Stop al riconoscimento facciale in tempo reale. Entro l’anno l’Ue potrebbe varare il primo regolamento al mondo sull’intelligenza artificiale
Il Parlamento europeo ha dato il via libera oggi all’AI Act, che entra così nella fase finale. L’approvazione definitiva dall’Unione europea dovrebbe arrivare a fine anno (secondo fonti vicine alle istituzioni europee) e questo regolamento sull’intelligenza artificiale (IA) entrare in vigore nel 2024.
Come già noto, le norme seguono un approccio basato sul rischio e stabiliscono obblighi per i fornitori e per coloro che impiegano sistemi di IA a seconda del livello di rischio che l’IA può generare. Saranno quindi vietati i sistemi di IA che presentano un livello di rischio inaccettabile per la sicurezza delle persone, come quelli utilizzati per il social scoring (classificazione delle persone in base al loro comportamento sociale o alle loro caratteristiche personali).
Le novità del testo odierno
La novità odierna è il ban totale di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico (bocciati emendamenti che prevedevano eccezioni). Possibili i sistemi di identificazione biometrica a distanza “a posteriori”, ma solo per il perseguimento di reati gravi e solo previa autorizzazione giudiziaria.
Parte la corsa alla compliance
Il testo è passato insomma definitivamente da una prima istituzione Ue in plenaria e si può considerare abbastanza consolidato; le aree di modifica saranno poche e riguardano quasi solo il riconoscimento facciale, dove c’è intenso dibattito sulle eventuali eccezioni al ban.
Si può dire che è partita già la corsa alla compliance da parte delle aziende che fanno e usano AI. «Dall’entrata in vigore ci sono due anni di grace period, che però alle aziende servono tutti per costruire i processi di compliance al regolamento», spiega Massimo Pellegrino, partner di Intellera, società di consulenza specializzata. Solo l’IA generativa (quella di Chatgpt e sistemi simili) può portare 4,4 miliardi di valore all’economia globale e fare risparmiare il 60-70 per cento del tempo ai lavoratori, secondo un rapporto uscito oggi da McKinsey. Un valore che le aziende si preparano a cogliere. Secondo gli ultimi dati del Politecnico di Milano, il 61 per cento delle grandi aziende italiane ha avviato progetti di IA, il 34 per cento li sta già adottando.
L’interesse e la consapevolezza nelle Pmi è in forte crescita. Ma fare le pentole senza coperchi è un rischio grosso, per le aziende: significa esporsi a responsabilità per danni dall’IA e sanzioni privacy (tra l’altro). Il regolamento Ue spiega come fare per adottare bene l’IA dal punto di vista del rispetto delle norme.
Come adottare bene l’IA, con l’AI act
«L’Europa regola soprattutto le aziende produttrici di IA e a cascata quelle che la usano; queste devono accertarsi al meglio con le informazioni a loro disposizione che i sistemi AI sviluppati dai produttori siano conformi alle regole europee», spiega Stefano da Empoli, presidente dell’istituto di ricerca I-Com. Da Empoli e Pellegrino concordano che il primo passo da fare è un catalogo delle app IA usate o che si vogliono usare per capire il livello di rischio collegato secondo il modello presente nell’IA act. «Il principale impatto sulle imprese sta nel meccanismo previsto dall’approccio basato sul rischio che rappresenta l’architrave principale del provvedimento», spiega da Empoli. «In primo luogo, escludendo i relativamente pochi casi di proibizione assoluta, le imprese devono sincerarsi se la componente AI dei prodotti che vogliono immettere sul mercato sia contenuta nella ben più nutrita lista delle applicazioni ad alto rischio», aggiunge. «Se questo è il caso, occorre procedere ad una valutazione di conformità che può essere svolta internamente oppure da un soggetto terzo certificato. A causa della scarsità di expertise qualificata e della mancanza di procedure standardizzate, facile prevedere che almeno inizialmente questa seconda opzione sarà percorsa più raramente», continua da Empoli.
I prodotti testati con le valutazioni previste dall’AI Act appariranno sul mercato con il bollino CE di conformità (fisico o virtuale). L’impegno da parte del produttore non si esaurisce con la valutazione (o autovalutazione) di conformità ma dovrà essere seguito da un robusto sistema di monitoraggio post-vendita per individuare eventuali criticità non previste o sottovalutate inizialmente. Se il produttore fa un cambio radicale in un’applicazione AI ad alto rischio (oltre il semplice apprendimento continuo), dovrà procedere a una nuova valutazione di conformità. Le aziende dovranno conservare e rendere facilmente accessibile tutta la documentazione prodotta per le valutazioni di conformità alle autorità nazionali che saranno incaricate delle attività di vigilanza. «Il consiglio è fare governance di tutte le app IA, non solo quelle ad alto rischio, per avere un output migliore, migliori prestazioni», dice Pellegrino.
Le aziende devono adottare un nuovo processo di risk management per sviluppo e adozione di app di IA; un processo di data governance per gestione dati «soprattutto per soddisfare l’obbligo di non discriminazione previsto dal regolamento. Serve anche un processo strutturato di AI governance; modificare il processo di compliance interno all’azienda e adottare soluzioni tecnologiche per soddisfare il requisito di trasparenza algoritmica, interoperabilità, cyber security, non discriminazione», aggiunge Pellegrino.Ci sono spine anche nella fase di adozione, «che dovrà essere fatta tenendo ferma la compliance. Se l’azienda fa un re-training dei modelli, magari per personalizzarli con propri dati, dovrà riprodurre la documentazione spiegando come ha fatto questo processo», continua.
Tutto questo, si diceva, per app IA ad alto rischio. Secondo Pellegrino sono due soprattutto le applicazioni AI ad alto rischio che le aziende adotteranno: quelle per calcolare il rischio creditizio/bancario e quello di analisi curriculum ai fini di assunzione. Per applicazioni a basso rischio (che sono tutte quelle che non impattano direttamente sulle vite delle persone), invece, sono al massimo previsti obblighi di trasparenza, come ad esempio avvisare i clienti che si stanno usando soluzioni di intelligenza artificiale. Necessario anche, lato privacy, «formulare informative sempre più trasparenti, anche in relazione alla base giuridica; implementare procedure idonee per consentire all’interessato di esercitare i propri diritti», spiega l’avvocata Anna Cataleta, di P4i.
