Dopo il via libera del Parlamento Europeo lo scorso 14 giugno, l'AI Act è pronto per entrare in vigore entro nel 2024. La rapida diffusione dell'intelligenza artificiale ha richiesto un intervento da parte delle istituzioni per contenere i rischi dei sistemi intelligenti e proteggere la privacy dei cittadini.
Se da una parte il framework condiviso mira a tutelare la sicurezza di tutti, dall'altra potrebbe avere un effetto deterrente per l'implementazione dei progetti di AI o comunque rallentarne l'integrazione. Ciò vale soprattutto nel settore della videosorveglianza, dove l'AI può giocare un ruolo fondamentale per migliorare il monitoraggio dei luoghi più a rischio.
Maria Formato, Lead Consultant di Axitea, provider per la sicurezza fisica e informatica, ha analizzato le norme dell'AI Act per capire il potenziale impatto che avranno sulle tecnologie di monitoraggio e sulle iniziative di protezione, spiegando anche come le imprese possono prepararsi alle implicazioni del regolamento.
L'europarlamento, spiega Formato, vieta l'uso di tecnologia di riconoscimento biometrico a intelligenza artificiale in tempo reale nel luoghi pubblici, senza alcuna eccezione. L'analisi biometrica è permessa soltanto ex-post, su video registrati, ma solo previa autorizzazione del giudice ed esclusivamente per crimini gravi e reati già commessi.
Gli impatti dell'AI Act sulle aziende
Anche se la videosorveglianza biometrica in tempo reale sarà vietata, le aziende del settore possono comunque investire su soluzioni di sicurezza che integrano l'IA per individuare potenziali comportamenti sospetti e monitorare il flusso delle persone per anticipare possibili eventi critici.
Per rispettare le nuove norme, le imprese dovranno adottare nuovi processi di gestione del rischio legato allo sviluppo e all'uso delle applicazioni di IA.
L'AI Act richiede che gli obblighi dei sistemi di intelligenza artificiale siano proporzionati ai rischi e vieta quelli ad alto rischio, come quelli per il credito sociale; per prima cosa è quindi essenziale definire in modo preciso le finalità della sorveglianza, individuando il perimetro d'uso del sistema.
Le aziende devono inoltre effettuare un DPIA, Data Protection Impact Assessment, ovvero una valutazione di impatto del trattamento dei dati per identificarne la necessità, la proporzionalità e gli eventuali rischi per i diritti e le libertà delle persone.
Un DPIA deve contenere anche le misure previste per affrontare i rischi e le garanzie attuate per proteggere i dati in conformità al regolamento europeo.
Nel proteggere i dati usati dai sistemi occorre considerare il problema del data poisoning, ovvero gli attacchi che mirano a inquinare il dataset di training per compromettere la correttezza dei risultati. Questo tipo di attacco può verificarsi sia nei sistemi di elaborazione centrale che all'edge, dove i dati sono raccolti ed elaborati.
L'impegno delle imprese di videosorveglianza deve partire da adesso e, vista la complessità del tema e le implicazioni in gioco, deve coinvolgere tutto il personale, i vendor e i partner per garantire sicurezza e compliance normativa in tuti i livelli della supply chain.
Le aziende devono così investire su un'adeguata formazione per responsabilizzare gli attori coinvolti e assicurarsi di offrire il miglior servizio ai propri clienti nel rispetto delle regolamentazioni future.
