Le regole sull’intelligenza artificiale in Europa saranno leggermente diverse da quanto l’AI Act, in origine, non prospettasse. L’Unione Europea sta mettendo a punto alcune modifiche che incideranno sugli obblighi di compliance e sulle tempistiche, sia per i vendor sia per le aziende utenti e per i singoli cittadini. Come segnalato da Reuters e da altre testate, i negoziatori del Parlamento Europeo e i governi degli Stati membri hanno raggiunto un accordo preliminare sulle modifiche alla normativa, di cui si discute da tempo. L’iter approvativo non è finito, ma la direzione punta verso regole alleggerite e tempi più lunghi per l’adeguamento, mentre su uno specifico fenomeno – i deepfake – ci sarà un doveroso giro di vite.
L’Europa ha accettato un compromesso per assecondare le richieste di aziende vendor (non solo di informatica) sia europee sia statunitensi. Una quarantina di grandi imprese, tra cui Mistral AI, Airbus, Asml Holding, Mercedes-Benz e Siemens, hanno fatto squadra per chiedere di rimandare l’applicazione del regolamento per evitare di creare uno svantaggio competitivo per i soggetti europei che sviluppano, vendono o integrano l’AI nei propri prodotti e servizi. Big Tech come Google, Meta e OpenAI, invece, hanno contestato l’AI Act in quanto ostacolo all’innovazione (e ovviamente ai loro interessi).
Ai colossi statunitensi non piace il fatto di dover fornire, come prevede l’AI Act, la documentazione tecnica e l’elenco dei dati usati per l’addestramento dei modelli generalisti. C’è anche chi, come Meta, ha rifiutato di firmare il codice di condotta volontario dell’Europa sui modelli di intelligenza artificiale general-purpose, sostenendo ancora una volta che ostacolerebbe l’innovazione.
Cambiamenti e conferme per l’AI Act
Che cosa cambia e che cosa rimane, dunque, nell’AI Act riveduto e corretto? La normativa europea resterà, in ogni caso, più stringente rispetto a quelle di Stati Uniti e Cina, ma con alcune “concessioni” tese soprattutto ad aiutare le aziende utenti nell’adeguamento. Rimane confermata, innanzitutto, la logica di fondo: una classificazione delle tecnologie e dei casi d’uso in base a quattro livelli di rischio, cioè minimo o assente (non comporta obblighi o divieti), limitato (comporta obblighi di trasparenza), elevato (richiede una più stringente gestione del rischio, controlli sulla qualità dei dati e supervisione umana) e inaccettabile (divieto totale). Continuano a essere vietate, in quanto pongono un “rischio inaccettabile”, le pratiche di AI manipolatoria e i sistemi di social scoring.
Altra conferma, le sanzioni per la mancata compliance restano elevate. Cambiano, però, i tempi: nel testo originario, l’AI Act prevede un’entrata in vigore graduale già a partire dall’agosto quest’anno per i sistemi ad alto rischio (biometria, infrastrutture critiche, forze dell’ordine, alcune applicazioni del settore pubblico), ma le aziende del settore hanno chiesto un rinvio alla fine del 2027, che la Commissione Europea sta valutando. Sempre in merito ai sistemi a rischio elevato, è possibile che verranno allentati i requisiti prescrittivi e le modalità di accertamento della compliance.
Per quanto riguarda gli obblighi di trasparenza per i vendor sviluppatori di modelli di GenAI, una moratoria di un paio di anni potrebbe essere in vista. Si starebbe discutendo anche sulla possibilità di rimandare l’applicazione delle multe per mancata compliance. Sul tema della trasparenza, resta in piedi per chi li pubblica (utenti, editori, fonti media) l’obbligo di inserire un watermarking o altri escamotage che identifichino i contenuti generati dall’AI. I fornitori di servizi di GenAI, quindi, dovranno prevedere meccanismi che consentano di apporre questi “bollini”.
Verrà anche fatta una concessione sostanziale alle aziende del settore industriale, che saranno esentate dall’obbligo di conformità. Le imprese che si occupano di macchinari per il manifatturiero e per la sanità, robotica, automazione industriale non dovranno sottostare all’AI Act ma solo agli esistenti regolamenti di sicurezza di settore, i quali saranno però aggiornati alla luce dell’evoluzione tecnologica e dei nuovi rischi legati all’intelligenza artificiale.
Su un punto, dicevamo, l’AI Act diventerà più severo: le immagini, gli audio e i video deepfake, che come risaputo sono utilizzati per scopi malevoli che spaziano dalla disinformazione alla propaganda, dalle truffe alla pedopornografia e al revenge porn. Per arginare queste attività criminali, ci saranno i citati obblighi di watermarking e più chiari divieti sulle immagini sessualmente esplicite generate dall’AI senza consenso.