Il Regolamento sull’IA dell’UE inizia a prendere effetto: Cosa sapere e come prepararsi
Il Regolamento sull’IA dell’Unione Europea è entrato in vigore il 2 febbraio 2025, con l’attuazione dei Capitoli I e II. Le due disposizioni chiave che sono diventate operative riguardano le pratiche di IA proibite e la alfabetizzazione sull’IA. Questo articolo esplora le implicazioni per i fornitori (sviluppatori) e i deployer (utenti, ad eccezione delle attività personali e non professionali) dei sistemi di IA e suggerisce i passi da compiere ora per colmare il divario di conformità.
È importante notare che il cosiddetto “effetto Bruxelles” si applica al Regolamento, il che significa che le aziende non UE che implementano sistemi nell’UE, servono utenti con sede nell’UE o utilizzano gli output dell’IA all’interno dell’UE rientreranno comunque nel suo ambito di applicazione.
Pratiche di IA proibite ai sensi del Regolamento sull’IA dell’UE
L’Articolo 5 del Regolamento elenca le pratiche di IA considerate inaccettabili a causa dei loro potenziali rischi per i valori e i diritti fondamentali dell’UE. Queste dovrebbero essere lette insieme alle recenti linee guida pubblicate dalla Commissione Europea. Anche se non sono legalmente vincolanti, le linee guida — che attendono un’adozione formale — informeranno probabilmente l’interpretazione da parte dei regolatori e dei tribunali dell’Articolo 5.
La legislazione vieta la messa in commercio (fornendola in un contesto commerciale, anche se gratuita, per la prima distribuzione o primo utilizzo nell’UE), la messa in servizio (per il primo utilizzo da parte del fornitore stesso o da parte di un deployer per il suo scopo previsto) e l’uso di sistemi di IA in determinati contesti.
Esempi di pratiche vietate
Manipolazione o inganno dannosi: Il Regolamento vieta ai sistemi di IA di impiegare tecniche subliminali, manipolative o ingannevoli che possano distorcere il comportamento umano compromettendo la capacità decisionale informata degli individui.
Esempio di pratica vietata: Utilizzare flash d’immagine rapidi alimentati dall’IA per influenzare le decisioni di acquisto.
Sfruttamento degli individui: È vietato se distorce il comportamento delle persone in modo potenzialmente dannoso.
Esempio di pratica vietata: Utilizzare un sistema di IA che mira a persone anziane con trattamenti medici non necessari.
Scoring sociale: È vietato classificare o valutare le persone in base al loro comportamento sociale se questo comporta un trattamento iniquo.
Esempio di pratica vietata: Un’agenzia di welfare che utilizza l’IA per stimare la probabilità di frode ai benefici in modo iniquo.
Polizia predittiva: Il Regolamento vieta di prevedere il rischio che qualcuno commetta un crimine basandosi solo sul profilo o sui tratti della personalità.
Esempio di pratica vietata: Utilizzare un sistema di IA per prevedere reati fiscali basandosi su profili individuali.
Scraping di immagini facciali: È vietato utilizzare IA per creare o ampliare un database di riconoscimento facciale attraverso lo scraping non mirato di immagini facciali.
Esempio di pratica vietata: Utilizzare l’IA per estrarre caratteristiche facciali da foto di individui sui social media.
Riconoscimento delle emozioni: È vietato identificare o inferire le emozioni di una persona in un contesto professionale o educativo.
Esempio di pratica vietata: Un sistema di IA in un call center che rileva la rabbia nella voce di un dipendente.
Categorizzazione biometrica: Non è permesso categorizzare gli individui basandosi su dati biometrici per inferire informazioni sensibili.
Esempio di pratica vietata: Utilizzare un sistema di IA per analizzare foto sui social media al fine di inferire le credenze politiche di una persona.
In sintesi, le pratiche vietate dal Regolamento sono finalizzate a garantire la protezione dei diritti fondamentali e a garantire che l’IA venga utilizzata in modo etico e responsabile.
Comprendere i requisiti di alfabetizzazione sull’IA nel Regolamento
L’Articolo 4 del Regolamento richiede ai fornitori e ai deployer di adottare misure per garantire che il loro personale abbia un livello sufficiente di alfabetizzazione sull’IA. Questo requisito si applica a tutti i sistemi di IA e non solo a quelli considerati “ad alto rischio”.
Il concetto di alfabetizzazione sull’IA rimane nebuloso e le aziende possono trovare difficile stabilire cosa costituisca un livello oggettivamente sufficiente di alfabetizzazione. Le aspettative per l’alfabetizzazione sull’IA potrebbero essere ostacolate dalla mancanza di chiarezza fino a quando non verranno pubblicate le linee guida dalla Commissione Europea.
Applicazione e passi pratici
Il Regolamento non menziona sanzioni per la non conformità, ma la segnalazione falsa sull’alfabetizzazione sull’IA potrebbe comportare una multa fino a 7,5 milioni di euro o l’1% del fatturato annuale, a seconda di quale sia maggiore.
Le pratiche di IA vietate comporteranno le sanzioni più elevate: fino a 35 milioni di euro o il 7% del fatturato globale annuale.
Le organizzazioni dovrebbero utilizzare il periodo fino al 2 agosto 2025 per garantire la conformità agli Articoli 4 e 5. Alcuni passi pratici includono:
- Creare un inventario di tutti i sistemi di IA all’interno dell’azienda e valutare i rischi.
- Creare risorse di alfabetizzazione sull’IA come programmi di formazione e politiche sull’uso responsabile dell’IA.
- Sviluppare programmi di formazione personalizzati per il personale.
- Stabilire politiche di governance dell’IA per regolare lo sviluppo e il deployment dei sistemi di IA.
- Contrattualizzare requisiti legali critici da parte dei fornitori di sistemi di IA.
- Garantire trasparenza e responsabilità documentando l’uso e le decisioni relative ai sistemi di IA.
Le aziende che iniziano ora a investire nella conformità al Regolamento sull’IA dell’UE saranno ben posizionate per affrontare il panorama internazionale emergente della regolamentazione dell’IA.
