La valutazione della Commissione europea su come definire i prodotti ad alto rischio rispetto alle norme settoriali

Secondo un documento della Commissione europea visionato da Euractiv, i componenti dei servizi di sicurezza informatica e di emergenza basati sull’intelligenza artificiale (IA) nei dispositivi connessi a Internet dovrebbero essere classificati come ad alto rischio nel contesto dell’AI Act.

Il documento sull’interazione tra la direttiva sulle apparecchiature radio (RED) del 2014 e l’AI Act è la prima interpretazione nota del modo in cui l’atto tratterà i componenti di sicurezza basati sull’intelligenza artificiale, stabilendo la logica che potrebbe essere utilizzata per classificare altri tipi di prodotti come ad alto rischio.

La sigla RED non si riferisce solo alle vecchie radio: si riferisce anche ai dispositivi wireless che utilizzano, ad esempio, il WiFi o il Bluetooth.

Oltre a qualsiasi legislazione settoriale applicabile, i sistemi di intelligenza artificiale ad alto rischio richiedono test approfonditi, gestione del rischio, misure di sicurezza e documentazione ai sensi dell’AI Act.

L’AI Act include un elenco di casi d’uso in cui, se l’IA viene implementata, viene automaticamente classificata come ad alto rischio. Tra questi rientrano aree come infrastrutture critiche e forze dell’ordine.

La legge stabilisce inoltre un limite fondamentale per la categorizzazione di altri prodotti ad alto rischio: le valutazioni di conformità di terze parti con le normative specifiche del settore precedentemente emanate.

Tali sistemi di intelligenza artificiale devono soddisfare due criteri per essere classificati come ad alto rischio:

Il primo è che il sistema sia un componente di sicurezza di un prodotto, oppure che il sistema di intelligenza artificiale sia esso stesso un prodotto, coperto da una legislazione preesistente.

La seconda è che questo tipo di componente o prodotto deve essere sottoposto a una valutazione da parte di terze parti per dimostrare la conformità alle norme precedentemente emanate.

Secondo il documento della Commissione, i componenti relativi alla sicurezza informatica e all’accesso ai servizi di emergenza soddisfano entrambi questi criteri nella categoria RED, il che li rende sistemi ad alto rischio.

Tuttavia, la Commissione ritiene in via preliminare che anche in alcuni casi in cui la direttiva sulle emissioni di gas a effetto serra prevede un’esclusione dalla valutazione di terze parti, ovvero quando un’azienda può dimostrare la conformità alle norme armonizzate mediante un’autovalutazione, si tratti semplicemente di un meccanismo procedurale.

Pertanto, anche laddove esistano tali esclusioni, i componenti basati sull’intelligenza artificiale, in questo caso correlati alla sicurezza informatica, sono comunque considerati ad alto rischio.

Dai macchinari pesanti alle moto d’acqua

L’AI Act elenca una raffica di normative settoriali promulgate in precedenza che potrebbero essere utilizzate per classificare i prodotti AI come ad alto rischio. Ci si possono aspettare altri documenti come quello su RED.

Oltre all’elettronica, prodotti come i dispositivi medici, l’aviazione, i macchinari pesanti, persino le “moto d’acqua” e gli ascensori sono coperti dalla legislazione armonizzata pertinente all’AI Act, quindi potrebbero essere sottoposti a un processo simile a quello della RED.

L’interpretazione preliminare mostra che standard di autovalutazione simili probabilmente non possono essere utilizzati per rimuovere l’etichetta di rischio elevato dai prodotti di intelligenza artificiale in questi settori.

L’AI Act impone requisiti considerevoli ai sistemi di IA ad alto rischio. I sistemi di IA che non rientrano in questa categoria devono affrontare solo obblighi di trasparenza minori.

La questione è quindi quali sistemi rientrano nella categoria ad alto rischio.

Mentre la Commissione stimava che nel 2021 il 5-15% dei sistemi di intelligenza artificiale sarebbe stato classificato come ad alto rischio, un sondaggio del 2022 condotto su 113 startup con sede nell’UE ha rilevato che il 33-50% delle startup ritiene che il proprio prodotto sia ad alto rischio.

Il documento della commissione è solo un’interpretazione preliminare, resta da vedere esattamente come l’AI Act interagirà con RED e altre normative. Nonostante l’AI Act sia lungo più di 500 pagine, resta ancora un notevole lavoro interpretativo per determinare come si applicherà a una tecnologia intersettoriale in rapida evoluzione.

[A cura di Eliza Gkritsi/Zoran Radosavljevic]

Scopri di più con Euractiv

Ultime Notizie

Back to top button