AI Act, scattano i primi divieti contro gli abusi dell’intelligenza artificiale

Una legge per regolamentare l’utilizzo dell’intelligenza artificiale generativa, con l’obiettivo di prevenire potenziali danni contro i diritti dei cittadini europei e la sicurezza pubblica. È la base su cui l’Unione Europea ha prodotto l’AI Act, la prima normativa al mondo a disciplinare l’uso di una tecnologia nuova e di cui si fatica ancora a riconoscere in pieno le potenzialità. Che possono rivelarsi dirompenti, ragione per cui le istituzioni europee hanno voluto porre un freno e prescrivere divieti e sanzioni per chi non rispetterà il codice di condotta. Domenica 2 febbraio sono scattati i primi divieti dell’AI Act, entrato in vigore negli stati membri lo scorso primo agosto 2024. Come in molti altri casi, anche stavolta siamo davanti a una direttiva comunitaria che dipana le sue norme in maniera graduale, così gli obblighi riguardano i modelli IA generici saranno applicati 12 mesi dopo l’entrata in vigore della legge, mentre devono passare 36 mesi prima che le regole valgano per i sistemi IA.

In cima alla lista dei divieti c’è il riconoscimento facciale, cioè l’impossibilità di sfruttare software IA per creare database con immagini pescate su Internet o tramite sistemi di videosorveglianza senza il consenso delle persone. Sono previsti, come eccezione, casi legati alla sicurezza (come contrasto a reati gravi), un campo ampio che già in fase di sviluppo della norma ha dato adito a critiche e polemiche, in quanto non è semplice definire i limiti intorno alla sfera della sicurezza personale e collettiva. Non è permesso utilizzare l’IA per classificare individui in base a caratteristiche biometriche sensibili, come razza, orientamento religioso o politico. Allo stesso tempo, è vietato il ricorso a sistemi IA che sfruttano tecniche per manipolare le persone, in particolare se i diretti interessati siano individui vulnerabili. Non si possono usare soluzioni IA neppure per prevedere crimini, considerando in maniera esclusiva i profili personali, così come non è concesso valutare i cittadini con punteggi stilati in relazione al rispettivo comportamento sociale (come avviene da anni in Cina). Con l’eccezione di motivi medico-sanitari per questioni psicologiche, non si può usare l’IA per riconoscere le emozioni sul luogo di lavoro e nelle istituzioni educative.

In linea generale, per le aziende che non rispettano quanto descritto, la norma prevede sanzioni pecuniarie fino a 35 milioni di euro o pari al 7% del fatturato annuo globale. Ogni Stato membro dell’UE deve istituire un’autorità di notifica e una di vigilanza del mercato, chiamate ad esercitare un potere indipendente per autorizzare gli enti preposti al controllo e a verificare che i sistemi IA in commercio rispettino le norme in vigore. L’Italia ha indicato nell’Agenzia per l’Italia Digitale (AgID) e nell’Agenzia per la Cybersicurezza Nazionale (ACN) i due enti impegnati a monitorare il campo. Alla prima spetta valutare la promozione e la conformità dei sistemi IA, mentre alla seconda tocca vigilare su quanto avviene, con tanto di ispezioni e sanzioni da far scontare ai trasgressori. Come già successo con il blocco provvisorio di ChatGpt prima e di DeepSeek più di recente, da noi un ruolo di primo piano è svolto anche dal Garante della Privacy. In ambito continentale, invece, è stato creato l’European AI Office, cui spetta diffondere le normative e monitorare i modelli IA. Seppur non ancora in vigore nella sua interezza per consentire alle aziende di adeguarsi al cambiamento, l’introduzione dei divieti è un primo passo per regolamentare l’utilizzo dei modelli IA, tenendo a mente che solo dal 2 agosto 2026 saranno applicate le norme sui sistemi IA ad alto rischio.