L’AI Act, il regolamento europeo che affronta in modo specifico i rischi dell’IA e fornisce a sviluppatori e utilizzatori indicazioni sull’adozione di questa tecnologia, ha identificato alcune categorie di sistemi di IA considerati particolarmente pericolosi e che, a partire dal prossimo 2 febbraio 2025, saranno espressamente vietati.
Inoltre la pratica consistente nell’immissione in commercio o uso di tali sistemi di IA vietati sarà assistita, a partire dal 2 agosto 2025, dalla possibilità per le autorità nazionali dei Paesi dell’Ue di imporre multe fino a 35 milioni di euro o al 7% del fatturato mondiale del gruppo (a seconda di quale sia il valore più alto) ai sensi dell’articolo 99(3) dell’AI Act.
Cos’è un sistema di Intelligenza Artificiale? - Un sistema di Intelligenza Artificiale è, ai sensi dell’articolo 3 dell’AI Act, “un sistema automatizzato, progettato per funzionare con livelli di autonomia variabili, che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.
Quali sono i sistemi di Intelligenza Artificiale vietati? - I divieti, stabiliti nell’articolo 5 dell’AI Act, riguardano gli usi dei sistemi di IA che comportano rischi considerati inaccettabili per la salute e la sicurezza o per i diritti fondamentali. È vietata l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA che:
- distorcano materialmente il comportamento di una persona o di un gruppo di persone utilizzando tecniche subliminali manipolative, inducendole a prendere una decisione che non avrebbero altrimenti preso, in un modo che provochi o possa ragionevolmente provocare un danno significativo;
- distorcano materialmente il comportamento di una persona o di un gruppo di persone, sfruttandone le vulnerabilità, quali ad esempio età, disabilità o situazione socioeconomica, in un modo che provochi o possa ragionevolmente provocare un danno significativo;
- determinino trattamenti pregiudizievoli o sfavorevoli ingiustificati o sproporzionati provocati da sistemi di social scoring fondati sulla valutazioneo classificazione di persone o gruppi di persone sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note, inferite o previste;
- valutino il rischio che una persona commetta un reato, unicamente sulla base della sua profilazione o della valutazione dei tratti e delle caratteristiche della sua personalità; tale divieto non si applica ai sistemi di IA utilizzati a sostegno della valutazione umana delcoinvolgimento di una persona in un’attività criminosa, che si basa già su fatti oggettivi e verificabili direttamente connessi a un’attività criminosa;
- consentano di creare o ampliare le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso;
- inferiscano le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione, tranne laddove l’uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza;
- inferiscano razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale, classificando individualmente le persone fisiche sulla base dei loro dati biometrici; rimane possibile classificare set di dati biometrici acquisiti legalmente oppure utilizzati nel settore delle attività di contrasto (ordine e sicurezza nazionale);
- consentano l’identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a meno che non siano finalizzati alla ricerca di vittime di rapimento, tratta, sfruttamento sessuale e persone scomparse, prevenzione di minacce imminenti alla vita, all’incolumità fisica o relative ad attacchi terroristici oppure all’identificazione di sospetti in indagini penali per reati gravi punibili con almeno quattro anni di reclusione.
Come prepararsi per non incorrere in sanzioni? - Le aziende devono analizzare quali sistemi e modelli di IA stanno già utilizzando e/o prevedono di utilizzare nel prossimo futuro, valutare il relativo rischio e sviluppare strategie di risposta nel caso emergano aree di potenziale non conformità.
In questa fase è importante non limitarsi all’individuazione ed eliminazione degli strumenti di Intelligenza Artificiale vietata, quanto piuttosto prendere in esame tutti gli obblighi previsti dall’AI Act - a titolo esemplificativo i requisiti di trasparenza, i sistemi di gestione del rischio e le necessità di documentazione - per definire e adottare le misure necessarie.
Per le imprese, in molti casi, questo significa definire e implementare nuovi processi operativi, investire in tecnologia e sicurezza nonché in formazione per i dipendenti.
Fonte: Il Sole 24 Ore - di Gianluigi Marino, Osborne Clarke
Altri articoli
Scopri altre novità sulla protezione dati e GDPR.
22 Gennaio 2025
Corte di Giustizia UE: sia il Garante Privacy che il giudice devono disapplicare il CCNL se in violazione del Gdpr
Anche il contratto collettivo di lavoro è una fonte della disciplina della privacy e deve garantire anche la trasparenza del trattamento e sul trasferimento dei dati personali