Che quello dell’Intelligenza Artificiale sia un tema estremamente dibattuto e delicato non è certo una novità, fin dagli esordi infatti questa tecnologia così affascinante e innovativa ma allo stesso tempo non esente da rischi, ha destato molti dubbi e perplessità sia per gli addetti ai lavori, sia per gli utilizzatori finali.

L’UE ha deciso quindi di passare ai fatti, stilando una vera e propria normativa – prima al mondo –  in grado di regolamentarne l’uso e l’abuso.

La proposta di legge, approvata lo scorso 14 giugno, si concentra principalmente sul rafforzamento delle norme relative alla qualità dei dati, alla trasparenza, alla supervisione umana e alla responsabilità. Inoltre prevede di affrontare le questioni etiche e le sfide di attuazione in vari settori, dalla sanità all’istruzione, dalla finanza all’energia.

Le norme stilate seguono infatti un approccio basato sul rischio e stabiliscono obblighi per i fornitori e per tutti coloro che impiegano sistemi di IA a seconda del livello di rischio che l’IA può generare.

Gli applicativi verranno infatti classificati per categorie di rischio e dovranno sottostare a rigorosi controlli.

Il livello di rischio massimo, stabilito dall’UE, è il “rischio inaccettabile” per la sicurezza delle persone, come ad esempio tutte le applicazioni utilizzate per il social scoring (classificazione delle persone in base al loro comportamento sociale o alle loro caratteristiche personali).

Il dibattito sul riconoscimento biometrico

Oggetto di forti discussioni è sicuramente il riconoscimento facciale, che con il nuovo testo viene definitivamente abolito in tutte le aree pubbliche, senza eccezione alcuna.

È stato infatti vietato per le IA qualunque uso intrusivo e discriminatorio, come:

• Identificazione biometrica remota “in tempo reale” e “a posteriori” in spazi accessibili al pubblico
• Sistemi di categorizzazione biometrica basati su caratteristiche sensibili (ad esempio genere, razza, etnia, cittadinanza, religione, orientamento politico)
• Sistemi di polizia predittiva (basati su profilazione, ubicazione o comportamenti criminali passati);
• Sistemi di riconoscimento delle emozioni utilizzati dalle forze dell’ordine, nella gestione delle frontiere, nel luogo di lavoro e negli istituti d’istruzione
• Estrazione non mirata di dati biometrici da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale

Cosa accadrà alle aziende?

«L’Europa regola soprattutto le aziende produttrici di IA e a cascata quelle che la usano; queste devono accertarsi al meglio con le informazioni a loro disposizione che i sistemi IA sviluppati dai produttori siano conformi alle regole europee».

Spiega Stefano da Empoli, presidente dell’istituto di ricerca I-Com.

«Il principale impatto sulle imprese sta nel meccanismo previsto dall’approccio basato sul rischio che rappresenta l’architrave principale del provvedimento. In primo luogo, escludendo i relativamente pochi casi di proibizione assoluta, le imprese devono sincerarsi se la componente IA dei prodotti che vogliono immettere sul mercato sia contenuta nella ben più nutrita lista delle applicazioni ad alto rischio. Se questo è il caso, occorre procedere ad una valutazione di conformità che può essere svolta internamente oppure da un soggetto terzo certificato.»

I prodotti che supereranno i test di valutazione richiesti dalla legge AI appariranno sul mercato con un marchio di conformità CE (fisico o virtuale).

Fondamentale però sarà il monitoraggio post-vendita per identificare eventuali criticità non previste o inizialmente sottovalutate. Nel caso in cui poi, il produttore dovesse apportare delle sostanziali modifiche alla componente IA dell’applicativo, sarà necessaria una rivalutazione della conformità, consentendo alle autorità nazionali la corretta valutazione del rischio.

Conclusioni

Parola d’ordine trasparenza dunque: fondamentale per le aziende coinvolte, specie quelle ad alto rischio, sarà instituire un processo strutturato di IA governance, modificando il processo di compliance interno all’azienda e adottando soluzioni tecnologiche in grado di soddisfare il requisito di trasparenza algoritmica, interoperabilità, cyber security e non discriminazione.