L'Intelligenza Artificiale (IA) sta trasformando rapidamente vari settori, offrendo opportunità senza precedenti ma anche sfide significative. In particolare, le applicazioni ad alto rischio richiedono una regolamentazione rigorosa per garantire sicurezza, trasparenza e responsabilità. I soggetti interessati all'uso di questi sistemi dovranno ottemperare a una serie di obblighi stabiliti dal regolamento per assicurare un impiego etico e sicuro dell'IA.
Requisiti e obblighi per le applicazioni ad alto rischio
Le applicazioni di IA ad alto rischio includono sistemi utilizzati in ambiti come la sanità, la giustizia e la sicurezza pubblica, dove errori o abusi possono ledere non solo i diritti delle persone, ma anche la loro integrità fisica. Per queste applicazioni, l’AI Act impone obblighi stringenti. Innanzitutto, è necessario condurre una valutazione del rischio approfondita prima dell'implementazione. Questa valutazione deve considerare potenziali impatti negativi e prevedere misure per mitigarli.
Un altro obbligo fondamentale è la necessità di garantire la qualità e l'affidabilità dei dati utilizzati per addestrare i sistemi di IA. Dati inaccurati o parziali possono portare a risultati distorti, quindi i regolamenti richiedono che i dati siano accurati, completi e rappresentativi.
Inoltre, le organizzazioni devono implementare meccanismi di monitoraggio continuo per rilevare e correggere eventuali anomalie nel funzionamento dei sistemi di IA. Questo include la capacità di interrompere l'operatività del sistema in caso di malfunzionamenti gravi.
La trasparenza è un altro pilastro della governance dell'IA. Gli utenti e i soggetti interessati devono essere informati su come funzionano i sistemi di IA e su quali dati si basano. Ciò include la documentazione dettagliata dei processi decisionali e degli algoritmi utilizzati. La trasparenza è essenziale per costruire fiducia e per consentire la verifica indipendente del funzionamento dei sistemi.
Misure per garantire la responsabilità
La responsabilità, invece, implica che le organizzazioni e gli individui che sviluppano e implementano sistemi di IA siano tenuti a rispondere delle loro azioni. L'articolo 25 dell’AI Act, Responsabilità lungo la catena del valore dell'IA, non è tra i più lunghi e complessi del regolamento, ma riveste un ruolo centrale, per iniziare a capire “come fare AI” restando nei termini previsti dalla legge. In breve, l’articolo stabilisce specifiche responsabilità per fornitori, distributori, importatori, deployer e altri terzi che in qualche modo usano sistemi di intelligenza artificiale ad alto rischio per motivi professionali. Secondo questo articolo, questi attori possono essere considerati fornitori se:
a) Applicano il proprio nome o marchio su un sistema IA ad alto rischio già commercializzato o in uso, a meno che non vi sia un accordo contrattuale che assegni diversamente tali responsabilità;
b) Introducono modifiche sostanziali a un sistema IA ad alto rischio già sul mercato o in servizio;
c) Cambiano lo scopo di un sistema IA tale che, dopo tale modifica, esso venga classificato come ad alto rischio.
In tali circostanze, il fornitore originale non è più “il fornitore”, ma è tenuto a collaborare fornendo tutte le informazioni tecniche necessarie al nuovo fornitore. La responsabilità del fornitore originale cessa solo se ha esplicitamente dichiarato che il sistema non deve essere convertito in un sistema ad alto rischio.
Le implicazioni per i produttori e i deployer sono chiare: (i) se il sistema ad alto rischio è un componente essenziale di sicurezza incluso in uno dei prodotti elencati nell'allegato III che elenca quali siano i settori in cui l’uso di sistemi di IA sono da considerare ad alto rischio, (ii) se il prodotto è venduto insieme al sistema di AI, il produttore di tale prodotto è considerato il fornitore del sistema di IA e deve adempiere agli obblighi previsti dall'articolo 16, Obblighi dei fornitori dei sistemi di IA ad alto rischio. Al di là degli obblighi elencati, è fondamentale che ogni fornitore che fornisca strumenti, servizi o componenti integrati in un sistema di IA ad alto rischio stipuli un accordo scritto che specifichi chiaramente i rispettivi obblighi. Tali accordi devono proteggere i diritti di proprietà intellettuale e i segreti commerciali.
I deployer di sistemi di IA ad alto rischio, ossia coloro che in ogni modo li utilizzano a fini professionali, sono tenuti a implementare misure tecniche e organizzative adeguate per assicurarsi che l'uso dei sistemi sia conforme alle istruzioni previste. Innanzi tutto, i deployer devono condurre una valutazione d'Impatto che includa una descrizione dettagliata dei processi dove il sistema sarà utilizzato;, le misure di sorveglianza umana implementate; le strategie per mitigare i rischi identificati. Tale valutazione è obbligatoria per i deployer che operano nel settore dei servizi pubblici o che utilizzano sistemi ad alto rischio. Gli Stati membri possono, inoltre, adottare normative più restrittive riguardo l'uso dei sistemi di identificazione biometrica per assicurare una maggiore protezione dei diritti individuali e della privacy. A questo proposito il governo ha già presentato un disegno di legge che verrà a breve discusso in Parlamento.
Impatti sull'uso dell'IA in settori sensibili come sanità, giustizia e sicurezza
Nella sanità, l'IA può migliorare significativamente la diagnosi e il trattamento delle malattie. Tuttavia, errori nei sistemi di IA possono portare a diagnosi sbagliate o trattamenti inappropriati. Per questo motivo, il regolamento richiede che i sistemi di IA siano testati rigorosamente prima dell'uso clinico e che ci sia sempre un intervento umano nel processo decisionale.
Nel settore della giustizia, l'IA può essere utilizzata per valutare la probabilità di recidiva o per assistere nei processi decisionali giudiziari. Tuttavia, c'è il rischio di perpetuare bias e discriminazioni esistenti se i dati storici utilizzati per addestrare i modelli sono parziali o distorti. La legge sull’IAI, quindi, richiede che questi sistemi siano sviluppati e utilizzati in modo da minimizzare i bias e che ci sia una supervisione umana costante.
Per quanto riguarda la sicurezza, l'IA può aiutare a prevenire e rispondere a minacce, ma un malfunzionamento può avere conseguenze catastrofiche. I regolamenti impongono che i sistemi di IA in questo settore siano sottoposti a test rigorosi e a una sorveglianza continua per garantirne l'affidabilità e la sicurezza e comunque rispettino la privacy dei cittadini.