Dopo un lungo iter legislativo, il Regolamento Europeo sull’Intelligenza Artificiale è finalmente diventato legge. Come tutti i regolamenti, anche questo sull’AI non richiederà alcuna legge di recepimento, divenendo sostanzialmente parte integrante della legislazione di ciascun Stato membro.
Ma cerchiamo di rispondere a qualche domanda specifica su questa nuova normativa:
A CHI SI APPLICA?
La nuova norma si applica a tutti i soggetti pubblici e privati che producono strumenti rivolti al mercato europeo sfruttando l’intelligenza artificiale. Questo significa che il Regolamento si applica anche a quelle aziende che non sono europee ma i cui prodotti sono commercializzati anche sul mercato della UE. La responsabilità di verificare che il prodotto sia compliant non è imposta solo alle aziende fornitrici, ma anche agli utilizzatori.
Il Regolamento prevede anche alcune eccezioni. Esso non si applica ai sistemi AI per scopi militari, di difesa o di sicurezza nazionale, a quelli per scopi di ricerca e sviluppo scientifico, o a quelli rilasciati con licenze free e open source (fatta salva la verifica di sussistenza di un rischio), per l’attività di ricerca, prova e sviluppo relative a sistemi di intelligenza artificiale e per le persone fisiche che utilizzano i sistemi di AI per scopi puramente personali.
ENTRO QUANDO ADEGUARSI?
Entro sei mesi dall’entrata in vigore i soggetti pubblici e privati dovranno eliminare i sistemi vietati dal Regolamento sull’AI. Entro dodici mesi si applicheranno le norme di governance generali a tutte le aziende e alla Pubblica Amministrazione. Mentre si avrà tempo fino a due anni dall’entrata in vigore per averne la piena applicazione, comprese le norme per i sistemi ad alto rischio.
SANZIONI
Come di consueto il quadro sanzionatorio rappresenta un utile deterrente. Il Regolamento stabilisce le soglie delle sanzioni ma saranno gli Stati membri a stabilirne l’entità nel dettaglio. Le soglie previste prevedono sanzioni fino a 35 milioni di euro o al 7% del fatturato totale annuo mondiale dell’esercizio precedente per le violazioni relative alle pratiche vietate o alla non conformità ai requisiti sui dati; fino a 15 milioni di euro o al 3% del fatturato totale annuo mondiale dell’esercizio precedente per la mancata osservanza di uno qualsiasi degli altri requisiti o obblighi del regolamento, compresa la violazione delle norme sui modelli di IA per uso generale; fino a 7,5 milioni di euro o all’1,5% del fatturato mondiale annuo totale dell’esercizio precedente per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta (in tutti i casi a seconda di quale sia il valore più elevato).
CHE COSA FARE
Il primissimo passo da compiere è conoscere l’entità degli strumenti aziendali che sfruttano l’intelligenza artificiale. A tal riguardo le aziende dovrebbero compiere una propria ricognizione al loro interno per censire tutti i software che utilizzano la AI e valutare se qualcuno di questi rientra nei sistemi ad alto rischio (assessment).
I sistemi definiti a basso rischio consentono alle aziende di autoregolamentarsi. In buona sostanza i fornitori di questo genere di sistemi di AI possono valutare liberamente di adottare requisiti per un’AI affidabile e aderire ai codici di condotta.
I sistemi definiti ad alto rischio sono soggetti a requisiti più rigorosi. Prima della loro commercializzazione e distribuzioni, questi sistemi devono superare una valutazione di conformità che dimostri il rispetto dei requisiti obbligatori per un’AI affidabile così come stabilito dal Regolamento. Tali requisiti riguardano, per esempio, la qualità dei dati, la documentazione e la tracciabilità, la trasparenza, la supervisione umana, l’accuratezza, la sicurezza informatica e la robustezza del sistema. L’obiettivo di tale rigore è di garantire che i sistemi di AI ad alto rischio siano sicuri, affidabili e trasparenti, mitigando i rischi potenziali per gli individui e la società.