Atto sull’IA dell’UE: Seguire le linee guida con cautela
L’Atto sull’IA dell’Europa è stato pubblicato nel giugno 2024. Tuttavia, ci vorranno anni prima che le linee guida interpretative dalla Corte di Giustizia dell’Unione Europea (CGUE) arrivino. Nel frattempo, la Commissione Europea è tenuta a pubblicare linee guida per aiutare sviluppatori, utilizzatori o chiunque altro sia interessato a questa legge. Anche se non sono legalmente vincolanti, queste linee guida dovrebbero essere considerate dagli Stati membri dell’UE quando applicano la legge e impongono sanzioni per violazioni da parte degli sviluppatori e utilizzatori di IA.
I primi cinque articoli dell’Atto sull’IA, che includono divieti, sono entrati in vigore il 2 febbraio 2025. È in questo contesto che dovremmo leggere le due linee guida pubblicate dalla Commissione Europea all’inizio di febbraio, ma successivamente alla data di applicazione delle parti pertinenti dell’Atto sull’IA. Le linee guida coprono la definizione di un sistema IA e i divieti previsti dall’Atto sull’IA. Entrambe le linee guida cercano di migliorare la chiarezza legale. Ma ci riescono?
Definizione di un sistema IA
Le linee guida sulla definizione eccellono in un aspetto: affermare una volta per tutte che i fogli di calcolo non sono sistemi IA. Oltre a questo, il documento alimenta più confusione che chiarezza.
Ci sono sette elementi principali nella definizione di un sistema IA: “(1) un sistema basato su macchina; (2) progettato per operare con vari livelli di autonomia; (3) che può mostrare adattabilità dopo il dispiegamento; (4) e che, per obiettivi espliciti o impliciti; (5) inferisce, dagli input ricevuti, come generare output (6) come previsioni, contenuti, raccomandazioni o decisioni (7) che possono influenzare l’ambiente fisico o virtuale”.
Non tutti questi componenti sono ugualmente importanti. Mentre “vari livelli di autonomia” sono necessari, l’adattabilità è opzionale. “Tutti i sistemi progettati per operare con un ragionevole grado di indipendenza delle azioni soddisfano la condizione di autonomia nella definizione di un sistema IA.” Le linee guida non chiariscono se “vari livelli” includano zero autonomia né la gerarchia di importanza dei sette elementi.
Tuttavia, il considerando 12 dell’Atto sull’IA afferma che la “capacità di inferire” è una caratteristica chiave dei sistemi IA. Questa capacità “trascende il semplice trattamento dei dati consentendo l’apprendimento, il ragionamento o la modellazione.” Contraddittoriamente, le linee guida escludono “l’ottimizzazione matematica” capace di inferenza perché “non trascendono il ‘trattamento di base dei dati’.”
Inoltre, “regressione lineare o logistica” è fornita come esempio di un metodo utilizzato per “l’ottimizzazione matematica,” di cui le linee guida affermano che è fuori portata. Tuttavia, le linee guida distinguono tra “ottimizzare il funzionamento dei sistemi” e “aggiustamenti dei loro modelli decisionali.” Solo il primo è fuori portata.
Divieti
Le linee guida sui divieti rappresentano un miglioramento sia in lunghezza che in qualità, sebbene marginale. Affermano giustamente che è necessaria un’analisi caso per caso per valutare se un sistema IA specifico è vietato. Tuttavia, queste linee guida non offrono esempi di tale valutazione, ma forniscono esempi che sono “meramente indicativi.”
L’Atto sull’IA comprende otto divieti:
- Manipolazione e inganno
- Sfruttamento delle vulnerabilità
- Scoring sociale
- Valutazione e previsione del rischio di reati individuali
- Raccolta non mirata per sviluppare database di riconoscimento facciale
- Riconoscimento delle emozioni in luoghi di lavoro e istituzioni educative
- Categorizzazione biometrica
- Identificazione biometrica remota in tempo reale (RBI)
Il divieto sulla RBI in tempo reale si applica ai dispiegatori. Tutti gli altri si applicano a fornitori, dispiegatori e operatori (che potrebbero assumere entrambi i ruoli). Questi divieti coprono l’‘uso’ di un sistema IA, che non è limitato all’uso previsto ma include anche gli abusi, indipendentemente dal fatto che siano ragionevolmente prevedibili.
Conclusione
Non dimentichiamo che, oltre all’Atto sull’IA, i sistemi IA possono essere vietati da altre leggi, come quelle contro la discriminazione e il GDPR (ad esempio, a causa della mancanza di una basi legali per il trattamento dei dati personali per l’addestramento dell’IA).
Le linee guida sui divieti, nonostante facciano riferimento ai vari diritti fondamentali a rischio e alla Carta dell’UE, non indicano il ruolo degli organismi per i diritti fondamentali, eccetto le autorità per la protezione dei dati, designate ai sensi dell’articolo 77. Questo è sorprendente poiché i divieti rientrano bene nella loro giurisdizione e la cui competenza sarà essenziale per le autorità di sorveglianza del mercato.
