Dal 2 febbraio sono diventati effettivi i primi divieti dell’AI Act dell’Unione Europea entrato in vigore il 1° agosto 2024.

L’AI Act è la prima legge al mondo per la regolamentazione dell’Intelligenza Artificiale che segue un approccio basato sul rischio, quindi sulla possibilità che queste tecnologie possano causare danni agli interessi pubblici e ai diritti fondamentali tutelati nell'UE.

Oggi entra ufficialmente in vigore l’AI Act dell’Unione Europea. La prima legge al mondo sulle IA

Vai all'approfondimento

L’AI Act è una cosiddetta legge a implementazione graduale, che consente cioè una transizione più agevole e un adattamento progressivo per chi deve rispettarla.

I divieti riguardanti le IA, diventati effettivi il 2 febbraio, fanno parte del primo scaglione, a 6 mesi dall’entrata in vigore della legge. Le regole di governance e gli obblighi per i modelli di IA generici si applicheranno dopo 12 mesi, e le regole per i sistemi di IA - incorporati in prodotti regolamentati - si applicheranno invece dopo 36 mesi.

Quali sono i divieti nell'uso delle IA

Per quanto riguarda i divieti diventati effettivi, l'AI Act proibisce diverse pratiche IA che sono considerate a rischio inaccettabile per i diritti fondamentali e la sicurezza degli individui. Vediamo quali sono:

Sistemi di riconoscimento facciale: Proibito l'uso di IA per creare database di riconoscimento facciale attraverso lo scraping di immagini da internet o da sistemi di videosorveglianza (CCTV) senza consenso.

Ma possono essere usati in contesti specifici, per esempio per finalità di contrasto a reati gravi o per il controllo delle frontiere, e sempre sotto supervisione giuridica.

Manipolazione del comportamento: Proibiti i sistemi IA che utilizzano tecniche subliminali o manipolative per alterare il comportamento umano, specialmente se sfruttano le vulnerabilità degli individui.

Categorizzazione biometrica: Vietato l'uso di IA per categorizzare le persone in base a caratteristiche biometriche sensibili come razza, orientamento politico o religioso.

Il riconoscimento facciale o altre forme di identificazione biometrica possono essere comunque utilizzati per la verifica dell’identità in situazioni in cui vi sia un interesse legittimo, per esempio per l’accesso a servizi finanziari o a sistemi di controllo degli accessi, purché vengano rispettati standard di sicurezza, trasparenza e tutela della privacy.

Policing predittivo: Proibito l'uso di IA per prevedere il comportamento criminale basandosi solo sul profilo o sulle caratteristiche personali di un individuo.

Riconoscimento delle emozioni: Proibito l'uso di IA per riconoscere le emozioni nei luoghi di lavoro o nelle istituzioni educative.

Fanno eccezione i motivi medici, per esempio in ambito clinico o terapeutico, l’utilizzo di tecnologie che rilevano le emozioni può essere impiegato per monitorare lo stato emotivo o psicologico dei pazienti.

L’utilizzo del riconoscimento tramite IA potrebbe essere ammesso nei casi in cui la capacità di rilevare segnali emotivi possa prevenire situazioni di rischio, per esempio per rilevare comportamenti estremi o segnali di crisi in ambienti in cui la sicurezza fisica è in gioco. Anche in questo caso per l’eccezione è richiesta l’adozione di adeguate salvaguardie e trasparenza.

Social scoring: Vietato l'uso di IA per valutare o classificare le persone in base al loro comportamento sociale.

Quali sono le sensazioni e chi deve far rispettare i divieti

Il mancato rispetto di questi divieti può comportare multe fino a 35 milioni di euro o il 7% del fatturato annuo totale mondiale di un'azienda, a seconda di quale sia maggiore. Per violazioni meno gravi, come fornire informazioni errate o fuorvianti alle autorità, le multe possono arrivare a 7,5 milioni di euro o all'1% del fatturato annuo.

Per quanto riguarda il controllo sul rispetto dei divieti e dell’AI Act in generale, gli organi che se ne occuperanno sono soprattutto l’AI Office, istituito all'interno della Commissione Europea, che avrà un ruolo centrale nel monitoraggio e nella supervisione dei modelli AI di uso generale; e le National Competent Authorities (NCA), ovverosia le autorità all’interno di ogni Stato membro che devono far rispettare l’AI Act a livello nazionale.

L’Italia, con il disegno di legge n. 1146 di aprile 2024, ha proposto l’Agenzia per l’Italia Digitale (AgID) e l’Agenzia per la Cybersicurezza Nazionale (ACN).

L’AgID sarà responsabile della promozione, definizione delle procedure e della notifica per la conformità dei sistemi di IA; mentre l’ACN avrà il compito di vigilanza, comprese le attività ispettive e sanzionatorie, in materia di IA.

Gli Stati membri hanno tempo fino al 2 agosto di quest’anno per nominare le proprie NCA.