AI Act, partiti i divieti: ecco che devono fare le aziende UE

Entrato in vigore il 2 agosto 2024, l’AI Act prevede un’applicazione graduale delle sue disposizioni. Le regole riguardanti i sistemi di AI di uso generale diverranno applicabili dall’agosto 2025, mentre la parte principale, incluse le norme sui sistemi ad alto rischio, si applicherà dal 2 agosto 2026. Tuttavia proprio dal 2 febbraio 2025 diventano operative due gruppi di disposizioni chiave:

• I divieti relativi a determinate pratiche di AI (art. 5)
• I requisiti in materia di Alfabetizzazione in materia di AI (art. 4)

Questa prima fase richiede già un’attenzione particolare da parte delle organizzazioni, che dovranno adeguare i propri processi e formazione per garantire la conformità ed evitare le pesanti sanzioni previste dal Regolamento AI.

Le pratiche AI vietate

L’AI Act identifica specifiche pratiche considerate inaccettabili per il loro impatto sui diritti fondamentali. Queste pratiche sono dettagliate nell’articolo 5 e sono le prime a trovare applicazione poiché  ritenute troppo rischiose e quindi vietate dal legislatore. Per il mancato rispetto dei divieti è previsto il più alto tetto sanzionatorio  dell’AI Act, con multe fino ad un massimo di 35.000.000 €, o il 7% del fatturato annuo mondiale totale dell’anno finanziario precedente, a seconda di quale sia maggiore.Vediamo nel dettaglio le principali categorie:

Tecniche di manipolazione subliminale o ingannevoli

Questi sono sistemi di AI progettati per manipolare il comportamento delle persone oltre la loro consapevolezza. Un esempio concreto è un’app di shopping online che utilizza modelli di AI per identificare e sfruttare momenti di vulnerabilità emotiva dell’utente per indurre acquisti compulsivi.

Sfruttamento delle vulnerabilità

Il regolamento vieta l’uso di AI per sfruttare vulnerabilità legate a età, disabilità o condizione socio-economica. Un caso tipico sarebbe un sistema che identifica anziani con deficit cognitivi attraverso l’analisi delle loro interazioni digitali per proporre prodotti finanziari complessi. Un altro esempio è un’app di servizi finanziari che prende di mira gli anziani con prodotti di investimento rischiosi, sapendo che potrebbero non comprendere o resistere.

Sistemi di social scoring

Sono proibiti i sistemi che valutano le persone sulla base di comportamenti sociali o caratteristiche personali previste. Un esempio è un algoritmo che combina dati da social media e storia creditizia per creare un “punteggio sociale” che determina l’accesso a servizi essenziali. Un altro esempio è il rifiuto di un prestito basato esclusivamente su un “punteggio sociale” generato dall’AI ottenuto dai dati dei social media.

Identificazione biometrica in tempo reale

Il regolamento vieta l’identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico per finalità di contrasto, salvo specifiche eccezioni per la sicurezza pubblica, previa autorizzazione. Un esempio è la scansione facciale “live” per identificare persone in spazi pubblici, consentita solo in casi strettamente necessari come la ricerca di un bambino scomparso o la prevenzione di una minaccia terroristica imminente, con previa autorizzazione da parte di un’autorità giudiziaria o indipendente.

Valutazioni del rischio relative a persone fisiche

Il regolamento vieta l’immissione sul mercato, la messa in servizio o l’uso di sistemi di AI per effettuare valutazioni del rischio relative a persone fisiche al fine di valutare o prevedere il rischio che una persona commetta un reato, unicamente sulla base della profilazione o della valutazione dei tratti e delle caratteristiche della personalità. Un esempio è un sistema che prevede la probabilità che una persona commetta un crimine basandosi esclusivamente su caratteristiche della personalità o su profili comportamentali. Tuttavia, questo divieto non si applica ai sistemi di AI utilizzati a sostegno della valutazione umana del coinvolgimento di una persona in un’attività criminosa, che si basa già su fatti oggettivi e verificabili direttamente connessi a un’attività criminosa.

Categorizzazione biometrica basata su dati sensibili

È proibito l’uso di sistemi di categorizzazione biometrica per dedurre caratteristiche sensibili come orientamento sessuale, convinzioni religiose o opinioni politiche. Un esempio è l’uso di dati biometrici quali particolari tratti somatici specifici di popolazioni provenienti da una determinata area geografica per dedurne la religione. La valutazione legale circa quali sistemi rientrino in questo divieto è particolarmente complessa e delicata perché la formulazione dell’articolo 5 (g) ” presenta delle somiglianze con il punto 1 (b) dell’Allegato 3 dell’AI Act che qualifica come sistemi ad alto rischio (e quindi non vietati) i ” Sistemi di AI destinati ad essere utilizzati per la categorizzazione biometrica, secondo attributi o caratteristiche sensibili o protette basate sull’inferenza di tali attributi o caratteristiche”. Tuttavia, ci sono alcune differenze rilevanti tra le due categorie che possono essere individuate e che presentano un valido supporto all’interpretazione della norma: ad esempio elementi utili nella ricostruzione della ratio e della distinzione tra le due previsioni provengono dall’ analisi approfondita dei materiali preparatori dell’AI Act e delle varie iterazioni di queste due disposizioni durante il processo di trilogo.

Riconoscimento delle emozioni in ambito lavorativo

Il divieto riguarda l’uso di sistemi di AI per il riconoscimento delle emozioni nei luoghi di lavoro e nelle istituzioni educative, salvo per finalità mediche o di sicurezza. Un esempio è uno strumento di AI che scansiona i volti degli studenti durante i test per rilevare stress o paura, utilizzato per disciplinarli o valutare i “livelli di attenzione”.

Creazione o ampliamento di banche dati di riconoscimento facciale mediante scraping non mirato

È proibito l’uso di sistemi di AI che creano o ampliano le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso. Un esempio è un sistema di AI che raccoglie immagini facciali da social media o da telecamere di sorveglianza senza il consenso degli individui per creare un database di riconoscimento facciale.

L’obbligo di alfabetizzazione sull’AI

L’articolo 4 dell’AI Act introduce un obbligo specifico di garantire un adeguato livello di alfabetizzazione all’AI per il personale coinvolto nell’utilizzo dei sistemi di AI (tutti, non solo quelli proibiti o ad alto rischio).

Il regolamento impone infatti che fornitori e utilizzatori (deployer) di AI adottino misure per garantire che il personale rilevante abbia un “livello sufficiente di alfabetizzazione all’IA”, tenendo conto del contesto e delle persone potenzialmente interessate dal sistema di AI in uso. Questo obbligo, dettagliato nell’articolo 4, è estremamente ampio poiché riguarda chiunque fornisca o utilizzi o implementi un sistema di AI, indipendentemente dal livello di rischio del loro caso d’uso, inclusi sistemi che non hanno uno scopo specifico come i Large Language Model integrati nei principali software di produttività. Inoltre, il requisito copre non solo il personale che si occupa direttamente di un sistema di AI, ma anche le persone che operano un sistema di AI per conto dell’organizzazione, come un appaltatore esterno.

Nel regolamento dell’UE, la nozione di “alfabetizzazione all’IA” è definita come il possesso delle competenze, conoscenze e comprensione adeguate per procedere ad una diffusione informata dei sistemi di AI ed essere consapevoli delle opportunità e dei rischi associati all’AI. La principale incognita che le organizzazioni probabilmente affronteranno è definire cosa si intende per un “livello sufficiente” di alfabetizzazione, previsto dal Regolamento, e anche cosa si intende per “nella misura del possibile“.

Nelle interazioni con le aziende nelle ultime settimane prima della pubblicazione di questo articolo, l’ Ufficio Europeo per l’Intelligenza Artificiale[1] ha chiarito quali sono le sue aspettative in termini di conformità. L’AI Office ha coinvolto i partecipanti al Patto AI, un’iniziativa per le aziende che vogliono impegnarsi a implementare le prime parti degli obblighi dell’AI Act. In questi scambi preliminari, l’Ufficio AI ha affermato che questo requisito comporta la fornitura di formazione e orientamento. In altre parole, le organizzazioni non saranno conformi semplicemente obbligando i dipendenti a leggere le istruzioni scritte del sistema di IA. Piuttosto, dovranno promuovere attivamente le competenze e le conoscenze rilevanti tra i loro membri del personale.

Formalmente, l’obbligo di alfabetizzazione all’AI è applicabile a decorrere dal 2 febbraio 2025, anche se le disposizioni sulla governance e l’enforcement diventano applicabili dal 2 agosto 2025. Questo periodo intermedio offre alle organizzazioni un’opportunità preziosa per progettare e implementare programmi di alfabetizzazione all’AI robusti.

È ragionevole aspettarsi che l’Ufficio AI esiga che a partire da febbraio le organizzazioni garantiscano almeno una comprensione generale tra i dipendenti di ciò che comporta l’AI Act. In una fase successiva, dovranno aggiornare le loro misure di alfabetizzazione all’AI proporzionalmente a come ciascun dipendente utilizza l’IA, al ruolo del dipendente nell’organizzazione e al rischio associato al sistema di IA.

Prossimi passi

Le organizzazioni devono prepararsi adeguatamente alla piena applicazione di queste prime disposizioni discusse in questo articolo, dando priorità ad alcune attività:

• Mappare i sistemi di AI utilizzati/sviluppati/forniti per identificare eventuali pratiche proibite.
• Strutturare programmi di formazione conformi ai requisiti di alfabetizzazione sull’AI.
• Implementare sistemi di monitoraggio e documentazione delle attività svolte.
• Mantenersi aggiornati sulle linee guida che verranno pubblicate dalle autorità competenti e prevedere un piano di adeguamento strutturato tenendo conto delle ulteriori previsioni dell’AI Act che diventeranno applicabili nel prossimo futuro.

Note

[1] L’AI Office, o Ufficio Europeo per l’Intelligenza Artificiale, è il centro di competenza per l’IA all’interno dell’Unione Europea. Questo ufficio gioca un ruolo chiave nell’implementazione dell’AI Act, in particolare per quanto riguarda l’IA di uso generale. L’AI Office promuove lo sviluppo e l’uso di IA affidabile e favorisce la cooperazione internazionale. Inoltre, l’AI Office è responsabile della pubblicazione dei codici di condotta e delle linee guida per garantire la conformità alle normative dell’AI Act.