L’approccio basato sul rischio dell’AI Act e principali aspetti tecnico-normativi

L’approvazione del Regolamento sull’Intelligenza Artificiale (AI Act) rappresenta un momento cruciale nell’evoluzione del quadro normativo europeo relativo alle nuove tecnologie. Questo provvedimento si pone come pietra miliare nella regolamentazione di un settore in costante e rapida evoluzione, delineando un equilibrio tra la promozione dell’innovazione tecnologica e la tutela dei diritti fondamentali degli individui. Il Parlamento Europeo, con questo regolamento, mira a stabilire principi chiari per lo sviluppo, l’implementazione e l’uso dell’intelligenza artificiale, garantendo che tali tecnologie siano utilizzate in modo etico, trasparente e responsabile.

Come si intende il concetto di rischio nell’AI Act?

Uno degli aspetti più significativi dell’AI Act è l’approccio basato sul rischio che permette di applicare un quadro normativo flessibile, capace di adattarsi alle specificità di ogni singola applicazione AI, garantendo al contempo che le tecnologie più intrusive o potenzialmente pericolose per i diritti e le libertà fondamentali siano soggette a controlli più rigorosi (se ne era parlato anche in questo articolo precedente).

Il concetto di “rischio” nel contesto dell’AI Act è inteso come la probabilità e la gravità dell’impatto negativo che un’applicazione AI potrebbe avere sui diritti individuali o sulla società.

Categorizzazione dei sistemi di IA in base al livello di rischio

Il provvedimento si concentra significativamente sulla categorizzazione dei sistemi di IA in base al livello di rischio che presentano, con un’attenzione particolare ai sistemi considerati ad alto rischio. In particolare l’AI Act stabilisce le regole per la classificazione dei sistemi di IA come ad alto rischio. Questi sistemi sono definiti ad alto rischio se soddisfano specifiche condizioni legate sia alla loro destinazione d’uso, che alla necessità di una valutazione della conformità da parte di terzi. Inoltre, il provvedimento elenca condizioni aggiuntive e criteri che determinano quando un sistema di IA è considerato ad alto rischio, includendo i sistemi elencati nell’Allegato III​​.

In aggiunta, il regolamento introduce la nozione di modelli di IA per finalità generali con rischio sistemico, che fornisce una base per classificare determinati modelli di IA come tali, se soddisfano specifici requisiti o presentano un impatto elevato valutato mediante strumenti tecnici adeguati. Questo include, per esempio, la considerazione dell’importo cumulativo del calcolo utilizzato per l’addestramento del modello, superiore a un certo limite di FLOP (da intendersi come qualsiasi operazione o assegnazione matematica che comporta numeri in virgola mobile, un sottoinsieme dei numeri reali generalmente rappresentati sui computer mediante un numero intero con precisione fissa avente come fattore di scala un esponente intero di una base fissa), come indicatore di un potenziale rischio sistemico​​.

Naturalmente, la focalizzazione sui sistemi ad alto rischio evidenzia una chiara intenzione di regolamentare principalmente quelle applicazioni di IA che presentano i rischi più significativi per la salute, la sicurezza, e i diritti fondamentali delle persone, seguendo un approccio basato sul rischio per mitigare tali potenziali pericoli.

Documentazione tecnica e trasparenza

Inoltre, il regolamento pone un forte accento sulla trasparenza e sulla responsabilità. Le applicazioni AI dovranno essere progettate in modo da essere comprensibili per gli utenti, garantendo che questi ultimi siano sempre informati quando interagiscono con sistemi AI e possano comprendere le basi delle decisioni prese da tali sistemi. Questo è cruciale per costruire la fiducia del pubblico nelle tecnologie AI e per garantire che i cittadini mantengano il controllo sulle macchine, piuttosto che il contrario.

In particolare la trasparenza e la tracciabilità, si rivelano aspetti critici, soprattutto per le applicazioni di intelligenza artificiale considerate ad alto rischio. Gli sviluppatori sono tenuti a documentare in modo esaustivo le metodologie di design e i processi decisionali dei loro sistemi, garantendo così che le decisioni prese da algoritmi AI possano essere spiegate e comprese dagli utenti finali. Questo non solo aumenta la fiducia nel sistema ma fornisce anche una base solida per eventuali verifiche o interventi normativi.

Il provvedimento richiede nello specifico proprio il requisito della documentazione tecnica per i sistemi di IA ad alto rischio. Questo requisito sottolinea la grande rilevanza della trasparenza e della comprensione profonda delle caratteristiche tecniche e operative dei sistemi di IA, non solo per gli sviluppatori e i fornitori ma anche per le autorità di regolamentazione e, in una certa misura, per il pubblico.

La documentazione tecnica rappresenta un adempimento necessario per garantire che i sistemi di IA siano sviluppati, implementati e mantenuti secondo standard elevati di sicurezza, affidabilità e eticità. Questo requisito impone ai fornitori di sistemi di IA ad alto rischio di compilare e mantenere aggiornata una documentazione dettagliata che illustri come il sistema soddisfi i requisiti normativi specifici, includendo informazioni sull’architettura del sistema, i processi decisionali, le modalità di interazione con utenti e altri sistemi, e le misure adottate per garantire la sicurezza e la protezione dei dati.

Inoltre, questa documentazione deve essere resa disponibile in modo chiaro e comprensibile alle autorità competenti, facilitando così le attività di vigilanza e di valutazione della conformità. Tale enfasi sulla documentazione tecnica riflette un riconoscimento del fatto che la complessità e l’autonomia crescenti dei sistemi di IA richiedono una maggiore trasparenza operativa per identificare, valutare e mitigare i rischi associati al loro impiego.

Protezione dati e Valutazione d’impatto sui diritti fondamentali

Un altro pilastro fondamentale dell’AI Act è la protezione dei dati e la privacy. Il regolamento si integra perfettamente con il GDPR, rafforzando i diritti degli individui nel contesto dell’uso dell’AI. Questo include disposizioni specifiche per il trattamento dei dati biometrici, la sorveglianza automatizzata e la profilazione, aree in cui il rischio di abusi o di impatti negativi sulla privacy è particolarmente elevato. Gli sviluppatori di AI sono incoraggiati a implementare meccanismi di protezione dei dati per tutta la vita del sistema, dall’acquisizione alla distruzione, assicurando che i dati personali siano trattati in modo sicuro e rispettoso della privacy degli individui.

Inoltre, l’AI Act introduce obblighi stringenti per i fornitori di sistemi AI ad alto rischio, inclusa la necessità di condurre valutazioni approfondite dell’impatto, di implementare misure di mitigazione dei rischi e di stabilire procedure chiare per il monitoraggio dell’efficacia di tali misure nel tempo. Questo aspetto è fondamentale per garantire che i sistemi AI non solo siano sicuri al momento del loro lancio sul mercato, ma rimangano tali nel corso della loro operatività.

Di particolare interesse è la valutazione d’impatto sui diritti fondamentali intesa come un processo chiave per garantire che l’uso dei sistemi di IA ad alto rischio sia conforme ai valori e ai diritti fondamentali tutelati nell’Unione Europea. Questa valutazione è specificamente richiesta prima dell’uso di sistemi di IA ad alto rischio da parte di enti pubblici o privati che forniscono servizi pubblici, nonché in altri contesti specificati.

L’obiettivo principale della valutazione è permettere ai deployer (coloro che implementano o utilizzano i sistemi di IA) di identificare i rischi potenziali che l’uso di tali sistemi può comportare per i diritti delle persone o dei gruppi. Questo include l’analisi di come il sistema di IA sarà utilizzato nei processi del deployer, la durata e la frequenza d’uso del sistema, e le categorie specifiche di persone o gruppi che potrebbero essere influenzati. Importante è anche l’identificazione dei rischi specifici di danno che possono incidere sulle categorie di persone o sui gruppi individuati, tenendo conto delle informazioni fornite dal fornitore del sistema di IA ad alto rischio.

La valutazione d’impatto deve includere:

• La descrizione dei processi nei quali il sistema di IA ad alto rischio sarà utilizzato, in linea con la sua finalità prevista.
• Informazioni sul periodo di tempo e sulla frequenza con cui il sistema sarà utilizzato.
• Le categorie di persone fisiche e gruppi che potrebbero essere influenzati dall’uso del sistema nel contesto specifico.
• I rischi specifici di danno che possono incidere su tali categorie di persone o gruppi, basandosi anche sulle informazioni fornite dal fornitore.
• Una descrizione dell’attuazione delle misure di sorveglianza umana, secondo le istruzioni per l’uso.
• Le misure che saranno adottate nel caso in cui tali rischi si concretizzino, inclusi i meccanismi di governance interna e i processi di reclamo.

In aggiunta, la valutazione deve essere aggiornata ogni volta che i deployer ritengono che uno qualsiasi dei fattori rilevanti sia cambiato, assicurando così che le valutazioni rimangano attuali e pertinenti nel tempo. Dopo aver completato la valutazione d’impatto, i deployer sono tenuti a notificare i loro risultati all’autorità di vigilanza del mercato competente, fornendo un modello compilato per dimostrare la conformità e ridurre gli oneri amministrativi.

Aspetti tecnici ed etici dell’AI Act

I fornitori sono tenuti, inoltre, ad istituire sistemi di gestione della qualità che coprano l’intero ciclo di vita del prodotto, dalla progettazione allo sviluppo fino alla messa in servizio. Questo include la conservazione dei documenti e la capacità di dimostrare la conformità ai requisiti di sicurezza e affidabilità stabiliti dal regolamento.

Da un punto di vista tecnico, l’AI Act si distingue per il suo tentativo di definire standard tecnici e criteri di valutazione che siano al contempo rigorosi e adattabili alle peculiarità di ogni settore. Questo si riflette nell’approccio modulare adottato per la certificazione dei sistemi AI, che consente di bilanciare la necessità di standardizzazione con quella di flessibilità, fondamentale in un campo caratterizzato da un’innovazione così rapida.

Il provvedimento comunitario sottolinea anche l’importanza della resilienza dei sistemi AI. È essenziale che questi sistemi siano progettati per resistere a tentativi di manipolazione o attacchi informatici, mantenendo al contempo la capacità di funzionare correttamente in scenari di utilizzo previsti. Questo richiede un approccio particolarmente attento alla sicurezza, che includa valutazioni di rischio periodiche, test di penetrazione e revisioni di sicurezza continue.

In termini di governance, il regolamento introduce requisiti per la revisione etica delle applicazioni AI, incoraggiando le organizzazioni a valutare l’impatto dei loro sistemi sulle società e sugli individui. Questo si traduce nella necessità di una riflessione profonda sulle implicazioni etiche dell’uso dell’AI, stimolando un dialogo tra sviluppatori, stakeholder e regolatori per identificare e mitigare potenziali rischi.

L’AI Act rappresenta, quindi, un passo importante verso la creazione di un ecosistema digitale europeo basato su valori di fiducia, sicurezza e rispetto dei diritti umani. Attraverso questo regolamento, l’Unione Europea si posiziona come leader globale nella regolamentazione dell’intelligenza artificiale, offrendo un modello che potrebbe ispirare futuri interventi normativi a livello internazionale. La sfida ora sarà garantire una sua implementazione efficace, in grado di tenere il passo con l’evoluzione tecnologica e di rispondere alle aspettative dei cittadini europei.