La legge sull'intelligenza artificiale (AI) dell'UE stabilisce regole per lo sviluppo, la commercializzazione e l'uso di sistemi di IA all'interno dell'Unione Europea al fine di promuovere un'IA responsabile e antropocentrica. Si tratta della prima regolamentazione di questo tipo al mondo, che garantisce un ruolo pionieristico all'UE nella creazione di norme globali per la governance dell'IA. Si concentra sugli impatti più ampi dell'IA sulla società e sui diritti individuali.
In questo post, ti aggiorneremo sul motivo per cui l'UE ha messo in atto questa legge, cosa comporta e cosa devi sapere come sviluppatore o fornitore di intelligenza artificiale, comprese le migliori pratiche per semplificare la conformità. Toccheremo anche cosa riserva il futuro per la regolamentazione dell'IA e, avviso spoiler, potrebbero presto esserci molte leggi simili.
Perché l'UE ha introdotto l'AI Act?
Probabilmente hai visto film di fantascienza sulla tecnologia fuori controllo. La tecnologia prende il sopravvento e si scatena, causando ogni tipo di devastazione.
L'intelligenza artificiale non può farlo, almeno non ancora. Ma è fa hanno già il potenziale per fare molto male.
Affinché l'IA funzioni correttamente, si basa su due fattori cruciali: Modelli sono creati dagli sviluppatori per fornire i risultati che desideri ottenere. Quindi, gli sviluppatori addestrano i modelli utilizzando dati Questo è il più vicino possibile ai dati che il modello utilizzerà nel mondo reale.
Ma se il modello o i dati non sono affidabili o se qualcuno li manomette, la tua intelligenza artificiale non funzionerà correttamente. I dati e i modelli che non soddisfano la triade della CIA – riservatezza, disponibilità e integrità – potrebbero portare a conseguenze catastrofiche nel mondo reale:
Immagina un'auto a guida autonoma alimentata da un modello di intelligenza artificiale addestrato su dati insufficienti o distorti. L'auto potrebbe interpretare erroneamente una situazione di traffico, causando un grave incidente con feriti o morti.
O forse un sistema di intelligenza artificiale diagnostica le malattie sulla base di immagini mediche. Se questo modello viene addestrato su dati distorti o incompleti o se qualcuno manomette il modello, potrebbe portare a diagnosi errate, trattamenti ritardati o persino decessi.
Naturalmente, uno scenario meno catastrofico è più probabile. Immagina se il tuo chatbot di vendita iniziasse a mentire ai visitatori del sito. Ciò potrebbe danneggiare le vendite, le operazioni o persino la tua reputazione. (Come se iniziasse a consigliare il prodotto di un concorrente!)
Rischio dell'IA ha anche un grave impatto sul ROI dell'IA, aumentando i costi e riducendo i ricavi.
È stato a lungo riconosciuto che abbiamo bisogno di standard di sicurezza per l'IA. Ora l'UE ha deciso di agire.
GenAI Security Best Practices [Cheat Sheet]
Discover the 7 essential strategies for securing your generative AI applications with our comprehensive GenAI Security Best Practices Cheat Sheet.
Download Cheat Sheet
Quali sono state le ragioni alla base della legge sull'IA dell'UE?
La legge sull'IA dell'UE mira ad aiutare le persone che creano applicazioni di IA a utilizzare la tecnologia in modo etico. Mantiene le persone e le aziende al sicuro dalla raccolta, dalla sorveglianza e dalla manipolazione non autorizzate dei dati, prevenendo la discriminazione e garantendo che l'intelligenza artificiale sia utilizzata in modo trasparente. Mira inoltre a ridurre al minimo il "rischio sistemico", ovvero il potenziale di impatto diffuso e grave sulla società se qualcosa va storto con un modello di intelligenza artificiale. Più benignamente, queste misure aumenteranno anche la fiducia nell'IA, il che potrebbe essere un'ottima cosa per gli sviluppatori e i fornitori di intelligenza artificiale.
La legge impedisce l'uso dell'intelligenza artificiale per scopi dannosi, come deepfake e altra disinformazione generata dall'intelligenza artificiale. Lo fa rendendo obbligatoria la divulgazione delle fonti di intelligenza artificiale. Se non avvisi gli utenti, potresti essere multato o subire altre conseguenze negative. Richiede inoltre a ciascuno Stato membro di istituire un'autorità nazionale competente che supervisionerà l'attuazione locale della legge sull'IA dell'UE.
Ancora più importante, l'AI Act dell'UE classifica l'uso dell'IA in quattro livelli di rischio (di cui parleremo più avanti), vietando tutti gli usi con un "rischio inaccettabile".
Qual è stato il contesto della legge sull'IA dell'UE?
Il diagramma seguente illustra il calendario che ha portato all'adozione della legge sull'IA dell'UE. Come si può vedere, la legge è entrata in vigore in tempi piuttosto brevi.
Tempistica di implementazione
Mentre la legge sull'IA dell'UE è già entrato in vigore, le imprese dispongono di un periodo di tolleranza di tre anni, a partire dall'agosto 2024, per raggiungere la piena conformità.
Ecco una tempistica anticipata:
Cosa significhi questo per te è in realtà piuttosto semplice. Anche se ritieni che la legge sull'IA dell'UE non si applichi a te, devi assicurarti che… E il tempo sta per scadere.
Cosa significhi questo per te è in realtà piuttosto semplice. Anche se ritieni che la legge sull'IA dell'UE non si applichi a te, devi assicurarti che… E il tempo sta per scadere.
Cosa include la legge UE sull'IA?
La prima e più importante cosa da sapere sull'AI Act dell'UE è che ha una portata extraterritoriale.
Ciò significa che chiunque fornisca sistemi di IA che saranno utilizzati o influenzeranno i consumatori o le imprese all'interno dell'UE probabilmente dovrà conformarsi.
La legge sull'IA dell'UE definisce una serie di diversi tipi di sistemi di IA, tra cui:
Modelli di intelligenza artificiale per uso generale (GPAI): Modelli linguistici di grandi dimensioni e generatori di immagini e video
Modelli di intelligenza artificiale per scopi specifici: IA progettata per attività specifiche come la diagnosi medica, i veicoli autonomi o la valutazione del rischio finanziario
Sistemi di intelligenza artificiale integrati: Dispositivi basati sull'intelligenza artificiale come elettrodomestici intelligenti o robot industriali
I quattro livelli di rischio per l'IA previsti dalla legge dell'UE sull'IA
L'AI Act dell'UE non regolamenta le applicazioni "a rischio inaccettabile" dell'IA, e questo perché queste sono ora vietate in Europa. Ciò include il riconoscimento facciale in tempo reale negli spazi pubblici o "social scoring", che comporta la classificazione di individui o gruppi per un trattamento disuguale, e l'identificazione biometrica in tempo reale per scopi di applicazione della legge (a volte nota come polizia predittiva).
Rischio inaccettabile: Attività che rappresentano una minaccia troppo grande e sono vietate a titolo definitivo
Alto rischio: Attività che potrebbero incidere negativamente sulla sicurezza o sui diritti fondamentali
Rischio limitato: Attività che non sono eccessivamente rischiose ma che comportano comunque requisiti di trasparenza (il che significa che gli utenti devono essere informati che stanno interagendo con un'IA)
Rischio minimo: Attività generalmente benigne che non devono essere regolamentate
L'AI Act dell'UE non regolamenta le applicazioni "a rischio inaccettabile" dell'IA, e questo perché queste sono ora vietate in Europa. Ciò include il riconoscimento facciale in tempo reale negli spazi pubblici o "social scoring", che comporta la classificazione di individui o gruppi per un trattamento disuguale, e l'identificazione biometrica in tempo reale per scopi di applicazione della legge (a volte nota come polizia predittiva).
Inoltre, non regola le attività a "rischio minimo" come i filtri antispam o i videogiochi abilitati all'intelligenza artificiale. Al momento, ciò include la maggior parte delle applicazioni di IA attualmente disponibili sul mercato dell'UE.
Una piccola sezione della legge dell'UE sull'IA riguarda i sistemi a "rischio limitato". Gli sviluppatori e i distributori di questi tipi di sistemi devono rispettare gli obblighi di trasparenza. Questo di solito significa solo far sapere agli utenti finali che stanno interagendo con l'intelligenza artificiale (ad esempio, chatbot e deepfake).
La stragrande maggioranza dell'AI Act dell'UE riguarda i sistemi di IA "ad alto rischio" e le organizzazioni e gli individui che li forniscono. Le applicazioni ad alto rischio includono…
Valutazione dell'idoneità al credito
Valutazione delle domande di assicurazione malattia o vita o di prestazioni pubbliche
Analisi delle domande di lavoro (ATS) o valutazione dei candidati
Un'altra importante categoria di sistemi di intelligenza artificiale ad alto rischio è quella dei "componenti per la sicurezza dei prodotti". Si tratta di sistemi di intelligenza artificiale incorporati nei prodotti e che sono fondamentali per la sicurezza di tali prodotti. Ad esempio, i sistemi di intelligenza artificiale integrati nei veicoli autonomi o nei dispositivi industriali o medici.
State of AI in the Cloud 2024
Did you know that over 70% of organizations are using managed AI services in their cloud environments? See what else our research team uncovered about AI in their analysis of 150,000 cloud accounts.
Get PDF
Le otto norme essenziali della legge sull'IA dell'UE
Gli sviluppatori e i fornitori di applicazioni di intelligenza artificiale sono noti come "fornitori" ai sensi della legge sull'intelligenza artificiale dell'UE. Tutte le persone fisiche o giuridiche che utilizzano l'IA in modo professionale sono considerate "utenti" o "deployer".
La legge sull'IA dell'UE delinea Otto requisiti fondamentali per i sistemi ad alto rischio:
Gestione del rischio durante l'intero ciclo di vita del sistema di IA ad alto rischio
Governance dei dati per verificare tutti i set di dati di addestramento, convalida e test
Documentazione tecnica per dimostrare e valutare la conformità
Tenuta dei registri per determinare il rischio e aggiornare il livello di rischio durante l'intero ciclo di vita
Istruzioni per l'uso In questo modo i distributori a valle possono garantire la totale conformità lungo tutta la catena di approvvigionamento
I sistemi di IA devono consentire Supervisione umana per utenti (deployer)
I sistemi di IA devono essere progettati per raggiungere Precisione, robustezza e sicurezza informatica
Gestione della qualità per garantire e riferire in merito alla conformità
Il mancato rispetto di questi requisiti potrebbe comportare l'esclusione dal mercato europeo e multe salate. Le multe varieranno probabilmente, a seconda delle dimensioni dell'azienda, da 7,5 milioni di euro o l'1,5% del fatturato annuo a 35 milioni di euro o il 7% del fatturato annuo.
Nonostante il lavoro extra creato dall'EU AI Act, comporta anche dei vantaggi. Ad esempio, prevede la creazione di spazi di sperimentazione normativa, che consente di testare le applicazioni al di fuori del quadro normativo.
E tornando ai primi principi, l'AI Act dell'UE mira a rendere l'IA meno vulnerabile, proteggendo la tua azienda, i tuoi clienti e il pubblico. Lo fa imponendo la sicurezza Pratiche di sviluppo dell'intelligenza artificiale, le valutazioni periodiche della sicurezza e la trasparenza e la responsabilità nei sistemi di IA. Ma con la complessità degli ambienti multi-cloud di oggi, è più facile a dirsi che a farsi.
Quali sono le migliori pratiche per la conformità alla legge sull'IA dell'UE?
Ecco cosa devi fare per assicurarti di seguire i requisiti dell'EU AI Act:
Conduci valutazioni approfondite dei rischi, inclusa la mappatura dell'intero ambiente per contrassegnare i dati shadow e in particolare l'IA delle ombre.
Mettere in atto solide misure di protezione dei dati come una soluzione di gestione della postura di sicurezza dei dati (DSPM) per proteggere tutti i dati utilizzati dall'IA.
Verificare la trasparenza e la spiegabilità, il che significa che dovrebbe essere possibile interpretare e comprendere i risultati dei sistemi di intelligenza artificiale.
Aggiornare e mantenere la documentazione tecnica nell'ambito di un impegno per la trasparenza.
Stabilisci una governance e una supervisione efficaci, inclusi controlli di conformità automatizzati che segnaleranno rapidamente potenziali problemi.
Secondo un rapporto di KPMG, uno dei modi migliori per ridurre drasticamente il lavoro necessario per i test e la documentazione è "sfruttare le soluzioni automatizzate di rilevamento, analisi e intelligence delle minacce". Raccomandano una soluzione automatizzata per gestire "la mappatura della conformità, il monitoraggio degli obblighi e la gestione del flusso di lavoro".
Questi tipi di strumenti e altro ancora possono essere trovati come parte di un piattaforma di protezione delle applicazioni nativa per il cloud o CNAPP. Ciò rende la ricerca di una CNAPP che funzioni per la tua organizzazione una delle migliori decisioni che puoi prendere quando si tratta di semplificare la conformità all'IA dell'UE.
Il futuro della regolamentazione dell'IA
È probabile che altre giurisdizioni al di fuori dell'UE introdurranno leggi simili. Negli Stati Uniti, ad esempio, gli stati e le agenzie federali stanno esplorando la regolamentazione dell'intelligenza artificiale, in particolare per quanto riguarda i veicoli autonomi e l'assistenza sanitaria. Anche Cina, Canada, Giappone, Regno Unito e altri stanno prendendo in considerazione misure normative. Ma la buona notizia è che una volta che sei conforme alla legge sull'IA dell'UE, probabilmente sarà più facile soddisfare altri standard.
Se stai già utilizzando soluzioni di intelligenza artificiale o ti stai muovendo in quella direzione, la responsabilità di un uso etico e responsabile dell'intelligenza artificiale ricade sulle tue spalle. È necessario mitigare i potenziali danni agli utenti finali, alla propria organizzazione e a terze parti.
In un momento in cui la maggior parte degli strumenti si affanna a mettersi al passo con l'avanguardia dell'intelligenza artificiale, c'è una piattaforma che ti copre già le spalle: Wiz. La piattaforma Wiz offre un Soluzione AI-SPM che fornisce un approccio unificato ai rischi per la sicurezza e alla conformità dell'IA sotto un unico ombrello facile da gestire.
Wiz trova e monitora rapidamente la sicurezza e la conformità in tutti i tuoi servizi e tecnologie di intelligenza artificiale, come Amazon SageMaker, OpenAI, TensorFlow Hub e altri.
Visibilità completa dello stack nelle pipeline di intelligenza artificiale
Rilevamento rapido di configurazioni errate dell'IA
Protezione per i dati sensibili di addestramento dell'IA
L'AI Act dell'UE mira a garantire che lo scenario da incubo – la tecnologia impazzita, come in quei film di fantascienza – non si avveri mai. E Wiz protegge la tua azienda dai maggiori rischi odierni con visibilità completa, valutazione dei rischi e misure di sicurezza, il tutto dietro un unico pannello di controllo.
Wiz non si ferma alla conformità. Grazie al contesto approfondito di una gamma di strumenti di sicurezza, avrai una visione completa di vulnerabilità, identità, esposizioni alla rete, malware, dati e segreti esposti e all'automazione per iniziare a mitigare qualsiasi incidente di sicurezza prima che diventi un problema.
L'AI Act dell'UE mira a garantire che lo scenario da incubo – la tecnologia impazzita, come in quei film di fantascienza – non si avveri mai. E Wiz protegge la tua azienda dai maggiori rischi odierni con visibilità completa, valutazione dei rischi e misure di sicurezza, il tutto dietro un unico pannello di controllo.
Non lasciare che i rischi o le normative ti impediscano di ottenere tutti i vantaggi che l'intelligenza artificiale offre alla tua azienda. Richiedi una demo di Wiz per vedere quanto è facile proteggere l'intelligenza artificiale nell'intero SDLC.
Accelerate AI Innovation, Securely
Learn why CISOs at the fastest growing companies choose Wiz to secure their organization's AI infrastructure.
