AI Act e risk based approach: difendere i diritti senza frenare l’innovazione

Se, da un lato, l'utilizzo dell’intelligenza artificiale rappresenta un'opportunità per innumerevoli settori, dall’altro, porta con sé rischi che devono essere gestiti e mitigati opportunamente. L’AI Act introduce un risk based approach al fine di classificare e trattare i sistemi di IA coerentemente con l’impatto che potrebbero generare sui diritti dell’individuo e sulla società.

A tal fine il Regolamento distingue:

• Pratiche di IA vietate;
• Sistemi di IA ad alto rischio;
• Sistemi di IA a rischio limitato;
• Modelli di IA per finalità generali.

Pratiche di IA vietate

L’intelligenza artificiale potrebbe essere utilizzata impropriamente al fine di mettere in atto pratiche manipolatorie, di sfruttamento e controllo sociali. Tali pratiche vengono vietate dall'AI Act in quanto invasive, dannose e contrarie ai principi UE. In tal senso, i legislatori hanno effettuato un bilanciamento con i principi di non discriminazione, protezione dei dati e diritti dei minori.

Le pratiche vietate sono fondamento di sistemi che utilizzano tecniche tali da non essere percepite dalla mente umana e da implicare la compromissione dell’autonomia, del processo decisionale e della libera scelta della persona.

Tra le attività di IA vietate troviamo sistemi che:

• utilizzano tecniche subliminali, manipolative o ingannevoli;
• sfruttano le vulnerabilità di una persona fisica o di uno specifico gruppo di persone;
• valutano persone fisiche o gruppi di persone sulla base del loro comportamento sociale o di caratteristiche personali;
• creano o ampliano le banche dati di riconoscimento facciale mediante scraping non mirato;
• vengono utilizzate per i sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto.

Sistemi di IA ad alto rischio

I sistemi di IA ad alto rischio possono essere messi in servizio o utilizzati nel territorio UE solo se soddisfano determinati requisiti obbligatori atti a garantire che non rappresentino rischi inaccettabili.

I sistemi ad alto rischio hanno un impatto nocivo significativo su salute, sicurezza e diritti fondamentali delle persone.

Sono identificati come ad alto rischio sistemi IA se dotati di entrambe le seguenti condizioni:

• sono destinati ad essere utilizzati come componente di sicurezza di un prodotto o sono essi stessi un prodotto;
• sono soggetti a una valutazione della conformità da parte di terzi,

o, alternativamente, se contenuti nell'elenco di cui all'Allegato III del Regolamento. Tra questi ultimi troviamo sistemi di IA utilizzati nei seguenti settori:

• biometria;
• infrastrutture critiche;
• Istruzione e formazione professionale;
• Occupazione, gestione dei lavoratori e accesso al lavoro autonomo;
• Accesso a servizi privati essenziali e a prestazioni e servizi pubblici essenziali;
• Attività di contrasto;
• Gestione della migrazione;
• Amministrazione della giustizia.

Per immettere in servizio o sul mercato i sistemi di IA ad alto rischio, è necessario soddisfare requisiti obbligatori e sottoporre i sistemi ad un sistema di gestione dei rischi iterativo della durata del loro intero ciclo di vita. Tale processo è finalizzato a garantire che il fornitore individui eventuali rischi o impatti negativi e attui misure di mitigazione per i rischi noti e ragionevolmente prevedibili dei sistemi di IA. 

Modelli di IA per finalità generali

I modelli di IA non costituiscono, di per sé, un sistema di IA, ma ne fanno parte e vi sono integrati. 

Proprio per questa loro caratteristica che li rende la base per la costruzione di sistemi, i fornitori di modelli di IA per finalità generali hanno un ruolo e una responsabilità cruciale nel garantire la capacità di integrazione dei modelli nei prodotti dei fornitori di sistemi di IA. A tal fine è necessario che vengano previste misure di trasparenza proporzionate, tra cui, ad esempio, la redazione e l'aggiornamento della documentazione e la predisposizione di informazioni sul modello di IA per finalità generali ai fini del suo utilizzo da parte dei fornitori a valle.

I modelli di IA per finalità generali rappresentano, al contempo, sfide e innovazione. La loro capacità di generare testo, immagini e altri contenuti sfidano il tema del diritto d'autore. Tali modelli devono essere sviluppati e addestrati, fini per i quali è richiesto l'accesso a grandi quantità di testo, immagini, video e altri dati. Gli stessi fornitori, nella fase di addestramento dei modelli devono rispettare garanzie di trasparenza, mettendo a disposizione del pubblico una sintesi sufficientemente dettagliata dei contenuti utilizzati. 

L'attenzione posta del Regolamento sul tema è rilevante sul versante dei rischi sistemici, ossia "qualsiasi effetto negativo effettivo o ragionevolmente prevedibile in relazione a incidenti gravi, perturbazioni di settori critici e serie conseguenze per la salute e la sicurezza pubbliche". Tali rischi possono emergere in tutte le fasi del ciclo di vita del modello e a tal fine devono essere individuate procedure di classificazione dei modelli di IA con rischi sistemici, oltre che previsti obblighi volti a individuare e attenuare tali rischi e a garantire un livello adeguato di protezione della cybersicurezza (indipendentemente dal fatto che il modello sia fornito come modello autonomo o integrato in un sistema di IA o in un prodotto). Resta fermo il diritto, per le persone che interagiscono con il modello, di essere informate di tale interazione. 

Sistemi a rischio limitato

Da ultimo, i sistemi a rischio limitato non sono soggetti a obblighi specifici, bensì a codici di condotta. I codici di condotta sono sono stilati su base volontaria e mirano a costruire obiettivi e indicatori chiave per lo sviluppo di un'IA affidabile, l'utilizzo di tecniche a favore della sostenibilità ambientale e la promozione dell'alfabetizzazione in materia IA. 

Case study: IA e lotta alla criminalità

Il tema del  del bilanciamento tra l'utilizzo dell'intelligenza artificiale e il trattamento dei dati personali rimane fulcro dell'interesse del Garante della privacy anche, e soprattutto, a seguito della pubblicazione dell'AI Act in Gazzetta Ufficiale. La vicenda che ha recentemente coinvolto il Comune di Torino ha proprio il seguente tema: l'utilizzo di un sistema di sorveglianza che si serve di intelligenza artificiale. Nello specifico, tale sistema consentirebbe alla polizia municipale di comprendere la gravità della situazione di emergenza e se sia necessario intervenire.

Proviamo a motivare la pericolosità della pratica dell'utilizzo dell'intelligenza artificiale nei sistemi di videosorveglianza. In primis, si potrebbero rilevare criticità in termini di trasparenza nell'utilizzo dei filmati delle videocamere di sorveglianza, associate anche al rischio di pregiudicare diritti e libertà degli interessati. In ultimo, quando vengono utilizzate nuove tecnologie in zone accessibile al pubblico, rimane fermo l'obbligo di condurre previamente una valutazione d'impatto. 

Proprio per scongiurare tali ipotesi, il Comune di Torino dovrà fornire al Garante entro 15 giorni la documentazione tecnica dei sistemi di IA utilizzati  e ogni elemento utile  sul trattamento dei dati personali. 

Fonti e link utili

European AI Act | LINK 

AI Act: il futuro della regolamentazione sull'intelligenza artificiale | LINK

Telecamere intelligenti a Torino | LINK