L’AI Act è la prima legge al mondo che regola l’intelligenza artificiale. Approvata dall’UE e già recepita dall’Italia, sarà pienamente operativa entro il 2026. Ecco cosa prevede, come classifica i rischi, chi farà i controlli e quali dubbi solleva.
Nella giungla normativa sull’intelligenza artificiale, da qualche mese è spuntato un raggio di sole: l’AI Act. Emanata dall’Unione Europea, è la prima legge di questo tipo al mondo: è entrata in vigore in parte lo scorso 2 agosto ma l’intero sistema sarà pienamente operativo entro il 2026, per dare il tempo ai governi e alle aziende di adattarsi. L’AI Act è una sorta di grande libro delle regole per chi costruisce e usa questi sistemi super tecnologici, e stabilisce cosa si può fare e cosa no, per evitare che l’AI venga usata in modo pericoloso o ingiusto nelle sue varie applicazioni, dalle auto che si guidano da sole agli assistenti vocali, dai programmi che riconoscono i volti agli strumenti che scrivono testi o analizzano dati. Per fare in modo, cioè, che l’innovazione sia in linea con l’etica e i diritti fondamentali.
Non tutte le AI sono uguali
Il presupposto della legge è che non tutte le AI hanno lo stesso livello di rischio per le persone. Per questo divide i sistemi di intelligenza artificiale in 4 categorie: quelle che presentano un rischio inaccettabile, per esempio il riconoscimento facciale in tempo reale in luoghi pubblici o i sistemi di controllo sociale, sono vietati; quelli ad alto rischio, per esempio in settori come la sanità, la giustizia, la scuola, devono essere testati, controllati e consentiti solo con regole molto rigide; quelli a rischio limitato, come i chatbot, sono consentiti purché dichiarati e trasparenti; quelli a rischio minimo o assente, per esempio i giochi, i filtri foto o gli strumenti creativi, non devono sottostare a restrizioni particolari.
Chi controlla l’intelligenza?
Lo scopo dell’AI Act è garantire che i sistemi di IA siano sicuri e non violino i diritti fondamentali dei cittadini, che gli utenti siano informati se interagiscono con un sistema di AI, che la regolamentazione e la promozione dell’innovazione nel settore dell’IA siano bilanciati e che ci sia un quadro normativo unico per la sicurezza. Per ottenere questo, sono stati individuati dei passaggi fondamentali, il primo è che ogni Paese europeo deve organizzarsi per far rispettare le norme, attraverso autorità che controlleranno se le aziende rispettano le regole. «Queste autorità devono essere dotate di poteri di vigilanza, di strumenti sanzionatori e di risorse adeguate a garantire la propria operatività» spiega l’avvocato Olindo Genovese dello Studio legale Daverio&Florio. In Italia, queste autorità sono state designate con la legge n. 132, che ha recepito l’AI Act a settembre: l’Agenzia per l’Italia Digitale (AgID) si occuperà di notifica, accreditamento e monitoraggio dei soggetti che verificano i sistemi AI, mentre l’Agenzia per la Cybersicurezza Nazionale (ACN) assumerà la vigilanza e la sorveglianza dei sistemi AI.
Il secondo step riguarda le aziende e i creatori di AI: dovranno adattare i loro sistemi alle nuove norme. «Quindi, garantire trasparenza sul funzionamento dei modelli, rispettare il diritto d’autore, sia a livello europeo che nazionale; valutare e mitigare i rischi sistemici, soprattutto se operano con modelli particolarmente avanzati o ad alto impatto» continua l’esperto.
I dubbi tra speranze e timori
Il testo italiano è stato il primo ad aver recepito le norme europee, ma non è uno strumento completo, perché di fatto si limita a ribadire i principi sanciti dall’Europa rimandando a ulteriori decreti di maggiore dettaglio per gli aspetti operativi. Nel frattempo però ha già sollevato dubbi: uno degli argomenti più contestati è che le funzioni di vigilanza siano assegnate ad agenzie statali e non ad autorità autonome come per il GDPR con i garanti della privacy: un modello di tipo “statale” potrebbe rischiare di violare il principio dell’imparzialità nei controlli. Inoltre, alcune startup o PMI tecnologiche italiane hanno chiesto flessibilità nell’attuazione perché mancano standard tecnici chiari e i finanziamenti sono modesti rispetto agli investimenti che fanno paesi come Stati Uniti o Cina. Infine, anche tra i favorevoli, c’è preoccupazione su quando e come le regole diventeranno operative, come avverranno i controlli, come si valuteranno i rischi e come si risolveranno i casi limite non previsti dalle norme.
