L’Intelligenza Artificiale (AI) è un trend topic, un fenomeno in grande espansione. Ma come si sta muovendo l’Unione Europea dal punto di vista normativo? Hai già sentito parlare dell’AI Act?
Anche (e soprattutto) grazie alla diffusione massiva di ChatGPT, nuovamente utilizzabile in Italia dopo aver superato l’impasse del blocco imposto dal Garante Privacy, abbiamo assistito ad una vera e propria democratizzazione degli strumenti di AI, sempre più impiegati da aziende e privati per ottimizzare e velocizzare diverse operazioni.
È bene specificare che la crescita dell’impiego di strumenti di Intelligenza Artificiale per il business parte ben prima dell’avvento di ChatGPT, tanto da aver suscitato un forte interesse del legislatore europeo già in tempi “non sospetti”.
Infatti, pur riconoscendo il vantaggio competitivo che l’evoluzione tecnologica può garantire alle imprese dell’Unione Europea, le istituzioni comunitarie non sono rimaste indifferenti ai possibili “nuovi rischi o conseguenze negative per le persone fisiche o la società” connessi all’evoluzione di questo fenomeno.
Per questo, è stata approvata nei giorni scorsi una nuova proposta di Regolamento (rinominato AI Act) per definire un quadro normativo sull’impiego dell’Intelligenza Artificiale all’interno dell’Unione: un provvedimento ritenuto necessario per fissare limiti, regole certe e responsabilizzare sviluppatori e utilizzatori di queste tecnologie.
Vediamo, dunque, cosa contiene al momento l’AI Act e cosa dobbiamo aspettarci dal punto di vista legislativo nel prossimo futuro.
| AI Act: gli obiettivi dell’Unione Europea
Come detto, gli interventi dell’UE sull’Intelligenza Artificiale partono da “lontano”, e in particolare dall’impegno assunto dalla Presidente della Commissione europea Ursula von der Leyen che, nei suoi orientamenti politici per il periodo 2019-2024, aveva già annunciato una normativa per un approccio europeo coordinato sulle implicazioni umane ed etiche dell’intelligenza artificiale.
Da quel momento in poi, negli anni, si sono susseguiti una serie di attività legate al tema da parte della Commissione, ma anche del Consiglio e del Parlamento europeo, fino all’attuale proposta dell’AI Act.
Ecco gli obiettivi principali di questo Regolamento:
- assicurare che i sistemi di AI siano sicuri e rispettino la normativa sui diritti fondamentali e i valori dell’Unione;
- assicurare la certezza del diritto per facilitare gli investimenti e l’innovazione;
- migliorare l’applicazione effettiva della normativa esistente;
- facilitare lo sviluppo di un mercato unico dell’AI.
Nel raggiungere questi fini, l’UE dichiara che non intende “limitare od ostacolare indebitamente lo sviluppo tecnologico”, bensì favorirlo con un approccio normativo “equilibrato e proporzionato” che armonizzi l’immissione e l’utilizzo di queste tecnologie controllandone il rischio solo nei casi in cui “sussiste un motivo di preoccupazione giustificato” attuale o facilmente prevedibile nell’immediato futuro.
È proprio il concetto di “rischio” ad essere alla base dell’intervento normativo. Vediamo in che modo.
| Proposta di Regolamento UE sull’Intelligenza Artificiale: i contenuti principali
Innanzitutto, preme sottolineare la scelta del legislatore di utilizzare lo strumento del Regolamento per legiferare sul tema dell’AI, piuttosto che la Direttiva o altro provvedimento.
Come per altre questioni, anche legate a questo tema (vedi il GDPR), ha prevalso la necessità di uniformare la legislazione con un atto giuridico immediatamente applicabile in tutti gli ordinamenti nazionali degli Stati membri, evitando l’annoso problema della frammentazione normativa.
Così è possibile introdurre una serie armonizzata di requisiti di base e obblighi riguardanti fornitori e utenti, soprattutto nelle applicazioni di AI definite “ad alto rischio”.
La proposta di Regolamento sull’AI, però, non contiene disposizioni eccessivamente prescrittive e lascia una certa libertà d’azione agli Stati membri, in particolare relativamente all’organizzazione interna del sistema di vigilanza.
Andiamo ai contenuti della proposta. Nel testo legislativo sono distinte 4 categorie di applicazioni di Intelligenza Artificiale, classificate proprio in base ai rischi che il loro utilizzo pone per la tutela dei diritti dei cittadini europei.
Per ognuna di queste categorie sono stati previsti obblighi, divieti e requisiti di trasparenza da rispettare.
| I sistemi di AI a rischio minimo o limitato
Al livello di pericolo più basso, secondo il legislatore, troviamo i sistemi AI a rischio minimo e i sistemi AI a rischio limitato.
Nel primo caso si è ritenuto che l’applicazione del Regolamento non fosse necessaria.
Nel secondo, invece, la proposta di Regolamento prevede dei requisiti minimi di trasparenza, ossia che venga data opportuna informazione agli utilizzatori finali relativamente alle implicazioni derivanti dall’utilizzo della tecnologia specifica, in modo tale da dare loro la possibilità di scegliere se proseguire o meno in maniera autonoma e informata.
Chiaramente, in entrambi i casi, non è vietato adottare volontariamente ulteriori cautele, ad esempio quelle previste per sistemi di AI con rischio maggiore, soprattutto quando questo rischio riguarda la sostenibilità ambientale o i diritti di soggetti fragili.
| I sistemi di AI ad alto rischio
Le disposizioni normative cambiano radicalmente per i sistemi di AI ad alto rischio.
L’allegato 3 della proposta dell’AI Act contiene una lista dettagliata delle applicazioni rientranti in questa categoria. Riassumendo, si tratta di sistemi che possono avere un impatto concreto e rilevante sulla vita delle persone, ad esempio:
- l’identificazione biometrica;
- la gestione del traffico stradale e di servizi pubblici essenziali;
- i sistemi di AI destinati agli istituti di istruzione e formazione professionale, occupazione, gestione dei lavoratori e accesso al lavoro autonomo;
- i sistemi di AI utilizzati dalle autorità di contrasto nell’ambito delle proprie attività, come la valutazione dell’affidabilità degli elementi probatori nel corso delle indagini o del perseguimento di reati;
- i sistemi di AI destinati alla gestione della migrazione, dell’asilo e del controllo delle frontiere;
- i sistemi di AI destinati ad assistere un’autorità giudiziaria.
Tutte queste tecnologie devono rispettare requisiti obbligatori e superare una valutazione di conformità, indicati nel Titolo 3, Capo 2 e 3 della proposta.
I requisiti riguardano principalmente:
- la gestione e la valutazione dei rischi;
- la governance dei dati (in particolare i set di dati di addestramento, convalida e prova che dovrebbero essere liberi da errori e completi);
- la documentazione tecnica richiesta;
- la trasparenza nei confronti degli utenti (explicability);
- la sorveglianza umana.
L’iter di valutazione di conformità, invece, se superato, si conclude con l’apposizione del marchio CE (Conformità Europea) che attesta che il sistema di AI rispetta i requisiti della normativa dell’Unione.
I controlli non si esauriscono in fase preventiva di immissione sul mercato, ma proseguono anche nelle fasi successive dell’utilizzo con un’attività costante di monitoring e reportistica finalizzata alla rilevazione di eventuali incidenti e con nuove verifiche di conformità.
| I sistemi di AI a rischio inaccettabile
In ultimo, i sistemi di AI definiti “a rischio inaccettabile” dalla proposta di Regolamento sono quelle applicazioni di Intelligenza Artificiale vietate all’interno dell’Unione Europea, definite nell’art. 5.
Questi sistemi riguardano:
- la manipolazione delle persone con tecniche subliminali e mediante lo sfruttamento delle vulnerabilità di alcuni gruppi sociali (minori, anziani, disabili);
- il divieto di attribuire un punteggio sociale per finalità generali da parte delle autorità pubbliche (es. un sistema di AI che individua i minori che potrebbero necessitare di assistenza in base a comportamenti sociali irrilevanti dei genitori);
- il divieto di utilizzo di sistemi di identificazione biometrica remota in spazi accessibili al pubblico a fini di attività̀ di contrasto (salvo le eccezioni specificamente elencate nello stesso articolo);
- i sistemi di riconoscimento delle emozioni;
- i sistemi di categorizzazione biometrica basati su genere, razza, etnia, cittadinanza, religione, credo politico.
| Coerenza con le altre normative dell’Unione (GDPR in primis) e approvazione finale dell’AI Act
È evidente che molti dei temi toccati dall’AI Act rappresentano dei punti di contatto concreti con altre discipline e devono essere necessariamente coordinati con l’impianto normativo esistente.
L’esempio più lampante è proprio il GDPR, che all’art. 22 vieta la possibilità di effettuare trattamenti di profilazione completamente automatizzati, se non nei casi esplicitamente previsti dallo stesso Regolamento o nel caso in cui sia autorizzato dall’interessato tramite la sottoscrizione di un consenso informato, lasciando comunque la libertà a quest’ultimo di richiedere l’intervento umano concreto nei processi valutazione dell’AI.
Anche i sistemi di raccomandazione delle piattaforme online di grandi dimensioni (VLOPs), definiti dal Digital Service Act, sono toccati dalla proposta di Regolamento sull’AI e infatti sono stati inseriti tra i sistemi ad alto rischio e dovranno rispettarne obblighi e requisiti.
In definitiva, l’iter verso l’approvazione finale del primo impianto normativo al mondo sull’Intelligenza Artificiale sembra andare spedito verso la conclusione.
La conferma arriva anche dall’accordo politico trasversale raggiunto dal Parlamento Europeo lo scorso aprile che sta ad indicare che molto probabilmente avremo il nuovo Regolamento Europeo sull’AI entro la fine dell’attuale Legislatura, prevista per la primavera del 2024.
Floriana Capone
L’Avvocato dell’Ecommerce
