Giovedì l'Unione Europea ha pubblicato la prima bozza di un codice di condotta per i modelli generali di intelligenza artificiale. Il documento, che non sarà finalizzato prima di maggio, contiene linee guida per la gestione del rischio e fornisce un modello per le aziende per conformarsi alle normative ed evitare pesanti sanzioni. La legge dell'UE sull'IA è entrata in vigore il 1° agosto, ma ha lasciato spazio ai dettagli delle regole GPAI da finalizzare in un secondo momento. Questa bozza (via TechCrunch) è il primo tentativo di chiarire cosa ci si aspetta da questi modelli più avanzati, dando alle parti interessate il tempo di fornire un feedback e di perfezionarli prima che entrino in vigore.
Le GPAI sono aziende formate con una potenza di calcolo totale superiore a 10²⁵ FLOP. Tra le aziende che dovrebbero rientrare nelle direttive UE ci sono OpenAI, Google, Meta, Anthropic e Mistral. Tuttavia, l'elenco potrebbe allungarsi ulteriormente.
Il documento affronta diverse aree chiave per i produttori di GPAI: trasparenza, conformità al copyright, valutazione del rischio e mitigazione dei rischi tecnici e di governance. La bozza di 36 pagine copre un ampio spettro (e probabilmente diventerà ancora più completa una volta ultimata), ma ci sono alcuni punti salienti.
Il codice pone l'accento sulla trasparenza nello sviluppo dell'IA e richiede alle aziende che si occupano di IA di fornire informazioni sui web crawler utilizzati per addestrare i loro modelli - una preoccupazione fondamentale per i titolari di copyright e i creatori. La sezione sulla valutazione dei rischi mira a prevenire la criminalità informatica, la discriminazione diffusa e la perdita di controllo sull'IA (il momento "è fuori controllo" di un milione di brutti film di fantascienza).
I produttori di IA sono tenuti a implementare un quadro di sicurezza e protezione (SSF) per definire e mitigare le loro politiche di gestione del rischio in base ai rischi sistemici. I requisiti riguardano anche aree tecniche come la protezione dei dati del modello, la fornitura di controlli di accesso fail-safe e la rivalutazione continua della loro efficacia. Infine, la sezione sul governo societario mira a rafforzare la responsabilità all'interno delle organizzazioni stesse, richiedendo una valutazione continua dei rischi e, se del caso, il coinvolgimento di esperti esterni.
Come per altre leggi dell'UE relative alla tecnologia, le aziende che violano l'AI Act possono incorrere in sanzioni severe. Possono essere multate fino a 35 milioni di euro (attualmente 36,8 milioni di dollari USA) o fino al sette per cento del loro profitto annuale globale, a seconda di quale sia il valore più alto.
Le parti interessate sono invitate a fornire un feedback fino al 28 novembre attraverso l'apposita piattaforma Futurium, al fine di perfezionare la prossima bozza. L'entrata in vigore delle norme è prevista per il 1° maggio 2025.
