Així és la llei d'intel·ligència artificial europea, la primera norma que regula la IA

La intel·ligència artificial està present des de fa anys en aspectes digitals de la vida quotidiana com les xarxes socials, cercadors com Google o Bing i sistemes de streaming. I també es fa servir a cada cop més sectors, des de la salut i les finances a la logística o l'atenció al client.

Aquest dijous, 1 d'agost, entra en vigor l'anomenada AiAct, la llei d'intel·ligència artificial de la Unió Europea, primera normativa al món que regula una tecnologia que a vegades és capaç de comportar-se amb més precisió que les persones.

La legislació, pionera a regular una tecnologia tan complexa, busca que l'adopció de la IA es faci amb l'ésser humà al centre, garantint els drets fonamentals de la ciutadania i la seguretat davant dels riscos que planteja.
 

A qui s'aplica la llei?

La llei europea se centra en els proveïdors dels sistemes i models d'intel·ligència artificial que es posin en servei o comercialitzin dins de la Unió Europea o bé que tinguin sortida a la Unió, independentment de l'origen.

El proveïdor pot ser el distribuïdor, l'importador, el responsable del desplegament o un tercer. És en qui recau la responsabilitat sobre la tecnologia al llarg de la cadena de valor.

A grans trets, exigeix que el proveïdor faci avaluacions del nivell de risc dels productes, tant abans de posar-los al mercat com quan ja hi siguin. A més, ha d'incloure mesures per evitar o mitigar aquests riscos.

Els responsables dels sistemes d'IA també han de seguir un codi de bones pràctiques, que supervisarà l'Oficina Europea d'Intel·ligència Artificial.

En canvi, la llei no s'aplica a les autoritats públiques de tercers països ni a organitzacions internacionals si utilitzen sistemes d'IA en l'àmbit de la cooperació policial o judicial amb la UE.

També en queden exclosos els sistemes d'ús militar o utilitzats en el context de la seguretat nacional, a més dels que es fan servir amb propòsits d'investigació o desenvolupament científic.

Quins sistemes d'IA estan prohibits?

La llei classifica les aplicacions de la intel·ligència artificial segons el nivell de risc que comporten. A partir d'aquest enfocament, la normativa determina tres categories: els sistemes que suposen un risc inacceptable, els sistemes d'alt risc i els sistemes de risc limitat. Les aplicacions i sistemes que suposen un risc inacceptable estan prohibits.

Són sistemes que es considera que contradiuen els valors de la UE, com ara el dret a la no discriminació, la protecció de dades i la privacitat.

Entre el que es considera un risc inacceptable hi ha l'ús de sistemes de categorització biomètrica per raça o orientació sexual o bé creences polítiques o religioses.

També els sistemes de puntuació social que classifiquen les persones per atorgar drets o sancionar comportaments, com el que hi ha a la Xina.

La llei prohibeix la captura indiscriminada d'imatges facials d'internet o gravacions de càmeres de vigilància per crear bases de dades de reconeixement facial.

I les tècniques subliminals, manipuladores o enganyoses que busquen distorsionar el comportament d'una persona i perjudicar-ne la presa de decisions.

Però hi ha algunes excepcions. L'ús de sistemes d'identificació biomètrica per part de les forces de seguretat està prohibit, però es podrà fer servir en situacions concretes, sempre amb l'autorització prèvia d'un jutge, per a una llista concreta de delictes i un temps i espai determinats.

Per a la vigilància en temps real, es permetrà l'ús de la identificació biomètrica per a la prevenció d'una amenaça terrorista, la localització d'una persona sospitosa d'haver comès un delicte greu o per a víctimes de segrest, tràfic o explotació sexual. En la vigilància feta a posteriori, l'ús d'aquests sistemes queda limitat a la recerca d'una persona condemnada o sospitosa d'haver comès un delicte greu.
 

Què es considera sistemes d'IA d'alt risc?

Els sistemes d'alt risc inclouen els que tenen "un efecte perjudicial considerable" en la salut, la seguretat i els drets fonamentals de les persones. Són sistemes que a la nova llei estan subjectes a obligacions estrictes.

En aquesta categoria hi ha els sistemes d'identificació biomètrica remota o els que, en l'àmbit de l'educació, es fan servir per al seguiment i detecció de comportaments prohibits en estudiants durant exàmens.

En l'àmbit laboral, es consideren d'alt risc els sistemes que s'utilitzen per seleccionar treballadors o per supervisar-ne i avaluar-ne el rendiment o la manera de comportar-se.

Altres sistemes dins d'aquesta categoria són els polígrafs i eines similars o aquells que estan dissenyats per influir en el resultat d'unes eleccions o en el comportament electoral de la ciutadania.

Quins són els sistemes de risc limitat?

Finalment, la categoria de risc limitat engloba models que s'entrenen amb un gran volum de dades i a partir de mètodes com l'aprenentatge autosupervisat, no supervisat o per reforç.

Un exemple d'aquests models és la intel·ligència artificial generativa, que permet la creació de continguts de text, imatge, vídeo o audio, com ara el Gemini de Google o ChatGPT d'Open AI.

Aquests models poden plantejar riscos sistèmics, que augmenten amb la capacitat i l'abast. En aquest punt, insta a seguir la legislació internacional i estar atents a possibles usos indeguts, com el descobriment de vulnerabilitats en sistemes informàtics, interferències en funcionament d'infraestructures crítiques o la possibilitat que alguns models puguin autoreplicar-se i entrenar altres models.

Són sistemes que han de complir una sèrie de requisits de transparència, com ara informar els usuaris perquè no pensin que interactuen amb persones reals.
 

Quan serà d'aplicació obligatòria?

La llei es va aprovar primer en comissió i va arribar al Parlament Europeu el juny de l'any passat. Després d'obtenir el vistiplau dels estats membres, va tornar a l'Eurocambra, que va aprovar-la definitivament el mes de març.

Un cop publicada al Diari Oficial de la UE, el 12 de juliol passat, la llei entra en vigor aquest dijous. De tota manera, no serà d'aplicació obligatòria fins d'aquí a dos anys.

Les prohibicions de pràctiques seran de plena aplicació sis mesos després de l'entrada en vigor de la llei, és a dir, el mes de febrer de l'any vinent. L'agost de 2025 es començaran a aplicar les normes per als models d'ús generalista, com ChatGPT, i un any després, s'aplicarà la llei de manera general.

Les obligacions per als sistemes d'alt risc començaran a aplicar-se d'aquí a tres anys, l'agost de 2027.

La llei té en compte la rapidesa amb què evoluciona la intel·ligència artificial i, per això, preveu avaluacions i revisions periòdiques del reglament i dels sistemes d'IA, especialment aquells que es consideren d'alt risc.

Quines multes hi ha per a qui incompleixi la llei?

Les multes que preveu la llei tenen en compte la mida del proveïdor.

Així doncs, l'incompliment de la normativa se sancionarà amb multes que van des dels 35 milions d'euros o el 7% del volum global de negoci de l'empresa fins als 7,5 milions o l'1,5% del volum global de negoci.

Quines implicacions té la llei en la ciberseguretat?

Alguns punts clau de la nova llei tenen implicacions directes en ciberseguretat per als usuaris. Per exemple, la norma obliga a tenir directius de desenvolupament i implementació més estrictes, tenint en compte la seguretat, com ara la incorporació de pràctiques de codificació segura i garanties que els sistemes d'IA siguin resistents als ciberatacs.

També exigeix a les empreses responsables mesures per evitar bretxes de seguretat i més transparència, especialment en els sistemes considerats d'alt risc, per ajudar a identificar vulnerabilitats i mitigar possibles amenaces.

La regulació també vol evitar l'ús de la IA amb finalitats malintencionades, com ara la creació de "deepfakes" o l'automatització de ciberatacs. Amb això es vol reduir el risc que la intel·ligència artificial es faci servir com una eina de ciberguerra.