AI Act: in vigore i divieti e adottate le Linee Guida dalla Commissione UE
AI Act: in vigore i divieti e adottate le Linee Guida dalla Commissione UE
A cura di Avv. Riccardo Piselli, Avv. Tania Rea
INDICE
- Applicazione delle disposizioni
- Le Linee Guida
- I divieti previsti
- Principali categorie di pratiche vietate
- Conclusione
Come noto, l’AI Act è entrato in vigore il 2 agosto 2024: il Regolamento europeo 2024/1689 che disciplina lo sviluppo, la fornitura e l’uso di sistemi di intelligenza artificiale in tutta Europa.
Si rammenta che la definizione di «sistema di AI» è quella proposta dall’OCSE: restano quindi esclusi i software tradizionali più semplici e gli approcci di programmazione.
Peraltro, il Regolamento classifica i sistemi di AI in base al rischio che potrebbe derivare dal loro utilizzo, graduando di conseguenza requisiti e obblighi e prevede un livello orizzontale di protezione degli utenti, con una scala di rischio per regolamentare le applicazioni di intelligenza artificiale su quattro livelli: minimo, limitato, alto e inaccettabile.
Applicazione delle disposizioni che il Regolamento prevede
Si segnala che il Regolamento prevede un’applicazione graduale delle sue disposizioni. Infatti, le regole riguardanti i sistemi di AI di uso generale diverranno applicabili da agosto 2025, mentre la parte principale, incluse le norme sui sistemi ad alto rischio, diverranno applicabili dal 2 agosto 2026.
Tuttavia proprio dal 2 febbraio 2025 sono diventate operative due gruppi di disposizioni chiave:
- i divieti relativi a determinate pratiche di AI (cfr. art. 5)
- i requisiti in materia di Alfabetizzazione in materia di AI (cfr. art. 4).
Questa prima fase richiede un’attenzione particolare da parte delle organizzazioni, che dovranno adeguare i propri processi al fine di garantire la conformità ed evitare le pesanti sanzioni previste dal Regolamento AI.
Le Linee Guida
In siffatto contesto si inseriscono le Linee Guida approvate – ma non formalmente adottate – dalla Commissione Europea lo scorso 4 febbraio. Questo documento, pur non avendo carattere vincolante, caratteristica riservata alla CGUE, fornisce indicazioni essenziali per l’interpretazione e l’applicazione sulle pratiche vietate.
Le predette Linee Guida offrono un quadro chiaro per le imprese, suggerendo modelli di compliance e strategie contrattuali volte a garantire che i sistemi di AI non vengano utilizzati per finalità vietate.
I divieti previsti
In particolare, il focus principale dei divieti previsti è la protezione dei diritti fondamentali e dell’autonomia decisionale degli individui, prevenendo usi manipolatori, ingannevoli o discriminatori dell’intelligenza artificiale.
Per quanto concerne il mancato rispetto del divieto delle pratiche di cui all’art. 5 dell’AI Act, le prime a trovare applicazione poiché ritenute troppo rischiose e quindi vietate dal Legislatore, è previsto il più alto tetto sanzionatorio dell’AI Act, con multe fino ad un massimo di 35.000.000 €, o il 7% del fatturato annuo mondiale totale dell’anno finanziario precedente, a seconda di quale sia maggiore.
Principali categorie di pratiche vietate
Di seguito, le principali categorie di pratiche vietate che vengono in rilievo.
- Tecniche di manipolazione subliminale o ingannevoli
Si tratta di sistemi di AI progettati per manipolare il comportamento delle persone oltre la loro consapevolezza. Un esempio concreto è un’app di shopping online che utilizza modelli di AI per identificare e sfruttare momenti di vulnerabilità emotiva dell’utente per indurre ad acquisti “compulsivi”.
- Sfruttamento delle vulnerabilità
Si tratta di sistemi di AI progettati per sfruttare la vulnerabilità legata a età, disabilità o condizione socio-economica. Un caso tipico sarebbe un sistema che identifica anziani con deficit cognitivi attraverso l’analisi delle loro interazioni digitali per proporre prodotti finanziari complessi.
- Sistemi di social scoring
Si tratta di sistemi di AI che valutano le persone sulla base di comportamenti sociali o caratteristiche personali. Un esempio è il rifiuto di un prestito basato esclusivamente su un “punteggio sociale” generato dall’AI ottenuto dai dati dei social media.
- Identificazione biometrica in tempo reale
Si tratta di sistemi AI che prevedono l’identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico per finalità di contrasto, salvo specifiche eccezioni per la sicurezza pubblica, previa autorizzazione. Un esempio è la scansione facciale “live” per identificare persone in spazi pubblici, la quale è consentita solo in casi strettamente necessari, come la ricerca di un bambino scomparso o la prevenzione di una minaccia terroristica imminente, con previa autorizzazione da parte di un’autorità giudiziaria o indipendente.
- Valutazioni di rischio relative a persone fisiche
Si tratta di sistemi di AI finalizzati ad analizzare e valutare il rischio che una persona commetta un reato, unicamente sulla base della profilazione o della valutazione dei tratti e delle caratteristiche della personalità. Un esempio è un sistema che prevede la probabilità che una persona commetta un crimine basandosi esclusivamente su caratteristiche della personalità o su profili comportamentali.
- Categorizzazione biometrica basata su dati sensibili
Si tratta di sistemi di AI finalizzati alla categorizzazione biometrica per dedurre caratteristiche sensibili, come orientamento sessuale, convinzioni religiose o opinioni politiche. Un esempio è l’uso di dati biometrici quali particolari tratti somatici specifici di popolazioni provenienti da una determinata area geografica per dedurne la religione.
Conclusione
In conclusione, l’iniziativa della Commissione sottolinea l’impegno dell’UE a promuovere un panorama uniforme circa l’applicazione coerente ed efficace della legge sull’AI in tutti gli Stati membri.
