Il prossimo 2 agosto entrerà in vigore l’AI Act, la legge europea in materia di intelligenza artificiale approvata lo scorso 13 marzo dal Parlamento Ue. A distanza di sette mesi dalla maratona negoziale di trentasei ore che aveva impegnato eurodeputati, accademici e ricercatori per l’intesa sul testo, il provvedimento diventerà realtà. O quasi: agosto decreterà il via al calendario dei vari obblighi e divieti previsti, ma ci vorranno due anni affinché il regolamento diventi del tutto esecutivo.
La prima scadenza è fissata a febbraio 2025, quando entreranno in vigore i divieti relativi all’IA con livello di «rischio inaccettabile», come sistemi che mirano a ingannare potenziali vittime per modificarne il comportamento o che cercano di classificarle in base a un social scoring. Sei mesi dopo toccherà agli strumenti generativi come ChatGPT o Google Gemini, i cosiddetti modelli di «IA per scopi generali». Ad agosto 2026, anche le IA «ad alto rischio» – tra cui i sistemi biometrici, le infrastrutture critiche e quelle legate all’istruzione – dovranno conformarsi alla legge.
Le preoccupazioni del settore
Nonostante l’entusiasmo per quella che rimane un’impresa regolatoria unica al mondo, negli ultimi tempi Bruxelles ha affrontato una corsa frenetica per colmare le molteplici lacune del provvedimento, piuttosto vago in diversi punti. Un ruolo fondamentale sarà svolto dal nuovo AI Office europeo, che dovrà implementare leggi secondarie che definiscano le modalità di applicazione pratica dei principi dell’AI Act. I codici di condotta dovranno però essere pronti entro nove mesi dall’entrata in vigore della legge. Il tempo, quindi, stringe.
Il generale consenso della politica e della stampa nei confronti del testo aveva colliso fin da subito con un coro di voci minoritario, composto soprattutto da startup tech preoccupate che la legge potesse soffocare l’innovazione nel settore. Timori in parte infondati, tanto da essere definiti fake news da diversi funzionari Ue, ma che hanno trovato riscontro in figure istituzionali di prim’ordine come Emmanuel Macron. «Possiamo decidere di regolamentare molto più velocemente e molto più forte dei nostri principali concorrenti. Ma regolamenteremo cose che non produrremo o inventeremo più. Questa non è mai una buona idea», aveva dichiarato il presidente francese in un discorso pubblico lo scorso dicembre.
«Assumeremo avvocati mentre il resto del mondo assumerà programmatori», ha commentato al Financial Times Cecilia Bonefeld-Dahl, direttrice generale di DigitalEurope, la principale associazione di rappresentanza delle aziende digital nel vecchio continente. Una frase che condensa tutto il malcontento della fetta d’industria più critica nei confronti dell’AI Act. Le sue parole fanno eco a quelle di Kai Zenner, assistente parlamentare coinvolto nella stesura della norma, che parlando al quotidiano britannico ha utilizzato l’espressione «shot in the dark» per descrivere il regolamento: «La pressione del tempo ha portato a un risultato in cui molte cose rimangono aperte», ha spiegato Zenner.
Diritto d’autore e riconoscimento facciale
Uno dei punti più contestati dell’AI Act è la regolamentazione sulla proprietà intellettuale. Le zone d’ombra riguardano soprattutto due aspetti fondamentali: l’uso di opere per l’addestramento dei modelli e la tutela degli input e degli output generati.
La Direttiva sul diritto d’autore nel mercato unico digitale del 2019 (direttiva Dsm) aveva già introdotto eccezioni al diritto di riproduzione per alcuni testi e per il data mining, in caso di scopi di ricerca scientifica da parte di istituti culturali e di ricerca. Nella sua forma attuale, l’AI Act non prevede nuove disposizioni sulle eccezioni al diritto d’autore. Il punto 105 è chiarissimo a tal proposito: l’utilizzo di contenuti protetti dal diritto d’autore richiede l’autorizzazione del titolare, a meno che non si applichi un’eccezione. Restano valide le eccezioni previste dalla direttiva Dsm: se i titolari hanno deciso di impedire il text e data mining, i fornitori di modelli di IA devono ottenere la loro autorizzazione per l’utilizzo di tali contenuti. Al tempo stesso, tutti i fornitori di IA di uso generale devono rispettare alcuni obblighi di documentazione «sui dati utilizzati per l’addestramento, il test e la convalida» dei modelli e, se richiesta, tale documentazione deve essere fornita all’AI Office o alle autorità nazionali competenti.
L’approccio dell’AI Act è quindi vago: da un lato conferma l’applicabilità dell’eccezione per l’estrazione di materiale, dall’altro pone dei paletti importanti. Resta da capire se il divieto di attingere da testi e dati riguarderà solo le operazioni di estrazione più significative o anche quelle sistematiche. Il nocciolo della questione, però, è più probabilmente un altro: il diritto d’autore (o copyright) è un concetto obsoleto, che funzionava nell’epoca della non riproducibilità dell’opera e che si è adattato a quella della riproducibilità limitata. Tuttavia, questo strumento rischia oggi di annegare nel complesso mare magnum di dati e bit in cui siamo quotidianamente immersi. L’avvento dell’intelligenza artificiale generativa ha reso evidente questo limite.
Nel tentativo di sbrogliare la matassa, Bruxelles ha cercato risposte attraverso le consultazioni con gli Stati membri. Un documento confidenziale emesso durante la presidenza Ue del Belgio (primo semestre 2024), chiedeva ai vari Paesi «indagini, studi o ricerche pertinenti» sul rapporto tra IA e copyright, con indicazioni anche in merito a leggi locali che trattassero la questione. Tra i vari quesiti sollevati, ci si domandava se dovesse essere istituito un sistema di remunerazione destinato ai creatori di contenuti a cui le IA attingono.
C’è poi l’enorme dibattito relativo al riconoscimento facciale: al di là delle critiche mosse da organizzazioni quali Amnesty International, in molti chiedono a gran voce una legislazione aggiuntiva per istituire codes of practice più chiari. I sistemi di identificazione biometrica devono essere testati e soddisfare i requisiti dell’AI Act, ma la legge stessa non contiene linee guida chiare sulle modalità di esecuzione di tali test. Mancano, in soldoni, dettagli tecnici che permettano alle aziende di conformarsi agilmente.
Il rischio lobbying
Come se non bastasse, il Corporate Europe Observatory – che da anni si occupa degli effetti del lobbying aziendale sui processi decisionali all’interno dell’Unione europea – ha più volte ribadito il rischio di «deragliamento» dell’AI Act per mano delle Big Tech. Un’attuazione confusionaria e disomogenea della legge, infatti, giocherebbe a favore delle grosse aziende attive sul fronte dell’intelligenza artificiale, che da un eventuale annacquamento delle regole trarrebbero evidenti benefici.
Secondo un’indagine dell’osservatorio, nel 2023 il sessantasei per cento degli incontri in tema di IA tra eurodeputati ha riguardato gli interessi delle imprese e temi cari all’industria, mentre per gli incontri tra funzionari di alto livello della Commissione la percentuale sale addirittura all’ottantasei per cento. La tendenza è cresciuta dall’istante in cui il Parlamento ha espresso chiaramente la volontà di regolamentare i modelli fondativi.
Le pressioni non sono arrivate solo dai presidi dei grandi attori della Silicon Valley, ma anche da diverse realtà europee che negli ultimi due anni si sono ritagliate un ruolo importante nella corsa all’intelligenza artificiale. Su tutte, la tedesca Aleph Alpha e la francese Mistral AI. Quest’ultima, in particolare, ha mobilitato l’ex segretario di Stato francese per la transizione digitale, Cédric O, per spingere il governo francese a opporsi alla regolamentazione dei modelli di fondazione in nome dell’innovazione. Cédric era stato anche uno dei promotori di una lettera aperta, firmata da centocinquanta aziende, in cui si sosteneva che l’AI Act avrebbe «messo a rischio la competitività e la sovranità tecnologica dell’Europa».
Un alto funzionario di Bruxelles ha recentemente confermato al Financial Times che i lobbisti stanno diffondendo «allarmismo» tra coloro che hanno influenza sul processo di regolamentazione dell’AI Act. «È abbastanza simile – ha spiegato la fonte – alle tattiche che le grandi piattaforme online come YouTube hanno usato quando sono state approvate le regole sulla privacy (il Gdpr del 2016, ndr). Hanno gridato alla fine di Internet, alla fine di tutto». Invece, poi, «non è successo nulla».
