L’Ufficio europeo per l’intelligenza artificiale ha pubblicato la prima bozza di Codice di buone pratiche per lo sviluppo di sistemi di AI per finalità generali (“General Purpose AI”, GPAI) ad opera di un gruppo di esperti indipendenti del settore.
UE – Ufficio europeo per l’intelligenza artificiale – Bozza di Codice di buone pratiche per i fornitori di sistemi di intelligenza artificiale per finalità generali
Anno 2024
Funzione e realizzazione del Codice di buone pratiche
Il 30 settembre 2024 l’Ufficio europeo per l’intelligenza artificiale, istituito dall’AI Act, ha avviato i lavori per adottare un Codice di buone pratiche che offra ai i fornitori di sistemi di AI per finalità generali (anche General Purpose AI, GPAI) delle indicazioni concrete circa le misure e gli indicatori che possono essere utilizzati per rispettare gli obblighi loro imposti dall’AI Act (Reg. UE n. 2024/1689, artt. 53 e 55). Oltre ad essere uno strumento di supporto per i fornitori di GPAI, il Codice dovrebbe agevolare l’Ufficio per l’AI nel valutare se i produttori di sistemi di GPAI si conformano ai requisiti stabiliti dal Regolamento europeo.
La prima e provvisoria versione del Codice, pubblicata il 14 novembre 2024, si deve al lavoro di quattro gruppi di esperti indipendenti, nonché alla consultazione di ulteriori stakeholder provenienti dal mondo dell’industria, della ricerca e dalla società civile.
La struttura del Codice
Il Codice di buone pratiche delinea, anzitutto, sei principi ispiratori del lavoro, ossia:
- Il rispetto dei principi, dei valori e del diritto dell’Unione europea;
- L’allineamento all’AI Act e ai documenti interazionali in materia di AI, dal momento che le misure, le sotto-misure e gli indicatori di valutazione della performance dei sistemi di AI delineati dal Codice di buone pratiche dovranno contribuire a un’appropriata applicazione delle regole stabilite dall’AI Act e, in particolare, del suo art. 56 comma 1 che impone di tenere in considerazione gli approcci internazionali;
- La proporzionalità di misure, sotto-misure ed indicatori ai rischi posti dai sistemi. I primi dovranno, infatti, essere adeguati e necessari al raggiungimento del fine desiderato, senza però porre oneri eccessivi. Di conseguenza le strategie adottate saranno più stringenti innanzi a rischi maggiori;
- La necessità di adottare regole “a prova di futuro”, ossia concrete ma al tempo stesso flessibili e suscettibili di adattarsi o di essere aggiornate di fronte al futuro sviluppo tecnologico;
- La proporzionalità di misure, sotto-misure ed indicatori alla dimensione del fornitore di GPAI, al fine di non rendere il rispetto dei requisiti posti dal Codice eccessivamente oneroso per le piccole-medie imprese e le startup;
- Il supporto alla crescita di un ecosistema fondato sulla sicurezza dei sistemi di AI.
Il Codice propone poi l’implementazione di 22 misure individuate a partire dai requisiti imposti dagli artt. 53 e 55 dell’AI Act. Tali misure riguardano:
- le regole che i fornitori di GPAI firmatari si impegnano a rispettare, con particolare riferimento alla trasparenza (misure 1 e 2) e al rispetto delle regole in materia di diritto d’autore (misure 3 – 5);
- la tassonomia dei rischi sistemici (misura 6);
- le regole per i fornitori di GPAI a rischio sistemico relativamente alla creazione di un sistema di valutazione dei rischi e alle strategie di mitigazione dei rischi tecnici e relativi alla governance (misure 7 – 22),
Alcune delle misure proposte
Le misure relative alla trasparenza specificano quale sia la documentazione che dovrebbe essere resa disponibile all’Ufficio per l’AI e ai fornitori “a valle”, ossia a quanti realizzino un sistema di AI a partire da un determinato modello per finalità generali. I documenti ricomprendono, ad esempio, le informazioni generali sul modello (caratteristiche, nome, prove circa la provenienza autentica del modello, identità dello sviluppatore), i compiti che può e non può svolgere, la tipologia di sistemi di AI in cui può essere integrato, le politiche d’uso accettabili, l’architettura e il tipo di modello, nonché informazioni sui dati usati per l’addestramento e la validazione e circa il consumo di energia.
I fornitori di GPAI dovrebbero inoltre valutare se tali informazioni possano essere rivelate, in tutto o in parte, alla collettività per accrescere la trasparenza pubblica.
I firmatari del Codice dovranno altresì impegnarsi a rispettare le leggi dell’UE in materia di diritto d’autore durante tutto il ciclo vitale del GPAI. Ciò implica anche assicurarsi della provenienza dei dati che si vogliono utilizzare per lo sviluppo del proprio modello e della loro conformità alle leggi sul copyright, ma anche adottare misure ragionevoli per mitigare il rischio che un sistema sviluppato a partire dal proprio possa generare contenuti che violino il diritto d’autore.
Con la misura 6, il Codice definisce un elenco di rischi sistemici derivanti dall’uso dei GPAI, il quale ricomprende: i reati informatici; rischi chimici, biologici, radiologici e nucleari; la perdita di controllo del sistema; l’uso automatizzato per fare ricerca e sviluppare sistemi di AI; la persuasione e la manipolazione; le discriminazioni su larga scala. Tale elenco non è tassativo ed è stato concepito per venire aggiornato in relazione agli “avanzamenti scientifici e ai cambiamenti sociali”.
Al fine di individuare e mitigare i rischi sistemici bisognerà comprenderne la natura e la fonte. Quest’ultimo termine si riferisce ai loro fattori di rischio, quali le capacità o le tendenze pericolose del modello.
Ai fornitori di GPAI a rischio sistemico che adotteranno il Codice di buone pratiche si richiederà di impegnarsi, tra le altre cose, a:
- adottare un quadro di riferimento per la sicurezza e la protezione (Safety and Security Framework, SSF) contente la strategia di gestione dei rischi sistemici e l’indicazione di misure proporzionali alla loro gravità (misura 7);
- raccogliere prove relative a specifici rischi sistemici posti dai loro GPAI (misura 10) durante tutto il ciclo vitale del sistema (misura 11);
- mappare all’interno del SSF le misure di sicurezza e protezione implementate per ogni rischio sistemico in relazione alla sua gravità, indicandone anche i relativi limiti (misura 12);
- redigere report sulla sicurezza e protezione (SSR, misura 13);
- stabilire un procedimento volto a decidere se provvedere allo sviluppo e alla messa in commercio di un determinato GPAI che pone rischi sistemici. Il procedimento dovrà indicare le condizioni per non procedere, quelle per procedere, se, al fine di procedere, sia necessario richiedere autorizzazioni di terzi, tra cui l’Ufficio per l’AI (misura 14);
- consentire una valutazione indipendente e significativa, ad opera di esperti terzi, del rischio posto dal sistema e delle strategie di mitigazione, soprattutto ove il rischio sia elevato. Tale valutazione può comportare la verifica indipendente delle capacità del modello, l'esame delle prove raccolte, i rischi sistemici e l'adeguatezza delle misure di mitigazione nonché la revisione degli SSF e SSR (misura 17);
- identificare e tenere traccia dei seri incidenti verificatisi ed evitati e a riportarli all’Ufficio per l’AI, oltre a stabilire modi per rispondervi. Una possibile strategia prevede la pre-definizione di misure correttive accompagnate da una spiegazione di quando sia possibile adottarle (misura 18);
- informare i propri dipendenti della possibilità di denunciare irregolarità all’Ufficio per l’AI (misura 19);
- raccogliere prove della loro adesione al Codice di buone pratiche, al fine di poter condividere tali informazioni con l’Ufficio per l’AI su sua richiesta (misura 21);
- offrire una trasparenza appropriata anche nei confronti del pubblico, a meno che la divulgazione di determinate informazioni non aumenti il rischio sistemico o comprima eccessivamente il segreto commerciale (misura 22).
Nelle conclusioni del Codice si sottolinea come esso sia solo una prima bozza e che la versione definitiva verrà pubblicata nel maggio 2025, a seguito di ulteriori consultazioni con esperti e stakeholder.
Il documento è disponibile al seguente link e nel box download.
Laura Piva
Pubblicato il: Giovedì, 14 Novembre 2024 - Ultima modifica: Martedì, 03 Dicembre 2024
