E’ stato pubblicato oggi in Gazzetta Ufficiale Europea l’AI Act la nuova legge che regolamenta l’Intelligenza Artificiale e come deve essere sviluppata. Molti i paletti giuridici in maggior parte relativi alla gestione della Privacy e dei dati personali.
Estrapoliamo i punti salienti per riassunto:
Sistemi di intelligenza artificiale vietati (capitolo II, art. 5)
I seguenti tipi di sistemi di IA sono “vietati” ai sensi della legge sull’IA.
Sistemi di IA (che):
utilizzano tecniche subliminali, manipolative o ingannevoli per distorcere il comportamento e compromettere il processo decisionale informato, causando danni significativi.
sfruttano le vulnerabilità legate all’età, alla disabilità o alle condizioni socio-economiche per distorcere il comportamento, causando un danno significativo.
sistemi di categorizzazione biometrica che deducono attributi sensibili (razza, opinioni politiche, appartenenza a sindacati, credenze religiose o filosofiche, vita sessuale o orientamento sessuale), ad eccezione dell’etichettatura o del filtraggio di insiemi di dati biometrici acquisiti legalmente o quando le forze dell’ordine categorizzano i dati biometrici.
social scoring, ossia la valutazione o la classificazione di individui o gruppi sulla base di comportamenti sociali o tratti personali, con conseguente trattamento svantaggioso o sfavorevole di tali persone.
valutare il rischio che un individuo commetta reati basandosi esclusivamente sul profilo o sui tratti della personalità, tranne quando viene utilizzato per aumentare le valutazioni umane basate su fatti oggettivi e verificabili direttamente collegati all’attività criminale.
la compilazione di database di riconoscimento facciale attraverso lo scraping non mirato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso.
dedurre le emozioni nei luoghi di lavoro o negli istituti scolastici, tranne che per motivi medici o di sicurezza.
identificazione biometrica remota (RBI) “in tempo reale” in spazi accessibili al pubblico per le forze dell’ordine, ad eccezione di:
ricerca di persone scomparse, vittime di rapimenti e persone vittime della tratta di esseri umani o dello sfruttamento sessuale;
prevenzione di una minaccia sostanziale e imminente alla vita o di un attacco terroristico prevedibile; oppure
identificazione di persone sospettate di reati gravi (ad esempio, omicidio, stupro, rapina a mano armata, traffico di stupefacenti e di armi illegali, criminalità organizzata, criminalità ambientale, ecc.)
Note sull’identificazione biometrica a distanza:
L’uso dell’RBI in tempo reale abilitato dall’intelligenza artificiale è consentito solo quando il mancato utilizzo dello strumento causerebbe un danno considerevole e deve tenere conto dei diritti e delle libertà delle persone interessate.
Prima dell’implementazione, la polizia deve completare una valutazione dell’impatto sui diritti fondamentali e registrare il sistema nella banca dati dell’UE, anche se, in casi di urgenza debitamente giustificati, l’implementazione può iniziare senza registrazione, a condizione che venga registrata successivamente senza ritardi ingiustificati.
Prima dell’installazione devono inoltre ottenere l’autorizzazione di un’autorità giudiziaria o di un’autorità amministrativa indipendente[1], anche se, in casi di urgenza debitamente giustificati, l’installazione può iniziare senza autorizzazione, a condizione che venga richiesta entro 24 ore. Se l’autorizzazione viene rifiutata, l’impiego deve cessare immediatamente, cancellando tutti i dati, i risultati e gli output.
Sistemi di IA ad alto rischio (Capitolo III)
Alcuni sistemi di IA sono considerati “ad alto rischio” ai sensi dell’AI Act. I fornitori di tali sistemi saranno soggetti a requisiti aggiuntivi. Regole di classificazione per i sistemi di IA ad alto rischio (art. 6)
I sistemi di IA ad alto rischio sono quelli
utilizzati come componenti di sicurezza o come prodotti coperti dalle leggi dell’UE di cui all’Allegato I E tenuti a sottoporsi a una valutazione di conformità da parte di terzi ai sensi di tali leggi di cui all’Allegato I; OPPURE
quelli che rientrano nei casi d’uso di cui all’allegato III (di seguito), tranne nel caso in cui:
il sistema di intelligenza artificiale esegue un compito procedurale limitato;
migliora il risultato di un’attività umana precedentemente completata;
individua modelli decisionali o deviazioni da modelli decisionali precedenti e non è destinato a sostituire o influenzare la valutazione umana precedentemente completata senza un’adeguata revisione umana; oppure esegue un’attività preparatoria a una valutazione rilevante ai fini dei casi d’uso elencati nell’Allegato III.
I sistemi di IA sono sempre considerati ad alto rischio se tracciano profili di persone, ovvero se elaborano in modo automatizzato dati personali per valutare vari aspetti di una persona.
di dati personali per valutare vari aspetti della vita di una persona, come il rendimento lavorativo, la situazione economica, la salute, preferenze, interessi, affidabilità, comportamento, ubicazione o spostamenti.
I fornitori il cui sistema di IA rientra nei casi d’uso di cui all’Allegato III, ma che ritengono non sia ad alto rischio, devono documentare tale valutazione prima di immetterlo sul mercato o metterlo in servizio.
Requisiti per i fornitori di sistemi di IA ad alto rischio (art. 8-17)
I fornitori di sistemi di IA ad alto rischio devono:
Stabilire un sistema di gestione del rischio per tutto il ciclo di vita del sistema di IA ad alto rischio;
condurre una governance dei dati, assicurando che i set di dati per la formazione, la convalida e i test siano pertinenti, sufficientemente rappresentativi e, per quanto possibile, privi di errori e completi in base allo scopo previsto.
Redigere la documentazione tecnica per dimostrare la conformità e fornire alle autorità le informazioni necessarie per valutare tale conformità.
Progettare il proprio sistema di IA ad alto rischio per la tenuta dei registri in modo da consentirgli di registrare automaticamente gli eventi rilevanti per l’identificazione dei rischi a livello nazionale e le modifiche sostanziali durante l’intero ciclo di vita del sistema.
Fornire istruzioni per l’uso ai distributori a valle per consentire la conformità di questi ultimi.
Progettare il proprio sistema di intelligenza artificiale ad alto rischio per consentire ai distributori di implementare la supervisione umana.
Progettare il sistema di IA ad alto rischio per raggiungere livelli adeguati di accuratezza, robustezza e sicurezza informatica.
Stabilire un sistema di gestione della qualità per garantire la conformità.
Per chi volesse leggere l’intera legge con tutti i paragrafi, referenze e disamine può scaricare il pdf completo: