L’AI Act appena approvato dal parlamento UE ha dato il via al dibattito tra sostenitori e critici del provvedimento, entrambi consapevoli delle conseguenze di tale regolamentazione per noi cittadini e per le imprese europee.
Invece di concentrarci su cosa preveda la normativa, argomento già affrontato da Spindox Newsroom, cerchiamo di individuarne in questo articolo le principali criticità: Generative Purpose AI e Riconoscimento Biometrico delle forze dell’ordine.
Affronteremo qui il primo dei due principali punti critici del provvedimento, mentre nel prossimo articolo della serie tratteremo il secondo, riguardante il riconoscimento biometrico e il suo utilizzo da parte delle forze dell’ordine.
Artificial Intelligence e UE
Il 13 marzo 2024 è stato approvato l’Artificial Intelligence Act dal Parlamento Europeo, un primo e ampiamente dibattuto passo verso la regolamentazione delle nuove (e rivoluzionarie) applicazioni tecnologiche basate sull’utilizzo dell’AI.
L’Unione Europea ha da tempo recepito l’importanza strategica dell’Intelligenza Artificiale come strumento di sviluppo economico. Le applicazioni dell’AI sono innumerevoli e potenzialmente rivoluzionarie, non solamente in ambito tecnologico: tutti i settori dell’economia sono interessati infatti dal notevole progresso nelle attività di previsione, ottimizzazione e calcolo offerte dall’Intelligenza Artificiale.
Pur essendo stato votato dal parlamento, non si tratta ancora del testo definitivo: l’atto conclusivo non verrà promulgato prima di maggio 2024, dato che dovrà essere tradotto in 24 lingue e saranno necessarie correzioni per adattarlo alle normative nazionali.
Inoltre, entrerà in vigore ma diventa obbligatorio seguendo diversi step: 6 mesi per l’art. 5 sulle pratiche vietate, 1 anno per le norme sulle generative purpose AI, 36 mesi per le attività high risk e 24 mesi per gli altri livelli di rischio.
Tuttavia, lo scopo dell’AI Act, che riguarderà tutti i soggetti della catena del valore del software basato su tecnologia AI, dai fornitori (anche fuori da UE) ai distributori e agli importatori, è ben chiaro: assicurare la privacy e la sicurezza dei cittadini ma senza frenare l’innovazione.
Nonostante la buona volontà e le buone intenzioni dei rappresentanti in Unione Europea, ci sono almeno due grandi questioni che hanno suscitato, e continuano a suscitare, forte dibattito, oltre che qualche critica:
- Generative Purpose AI (ChatGTP e simili).
- Uso del riconoscimento biometrico in tempo reale da parte delle forze dell’ordine.
Concentriamoci per il momento sul primo punto.
Generative Purpose AI
Le Generative Purpose AI sono probabilmente le tecnologie più conosciute al grande pubblico, a partire dall’introduzione di ChatGPT di OpenAI.
La categoria che suscita maggiore attenzione è quella delle “foundation model”, ovvero i modelli informatici che, tramite l’addestramento di una grande quantità di dati, sono in grado di creare output nuovi e originali, dai contenuti testuali alle immagini realistiche e, infine, al deepfake.
A conferma del ruolo delicato giocato dalle GPAI, nel completare l’AI Act è stato deciso di normarle a parte.
Il regolatore europeo ha individuato due categorie di modelli GPAI: generici e sistemici. Questi ultimi in particolare sono dei modelli che, in virtù dei rischi sistemici che possono provocare a livello europeo, sono soggetti ad una regolamentazione più pervasiva rispetto a quelli generici.
Una delle prime criticità si è avuta proprio con la scelta di effettuare questa chiara distinzione tra modelli generici e sistemici: Francia e Germania, con un paper presentato nel novembre 2023, avevano proposto una sola categoria di foundation model, sostanzialmente soggetta all’autoregolamentazione degli operatori.
Questo approccio si scontrava con la posizione del Parlamento, favorevole invece ad una robusta regolamentazione, che poi nei fatti si è effettivamente realizzata. Cominciamo dunque a vedere le criticità presenti a livello di GPAI sistemici.
GPAI ad effetto sistemico
I modelli AI ad effetto sistemico sono stati così identificati:
“‘high-impact capabilities’ in general purpose AI models means capabilities that match or exceed the capabilities recorded in the most advanced general purpose AI models”.
I criteri indicati, come appare subito evidente, sono molto vaghi e generici. È prevista, cioè, una fin troppo ampia discrezionalità della Commissione Europea, identificata come unico attore autorizzato a interpretare la norma e darne attuazione pratica.
Il potere altamente discrezionale e dominante della Commissione Europea nell’ambito della governance complessiva dell’AI Act è stato da subito mal visto, non solamente dalle principali imprese e operatori del settore ma anche dagli stessi governi nazionali. Il sospetto infatti è che si voglia instradare, condizionare e dirigere le singole autorità nazionali verso il perseguimento delle finalità decise a livello europeo.
Come “contentino”, è stato concesso un parametro oggettivo al fine di stabilire se l’effetto sistemico ci sia effettivamente oppure no. È stato fissato infatti un livello minimo, basato sulla capacità computazionale del modello di AI, pari al momento attuale a 10 ^ 25 flop (il numero di operazioni in virgola eseguite in un secondo dalla CPU).
Nel caso in cui la capacità computazionale del modello AI superi il parametro fissato, automaticamente si rientra nel caso di GPAI ad effetto sistemico.
Si tratta tuttavia di una semplice presunzione, che è previsto infatti possa essere superata, sia in positivo che in negativo, a completa discrezione della stessa Commissione UE. D’altra parte, vi è convinzione diffusa che in futuro la potenza dei GPAI non dipenderà necessariamente dalla potenza di calcolo.
Generative Purpose AI generici
I Generative Purpose AI generici, banalmente, sono tutti quelli che non rientrano nella disciplina specifica dei sistemici.
Per i GPAI generici sono previste comunque delle prescrizioni.
Ci deve essere innanzitutto un requisito di trasparenza su come l’AI sia stata istruita, nonché sulla base di quali dati e/o informazioni.
Deve essere prevista in ogni caso una documentazione tecnica che renda comprensibile il loro funzionamento e vi è inoltre l’obbligo di prevedere una policy mirante al rispetto della normativa sul diritto d’autore, con alcune eccezioni per i software open source.
Non è stata presa invece una decisione definitiva sull’uso di dati soggetti a copyright, e se ciò possa comportare un obbligo di remunerazione per i detentori dei diritti, come richiesto a gran voce da alcuni di loro.
Sia per i GPAI sistemici che per quelli generici sono dunque evidenti le carenze dal punto di vista normativo: troppa discrezionalità della Commissione (GPAI sistemici) e genericità degli obblighi (sia per i generici che per i sistemici).
AI Act e copyright
Un ulteriore aspetto critico dell’AI Act è quello legato all’utilizzo dei dati protetti da copyright per il training del sistema AI.
L’Unione Europea, anche in questo caso, si è in larga parte, passando il termine, lavata le mani davanti al problema, richiamando semplicemente la normativa UE già presente sul Copyright (art. 3 e 4 della direttiva, operativa dal 2019).
Nell’articolo 3 la direttiva stabilisce che gli enti di ricerca possano usare i dati protetti senza chiedere alcun permesso, allorché l’utilizzo delle notizie e dei dati online sia necessario agli scopi della ricerca.
Secondo l’articolo 4, invece, nel caso di soggetto privato è possibile usare dati online a meno che non sia espressamente richiesto dal titolare di non rientrare tra le fonti del modello di AI.
Uno degli esempi più lampanti è quello delle notizie online (es. Google News) oppure dei blog sul web: le notizie e i dati, nonché gli stessi
articoli, possono essere pubblicati ai fini di ricerca ma anche utilizzati per il training di una AI.
Come è possibile, concretamente, negare il consenso? Nel caso degli articoli di un giornale, ad esempio, è possibile scrivere in fondo al testo la dicitura Riproduzione riservata ©. A seconda dei casi bisogna dunque operarsi attivamente per manifestare la propria volontà.
Chi istruisce l’AI (e utilizza i dati) deve in ogni caso fornire informazioni sul database utilizzato. Questo per far sapere a terzi, concretamente, se sono stati utilizzati i suoi dati oppure no.
Il trattamento del copyright si discosta sostanzialmente da quanto previsto negli Stati Uniti. Mentre in UE le eccezioni alle regole sono molto rigide e specifiche, in USA l’eccezione è aperta: qui vige infatti la dottrina del fair use, secondo la quale se usi dati senza averne diritto, ma senza eccedere alcuni paletti, puoi farlo.
Questa differenza di trattamento, unita al numero enormemente ridotto di norme rispetto all’Unione Europea, rappresenta un’altra spina nel fianco dell’AI Act, in quanto potrebbe generare una situazione oggettiva di svantaggio delle imprese, e della ricerca, europee rispetto alle omologhe statunitensi.
Regulatory Sandbox
Un ultimo aspetto critico dell’AI Act è costituito dal concetto di Regulatory Sandbox.
La legge sull’AI ha introdotto infatti la possibilità di partecipare a sandbox normativi sull’IA, ovvero ambienti, fisici o virtuali, controllati dalle autorità regolatorie in cui i sistemi di intelligenza artificiale possono essere testati per un periodo limitato di tempo e convalidati in conformità con la legge.
Lo scopo, apprezzabile, era quello di favorire le PMI nell’accesso alla tecnologia AI, rendendo possibile sperimentare e testare modelli con il beneficio di deroghe alle norme vigenti, senza il rischio dunque di infrangere le regole.
Il punto cruciale rimane tuttavia, come sottolineato da più parti, l’accessibilità di tali risorse. La vera questione è se questi sandbox saranno facilmente accessibili anche alle aziende più piccole e alle startup, non rimanendo dunque dominate esclusivamente dalle imprese multinazionali e dai big del settore tecnologico.
Garantire la parità di accesso alle tecnologie di intelligenza artificiale deve restare necessariamente una prerogativa fondamentale se vogliamo promuovere un’innovazione sana e benefica per tutti.
