“AI Act”. A che punto siamo con l’Intelligenza Artificiale nelle normative europee?

L’aprile scorso l’Agenzia europea per la sicurezza informatica (ENISA) ha pubblicato una valutazione degli standard per la sicurezza informatica dell’intelligenza artificiale e ha formulato raccomandazioni per supportare l’attuazione delle prossime politiche dell’UE sull’intelligenza artificiale (AI).

Il direttore esecutivo dell’Agenzia europea per la sicurezza informatica, Juhan Lepassaar, dichiarava: “Le piattaforme avanzate di chatbot basate su sistemi di intelligenza artificiale sono attualmente utilizzate sia dai consumatori sia dalle imprese. Le domande sollevate dall’intelligenza artificiale riguardano la nostra capacità di valutarne l’impatto, di monitorarlo e controllarlo, con l’obiettivo di rendere l’intelligenza artificiale sicura e robusta affinché il suo pieno potenziale possa dispiegarsi. L’utilizzo di standard adeguati contribuirà a garantire la protezione dei sistemi di AI e dei dati che tali sistemi devono elaborare per funzionare. Confido che questo sia l’approccio che dobbiamo adottare se vogliamo massimizzare i vantaggi per tutti noi e godere appieno e in tutta sicurezza dei servizi dei sistemi di intelligenza artificiale”.

Gli aspetti di sicurezza informatica dell’AI sono parte integrante del quadro giuridico europeo che regola l’AI, proposto dalla Commissione Europea lo scorso anno e denominato “AI Act”.

Il sistema di Artificial Intelligence

Il progetto di legge sull’intelligenza artificiale fornisce una definizione di sistema di intelligenza artificiale come “software sviluppato con una o più (…) tecniche (…) per un dato insieme di obiettivi definiti dall’uomo, che genera risultati quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono”. In poche parole, queste tecniche includono principalmente: machine learning che ricorre a metodi come il deep learning e ad approcci logici, basati prevalentemente su dati statistici. È essenziale per l’assegnazione delle responsabilità giuridiche nell’ambito di un futuro quadro normativo concordare ciò che rientra nella definizione di “sistema di Artificial Intelligence”.

Nel dibattito legislativo sul progetto di legge sull’AI, sia nelle comunità scientifiche sia in quelle di standardizzazione, la definizione esatta dei contorni di un sistema di intelligenza artificiale è in continua evoluzione.

Standard di sicurezza informatica AI: qual è lo stato dei lavori?

Dato che gli standard nascono per ridurre i rischi, il tema degli standard generali esistenti e già disponibili per la sicurezza delle informazioni e la gestione della qualità nel contesto dell’intelligenza artificiale non è mai cristallizzato in decisioni definitive. Continuamente possono essere sviluppati ulteriori orientamenti per aiutare la comunità degli utenti a trarre vantaggio dalle norme esistenti sull’intelligenza artificiale.

Questa considerazione si basa sull’osservazione riguardante il livello incrementale del software sul quale è basata l’intelligenza artificiale. Ne consegue che ciò che è applicabile al software potrebbe essere applicabile all’intelligenza artificiale.

Negli ultimi mesi se ne è parlato alla Conferenza di Certificazione ENISA, il 25 maggio, ad Atene, e alla conferenza di ENISA AI il 7 giugno a Bruxelles. L’ENISA ha sostenuto l’importanza della standardizzazione nella sicurezza informatica inoltre alla conferenza RSA di San Francisco sul tema “Standards on the Horizon: What Matters Most?”, in un panel insieme al National Institute of Standards and Technology (NIST).

AI Act, pratiche vietate e regole in arrivo

Attualmente una proposta di legge è al centro del triplice negoziato tra Commissione europea, Parlamento europeo e Consiglio europeo. Una volta adottato, l’AI Act entrerà in vigore dopo 24 mesi. La proposta di legge si divide in dodici Titoli, ma ci concentriamo qui sul II, III e IV che sono i più rilevanti.
Il Titolo II elenca le pratiche vietate, ritenute dannose per la sicurezza e i diritti dell’individuo. Sono citati, ad esempio, sistemi di AI che utilizzano tecniche manipolative o ingannevoli, che sfruttano le vulnerabilità delle persone o usano sistemi di identificazione biometrica in spazi pubblici.

Il Titolo III regolamenta i sistemi di AI ad alto rischio, ovvero, ad esempio, i sistemi AI utilizzati come componenti di sicurezza di un prodotto, o rientrano nel campo della salute e della privacy. Qui il link a tutte le aree elencate nell’allegato III dell’AI Act .

Il Titolo IV affronta il tema della trasparenza. I fornitori di sistemi AI che interagiscono con persone fisiche (ad esempio, i chatbot) devono garantire che le persone siano informate del fatto che non stanno interagendo con un essere umano, ma con un sistema di Intelligenza Artificiale.

Anche i sistemi di riconoscimento delle emozioni o di misurazione biometrica devono assolutamente essere soggetti a un consenso preventivo di trattamento dei dati. Per non parlare della regolamentazione delle fake news e dei deep fake, che non devono circolare mai.

Visto però che l’AI Act entrerà in vigore solo dopo 24 mesi dall’approvazione, e ancora di accordi definitivi non si sta parlando, forse nel 2026 vedremo i primi effetti postivi. Intanto… stiamo attenti a tutto!