di Vincenzo La Cognata

Lo scorso giugno il Parlamento Europeo ha deciso di normare l’uso dell’Intelligenza Artificiale (IA) stilando il primo Regolamento in materia, l’AI ACT, con lo scopo di difendersi dallo sviluppo incontrollato dell’IA, ma non di ostacolarla. L’approvazione definitiva giungerà entro la fine dell’anno, per poi entrare in vigore in tutti i Paesi membri nel 2024.

Per la sua stesura sono stati valutati differenti approcci, tra i quali la realizzazione di una serie di regole valevoli per tutti e applicate con un approccio proporzionale al rischio. Questo perché i sistemi di IA vengono definiti, in base a quello che fanno, più o meno rischiosi. L’idea di fondo è che: i sistemi più rischiosi dovranno seguire leggi e obblighi maggiori; i meno rischiosi, invece, avranno un numero minore di obbligazioni.

Tutto questo farà capo ad un Codice di Condotta, che raccoglie le regole basilari che assicurano che non ci siano inganni o usi malevoli dell’IA. In questo caso l’UE si “fiderà” del buon senso e del comportamento tipico del buon padre di famiglia: non discriminare, non ingannare, essere trasparenti.

Sono stati individuati quattro differenti livelli di rischio:

• Low and minimal risk: IA utilizzata nei videogiochi, automatismi dei software (filtri antispam, correttori ortografici). In questi casi si applica il Codice di Condotta come indicato precedentemente.
• Limited risk: chatbot, assistenza clienti, analisi e riproduzione della voce, creazione di testi, immagini e video. In questo caso alle aziende è richiesta la massima trasparenza (devono fornire informazioni chiare sul loro sistema).
• High risk: in questo caso è richiesta la sottoscrizione alla totalità di obblighi previsti dalla legge. Parliamo di operazioni e compiti attualmente svolti dall’essere umano, ma che in futuro potrebbero essere eseguiti dall’IA. Alcuni esempi potrebbero essere il settore della giustizia o dell’istruzione. Le IA con rischio elevato possono avere risvolti importanti nella vita quotidiana degli esseri umani, quindi devono essere sicure al 100%.
• Unacceptable risk: si tratta di sistemi che possono violare la privacy e i diritti umani, o sistemi che possono fingersi umani per manipolare la gente (dark pattern AI).

Dati e supervisione umana sono aspetti sui quali porre molta attenzione. I dataset (insiemi di dati) utilizzati per allenare le intelligenze artificiali devono essere rilevanti, rappresentativi, completi e privi di errori. Riguardo alla supervisione umana, i sistemi devono essere facilmente controllabili, poiché è necessario che ci si possa rendere conto di possibili comportamenti anomali dell’IA.

L’AI ACT ha previsto anche organi di vigilanza e sanzioni nei confronti di chi non rispetti le sue regole. Nel caso di creazione di sistemi a rischio inaccettabile si può arrivare a multe di 30 milioni di euro o superiori, e fino a 20 milioni di euro se sono state fornite agli organi di vigilanza informazioni incomplete o false.

Ad ogni modo, la situazione al momento è molto complessa, poiché bisogna capire che implicazioni avrà per le aziende.

C’è chi non è d’accordo con l’applicazione di questo Regolamento, dato che i team ristretti che volessero portare avanti sistemi di IA complessi – visto che questi ricadrebbero tra le IA ad alto rischio – dovrebbero sostenere dei costi pesanti come previsto dalla legge. Ciò penalizzerebbe le aziende con risorse finanziare limitate a vantaggio delle multinazionali.

Nell’AI ACT troviamo anche implicazioni impattanti sul presente. Ad esempio, ad oggi è possibile sviluppare un IA e allenarla con un set di dati; in futuro le IA non potranno più contenere errori e dare informazioni inesatte, come nel caso del famoso ChatGPT. Lo spettro dell’inaffidabilità e dell’insicurezza potrebbe colpire molti progetti già affermati.

L’idea di fondo di questi organi di vigilanza e alla base di tutto l’AI ACT sarebbe quella di massimizzare l’efficacia, cioè velocità e competenza. Ma riusciamo davvero ad immaginare sistemi di controllo così efficaci?