L’intelligenza artificiale si afferma sempre più come uno strumento fondamentale per il progresso tecnologico e sociale. Tuttavia, l’impiego diffuso dell’IA impone una riflessione profonda sulle implicazioni etiche e normative del suo uso.
L’Unione Europea è stata tra le prime entità a riconoscere questa necessità, avanzando una proposta ambiziosa con il nuovo AI ACT. Questa normativa prevede un rigido processo di conformità che coinvolge un ruolo centrale per l’accreditamento, anche in ambiti delicati come quello dei dispositivi medici.
La gestione dei rischi legati all’utilizzo dell’IA diventa così un tema cruciale, che richiede sia lo sviluppo di specifiche norme tecniche, sia un impegno collettivo per affrontare le sfide del futuro.
L’urgenza di una gestione collettiva dei rischi dell’IA
La “dichiarazione di Bletchley” da parte di Stati Uniti, Cina e dei Paesi Ue, e la recente scelta del Governo italiano di mettere l’intelligenza artificiale al centro dell’agenda del G7 di giugno 2024, evidenziano l’urgenza di una gestione collettiva dei potenziali rischi, ma anche delle opportunità, dell’IA.
L’impegno della Ue in questo ambito è ulteriormente rafforzato dal nuovo AI ACT, ormai giunto alle fasi conclusive dell’iter di approvazione dopo che è stato trovato un accordo politico tra Parlamento e Consiglio europei. Il modello di gestione comunitario dell’intelligenza artificiale farà perno sull’approccio risk-based che sembra porre in rilievo l’importanza della valutazione della conformità da parte degli organismi notificati.
Organismi la cui indipendenza, imparzialità e competenza vengono garantite in modo prevalente e preferibile dall’accreditamento, come previsto per numerosi prodotti, prima della loro immissione nel mercato europeo. In questo ambito, Accredia sta conducendo una ricerca con il Consorzio Interuniversitario Nazionale per l’Informatica (CINI) proprio per analizzare come le attività di valutazione della conformità avranno un ruolo di rilievo in relazione ai requisiti imposti dall’AI ACT.
La valutazione di conformità, per un’IA affidabile e sicura
La Presidente della Commissione europea, Ursula von der Leyen, in occasione dell’accordo politico raggiunto tra le istituzioni europee, Parlamento e Consiglio, ha sottolineato come l’intelligenza artificiale (IA) sta già cambiando il nostro modo di vivere giorno dopo giorno. E siamo solo all’inizio. Usata però saggiamente, l’intelligenza artificiale promette enormi vantaggi per la nostra società.
La valutazione di conformità, svolta da soggetti accreditati ai sensi del Reg (CE) 765/2008, può essere un importante elemento di supporto nel raggiungere gli obiettivi della Commissione. Ma per comprendere al meglio il contributo che gli organismi accreditati potranno fornire nello sviluppo di un’intelligenza artificiale affidabile e sicura, è necessario prima un breve passaggio sulla proposta di regolamento sull’intelligenza artificiale (AI ACT), strumento individuato da Bruxelles per definire i requisiti dei sistemi IA.
A che punto è l’AI ACT dell’Unione Europea
L’8 dicembre scorso Parlamento e Consiglio, dopo complesse trattative, hanno raggiunto un accordo sulla proposta di Regolamento. Il testo di compromesso dovrà ora essere approvato, con distinte votazioni, da entrambe le Istituzioni. Successivamente, il nuovo Regolamento sarà pubblicato sulla Gazzetta Ufficiale (verosimilmente nel primo quadrimestre del 2024). Le nuove norme saranno pienamente applicabili decorsi due anni dalla data di entrata in vigore dell’atto normativo.
I parlamentari, così come i rappresentanti dei Governi, avevano già condotto un esame “autonomo” della proposta della Commissione, apportando significative modifiche, a partire dalla definizione di IA.
Rispetto al testo della Commissione, infatti, i due co-legislatori hanno ampliato – seppur con le dovute differenze – il novero di sistemi di IA ricadenti nell’ambito di applicazione del Regolamento. In attesa di leggere un testo ufficiale della nuova proposta, con le informazioni arrivate da Bruxelles si può sottolineare che la definizione di intelligenza artificiale è stata allineata con quella prodotta dall’Organizzazione per la cooperazione e lo sviluppo economico (OCSE).
È dunque facilmente ipotizzabile che la versione finale dell’AI ACT troverà applicazione su una moltitudine di strumenti software in settori molto diversi tra loro.
Nel redigere la proposta di regolamento la Commissione ha adottato il c.d. risk-based approach, confermato da Parlamento e Consiglio in sede di trilogo, in ragione del quale sono individuati sistemi di IA con rischio “inaccettabile” (che saranno vietati), alto, limitato e minimo.
Le procedure di valutazione della conformità nel contesto dell’AI Act
La proposta di Regolamento prevede espressamente che i sistemi di IA ad alto rischio, ovvero quei sistemi aventi un impatto potenzialmente significativo sui cittadini, debbano recare la marcatura CE per poter essere immessi sul mercato europeo, al pari di numerosi prodotti.
Ai fini della marcatura, è richiesta al fabbricante un’attestazione della conformità del prodotto.
I sistemi di IA ad alto rischio dovranno dunque essere conformi a una serie di requisiti volti a minimizzare i potenziali danni legati al loro utilizzo.
In questa prospettiva, la valutazione di terza parte accreditata può svolgere indubbiamente un ruolo importante, assicurando il rispetto delle prescrizioni dei legislatori europei.
In tal senso, la Commissione, nell’adottare la proposta di regolamento, aveva già previsto la possibilità, per i produttori di alcune tipologie di sistemi di IA afferenti alla biometria, di ricorrere a una valutazione di conformità svolta da un organismo di valutazione della conformità “notificato”. In caso di mancata applicazione delle norme armonizzate e delle specifiche tecniche comuni da parte del produttore, il coinvolgimento dell’organismo notificato diventava obbligatorio. Questa prescrizione è stata sostanzialmente confermata anche da Parlamento e Consiglio nell’ambito dei rispettivi esami, ed è dunque verosimile che sia confluita nel testo di compromesso recentemente adottato.
L’accreditamento come chiave della conformità
La procedura di notifica, già applicata in numerosi atti normativi europei, è dettagliata con precisione nel Regolamento. Gli organismi di valutazione della conformità, al fine di svolgere l’attività di organismo notificato, devono possedere requisiti di indipendenza, imparzialità e competenza. Questi requisiti sono valutati da un’autorità (autorità notificante), individuata in ciascun Stato membro. Sarà poi l’autorità notificante a designare gli organismi notificati, inviando contestualmente un’apposita comunicazione alla Commissione.
L’accreditamento rappresenta lo strumento preferibile e prevalente per verificare il possesso dei requisiti sopramenzionati e, per questa ragione, gli organismi sono invitati a corredare la domanda di notifica (rivolta all’autorità notificante) con un certificato di accreditamento. In assenza di tale certificato, l’organismo dovrà dimostrare – con prove documentali – di essere conforme a quanto disposto dall’AI ACT.
Il coinvolgimento di organismi notificati è previsto anche per alcuni sistemi di IA ad alto rischio collegati a prodotti soggetti al c.d. “nuovo quadro legislativo” (che ricomprende oltre venti atti normativi europei). Per questi sistemi si applicheranno infatti le stesse procedure di valutazione della conformità previste dalla normativa di riferimento, che saranno integrate al fine di garantire il rispetto anche dei requisiti previsti dall’AI ACT.
Tali prodotti saranno dunque soggetti a un doppio regime giuridico, dovendo rispettare sia i requisiti previsti dalle norme specifiche per il proprio settore, sia le disposizioni dell’AI ACT per quanto riguarda la componente di intelligenza artificiale.
Il caso rilevante dei dispositivi medici
In questo contesto, assume importanza ad esempio l’applicazione al caso dei dispositivi medici attualmente rientranti nella disciplina del Regolamento 2017/745 (atto presente tra quelli contenuti nell’allegato II) per la loro immissione nel mercato europeo. In base a tale regolamento, i dispositivi medici rientranti nelle classi IIa, IIb, III, oltre ai dispositivi di classe I sterili, ai dispositivi con funzioni di misura e agli strumenti chirurgici sono sottoposti ad una procedura di valutazione di conformità che prevede il ricorso a un organismo notificato.
L’organismo notificato dovrà dunque verificare che il dispositivo sia conforme sia ai requisiti del Reg. 2017/745, sia ai requisiti dell’AI ACT ove il dispositivo medico sia un software AI (o il software AI sia parte del dispositivo).
Attualmente i fabbricanti, nello sviluppare un software qualificabile come dispositivo medico, seguono alcune norme come la IEC 62304 (per dimostrare la sicurezza del prodotto), con la possibilità di svolgere test presso laboratori, e linee guida internazionali (MDCG 2020-1 o IMDRF/SaMD WG/N41FINAL:2017) per dimostrare l’efficacia clinica degli stessi.
L’AI ACT richiederà una normazione tecnica più specifica, al fine di dettagliare con precisione le modalità di verifica dei requisiti ivi previsti.
A tal proposito, Accredia sta conducendo una ricerca con il Consorzio Interuniversitario Nazionale per l’Informatica (CINI), al fine di analizzare come le attività di valutazione della conformità cambieranno in relazione ai nuovi requisiti imposti dall’AI ACT e con l’introduzione di nuova normativa tecnica, con un focus specifico proprio sui dispositivi medici.
I gruppi internazionali al lavoro per la normazione tecnica
Lo sviluppo della normazione tecnica rappresenta un passaggio essenziale per dare piena attuazione all’AI ACT. Proprio per questo, due gruppi di lavoro internazionali – il gruppo di lavoro ISO/IEC JTC1 SC42 e il CEN/CENLEC (JTC21) – sono impegnati nello sviluppo degli standard di riferimento.
Il gruppo di lavoro internazionale (ISO/IEC JTC1 SC42), suddiviso in cinque sottogruppi di lavoro (Foundational standards; Data; Trustworthiness; Use cases and applications; Computational approaches and computational characteristics of AI system) ha l’obiettivo di sviluppare norme applicabili sul mercato globale, mentre il CEN/CENELEC dovrà sviluppare gli standard (che poi diventeranno norme armonizzate) per attestare la corrispondenza di un software ai requisiti previsti dall’AI ACT.
Una volta che la normazione tecnica sarà ultimata e vagliata dalla Commissione europea, i produttori avranno degli standard di riferimento per realizzare dei sistemi IA conformi con il nuovo quadro regolatorio.
Attraverso l’intervento della normazione tecnica e della verifica di terza parte accreditata, nei casi previsti dal Regolamento, sarà dunque possibile attestare il rispetto delle disposizioni in materia di IA.
