Nel contributo che vi proponiamo qui di seguito, Maria Formato, Lead Consultant di Axitea, prende in esame le variazioni normative apportate dall’AI Act europeo e l’impatto potenziale sulle iniziative aziendali di protezione.
Buona lettura.
L’AI Act rappresenta senza dubio una nuova sfida per le aziende che utilizzano la videosorveglianza.
La rapida evoluzione dell’intelligenza artificiale ha determinato una trasformazione significativa nell’approccio alla videosorveglianza. Grazie all’utilizzo di sistemi IoT, è possibile rendere le registrazioni, una volta passive, “intelligenti”. Ovvero arricchite di dati e informazioni aggiuntive che le rendono più precise e fruibili. Questo significa che il sistema stesso è in grado di eliminare i falsi positivi e rendere l’analisi quasi immediata. Allo stesso tempo, però, le istituzioni europee si sono mosse affinché venga tutelata la privacy dei cittadini. Sull’onda di quest’ultima istanza, a inizio estate, il Parlamento europeo ha approvato in prima istanza l’AI Act. La normativa dovrebbe ricevere l’approvazione finale entro fine 2023 ed entrare in vigore nel 2024.
Alla luce del fatto che, secondo gli ultimi dati del Politecnico di Milano, il 61% delle grandi aziende italiane ha avviato progetti legati all’intelligenza artificiale e il 34% sta già utilizzando queste tecnologie, l’introduzione di nuove normative potrebbe avere un effetto deterrente per l’implementazione di progetti di AI. O per lo meno potrebbe rallentarne l’integrazione, poiché può risultare complesso per le imprese tradurre le disposizioni delle normative all’interno della propria organizzazione mentre ancora cercano di comprendere come integrare la tecnologia.
Cosa prevede l’AI Act per i sistemi di sicurezza
Le norme contenute nell’AI Act sono state ideate al fine di coniugare privacy e sviluppo e garantire un utilizzo responsabile e sicuro dell’intelligenza artificiale. L’approccio basato sul rischio assicura che gli obblighi siano proporzionati al livello di rischio associato all’AI. Ad esempio, i sistemi di AI ad alto rischio, come quelli utilizzati per il social scoring, saranno completamente vietati poiché rappresentano una minaccia per la sicurezza delle persone.
L’Europarlamento sostiene il divieto totale di utilizzo di tecnologie di riconoscimento biometrico ad intelligenza artificiale in tempo reale nei luoghi pubblici. È stato infatti bocciato l’emendamento del Ppe (Partito Popolare Europeo) che chiedeva di inserire nell’AI Act, alcune eccezioni. Questo per permettere l’uso di telecamere per il riconoscimento facciale nelle strade e ai confini dell’Ue per motivi di sicurezza nazionale o nei casi di minori scomparsi. Il riconoscimento “biometrico” (facciale ma non solo) ex-post (su video registrati) è possibile. Ma solo con autorizzazione del giudice, solo per crimini gravi e solo per reati già commessi.
Gli impatti della nuova normativa europea
L’obiettivo principale delle soluzioni di sicurezza fisica integrate con AI è quello di accrescere l’efficacia della videosorveglianza. Il tutto migliorando la capacità di monitorare e prevenire attività criminali o comportamenti indesiderati. L’integrazione dell’intelligenza artificiale offre vantaggi significativi, come la riduzione dei falsi allarmi e la capacità di reagire in modo più tempestivo agli eventi critici. Il tutto consentendo in parallelo di sfruttare al massimo i sistemi di videosorveglianza esistenti senza doverli sostituire, rappresentando così una soluzione più conveniente ed efficiente.
Ad ogni modo, l’uso dell’intelligenza artificiale per i sistemi di videosorveglianza impone il rispetto di norme volte a tutelare i diritti e le libertà delle persone fisiche. Per essere in regola con le normative esistenti e soprattutto per garantire compliance nel tempo alla luce di nuove normative, come l’AI Act, le organizzazioni dovranno adottare un nuovo processo di gestione dei rischi legato allo sviluppo e all’utilizzo delle applicazioni di intelligenza artificiale. Questo processo non riguarda solo la gestione dei dati. Ma anche l’implementazione di un sistema strutturato di governance dell’AI che parta dall’analisi dei processi interni alle aziende per utilizzare gli algoritmi in modo efficace e responsabile.
Come le aziende possono prepararsi agli effetti dell’AI Act
Per le aziende è necessario iniziare ad agire fin d’ora per assicurare un’integrazione quanto più fluida e agile possibile delle indicazioni dell’AI Act all’interno della propria organizzazione. E assicurare così il pieno rispetto di tutte le normative.
Innanzitutto, bisognerà lavorare su una definizione quanto più precisa possibile delle finalità della videosorveglianza intelligente. Questo per identificare un perimetro di utilizzo dell’AI che possa essere facilmente controllato.
In secondo luogo, è necessario effettuare una valutazione di impatto del trattamento (D.P.I.A., cioè Data Protection Impact Assessment) specificatamente pensata per i sistemi di intelligenza artificiale e delineare policy adeguate. Dato lo scopo di un DPIA di gestire gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento dei dati, è facile intuire che nel caso dell’intelligenza artificiale i rischi sono particolarmente elevati.
Pensiamo, ad esempio, al diritto a non essere discriminati, per cui nella DPIA si dovrà verificare se l’algoritmo non contenga valori discriminatori nel codice stesso o non abbia impatti discriminatori in fase di utilizzo. Di conseguenza, dovranno essere identificate policy specifiche per assicurare tutela contro i rischi emersi dall’assessment, dall’adozione di misure informative esplicite alla definizione e implementazione di garanzie per i diritti dell’interessato e per la sorveglianza umana.
Serve una adeguata formazione di tutto il personale
Inoltre, va assicurata la sicurezza dei dati contro ogni possibilità di corruzione o accesso non autorizzato presso tutti i punti di acquisizione, elaborazione e gestione. L’utilizzo di sistemi di sorveglianza con AI, infatti, comporta rischi in materia cybersecurity di Data Poisoning non solo nei sistemi di elaborazione centrale. Ma anche all’edge, ovunque i dati siano raccolti o lavorati.
Per tutte queste ragioni, dunque, la prima azione fondamentale da intraprendere è un’adeguata formazione di tutto il personale coinvolto nell’utilizzo degli strumenti di intelligenza artificiale. Questo al fine di creare la giusta consapevolezza e responsabilizzazione a lungo termine. Senza dimenticare, infine, che la responsabilità va condivisa anche a livello di filiera, e va quindi considerata anche la disposizione di contratti di distribuzione delle responsabilità tra tutti i partner e i vendor coinvolti nello sviluppo e nella fornitura, implementazione e gestione dei sistemi.
Come Axitea, ci stiamo impegnando per integrare l’intelligenza artificiale nei servizi offerti alle imprese. Il nostro obiettivo è garantire totale compliance sia per le tecnologie utilizzate (come AI Video Solution), che all’interno dei processi relativi al loro utilizzo. Lo facciamo mettendo a disposizione servizi di consulenza per le aziende che utilizzano e sviluppano intelligenza artificiale al fine di essere conformi alla normativa.