Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

La compagnia dei sistemi AI è partita: Entra in Vigore il Regolamento ‘AI ACT’!

Laura Lecchi : 11 Dicembre 2023 07:39

“A law to govern them all, one to find them, a law to bring them all and in the European Union to regulate them”. AI ACT e La Compagnia dei sistemi (Artificial Intelligence).

Oggi inizia per tutti in Europa la rivoluzione algoritmica: vengono alla luce le regole per sviluppare i futuri sistemi di AI. Le regole sono state approvate e sono ora contenute nel Regolamento europeo già battezzato come “AI ACT”. Questo provvedimento intende contenere le norme giuridiche che disciplineranno lo sviluppo, l’uso e la distribuzione dei sistemi di AI.

La compagnia dei sistemi di Intelligenza Artificiale

L’Unione Europea cerca da un lato di scongiurare il rischio di un algoritmic devide, per evitare quindi un divario di questo tipo, dall’altro di creare una convergenza di definizioni e un catalogo certo e aggiornato di tecniche e approcci specifici impiegati per sviluppare, che sia giuridicamente riconosciuto conforme.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Stabilire regole, individuare quali siano i vari sistemi AI, determinare i criteri per classificarli e sorvegliare: questo l’elenco dei punti salienti. Ma procediamo per punti per individuare lo scopo delle nuove norme che sintetizziamo qui di seguito con piccoli slogan:

  1. ADDIO ALLO SVILUPPO SENZA LIMITI: regolamentare la distribuzione e dunque l’immissione, la messa in servizio e l’uso dei sistemi AI: in altre parole vengono indicati modi, scopi, approcci tecnici per sviluppare un sistema AI “a norma”;
  2. DIVIETO DI SISTEMI AI PROIBITI: introdurre e stabilire quali siano le pratiche da ritenersi vietate e che conducono a considerare proibiti i sistemi AI che le applicano;
  3. SISTEMI AI AD ALTO RISCHIO CON REGOLE FERREE: rispettare i criteri imposti a chi produce sistemi  AI ad altro rischio: per poterli commercializzare si dovranno adempiere una serie di obblighi per i fornitori e le altre categorie di soggetti che contribuiscono alla distribuzione. Dunque addio sviluppo senza binari e regole. Se non sono rispettati gli obblighi il sistema di AI non può essere ritenuto conforme e come tale non solo non è conforme, ma non sarà neppure legittimo poterlo distribuire;
  4. REGOLE AD HOC per tutti quei sistemi AI diversi che provvedono ad effettuare il riconoscimento delle emozioni, la biometria che consenta la manipolazione di video, immagini e audio;
  5. PAROLA D’ORDINE CONTROLLO: provvedere a concepire e regolamentare un sistema di monitoraggio e di  sorveglianza per gli algoritmi di AI è uno degli obiettivi che il regolamento si prefigge.
  6. QUESTIONE DI DIRITTI FONDAMENTALI: prima di conoscere le “regole del gioco” che siano applicabili ai sistemi di intelligenza artificiale, è importante capire che dai “considerando” dell’AI Act, (i considerando motivano in modo conciso le norme essenziali dell’articolato), si ricava che scopo prevalente e preordinato per sviluppare  i sistemi di AI conformi debbano tenere presente i seguenti pillars:
    • diritto alla dignita’
    • diritto alla vita privata
    • diritto alla protezione dei dati personali
    • diritto alla vita familiare
    • diritto del consumatore
    • diritto del lavoratore
    • diritto alla non discriminazione
    • diritto al giudizio imparziale
    • diritto di difesa
    • diritto di presunzione di innocenza
    • diritto di tutela dei diritti dei disabili
    • diritto alla buona p.a.
    • liberta’ di espressione, di riunione e di associazione

Ne deriva che i sistemi AI che hanno un qualsiasi impatto su questi diritti si definiscono ad alto rischio.

Da questa considerazione importante nasce la volontà del legislatore europeo di determinare ed indicare una chiara classificazione dei sistemi AI da poter capire quale sia il tipo di sistema.

  • DIMMI CHE CRITERI HAI E TI DIRO’ CHE SISTEMA AI SEI: i criteri di distinzione per individuare i diversi sistemi sono i seguenti:
    • natura e modalità di funzionamento del sistema AI;
    • tipologia di prodotto (allegato II) ;
    • ambito sociale (allegato III);
    • ambito territoriale (art. 2);

Quali sono i sistemi AI ad alto rischio?

L’informatica ci insegna che questa tecnologia può avere una forma autonoma (stand alone), ma anche integrata (embedded), inoltre può, in relazione al tempo, produrre un output in tempo reale o a posteriori.

E’ ad alto rischio un sistema capace di incidere sui diritti fondamentali delle persone fisiche. In particolare l’AI ACT stabilisce che possono considerarsi ad alto rischio:

  1. Sistemi che costituiscono una componente per la sicurezza di prodotti di cui all’allegato II (soggetto a valutazione conformità): macchine, apparecchi e sistemi per atmosfera esplosiva, attrezzature per imbarcazioni da diporto, impianti fune e a combustione gas, apparecchi radio, giocattoli, ascensori, attrezzature a pressione dispositivi medici e diagnostici;
  2. Sistemi AI individuati per ambito ed elencati all’allegato III, ossia per:
    • Identificazione e categorizzazione dati biometrici;
    • Gestione e funzione di strutture critiche (per esempio, traffico stradale, forniture utenze primarie)
    • Occupazione e lavoro
    • Istruzione e formazione
    • Accesso ai servizi pubblici e privati essenziali (per esempio, affidabilità creditizia, emergenza primo soccorso)
    • Attività di contrasto
    • Attività migratorie
    • Amministrazione giustizia e processi democratici.

In uno schema ecco indicatori distintivi per sommi capi di cosa si possa intendere ad alto rischio:

L’AI Act è un regolamento europeo ma a chi si rivolge?

La risposta è che dovrà ritenersi applicabile se produttore, fornitore o distributore, o utente/fruitore sono in Europa.

Ma non basta.

Se l’output del sistema AI è disponibile e fruibile nella UE, anche se il produttore ha sede altrove, le norme dell’AI Act potranno ritenersi applicabili.

Questo l’inquadramento iniziale: il dettato normativo del regolamento intende fornire un sistema di regole senza precedenti, complesso e dettagliato che, by design, possa indicare l’impostazione e l’approccio da adottare nel corso dell’attività di sviluppo dovranno tassativamente riconoscere il valore e l’importanza dei diritti delle persone per garantire alla popolazione ed alla umanità stessa di restare al comando del governo dei sistemi che vengono progettati e realizzati, sorvegliando a garanzia della preservazione dei diritti del singolo e della collettività.

E chi viola le regole?

Ci sono diversi gradi di sanzione (molto severe!!), proporzionate al ruolo del trasgressore (fornitore, produttore, utente, ecc), la possibilità di bloccare o ritirare dal mercato gli algoritmi “illegali”.

La Compagnia dei Sistemi AI è appena partita, venite con noi!

Laura Lecchi
Senior Innovation Lawyer tra i primi giuristi pionieri in Italia ad occuparsi di IT Law e data Protection, oggi annovera fra le sue competenze legal nella cybersecurity, diritto delle tecnologie digitali ed emergenti IoT, sistemi esperti e robotica. E' convinta che adeguarsi alle norme non corrisponda a produrre carta, ma alla costruzione di processi specifici e aderenti alla realtà specifica. Solo attraverso la conoscenza della tecnologia si approda alla applicazione effettiva delle regole.

Lista degli articoli

Articoli in evidenza

Dentro la mente di LockBit: profilazione criminologica di un gruppo ransomware “aziendale”

Nel mondo del cybercrime moderno, dove le frontiere tra criminalità e imprenditoria si fanno sempre più sfumate, il gruppo ransomware LockBit rappresenta un caso di studio affascinante. Atti...

Più le AI diventano come noi, più soffriranno di Social Engineering? Il caso di Copilot che preoccupa

Microsoft 365 Copilot è uno strumento di intelligenza artificiale integrato in applicazioni Office come Word, Excel, Outlook, PowerPoint e Teams. I ricercatori hanno recentemente scoperto che lo ...

CVE-2025-32710: La falla zero-click nei servizi RDP che può causare la totale compromissione del tuo server

Una vulnerabilità di sicurezza critica nei Servizi Desktop remoto di Windows, monitorata con il codice CVE-2025-32710, consente ad aggressori non autorizzati di eseguire codice arbitrario in...

RHC Intervista GhostSec: l’hacktivismo tra le ombre del terrorismo e del conflitto cibernetico

Ghost Security, noto anche come GhostSec, è un gruppo hacktivista emerso nel contesto della guerra cibernetica contro l’estremismo islamico. Le sue prime azioni risalgono alla fase success...

Arriva PathWiper! Il nuovo malware che devasta le infrastrutture critiche in Ucraina

Gli analisti di Cisco Talos hanno segnalato che le infrastrutture critiche in Ucraina sono state attaccate da un nuovo malware che distrugge i dati chiamato PathWiper. I ricercatori scrivono...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006