Aggiornamenti sulla Legge sull’Intelligenza Artificiale del Colorado (CAIA): Un Riassunto delle Protezioni per i Consumatori quando Interagiscono con i Sistemi di Intelligenza Artificiale
Durante la sessione legislativa del 2024, l’Assemblea Generale del Colorado ha approvato il disegno di legge del Senato 24-205, noto come Legge sull’Intelligenza Artificiale del Colorado (CAIA). Questa legge entrerà in vigore il 1 febbraio 2026 e richiede ai sviluppatori e ai distributori di sistemi di intelligenza artificiale ad alto rischio di proteggere i residenti del Colorado (“consumatori”) dai rischi di discriminazione algoritmica. È importante notare che la legge richiede anche che gli sviluppatori o i distributori informino i consumatori che stanno interagendo con un sistema di intelligenza artificiale.
Il Governatore del Colorado, Jared Polis, ha espresso preoccupazioni nel 2024 e si aspettava che i legislatori avrebbero affinato definizioni chiave e aggiornato la struttura di conformità prima della data di entrata in vigore nel febbraio 2026.
Contesto
Un sistema di intelligenza artificiale “ad alto rischio” è definito come qualsiasi sistema basato su macchine che inferisce output da input di dati e ha un effetto legale materiale o simile sulla fornitura, negazione, costo o condizioni di un prodotto o servizio. La legge identifica vari settori che coinvolgono decisioni significative, come quelle relative a sanità, occupazione, finanziamenti, alloggi, assicurazioni o servizi legali.
Inoltre, la CAIA prevede numerose eccezioni per le tecnologie che eseguono compiti ristretti o determinate funzioni, come la cybersecurity, lo storage dei dati e i chatbot.
Al di fuori degli scenari di utilizzo, la CAIA impone agli sviluppatori di sistemi di intelligenza artificiale il dovere di prevenire la discriminazione algoritmica e di proteggere i consumatori da rischi noti o prevedibili derivanti dall’uso del sistema di intelligenza artificiale. Un sviluppatore è colui che sviluppa o modifica un sistema di intelligenza artificiale utilizzato nello stato del Colorado. Tra le altre cose, uno sviluppatore deve rendere disponibile la documentazione per gli usi previsti e gli usi potenzialmente dannosi del sistema di intelligenza artificiale ad alto rischio.
Regolamentazione dei Distributori
La CAIA regola anche chi conduce affari in Colorado e distribuisce un sistema di intelligenza artificiale ad alto rischio per l’uso dei residenti del Colorado (il “distributore”). I distributori affrontano regolamenti più severi e devono informare i consumatori quando l’intelligenza artificiale è coinvolta in una decisione significativa. La legge richiede ai distributori di implementare una politica e un programma di gestione dei rischi per governare l’uso del sistema di intelligenza artificiale. Inoltre, i distributori devono segnalare qualsiasi discriminazione identificata all’Ufficio del Procuratore Generale entro 90 giorni e devono consentire ai consumatori di appellare le decisioni basate su AI o richiedere una revisione umana della decisione quando possibile.
Privacy dei Dati e Diritti dei Consumatori
I consumatori hanno il diritto di rinunciare al trattamento dei dati relativi alle decisioni basate su AI e possono appellare qualsiasi decisione basata su AI. Questa disposizione di opt-out potrebbe influenzare ulteriori decisioni automatizzate relative al residente del Colorado e al trattamento della profilazione dei dati personali di quel consumatore. Il distributore deve inoltre divulgare al consumatore quando è stato utilizzato un sistema di intelligenza artificiale ad alto rischio nel processo decisionale che ha portato a una decisione avversa per il consumatore.
Esenzioni
La CAIA contiene varie esenzioni, comprese quelle per entità che operano sotto altri regimi normativi (ad esempio, assicuratori, banche e entità coperte dalla HIPAA) o per l’uso di determinate tecnologie approvate (ad esempio, tecnologie approvate da un’agenzia federale, come la FAA o la FDA). Tuttavia, ci sono alcune limitazioni. Ad esempio, le entità coperte dalla HIPAA sono esentate nella misura in cui forniscono raccomandazioni sanitarie generate da un sistema di intelligenza artificiale che richiedono all’entità coperta dalla HIPAA di agire per implementare la raccomandazione e non sono considerate “ad alto rischio”. Le piccole imprese sono esentate nella misura in cui impiegano meno di 50 dipendenti a tempo pieno e non addestrano il sistema con i propri dati. Pertanto, i distributori dovrebbero analizzare attentamente le esenzioni disponibili per garantire che le loro attività rientrino nelle raccomandazioni.
Aggiornamenti
Come evidenziato nel recente Rapporto del Colorado AI Impact Task Force, il rapporto incoraggia ulteriori cambiamenti alla CAIA prima che venga applicata nel febbraio 2026. Le preoccupazioni attuali riguardano ambiguità, oneri di conformità e varie preoccupazioni degli stakeholder. Il Governatore è preoccupato se i guardrail inibiscano l’innovazione e il progresso dell’intelligenza artificiale nello Stato.
Il Colorado AI Impact Task Force nota che c’è consenso nel raffinamento dei requisiti di documentazione e notifica. Tuttavia, c’è meno consenso su come modificare la definizione di “decisioni significative”. Rielaborare le esenzioni alla definizione di sistemi coperti è anche un cambiamento desiderato sia dall’industria che dal pubblico.
Altri potenziali cambiamenti alla CAIA dipendono da come le sezioni interconnesse potrebbero essere potenzialmente revisionate in relazione ad altre disposizioni correlate. Ad esempio, modifiche alla definizione di “discriminazione algoritmica” dipendono da altre questioni relative agli obblighi degli sviluppatori e dei distributori di prevenire la discriminazione algoritmica e relativa applicazione. Allo stesso modo, gli intervalli per le valutazioni di impatto potrebbero essere notevolmente influenzati dalle modifiche alla definizione di “modifica intenzionale e sostanziale” ai sistemi di intelligenza artificiale ad alto rischio. Inoltre, quelle valutazioni di impatto sono interrelate con i programmi di gestione dei rischi dello sviluppatore e probabilmente implicano eventuali proposte di modifiche a entrambe le valutazioni di impatto o programmi di gestione dei rischi.
Infine, rimangono forti disaccordi su emendamenti relativi a diverse definizioni. “Fattore sostanziale” è una definizione dibattuta che richiederà un approccio creativo per definire l’ambito delle tecnologie AI soggette alla CAIA. Allo stesso modo, il “dovere di cura” è fortemente contestato per sviluppatori e distributori e se rimuovere quel concetto o sostituirlo con obblighi più rigorosi. Altri temi dibattuti che sono soggetti a cambiamento includono l’esenzione per le piccole imprese, l’opportunità di curare incidenti di non conformità, le esenzioni per segreti commerciali, il diritto dei consumatori di appellare e l’ambito della regolamentazione da parte del procuratore generale.
Indicazioni
Poiché la maggior parte degli stakeholder riconosce che sono necessari cambiamenti, qualsiasi azienda colpita dalla CAIA dovrebbe continuare a monitorare gli sviluppi nel processo legislativo per potenziali cambiamenti che potrebbero influenzare drasticamente l’ambito e i requisiti della Legge sull’Intelligenza Artificiale del Colorado.
Conclusioni
Le aziende dovrebbero valutare se esse o i loro fornitori utilizzano sistemi di intelligenza artificiale che potrebbero essere considerati ad alto rischio secondo la CAIA. Alcune raccomandazioni includono:
- Valutare l’uso dell’IA e considerare se tale uso rientra nella definizione della CAIA, comprese eventuali esenzioni disponibili.
- Condurre una valutazione del rischio dell’IA in conformità con la Legge sull’Intelligenza Artificiale del Colorado.
- Sviluppare un piano di conformità all’IA che sia coerente con le protezioni per i consumatori della CAIA riguardanti i processi di notifica e appello.
- Continuare a monitorare gli aggiornamenti alla CAIA.
- Valutare i contratti con i fornitori di IA per garantire che la documentazione necessaria venga fornita dallo sviluppatore o dal distributore.
Il Colorado ha preso l’iniziativa come uno dei primi stati nella nazione ad approvare leggi sull’IA di ampia portata. Altri stati probabilmente guarderanno ai progressi del Colorado e adotteranno legislazioni simili o apporteranno miglioramenti dove necessario. Pertanto, monitorare la CAIA e la sua attuazione è di grande importanza nel fiorente campo dei sistemi di intelligenza artificiale focalizzati sui consumatori che influenzano decisioni significative nella salute, nel benessere finanziario, nell’istruzione, nell’alloggio o nell’occupazione dei consumatori.
