Multe fino a 35 mln o 7% fatturato; guai a identificazioni biometriche

Entrano in vigore da oggi, sabato 2 agosto, le sanzioni previste dal regolamento europeo conosciuto come AI Act. Per chi fa uso di sistemi di intelligenza artificiale considerati ad alto rischio, significa avere sulla testa una spada di Damocle che può arrivare fino a 35 milioni di euro (o il 7% del fatturato) come multa.

Sanzioni di questa portata “possono determinare la fine di una qualunque impresa anche di grande dimensioni”, avverte l’avvocato Roberto Sammarchi, specialista in diritto dell’informazione e comunicazione digitale, consulente della società bolognese Ex Machina Italia. Per questo, sottolinea Sammarchi parlando alla ‘Dire’, “c’è un tema di rilevante preoccupazione, ma anche fiducia in una gradualità e in un senso di prudenza nell’applicare i controlli e le sanzioni”.

Con la legge europea sull’intelligenza artificiale, approvata nella primavera 2024, la Ue è stata la prima al mondo a dotarsi di una normativa in materia. Un testo piuttosto complesso, di 145 pagine, che tra le altre cose “rompe il principio della neutralità tecnologica”, sottolinea Sammarchi. Vale a dire “non solo regola, ma definisce anche le tecnologie: entra nel merito su cosa è intelligenza artificiale e cosa no”.

Lo stesso regolamento europeo indica i sistemi di Ia ai quali si applica. Ad esempio, sono vietate le tecnologie per l’identificazione biometrica in spazi pubblici, così come sono considerati inaccettabili “sistemi che esercitano un controllo subliminale e che possono essere destinati al cosiddetto social scoring, quindi ad attività discriminatorie”, spiega Sammarchi. Ci sono però anche delle distorsioni.

“L’intelligenza artificiale può anche salvare vite umane- sottolinea il giurista- ma la norma europea considera questi stessi sistemi un rischio e non uno strumento per gestire il rischio”.

Quindi, ad esempio, i sistemi per la sicurezza sul lavoro che utilizzano l’Ia “vengono individuati come ad alto rischio, quindi sono sottoposti a forte regolazione e hanno alti costi”, segnala Sammarchi.

Come riassume Mariagrazia Argentieri di Ex Machina, sulla base delle norme contenute nell’AI Act “è un attimo passare da rischio limitato a rischio alto. Anche un sistema per le risorse umane può essere considerato a rischio se valuta i curriculum e seleziona le persone, escludendone alcune.

Ma se voglio usare l’intelligenza artificiale per categorizzare le persone in base alle loro competenze, questo invece viene considerato a rischio limitato”. In poche parole, afferma Argentieri, “bisogna capire l’obiettivo e stare attenti alla narrazione”, perché l’uso di determinate parole nella definizione di un progetto o di un modello di Ia fa scattare diverse categorie di rischio. E quindi per le imprese, che in base alla legge europea hanno anche l’obbligo di alfabetizzazione, “c’è un compito fondamentale anche degli esperti di comunicazione”.

Una prima parte dell’AI Act è entrata in vigore in Italia lo scorso 2 febbraio, per cui organizzazioni e imprese che utilizzano l’intelligenza artificiale dovrebbero già essersi dotate di procedure per valutare il rischio e identificare quali pratiche non possono essere iniziate o proseguite. “Questi adempimenti però sono passati un po’ sotto silenzio, non se n’è parlato tanto- rileva Sammarchi- e adesso c’è il secondo passaggio di applicazione del regolamento”.

Dal 2 agosto, con l’entrata in vigore delle sanzioni, le autorità nazionali sono infatti obbligate ad attivare anche i controlli. In Italia il disegno di legge delega al Governo in materia, attualmente al Senato, dovrebbe essere approvato intorno alla metà di settembre. Ma già sono state individuate l’Agenzia nazionale per la cybersicurezza e l’Agenzia Italia digitale come autorità di controllo.

A loro si affiancheranno anche altri soggetti che hanno funzione di vigilanza in settori specifici, come ad esempio la Consob, che estenderanno le loro competenze anche sull’Ia. In questo quadro conserverà comunque un ruolo centrale il Garante della privacy, per le implicazioni che ha l’intelligenza artificiale rispetto ai dati sensibili. E’ quindi “uno scenario di enorme complessità- sottolinea Sammarchi- è positivo non venga creata una nuova authority dedicata, ma questa costellazione di soggetti renderà difficile l’attività di controllo”.

Oltre alle sanzioni, dal 2 agosto scattano anche gli obblighi di documentazione, trasparenza e monitoraggio per tutti coloro che utilizzano o sviluppano sistemi di GPAI, ossia di intelligenza artificiale con finalità generali (come ad esempio i modelli linguistici).

E qui nasce un altro “enorme problema”, avverte il giurista, perché questi sistemi sono creati “per lo più Oltreoceano”, dove naturalmente le regole europee non si applicano. E quindi, pronostica Sammarchi, verrà rilasciata “una graduale e limitata documentazione da parte dei grandi player, e ce la dovremo far bastare.

Ma con questo inferno regolatorio- afferma il giurista- siamo comunque esposti e sarà nostro onere verso clienti e come utilizzatori europei avere un’informazione completa. Questa sarà la grande sfida”.

Anche perché l’alternativa è “impedire che i provider americani operino in Europa- segnala Sammarchi- ma di questa tecnologia abbiamo bisogno e mi sembra comunque complicato nell’ambito della trattativa dei dazi e degli accordi commerciali” tra Usa e Ue. Il rischio però è che si finisca per “morire di regolamenti in Europa su una tecnologia non europea. Ed è un paradosso”, ragiona l’esperto.

Sarebbe quindi utile avere a livello europeo “uno strato di soggetti che sviluppano competenze su Ia e creano valore in Europa. Non solo grandi player europei, anche medi e piccoli. Serve una vera e propria catena del valore che assicuri la sovranità tecnologica, l’unica via per avere anche il controllo”. E a questo naturalmente si lega anche un “enorme problema politico riguardante il governo di questa tecnologia”, rimarca il giurista.

Sullo sfondo, sottolinea infatti rileva Sammarchi, “resta un grande senso di preoccupazione” anche per quanto riguarda la sicurezza dei dati. “C’è un grave problema di fiducia- spiega l’esperto- perché un’impresa che inizia propri progetti che contengono segreti industriali, avvalendosi di tecnologie su cui non c’è controllo, ha grande cautela. Anche per questo sono fondamentali i player intermedi a livello europeo”.

Il problema della governance dei dati “è quello più sentito dalle imprese- conferma Argentieri- è la preoccupazione più grande”. Per questo, “sempre più aziende sono interessate a soluzioni che limitano il rischio sui dati”. Ad esempio “chiedono sistemi di LLM che restano in casa per tenere i dati protetti: li acquistano, li installano e così non interrogano più i grandi provider”. In poche parole, chiosa Argentieri, “le aziende non si vogliono bloccare, ma i problemi normativi restano”.