L’AI Act, il regolamento europeo che affronta in modo specifico i rischi dell’IA e fornisce a sviluppatori e utilizzatori indicazioni sull’adozione di questa tecnologia, ha identificato alcune categorie di sistemi di IA considerati particolarmente pericolosi e che, a partire dal prossimo 2 febbraio 2025, saranno espressamente vietati.

Inoltre la pratica consistente nell’immissione in commercio o uso di tali sistemi di IA vietati sarà assistita, a partire dal 2 agosto 2025, dalla possibilità per le autorità nazionali dei Paesi dell’Ue di imporre multe fino a 35 milioni di euro o al 7% del fatturato mondiale del gruppo (a seconda di quale sia il valore più alto) ai sensi dell’articolo 99(3) dell’AI Act.

Cos’è un sistema di Intelligenza Artificiale? - Un sistema di Intelligenza Artificiale è, ai sensi dell’articolo 3 dell’AI Act, “un sistema automatizzato, progettato per funzionare con livelli di autonomia variabili, che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.

Quali sono i sistemi di Intelligenza Artificiale vietati? - I divieti, stabiliti nell’articolo 5 dell’AI Act, riguardano gli usi dei sistemi di IA che comportano rischi considerati inaccettabili per la salute e la sicurezza o per i diritti fondamentali. È vietata l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA che:

- distorcano materialmente il comportamento di una persona o di un gruppo di persone utilizzando tecniche subliminali manipolative, inducendole a prendere una decisione che non avrebbero altrimenti preso, in un modo che provochi o possa ragionevolmente provocare un danno significativo;

- distorcano materialmente il comportamento di una persona o di un gruppo di persone, sfruttandone le vulnerabilità, quali ad esempio età, disabilità o situazione socioeconomica, in un modo che provochi o possa ragionevolmente provocare un danno significativo;

- determinino trattamenti pregiudizievoli o sfavorevoli ingiustificati o sproporzionati provocati da sistemi di social scoring fondati sulla valutazioneo classificazione di persone o gruppi di persone sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note, inferite o previste;

- valutino il rischio che una persona commetta un reato, unicamente sulla base della sua profilazione o della valutazione dei tratti e delle caratteristiche della sua personalità; tale divieto non si applica ai sistemi di IA utilizzati a sostegno della valutazione umana delcoinvolgimento di una persona in un’attività criminosa, che si basa già su fatti oggettivi e verificabili direttamente connessi a un’attività criminosa;

- consentano di creare o ampliare le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso;

- inferiscano le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione, tranne laddove l’uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza;

- inferiscano razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale, classificando individualmente le persone fisiche sulla base dei loro dati biometrici; rimane possibile classificare set di dati biometrici acquisiti legalmente oppure utilizzati nel settore delle attività di contrasto (ordine e sicurezza nazionale);

- consentano l’identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a meno che non siano finalizzati alla ricerca di vittime di rapimento, tratta, sfruttamento sessuale e persone scomparse, prevenzione di minacce imminenti alla vita, all’incolumità fisica o relative ad attacchi terroristici oppure all’identificazione di sospetti in indagini penali per reati gravi punibili con almeno quattro anni di reclusione.

Come prepararsi per non incorrere in sanzioni? - Le aziende devono analizzare quali sistemi e modelli di IA stanno già utilizzando e/o prevedono di utilizzare nel prossimo futuro, valutare il relativo rischio e sviluppare strategie di risposta nel caso emergano aree di potenziale non conformità.

In questa fase è importante non limitarsi all’individuazione ed eliminazione degli strumenti di Intelligenza Artificiale vietata, quanto piuttosto prendere in esame tutti gli obblighi previsti dall’AI Act - a titolo esemplificativo i requisiti di trasparenza, i sistemi di gestione del rischio e le necessità di documentazione - per definire e adottare le misure necessarie.

Per le imprese, in molti casi, questo significa definire e implementare nuovi processi operativi, investire in tecnologia e sicurezza nonché in formazione per i dipendenti.

Fonte: Il Sole 24 Ore - di Gianluigi Marino, Osborne Clarke

Altri articoli

Scopri altre novità sulla protezione dati e GDPR.

Figli, “La sua privacy vale più di un like”: il nuovo spot del Garante privacy

La campagna di comunicazione è rivolta ai genitori che pubblicano online le foto dei propri figli

Corte di Giustizia UE: sia il Garante Privacy che il giudice devono disapplicare il CCNL se in violazione del Gdpr

Anche il contratto collettivo di lavoro è una fonte della disciplina della privacy e deve garantire anche la trasparenza del trattamento e sul trasferimento dei dati personali

Il Vaticano vieta utilizzi dell'intelligenza artificiale che creino diseguaglianze

Anche il Vaticano definisce le linee guida per lo sviluppo etico dell'AI seguendo l'esempio dell'Unione Europea