Il nuovo Regolamento europeo sull’intelligenza artificiale 2024/1686 non si limita a stabilire ad indicare una serie di regole. L’AI Act introduce anche una classificazione dei sistemi di IA basata sui rischi connessi (risk based), utilizzando un approccio graduale, calibrato sulla pericolosità dei casi d’uso, e che si riflette concretamente sulle singole responsabilità di chi progetta, commercializza o utilizza queste nuove tecnologie. Comprendere a quale livello di rischio appartiene un sistema di intelligenza artificiale è fondamentale per identificare più facilmente gli i connessi obblighi ed evitare spiacevoli conseguenze. Il Regolamento IA
Rischio inaccettabile: i limiti da non superare – Le pratiche vietate (art. 5 del Regolamento IA)
In cima ad un’ipotetica rappresentazione a piramide dei rischi connessi con l’utilizzo dell’IA troviamo i sistemi a rischio inaccettabile. Essi corrispondono a pratiche e sistemi di IA vietati dal Regolamento IA senza eccezioni, perché ritenuti incompatibili con i valori europei, tra cui il rispetto delle libertà e diritti fondamentali, secondo una visione fortemente antropocentrica in cui al centro devono rimanere le persone e la loro capacità di mantenere il controllo anche sui sistemi di Intelligenza Artificiale.
Tra le pratiche vietate si annoverano senz’altro:
-le tecniche manipolative, subliminali o ingannevoli in grado di distorcere, ve ne sia consapevolezza, , il comportamento umano pregiudicandone la capacità di prendere una decisione informata; queste tecniche (vietate dall’art. 5 del Regolamento IA) hanno la capacità, quindi, di indurre a prendere una decisione che altrimenti non si sarebbero mai preso, provocandone un danno significativo;
– lo sfruttamento delle vulnerabilità connesse all’ età, alle condizioni economiche o alla presenza di disabilità, sempre al fine di condizionare il comportamento umano causando un danno;
– il così detto social scoring, ovvero trattamenti pregiudizievoli o sfavorevoli di persone in base a caratteristiche o comportamenti sociali (etnia, religione, orientamento sessuale) per attribuire un punteggio sociale;
– le tecniche di riconoscimento facciale che si basi su banche dati costituite mediante scraping non mirato di immagini faciali da internet o da filmati di telecamere a circuito chiuso;
– dedurre emozioni di una persona fisica nei luoghi di lavoro o negli istituti scolastici (tranne per quei sistemi di IA destinati ad essere immessi sul mercato per motivi medici o di sicurezza);
– classificare le persone in base ai loro dati biometrici.
Tra le eccezioni consentite, rammentiamo quella dell’identificazione biometrica remota in tempo reale per il contrasto al crimine in specifiche condizioni.
Rischio alto: serve rigore (e documentazione) (art. 6 del Regolamento IA)
Il secondo livello di rischio è quello “alto”. Si tratta di sistemi, tassativamente elencati dal Regolamento IA, che, pur non essendo vietati tout court, possono incidere negativamente sulla salute, la sicurezza, i diritti fondamentali o l’ambiente. Sono ammessi nel mercato europeo solo se rispettano una serie di requisiti molto precisi.
Rientrano in questa categoria sia sistemi integrati in prodotti già regolamentati (come dispositivi medici o veicoli), sia soluzioni autonome impiegate in ambiti delicati: infrastrutture critiche, istruzione, lavoro, accesso a servizi pubblici o finanziari, forze dell’ordine, giustizia, gestione delle frontiere. Anche sistemi biometrici o di riconoscimento delle emozioni, se non vietati in modo assoluto, possono rientrare in questa tipologia a cui il Regolamento IA dedica numerose e dettagliate previsioni, anche negli allegati. Chi sviluppa o utilizza IA ad alto rischio deve attivarsi: valutazione di conformità, gestione del rischio, tracciabilità, sorveglianza post-commercializzazione e molto altro. E soprattutto: è fondamentale la gestione e conservazione di una documentazione accurata che, nell’ottica dell’accountability, deve essere pronta per essere esaminata dalle autorità competenti. Il Regolamento IA dedica particolare attenzione ai sistemi di gestione della qualità, oltre che ai sistemi di gestione dei rischi, per i fornitori di sistemi di IA al fine di garantire la conformità al Regolamento stesso. È prevista, ovviamente, l’integrazione con sistemi di gestione qualità già esistenti.
Rischio limitato: attenzione alla trasparenza
Non tutti i sistemi di IA sono pericolosi. Tuttavia, anche quelli che presentano un rischio considerato “limitato” – come chatbot o strumenti generativi – devono rispettare alcune regole, in particolare sulla trasparenza. Chi interagisce con un sistema di IA deve saperlo ed essere informato. I contenuti generati (testi, immagini, video) devono essere etichettati in modo leggibile per le macchine, e i deepfake vanno segnalati chiaramente. Questo vale anche per i fornitori di modelli di IA generativa: se il contenuto può indurre in errore, è necessario mettere in guardia l’utilizzatore finale. È una forma di rispetto per l’utente, ma anche un requisito normativo. Rammentiamo che, in ogni caso, qualunque sia la tipologia di sistema di IA prodotto e/o utilizzato, andrà garantita la conformità ad una serie di normative tra cui la privacy, quella sul copyright e la tutela dei consumatori, solo per citarne alcune.
Rischio minimo: niente obblighi, ma attenzione ai principi
Infine, ci sono i sistemi di IA a rischio minimo, come filtri antispam o motori di raccomandazione generici. Non sono previsti obblighi specifici, ma il Regolamento incoraggia comunque il rispetto di principi generali: supervisione umana, non discriminazione, correttezza. Sottovalutarli sarebbe un errore. Anche questi sistemi, se usati in modo improprio, possono produrre effetti negativi. Prevenire, anche in questo caso, è un atteggiamento vincente.
Una classificazione dinamica: il caso dei GPAI
Un discorso a parte meritano i modelli di IA a uso generale (GPAI), come quelli su cui si basano molte applicazioni generative. Qui l’attenzione si sposta dal singolo utilizzo alle caratteristiche del modello stesso. Se il modello di IA è molto potente e presenta rischi sistemici, scatteranno obblighi più severi in termini di trasparenza, documentazione e responsabilità condivisa con chi lo utilizza in applicazioni ad alto rischio.
È una novità che cambia le regole del gioco per molti sviluppatori. Anche i modelli open-source possono essere esclusi da certi obblighi – ma solo se restano lontani da ambiti vietati o pericolosi.
Oltre la conformità: una bussola per orientarsi
La classificazione per livelli di rischio non è solo un vincolo. È anche un’opportunità per riflettere sull’impatto delle tecnologie che sviluppiamo o utilizziamo. Per anticipare problemi, proteggere le persone, e costruire soluzioni più affidabili. Perché, in fondo, sapere dove ci si colloca nella mappa dei rischi è il primo passo per muoversi in sicurezza nel nuovo ecosistema europeo dell’IA.
Avv. Grazia Quacquarelli, dott. Diego Gonzalez – Studio legale Caporale Carbone Giuffrè Strano
