Martedì 8 Ottobre 2024
GIORGIO COSTA
Economia

Intelligenza artificiale, cosa dice l’AI act della Ue: vietati gli strumenti di riconoscimento biometrico sul lavoro

Requisiti, obblighi e paletti per sviluppatori e utenti. Negli ambienti lavorativi proibito l’utilizzo dell’IA per il riconoscimento delle caratteristiche cognitivo-comportamentali. No alle pratiche di polizia predittiva. I punti di forza della prima regolamentazione al mondo sull’intelligenza artificiale e le lacune

Un uomo si sottopone allo scan dell'iride

Un uomo si sottopone allo scan dell'iride

Strasburgo, 11 aprile 2024 – Il Parlamento europeo ha recentemente approvato il cosiddetto AI Act, la prima legislazione al mondo che si occupa di regolare l’Artificial Intelligence, battendo sul tempo le altre grandi potenze globali. Le norme dell’AI Act si applicano: a) ai fornitori di sistemi di AI, indipendentemente dal fatto che siano stabiliti nell’Unione oppure in un paese terzo; b) agli utenti dei sistemi di AI stabiliti nell’Unione; e c) ai fornitori ed utenti dei sistemi di AI stabiliti in un paese terzo al di fuori dell’Unione, nella misura in cui detti sistemi interessino le persone situate nell’Unione. Agli sviluppatori e agli operatori dell’intelligenza artificiale vengono indicati requisiti e obblighi chiari per quanto riguarda gli usi specifici sulla base dei possibili rischi e del livello d’impatto. Il regolamento fissa anche dei paletti, limitando l’uso dei sistemi di identificazione biometrica da parte delle forze dell’ordine. Ad esempio, sono vietate le applicazioni pericolose per i cittadini come i sistemi di categorizzazione biometrica che fanno riferimento a dati personali sensibili, come il credo religioso, l’orientamento politico o sessuale, e l’estrapolazione di immagini facciali da internet o dai sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale. Saranno vietati anche i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole, le pratiche di polizia predittiva. Ma le forze dell’ordine potranno fare ricorso al riconoscimento biometrico da remoto in tempo reale per la ricerca di persone scomparse o per la prevenzione di attacchi terroristici. “Ciò significa che i sistemi di AI sviluppati, ad esempio, negli Stati Uniti oppure in Cina potranno essere utilizzati e commercializzati sul territorio UE solo se conformi alla disciplina comunitaria - spiega Antonio Gerardo Giso, Associate e responsabile del Dipartimento Privacy IT e Cybersecurity di Lexant SBtA – mentre l’AI Act, invece, non si applica ai sistemi sviluppati ovvero utilizzati esclusivamente per finalità militari o di ricerca”. Un secondo profilo di novità è costituito dall’approccio c.d. risk-based che permea l’intera disciplina: si prevede un diverso trattamento giuridico dei sistemi a seconda dei rischi potenziali per i diritti fondamentali degli individui. In particolare, si distinguono le seguenti categorie: sistemi vietati (salvo eccezioni) in ragione dei rischi inaccettabili che possono comportare; sistemi ad alto rischio, per i quali si prevede una procedura di verifica di conformità a determinati requisiti di affidabilità; sistemi a basso o minimo rischio, per i quali è prevista la libera circolazione nel mercato, salvi alcuni obblighi di informazione che possono essere stabiliti a garanzia dell’utente finale. “Il testo dedica particolare attenzione ai sistemi cosiddetti ad alto rischio, presumibilmente quelli a maggiore diffusione, stabilendo - spiega Antonio Gerardo Giso - che dovrà essere fissato, implementato, documentato e mantenuto un sistema di gestione del rischio per identificare i rischi e adottare azioni di mitigazione durante l’intero ciclo di vita del sistema, eseguendo anche test per comprendere il funzionamento del modello in condizioni reali”. Ne consegue, conclude Gerardo Giso, che “l’AI Act rappresenta il testo normativo più avanzato al mondo in tema di intelligenza artificiale, proponendosi di rimodulare il perimetro del tecnicamente possibile sulla base di quello che si ritiene giuridicamente ed eticamente accettabile. E mentre il resto del mondo rimane a guardare, l’Unione Europea ha battuto un colpo”. L'innovazione tecnologica, non deve dimenticare di tutelare l'individuo da potenziali abusi e danni derivanti dall'uso dell'AI. “Gli esempi del passato mostrano che l'approccio basato sul rischio – spiega Aurora Agostini, Counsel di Lexia - possa indurre significative modifiche o addirittura il ritiro dal mercato di sistemi AI problematici, prefigurando come l'AI Act potrebbe incentivare un'innovazione più responsabile e attenta ai rischi. Infatti, ci sono già stati diversi casi che illustrano come l'approccio basato sul rischio possa influenzare lo sviluppo, il deployment e la regolamentazione dei sistemi di intelligenza artificiale: diverse città e organizzazioni in tutto il mondo hanno limitato o vietato l'uso dei sistemi di riconoscimento facciale a causa di preoccupazioni legate alla privacy, alla sorveglianza di massa e all’origine razziale; software di reclutamento di candidati sono stati modificati o rimossi per via di valutazioni basate sull’etnia o il genere che possono causare discriminazioni; alcune implementazioni di chatbots sono state modificate o ritirate dopo che si sono dimostrate in grado di generare risposte inappropriate, offensive o discriminatorie”. Di fatto, il Regolamento istituisce, per le imprese produttrici e utilizzatrici di sistemi di IA, un variegato ventaglio di obblighi di trasparenza e standard di comportamento, la cui violazione comporterà solamente l’irrogazione di sanzioni amministrative pecuniarie, il cui ammontare dovrà essere individuato dai singoli Stati Membri, all’interno dei parametri individuati dal regolamento stesso. “Non può che essere evidenziato, quindi, che l’IA Act pur rappresentando un’incredibile pietra miliare nella regolamentazione dell’intelligenza artificiale, difetta – spiega Andrea Puccio, Founding Partner dello studio legale Puccio Penalisti Associati - di disciplinare gli aspetti legati alla responsabilità penale, che risulta quindi la grande esclusa del provvedimento eurounitario. Questo mancato intervento del legislatore europeo lascia senza risposta i quesiti recentemente sorti in materia di responsabilità di produttori e utilizzatori di queste tecnologie, dando luogo a una lacuna normativa non sempre facilmente colmabile attraverso il semplice ricorso agli istituti tipici del “diritto penale della persona”. In determinati casi, infatti, potrebbe non risultare affatto agevole per gli interpreti del diritto individuare le responsabilità del fornitore nonché dell’utilizzatore delle macchine intelligenti per i reati da queste commessi o agevolati, alla luce dell’elevato grado di autonomia di cui godono le più recenti tipologie di AI. Il Regolamento avrà un impatto anche nel mondo del lavoro ed i datori di lavoro saranno tenuti ad adeguarsi alle nuove regole seguendo un approccio basato sull’evitare di esporre a rischi il proprio personale. Pertanto, maggiore sarà il potenziale pericolo per le persone, più stringenti saranno gli obblighi di conformità per le aziende. “Saranno ad esempio vietate – spiega Edgardo Ratti e Carlo Majer, co-managing partner di Littler Italia - tutte le pratiche che presentino un livello di rischio inaccettabile per la sicurezza delle persone o che attuino comportamenti discriminatori. In particolare, negli ambienti di lavoro sarà proibito l’utilizzo dell’IA per il riconoscimento delle caratteristiche cognitivo-comportamentali; il che comporterà significativi impatti per quel che riguarda la gestione dei processi di recruitment e selezione dei talenti nonché di valutazione delle performance dei dipendenti”. Campi, quest’ultimi, dove l’applicazione dell’IA è diffusa così come mostrano i risultati della nostra ultima indagine annuale European Employer Survey 2023 che evidenza che il 61% dei dipartimenti HR dichiara di utilizzare strumenti di IA predittiva per attività di recruiting ed assunzione dei lavoratori nonché per la loro formazione personalizzata. Per adeguarsi a ciò, le aziende dovrebbero già da ora analizzare l’utilizzo dell'IA all'interno della propria organizzazione, definendo i vari campi di applicazione secondo la classificazione di rischio stabilita dall’AI Act e quindi iniziando già da ora ad eliminare qualsiasi pratica vietata.