In particolare il codice di condotta è un oggetto un po’ speciale. Primo: è un documento volontario. Secondo: le sanzioni se sgarri le regole dell’AI Act non partono che dal prossimo anno. Terzo: riguarda solo i grandi modelli di uso generale (General purpose AI, GPAI, ossia che possono fare più cose, dalla scrittura di un testo a un video). Quelli addestrati con potenze di calcolo uguali o superiori a 10^23 flop. Quindi non tutte le aziende che lavorano con l’AI, anche se non mancano nomi che potrebbero aggiungersi alla lista. Come Diffusione stabile (il modello di generazione di immagini di Stability AI, società inglese) o progetti open source come EleutherAI o BigScience.
La sfida della trasparenza
Sarà interessante vedere come la Commissione si comporterà con chi è stato condiscendente. Uno dei pregi molto sottovalutati dalle regole europee è che impongono alle aziende di essere più trasparenti. Senza il Digital services act (Dsa), il pacchetto di norme sulle grandi piattaforme, non avremmo ottenuto con altrettanta facilità rapporti desolanti sulla stato della moderazione da parte di alcuni colossi del digitale, X su tutti.
Il codice di condotta va nella stessa direzione. gli sviluppatori dei sistemi di AI di uso generale dovranno rendere chiaro agli utilizzatori finali o a clienti che li integrano nei loro processi e prodotti come funzionano e adottare accorgimenti tecnici per impedire a siti pirata “conclamati” di rubare dati. Inoltre, nel caso dei modelli più grandi, dovrà anche essere preparato un piano dei rischi.
Le autorità nazionali
La Commissione, tuttavia, non avrà a che fare solo con i privati. Ci sono anche gli Stati membri da mettere in riga. Entro la scadenza del 2 agosto avrebbero dovuto nominare le autorità nazionali deputate alla sorveglianza dell’applicazione dell’AI Act, ma non si sa quanti hanno rispettato la scadenza. Senza i controllori, all’AI Act mancano i denti per mordere i trasgressori. Cablato ha richiesto un elenco aggiornato alla Commissione, che non ha fornito risposta. Quel che finora si può ricostruire da articoli di stampa e dichiarazioni ufficiali è che 3 Paesi hanno ufficializzato le nomine. Sono Malta, Lussemburgo e Lituania.
Altri hanno individuato le loro autorità ma mancano i passaggi legali per chiudere l’iter. Tra questi ci sono Francia, Germania, Spagna. E anche l’Italia. Il governo Meloni ha deciso di affidare la supervisione dell’AI Act all’Agenzia per l’Italia digitale (Agid), per quanto riguarda la notifica e la verifica delle regole, e all’Agenzia per la cybersicurezza nazionale (Acn) per indagini e sanzioni. La nomina, contestata dalle organizzazioni per i diritti digitali, è nei fatti, anche se manca l’ufficialità. Perché passa attraverso l’approvazione del disegno di legge sull’AI che dopo il voto della Camera, è tornato al Senato. Con una lettera alla rappresentanza della Commissione europea in Italia, a quanto apprende Cablato, il governo ha rassicurato di aver fatto i compiti a casa.
In particolare Agid, secondo quanto risulta a Cablato, sta lavorando attraverso quattro progetti di sperimentazione regionale dell’AI finanziati con 20 milioni del Piano nazionale di ripresa e resilienza all’individuazione degli indicatori con cui valutare performance e risultati dei modelli e gli impatti del loro uso.
Siccome chi non firma il codice di condotta, deve dimostrare comunque di rispettare le regole dell’AI Act, la Commissione ha bisogno di avere le autorità nazionali in formazione per dimostrare che si fa sul serio. E convincere chi ancora latita a mettersi in regola sarà faticoso tanto quanto star dietro le aziende. Anche il Dsa prevedeva i suoi coordinatori nazionali. Ma ad aprile 2024 la Commissione ha minacciato di aprire una procedura di infrazione per inadempienza contro Cipro, Repubblica Ceca, Estonia, Polonia, Portogallo e Slovacchia per spingerli a nominare il loro referente. Dopo un Anno, la Polonia ancora non lo ha fatto.
