Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

La compagnia dei sistemi AI è partita: Entra in Vigore il Regolamento ‘AI ACT’!

Laura Lecchi : 11 Dicembre 2023 07:39

“A law to govern them all, one to find them, a law to bring them all and in the European Union to regulate them”. AI ACT e La Compagnia dei sistemi (Artificial Intelligence).

Oggi inizia per tutti in Europa la rivoluzione algoritmica: vengono alla luce le regole per sviluppare i futuri sistemi di AI. Le regole sono state approvate e sono ora contenute nel Regolamento europeo già battezzato come “AI ACT”. Questo provvedimento intende contenere le norme giuridiche che disciplineranno lo sviluppo, l’uso e la distribuzione dei sistemi di AI.

La compagnia dei sistemi di Intelligenza Artificiale

L’Unione Europea cerca da un lato di scongiurare il rischio di un algoritmic devide, per evitare quindi un divario di questo tipo, dall’altro di creare una convergenza di definizioni e un catalogo certo e aggiornato di tecniche e approcci specifici impiegati per sviluppare, che sia giuridicamente riconosciuto conforme.

SCONTO ESTREMO DEL 50% FINO AL 31 Dicembre sul corso Dark Web & Cyber Threat Intelligence in E-learning version

Il Dark Web e la Cyber Threat Intelligence rappresentano aree critiche per comprendere le minacce informatiche moderne. Tra ransomware, data breach e attività illecite, le organizzazioni devono affrontare sfide sempre più complesse per proteggere i propri dati e le infrastrutture. Il nostro corso “Dark Web & Cyber Threat Intelligence” ti guiderà attraverso i meccanismi e le strategie utilizzate dai criminali informatici, fornendoti competenze pratiche per monitorare, analizzare e anticipare le minacce.

Accedi alla pagina del corso condotto dall'Prof. Pietro Melillo sulla nostra Academy e segui l'anteprima gratuita.

Per un periodo limitato, potrai utilizzare il COUPON CTI-16253 che ti darà diritto ad uno sconto del 50% sul prezzo di copertina del corso
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765.

Promo Corso CTI

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Stabilire regole, individuare quali siano i vari sistemi AI, determinare i criteri per classificarli e sorvegliare: questo l’elenco dei punti salienti. Ma procediamo per punti per individuare lo scopo delle nuove norme che sintetizziamo qui di seguito con piccoli slogan:

  1. ADDIO ALLO SVILUPPO SENZA LIMITI: regolamentare la distribuzione e dunque l’immissione, la messa in servizio e l’uso dei sistemi AI: in altre parole vengono indicati modi, scopi, approcci tecnici per sviluppare un sistema AI “a norma”;
  2. DIVIETO DI SISTEMI AI PROIBITI: introdurre e stabilire quali siano le pratiche da ritenersi vietate e che conducono a considerare proibiti i sistemi AI che le applicano;
  3. SISTEMI AI AD ALTO RISCHIO CON REGOLE FERREE: rispettare i criteri imposti a chi produce sistemi  AI ad altro rischio: per poterli commercializzare si dovranno adempiere una serie di obblighi per i fornitori e le altre categorie di soggetti che contribuiscono alla distribuzione. Dunque addio sviluppo senza binari e regole. Se non sono rispettati gli obblighi il sistema di AI non può essere ritenuto conforme e come tale non solo non è conforme, ma non sarà neppure legittimo poterlo distribuire;
  4. REGOLE AD HOC per tutti quei sistemi AI diversi che provvedono ad effettuare il riconoscimento delle emozioni, la biometria che consenta la manipolazione di video, immagini e audio;
  5. PAROLA D’ORDINE CONTROLLO: provvedere a concepire e regolamentare un sistema di monitoraggio e di  sorveglianza per gli algoritmi di AI è uno degli obiettivi che il regolamento si prefigge.
  6. QUESTIONE DI DIRITTI FONDAMENTALI: prima di conoscere le “regole del gioco” che siano applicabili ai sistemi di intelligenza artificiale, è importante capire che dai “considerando” dell’AI Act, (i considerando motivano in modo conciso le norme essenziali dell’articolato), si ricava che scopo prevalente e preordinato per sviluppare  i sistemi di AI conformi debbano tenere presente i seguenti pillars:
    • diritto alla dignita’
    • diritto alla vita privata
    • diritto alla protezione dei dati personali
    • diritto alla vita familiare
    • diritto del consumatore
    • diritto del lavoratore
    • diritto alla non discriminazione
    • diritto al giudizio imparziale
    • diritto di difesa
    • diritto di presunzione di innocenza
    • diritto di tutela dei diritti dei disabili
    • diritto alla buona p.a.
    • liberta’ di espressione, di riunione e di associazione

Ne deriva che i sistemi AI che hanno un qualsiasi impatto su questi diritti si definiscono ad alto rischio.

Da questa considerazione importante nasce la volontà del legislatore europeo di determinare ed indicare una chiara classificazione dei sistemi AI da poter capire quale sia il tipo di sistema.

  • DIMMI CHE CRITERI HAI E TI DIRO’ CHE SISTEMA AI SEI: i criteri di distinzione per individuare i diversi sistemi sono i seguenti:
    • natura e modalità di funzionamento del sistema AI;
    • tipologia di prodotto (allegato II) ;
    • ambito sociale (allegato III);
    • ambito territoriale (art. 2);

Quali sono i sistemi AI ad alto rischio?

L’informatica ci insegna che questa tecnologia può avere una forma autonoma (stand alone), ma anche integrata (embedded), inoltre può, in relazione al tempo, produrre un output in tempo reale o a posteriori.

E’ ad alto rischio un sistema capace di incidere sui diritti fondamentali delle persone fisiche. In particolare l’AI ACT stabilisce che possono considerarsi ad alto rischio:

  1. Sistemi che costituiscono una componente per la sicurezza di prodotti di cui all’allegato II (soggetto a valutazione conformità): macchine, apparecchi e sistemi per atmosfera esplosiva, attrezzature per imbarcazioni da diporto, impianti fune e a combustione gas, apparecchi radio, giocattoli, ascensori, attrezzature a pressione dispositivi medici e diagnostici;
  2. Sistemi AI individuati per ambito ed elencati all’allegato III, ossia per:
    • Identificazione e categorizzazione dati biometrici;
    • Gestione e funzione di strutture critiche (per esempio, traffico stradale, forniture utenze primarie)
    • Occupazione e lavoro
    • Istruzione e formazione
    • Accesso ai servizi pubblici e privati essenziali (per esempio, affidabilità creditizia, emergenza primo soccorso)
    • Attività di contrasto
    • Attività migratorie
    • Amministrazione giustizia e processi democratici.

In uno schema ecco indicatori distintivi per sommi capi di cosa si possa intendere ad alto rischio:

L’AI Act è un regolamento europeo ma a chi si rivolge?

La risposta è che dovrà ritenersi applicabile se produttore, fornitore o distributore, o utente/fruitore sono in Europa.

Ma non basta.

Se l’output del sistema AI è disponibile e fruibile nella UE, anche se il produttore ha sede altrove, le norme dell’AI Act potranno ritenersi applicabili.

Questo l’inquadramento iniziale: il dettato normativo del regolamento intende fornire un sistema di regole senza precedenti, complesso e dettagliato che, by design, possa indicare l’impostazione e l’approccio da adottare nel corso dell’attività di sviluppo dovranno tassativamente riconoscere il valore e l’importanza dei diritti delle persone per garantire alla popolazione ed alla umanità stessa di restare al comando del governo dei sistemi che vengono progettati e realizzati, sorvegliando a garanzia della preservazione dei diritti del singolo e della collettività.

E chi viola le regole?

Ci sono diversi gradi di sanzione (molto severe!!), proporzionate al ruolo del trasgressore (fornitore, produttore, utente, ecc), la possibilità di bloccare o ritirare dal mercato gli algoritmi “illegali”.

La Compagnia dei Sistemi AI è appena partita, venite con noi!

Laura Lecchi
Senior Innovation Lawyer tra i primi giuristi pionieri in Italia ad occuparsi di IT Law e data Protection, oggi annovera fra le sue competenze legal nella cybersecurity, diritto delle tecnologie digitali ed emergenti IoT, sistemi esperti e robotica. E' convinta che adeguarsi alle norme non corrisponda a produrre carta, ma alla costruzione di processi specifici e aderenti alla realtà specifica. Solo attraverso la conoscenza della tecnologia si approda alla applicazione effettiva delle regole.