Il 17 maggio 2024 il Governatore del Colorado ha firmato l’Act “Concerning consumer protections in interactions with artificial intelligence systems”, che stabilisce, a partire dal febbraio 2026, determinati obblighi per coloro che sviluppano o implementano nell’esercizio della propria professione sistemi di AI considerati ad alto rischio.
Colorado – SB 24/205, Act Concerning consumer protections in interactions with artificial intelligence systems: norme per lo sviluppo e per l’implementazione di sistemi di AI ad alto rischio
17 maggio 2024
La sezione 6-1-1701 (“Definizioni”) indica quali sistemi sono interessati dalla regolamentazione. In particolare, il testo adotta la definizione di sistema di AI formulata dall’OCSE e classifica ad alto rischio un sistema che, quando viene utilizzato, contribuisce in modo sostanziale ad una decisione determinante, ossia una decisione con effetti giuridici o similmente significativi in ambiti come, ad esempio, l'istruzione, l'impiego, i servizi finanziari, i servizi pubblici essenziali. I sistemi ad alto rischio non includono (i) sistemi che eseguono attività strettamente procedurali o rilevano schemi decisionali (o deviazioni dagli stessi) senza sostituire o influenzare una valutazione umana precedentemente completata; o (ii) tecnologie come calcolatori, antivirus e videogiochi (punto 9, b, II).
La regolamentazione impone obblighi sia agli sviluppatori che agli utilizzatori dei sistemi. In particolare, entrambe le categorie di operatori dovranno proteggere con ragionevole diligenza i consumatori dai rischi noti o prevedibili di discriminazione algoritmica (6-1-1702,1 e 6-1-1703, 1). Nel caso in cui ottemperino agli obblighi previsti dall’Act, gli sviluppatori e gli utilizzatori godono di una presunzione relativa di conformità allo standard di ragionevole diligenza.
Inoltre, gli sviluppatori dovranno fornire agli altri operatori una sintesi dei dati utilizzati per l'addestramento, una dichiarazione sull’uso previsto del sistema e la documentazione relativa, tra gli altri, alle limitazioni conosciute o prevedibili, allo scopo del sistema, alla valutazione delle prestazioni, e alle misure di data governance e di riduzione dei rischi di discriminazione algoritmica. Le informazioni necessarie all’utilizzatore per completare la valutazione d’impatto richiesta saranno rese disponibili attraverso documenti come, ad esempio, schede di modello. Gli sviluppatori manterranno aggiornato un riepilogo pubblico dei sistemi ad alto rischio sviluppati e delle misure adottate per gestirne i rischi noti e prevedibili. Essi dovranno anche informare il Procuratore Generale sui rischi noti e prevedibili di discriminazione algoritmica e sugli eventuali incidenti riportati dagli utilizzatori (sezione 6-1-1702).
Anche gli utilizzatori di sistemi di AI, salve alcune eccezioni, dovranno ottemperare a determinati obblighi, delineati alla sezione 6-1-1703, e, in particolare, saranno tenuti a:
- mantenere una politica di gestione del rischio che disciplini e monitori, tramite un processo iterativo, l'utilizzo dell’AI ad alto rischio, e che specifichi i principi, i processi e il personale utilizzati per identificare e mitigare la discriminazione algoritmica;
- effettuare almeno annualmente (e in occasione di ogni modifica intenzionale e sostanziale) una valutazione d'impatto del sistema che illustri in dettaglio lo scopo, l'uso previsto, il rischio di discriminazione algoritmica, le misure per mitigare tali rischi, la descrizione dei dati utilizzati e prodotti, le metriche impiegate per misurare le prestazioni, le misure di trasparenza e il sistema di monitoraggio successivo all'implementazione;
- fornire ai consumatori sottoposti all’utilizzo di un sistema ad alto rischio una dichiarazione d’uso preliminare che riveli informazioni sul sistema, tra cui lo scopo dello stesso. Se viene adottata una decisione negativa per il consumatore, sarà necessario anche descrivere le principali ragioni che hanno portato a tale esito, incluso il grado in cui il sistema di IA ad alto rischio ha contribuito al processo e il tipo di dati utilizzati, nonché la loro origine. Inoltre, il consumatore dovrà avere la possibilità di rettificare eventuali dati personali inesatti e di appellarsi alla decisione al fine di ottenere una revisione umana della stessa, con alcune eccezioni;
- informare i consumatori dei loro diritti e fornire loro i mezzi per esercitarli;
- rendere disponibile al pubblico una dichiarazione che sintetizza i tipi di sistemi di AI ad alto rischio implementati, includendo informazioni sulla gestione dei rischi noti o ragionevolmente prevedibili di discriminazione algoritmica, e sulla natura, origine e entità delle informazioni raccolte e utilizzate.
Inoltre, i consumatori devono essere informati, da qualsiasi persona o organismo che utilizzi il sistema, di stare interagendo con un sistema di AI (sezione 6-1-1704).
Il Procuratore Generale ha competenza esclusiva per l’applicazione e il monitoraggio della disciplina e potrà promulgare norme per promuovere l’attuazione di requisiti come la gestione del rischio, la valutazione d’impatto e la redazione della documentazione da parte dello sviluppatore (sezione 6-1-1706).
Il testo della legge è disponibile al seguente link e nel box download.