale di tipo verticale. Mi riferisco a quella utilizzata nella diagnostica o negli interventi specialistici, dove ormai i robot hanno un ruolo determinante in molte strutture sanitarie, in particolare all’estero, ma anche nel nostro Paese. In Italia, l’Intelligenza Artificiale che sempre più sfrutteremo e che si distingue per precisione e affidabilità superiori a quella umana, non è l’Intelligenza Artificiale generativa, ma sono i sistemi verticali, per i quali bisogna applicare tutto il sistema di garanzia predisposto dell’AI Act».
Il tanto atteso AI Act è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea. La sua piena applicazione sarà dal 2 agosto 2026. Il primo aspetto saliente è che, decorso un semestre dall’entrata in vigore del Regolamento (2 febbraio 2025), inizieranno ad essere sanzionabili i divieti con riguardo a quei sistemi per i quali il rischio per i diritti delle persone è stato considerato inaccettabile dal legislatore.