Articolo a cura del team Artificial Intelligence di AWARE Think Tank (Sofia Brunelli, Ginevra Denei, Dayana Vinueza)
Dopo 36 ore di discussione, nella notte tra venerdì 8 e sabato 9 dicembre 2023, il quinto trilogo tra Parlamento Europeo e Consiglio dell’Unione Europea ha finalmente prodotto la tanto attesa fumata bianca. Un primo accordo sull’AI Act è stato raggiunto. Ed ora?
In questo nuovo articolo, il team Artificial Intelligence di AWARE Think Tank si interroga su come si è arrivati a questo compromesso e sui tempi di entrata in vigore di questo nuovo regolamento, ragionando su cosa si è fatto e su quali occasioni, invece, sono state forse perse.
CHE COSA PREVEDE IL TESTO APPROVATO IL 9 DICEMBRE?
Il tentativo da parte dell’Unione Europea di regolamentare per la prima volta al mondo un intero settore tecnologico, ovvero quello dell’Intelligenza Artificiale, parte nell’aprile 2021, quando la Commissione Europea, nel suo ruolo di motore del processo legislativo europeo, emana la “Proposta di regolamento contenente norme armonizzate sull’intelligenza artificiale” (AI Act).
L’approccio alla regolamentazione di questo settore è stato pensato fin dall’inizio in una logica risk-based, ovvero basata sulla valutazione dei rischi. Nello specifico, la proposta introduce livelli di rischio diversi associati all’uso dell’AI e si concentra sullo stabilire determinate regole di compliance per le cosiddette applicazioni ad alto rischio, riguardanti principalmente i sistemi di AI utilizzati negli ambiti della salute, dei trasporti e della sicurezza. Inoltre, pratiche come l’uso dell’AI per la costruzione di sistemi di social scoring sul modello della Repubblica Popolare Cinese vengono severamente vietate in territorio UE, sia per attori pubblici che privati. L’obiettivo appare quindi chiaramente quello di stabilire un framework normativo chiaro e comprensivo per l’AI, in grado di promuovere l’innovazione senza lasciare indietro la protezione dei diritti fondamentali dei cittadini e della sicurezza pubblica.
Partendo da questi presupposti, il testo approvato agli inizi di dicembre prevede quattro livelli di rischio: minimo (come videogiochi con intelligenza artificiale e filtri anti-spam), limitato (come chatbot), alto (come l’assegnazione di punteggi a esami scolastici e professionali o l’elaborazione di curriculum) e inaccettabile (tutto ciò che costituisce una “chiara minaccia per la sicurezza, i mezzi di sussistenza e i diritti delle persone”). Per il primo livello non sono previsti interventi, mentre l’ultimo livello viene completamente vietato. Ad esso appartiene il social scoring precedentemente citato, ma anche l’identificazione biometrica funzionale alla creazione di database per il riconoscimento facciale, la quale è stata limitata a casi eccezionali volti alla protezione della sicurezza pubblica, previa approvazione giudiziale: l’evidente minaccia di un attacco terroristico, la ricerca di vittime, le indagini che riguardano reati gravi come omicidi, sequestri e violenza sessuale.
IL TEMA DELLA DISCORDIA: LA REGOLAMENTAZIONE DELL’AI GENERATIVA
Oltre a quanto fin qui detto, la grande novità dell’AI Act, nonché forse quella che ha provocato più malumori, è il tentativo di regolamentare il settore dell’AI generativa, esploso nel 2021. Su questo tema, si deve prima di tutto notare come l’UE non sia stata la prima ad intervenire: la Repubblica Popolare Cinese ha infatti elaborato una regolamentazione ad hoc nel mese di agosto 2023. Tuttavia, è interessante soffermarci su cosa i policymakers europei hanno previsto in questo ambito, in quanto rappresenta forse uno dei punti di maggiore discordia dell’intero dossier. Infatti, inizialmente Germania, Francia ed Italia hanno fatto fronte comune chiedendo di non intervenire su questo aspetto – nel caso dei primi due Paesi, soprattutto perché essi vedono in territorio nazionale Aleph Alpha e Mistral AI, due start-up diffusamente considerate come le concorrenti europee di OpenAI.
Nello specifico, ciò su cui si è deciso di soffermarsi sono i cosiddetti foundation models, ovvero i modelli statistici alla base dei sistemi di AI Generativa, come ad esempio la serie GPT di Chat GPT. Questi sono stati fatti ricadere all’interno della categoria di modelli AI “general-purpose” (GPAI), per i quali sono stati previsti due livelli di obblighi.
Il primo livello prevede per tutti gli sviluppatori la pubblicazione di una lista dei materiali usati per l’addestramento degli algoritmi – nel tentativo di offrire una tutela dei diritti d’autore – unita all’obbligo di rendere riconoscibili tutti i contenuti prodotto dall’AI per contrastare truffe o disinformazione. Il secondo livello, invece, si applicherà ai sistemi che pongono rischi sistemici, in virtù delle loro potenzialità o della vastità del loro utilizzo. Il criterio prescelto per la valutazione di tali rischi è la capacità computazionale dei modelli; al momento, la soglia al di sopra della quale si parla di rischio sistemico è fissata ad un potere di calcolo pari a 10^25 FLOPs (floating point operations per second).
Occorre specificare che l’AI Act prevede che questa soglia possa essere modificata in futuro, per il momento però i modelli interessati sono GPT-4 e probabilmente Gemini, per i quali si richiede rispettivamente a OpenAI e Google DeepMind di valutare e mitigare i rischi, segnalare gli incidenti gravi, condurre test all’avanguardia per le valutazioni dei modelli, garantire la sicurezza informatica e fornire informazioni sul consumo energetico dei loro modelli. Il tutto collaborando con l’Ufficio europeo per l’AI, ovvero un nuovo organo previsto all’interno dell’AI Act per aiutare nell’implementazione dello stesso.
IL DIBATTITO ATTORNO ALL’AI ACT
In linea generale, le compagnie tech, fin dall’inizio, si sono dimostrate favorevoli all’approccio risk-based individuato dalle istituzioni UE, in quanto soprattutto dall’avvento di Chat GPT, poco più di un anno fa, la consapevolezza rispetto ai potenziali rischi dell’AI è cresciuta non solo nell’opinione pubblica, ma anche nel settore tech stesso. Ad esempio, basti pensare all’intervento di Sam Altman davanti al Congresso degli Stati Uniti lo scorso 16 maggio 2023, in cui fu lo stesso CEO di OpenAI ad auspicare una maggiore regolamentazione dell’intelligenza artificiale.
Il problema è che le associazioni di categoria, tra cui possiamo citare DigitalEurope e CCIA (Computer & Communications Industry Association), sostengono che il testo approvato il 9 dicembre, contenente i provvedimenti riguardanti i foundation models, non sia più un regolamento indirizzato a mitigare dei rischi, bensì a guidare lo sviluppo stesso del settore, minandone fra l’altro la capacità d’innovazione. In particolare, la posizione di DigitalEurope afferma che i costi di compliance determineranno un importante investimento per le PMI che operano nell’ambito dell’intelligenza artificiale, le quali dovranno sottrarre fondi alla ricerca su nuovi modelli ed all’assunzione di ingegneri, rendendo le aziende europee significativamente meno competitive per quanto riguarda il mercato dei foundation models.
Non a caso, fino all’ultimo, lo sforzo dei lobbisti del settore è stato quello di spingere verso un’autoregolamentazione. Al contrario, i rappresentanti di interessi diffusi e diritti dei cittadini che hanno seguito con attenzione il tema, tra cui possiamo citare The Good Lobby, si sono opposti con forza a questa prospettiva, insistendo sul fatto che i grandi sviluppatori debbano assumersi la responsabilità della gestione del rischio, senza codici di condotta volontari e quindi non necessariamente applicabili. Alla fine, sappiamo che i loro sforzi di advocacy risultano essere stati premiati, ma cosa succederà adesso?
L’AI ACT TRA TEMPISTICHE DI APPLICAZIONE E POSSIBILI OCCASIONI PERSE
In primo luogo, è importante invitare alla cautela. Infatti, nonostante nelle ultime settimane i media abbiano lanciato molti messaggi “sensazionalistici” sulla prima regolamentazione al mondo dell’AI oramai conclusa e sull’accordo definitivo tra Parlamento e Consiglio, occorre notare che in realtà di definitivo vi è ben poco. Infatti, prima dell’effettiva applicazione del regolamento, vi dovrà essere del lavoro tecnico sul testo a partire da gennaio cui seguirà una nuova approvazione del testo modificato da parte degli Stati membri e del Parlamento Europeo presumibilmente in primavera. A quel punto, il regolamento verrà pubblicato sulla Gazzetta ufficiale dell’Unione europea ed entrerà in vigore dopo 20 giorni. Per questi motivi, sarebbe più consono parlare di significativi passi in avanti, e sottolineare che molti cambiamenti potrebbero ancora avvenire.
Tale elemento diventa ancora più significativo se si considera che la totale implementazione del regolamento avverrà in maniera graduale, richiedendo almeno 24 mesi, se non 36. Questo ci proietta nel 2026, ragione per cui in molti stanno facendo notare come nel giro dei prossimi due anni potrebbero esserci altre grandi novità nel settore, dalla portata rivoluzionaria, come nel caso di Chat GPT, che potrebbero rendere il testo obsoleto. A riguardo, l’UE ha previsto che l’AI Act possa essere modificato tramite atti delegati, che potrebbero ad esempio interessare la soglia FLOP oppure l’aggiunta di criteri per classificare i modelli GPAI come presentanti rischi sistemici. C’è quindi da chiedersi: quanto sarà difficile per le imprese restare al passo con le modifiche che verranno fatte nel tempo? Nonostante il processo di approvazione dell’AI Act non sia ancora finalizzato e non siano attualmente disponibili tutte le informazioni necessarie agli operatori economici per agire in conformità alle nuove regole, sarebbe auspicabile già iniziare a delineare una roadmap per l’implementazione di modelli AI che le aziende intendono adottare in futuro o che hanno già adottato. Ciò è particolarmente importante considerando che alcune prescrizioni previste dall’AI Act diventeranno applicabili prima della scadenza generale di 24 mesi dopo l’approvazione. L’attuazione delle azioni di conformità comporta la realizzazione di valutazioni preliminari relative, tra l’altro, al numero e alle caratteristiche dei sistemi di AI destinati a essere sviluppati, commercializzati e/o adottati e agli utilizzi previsti di tali sistemi (inclusi i rischi correlati). A questo proposito, sarà cruciale determinare, ad esempio, se i sistemi di AI presi in considerazione possano essere considerati soggetti a divieti, o se rientrano in scenari “ad alto rischio” o “discriminatori” ai sensi dell’AI Act, circostanze da cui possono derivare importanti requisiti di conformità.
Questa domanda si lega poi ad un altro interessante interrogativo: quanto spazio c’è per il potere normativo dell’UE in un settore così diversificato ed in crescita come quello dell’AI ed in particolare dell’AI generativa? Non è un segreto che i policymakers europei auspichino di replicare con l’AI Act il cosiddetto “Brussels effect” realizzato nel caso del regolamento GDPR, stabilendo quindi degli standard di compliance globali. Tuttavia, il settore AI pone delle difficoltà in più rispetto al settore della protezione dei dati. Ad esempio, sulla definizione di dati personali c’è molto più accordo di quanto non ve ne sia su quella di intelligenza artificiale. Nell’AI Act si è deciso di ricorrere alla definizione data dall’OECD, tuttavia molti esponenti del mondo AI Act non sono d’accordo a riguardo, ritenendola troppo ampia. Questo elemento, unito al fatto che, come accennato in precedenza, il settore AI è probabile possa rendere la legislazione obsoleta molto più in fretta del settore dei dati personali, creerà certamente un flusso di sentenze non indifferente riguardo all’interpretazione ed applicazione dell’AI Act.
Inoltre, considerando l’assenza di chiarezza nelle fasi iniziali, soprattutto nella definizione dei concetti legati all’azione umana e i confini della capacità di azione svolta dall’intelligenza artificiale, la problematica della regolamentazione è destinata a intensificarsi. Attualmente, l’AI Act può solo offrire un orientamento, rappresentando uno strumento in grado di delineare i limiti legali ed etici entro i quali l’industria può operare e evolversi. Tuttavia, nonostante l’AI Act rappresenti un significativo passo avanti per l’Unione Europea, rimane un passo modesto a livello globale, poiché le singole stanno nazioni adottando approcci diversi nei confronti di questa industria.
Infine, dato che il dichiarato obiettivo è stato fin dall’inizio quello di bilanciare innovazione e tutela dei diritti dei cittadini, ci si chiede quali misure intenda effettivamente adottare l’UE riguardo al primo punto. Al momento, infatti, non sono stati annunciati piani di investimento significativi nel settore, volti a sostenerne lo sviluppo e la competitività a livello mondiale. Si parla quindi molto di regole, ma quasi per niente di come incoraggiare la ricerca, la ritenzione dei talenti in ambito AI e il sostegno alle imprese nel far fronte ai costi di compliance. Un’occasione persa per ragionare in termini strategici e cercare di lavorare in sintonia anche con i più scettici.
Fonti:
https://ec.europa.eu/commission/presscorner/detail/en/qanda_21_1683
https://www.technologyreview.com/2023/12/11/1084849/why-the-eu-ai-act-was-so-hard-to-agree-on/
https://infotrust.com/articles/europes-ai-act/
https://www.ilpost.it/2023/12/09/ai-act-intelligenza-artificiale-unione-europea/