L’intelligenza artificiale è ormai una realtà che permea sempre più aspetti della nostra quotidianità e della nostra economia, diventando una questione di rilevanza strategica a livello nazionale ed europeo. Cresce dunque l’importanza di organi di governo e controllo che siano in grado di orientare lo sviluppo dell’IA rispondendo a domande complesse: come assicurare un utilizzo etico e responsabile? Come garantire trasparenza, sicurezza e rispetto dei diritti fondamentali?
In Italia, la questione dell’autorità competente per l’IA rimane ancora aperta.
Il ruolo dell’Ufficio sull’Intelligenza Artificiale
In data 24 gennaio 2024, la Commissione Europea ha pubblicato una decisione volta ad istituire, a partire dal 21 febbraio 2024, l’Ufficio sull’Intelligenza Artificiale (“AI Office”)[1], organismo destinato a rivestire un ruolo cruciale nel facilitare e promuovere l’applicazione del futuro regolamento europeo sull’Intelligenza Artificiale, noto anche come AI Act[2].
L’AI Office, che farà parte della struttura amministrativa della Direzione Generale per le Reti di Comunicazione, i Contenuti e la Tecnologia, sarà responsabile dell’attuazione effettiva del regolamento europeo sull’Intelligenza Artificiale. A ragione di ciò, gli vengono assegnati una serie di compiti, come contribuire ad un approccio coerente, strategico ed effettivo dell’Unione Europea nei confronti delle iniziative internazionali sull’intelligenza artificiale (“IA”), promuovere l’uso di sistemi affidabili, monitorare l’evoluzione del mercato di settore, collaborare con gli stakeholder, cooperare con le autorità e gli organismi dei singoli Stati membri a nome della Commissione[3].
Più particolarmente, l’AI Office viene investito del ruolo cruciale di “controllore” dei sistemi GPAI (modelli di IA a uso generale), i quali hanno riscosso una peculiare attenzione nelle ultime fasi dei triloghi definitori dell’AI Act, alla luce della loro applicazione pratica sempre più diffusa nei contesti quotidiani della società civile, e dei rischi a ciò connessi, con particolare considerazione di sistemi quali ad esempio ChatGPT[4] e Dall-E[5].
I compiti dell’Ufficio sull’Intelligenza Artificiale
In questo senso, l’Ufficio è incaricato[6] di:
- sviluppare strumenti, metodologie e parametri per valutare le capacità dei modelli di IA a uso generale, in particolare per quelli con rischi sistemici[7];
- monitorare l’implementazione e l’applicazione delle norme sui modelli e sistemi di IA a uso generale, specialmente quando modello e sistema sono sviluppati dallo stesso fornitore;
- monitorare l’emergere di rischi imprevisti derivanti dai modelli di IA a uso generale e rispondere a notazioni del Comitato Scientifico di esperti indipendenti[8];
- indagare su possibili violazioni delle norme sui modelli e sistemi di IA a uso generale in maniera prodromica all’irrogazione di sanzioni[9].
Inoltre, ed oltrepassando il focus posto sui sistemi GPAI, al fine di contribuire all’efficace attuazione del regolamento europeo sull’Intelligenza Artificiale, l’AI Office avrà il compito[10] di assistere la Commissione nella preparazione delle decisioni, degli atti di attuazione e delegati, nonché dei protocolli standardizzati e delle best practices relativi all’AI ACT. L’Ufficio contribuirà anche alla preparazione di richieste di standardizzazione, alla valutazione degli standard già esistenti e alla preparazione di specifiche comuni per l’attuazione del regolamento europeo sull’Intelligenza Artificiale. Ancora, fornirà supporto tecnico di consulenza, e dovrà implementare strumenti per la creazione e il funzionamento delle sandbox per l’IA[11], coordinandosi, se appropriato, con le autorità competenti nazionali che le istituiscono. Infine, condurrà valutazioni e revisioni e preparerà rapporti relativi al regolamento europeo sull’Intelligenza Artificiale.
Oltre l’AI Office: gli enti coinvolti con l’AI Act
In questo contesto, e davanti ad un AI Act giunto alla sua versione definitiva, è possibile delineare, seppur ancora con un approccio a “maglie larghe”, le figure istituzionali ulteriori rispetto all’AI Office, che integreranno la struttura della Governance europea sull’Intelligenza Artificiale.
Lo European Artificial Intelligence Board (EAIB)
In primo luogo, verrà istituito lo European Artificial Intelligence Board (EAIB)[12], composto da rappresentanti designati da ciascuno Stato membro, con il European Data Protection Supervisor (EDPS) in veste di osservatore. L’EAIB avrà il ruolo di garantire l’armonizzazione tra gli Stati nell’applicazione dell’AI ACT, offrendo consulenza alla Commissione e agli Stati membri. Sarà dotato di sottogruppi permanenti per favorire la cooperazione tra le autorità di sorveglianza del mercato e gli organismi notificati. Tra i compiti del Board[13] vi sono il coordinamento tra le autorità nazionali, la raccolta e la condivisione di competenze tecniche, l’armonizzazione delle pratiche amministrative e l’emissione di raccomandazioni, sia di propria iniziativa, sia su richiesta della Commissione. Seppure in maniera del tutto sommaria, si può dunque rilevare come l’EAIB svolgerà una funzione simile a quella che lo European Data Protection Board (EDPB) svolge ad oggi in relazione al regolamento generale sulla Protezione dei Dati (GDPR).
Il Forum consultivo
In secondo luogo, viene previsto un Forum consultivo[14], i cui membri dovranno rappresentare una selezione equilibrata di portatori di interesse, inclusi industria, start-up, PMI, società civile e mondo accademico. A ciò, si aggiungono alcuni enti come l’Agenzia per i Diritti Fondamentali, l’Agenzia dell’Unione Europea per la Cybersecurity ed il Comitato Europeo di Normazione, come membri permanenti. Il Forum avrà il ruolo di fornire competenze tecniche allo EAIB e alla Commissione nell’espletamento dei compiti previsti dall’AI ACT, ed in tal senso, sarà peraltro investito del potere di redigere opinioni e raccomandazioni previa richiesta degli enti di cui sopra.
Il Comitato Scientifico di esperti indipendenti
Da ultimo, si istituirà un Comitato Scientifico di esperti indipendenti[15], composto da esperti selezionati dalla Commissione sulla base di competenze scientifiche o tecniche aggiornate nel campo dell’intelligenza artificiale, nonché sulla base dell’indipendenza da qualsiasi fornitore di sistemi di IA. Il Comitato avrà un ruolo di consulenza e supporto verso l’AI Office, più particolarmente per quanto riguarda i modelli e i sistemi di IA ad uso generale ed in particolare: (i) segnalando all’Ufficio possibili rischi sistemici a livello dell’Unione Europea; (ii) contribuendo allo sviluppo di strumenti e metodologie per valutare le capacità dei modelli e dei sistemi di IA ad uso generale; e (iii) fornendo consigli sulla classificazione dei modelli di IA ad uso generale con rischi sistemici.
L’Autorità nazionale per l’Intelligenza Artificiale: il dilemma italiano
Secondo l’AI Act, ogni Stato membro dovrà istituire autorità nazionali competenti ai fini del Regolamento[16]. Si tratterà dunque delle figure a cui verrà demando il fondamentale compito di irrogare le importanti sanzioni previste in caso di violazioni[17] dell’AI ACT (svolgendo un ruolo analogo a quello che oggi esercita in Italia il Garante della privacy per quanto riguarda il GDPR). Tali autorità dovranno esercitare i loro poteri in modo indipendente, imparziale e senza pregiudizi, disponendo di risorse tecniche, finanziarie, umane, ed infrastrutture adeguate ad adempiere efficacemente ai loro compiti, con particolare riguardo a competenze che includano una comprensione approfondita delle tecnologie di intelligenza artificiale, dei dati che queste impiegano e del relativo calcolo per mezzo di algoritmi, della protezione dei dati personali, della cybersecurity e degli standard esistenti. Qualora tali condizioni siano rispettate, l’AI ACT stabilisce che potranno istituirsi anche più autorità, in conformità con le esigenze organizzative dello Stato membro.
Su queste premesse, già nel 2021 l’EDPB e l’EDPS avevano raccomandato[18] di assegnare alle autorità nazionali competenti per la protezione dei dati la funzione di autorità di controllo per quanto riguarda l’IA. Questo perché tali autorità già applicano il GDPR nei casi in cui l’IA coinvolga dati personali, possiedono conoscenze su tecnologie basate sull’IA e sui diritti fondamentali, e sono in grado di valutare i rischi per questi diritti. Inoltre, poiché i sistemi di IA spesso trattano dati personali, le disposizioni dell’AI ACT sarebbero fisiologicamente legate al quadro giuridico del GDPR. Designare le autorità per la protezione dei dati come autorità di controllo per l’IA potrebbe dunque garantire un approccio normativo forse più armonizzato e semplificare le interazioni per le parti interessate della catena di valore dell’IA.
Vi sono tuttavia diversi indiscrezioni giornalistiche stando alle quali sembrerebbe che lo Stato italiano possa investire di tale ruolo l’Agenzia per l’Italia digitale (AgId). Tale scelta determinerebbe un indirizzo diverso dato che l’AgId è un’Agenzia governativa (e dunque di nomina del governo) rispetto alla scelta di un’autorità indipendente (quale per l’appunto, ad esempio, il Garante della privacy).
Non si può escludere nemmeno che si possa perseguire una “terza via” rappresentata dall’istituzione di una autorità ad hoc per l’IA: in tal senso, la Spagna ha recentemente approvato lo Statuto dell’Agencia Española de Supervisión de Inteligencia Artificial (AESIA)[19]. Se anche l’Italia seguisse questa direzione, si potrebbe dotare dunque di un’autorità di controllo specificamente designata ai fini dell’attuazione dell’AI ACT.
Note
[1] Per ulteriori informazioni, si veda il seguente LINK.
[2] Si tenga presente che il testo dell’AI ACT attende ora l’approvazione formale da parte del Parlamento europeo e del Consiglio che avrà luogo nel corso del mese di aprile 2024. A riguardo, si nota che l’ultimo step, che ha registrato minime modifiche al testo, è datato al venerdì 2 febbraio 2024, giorno in cui il Comitato dei rappresentanti permanenti degli Stati membri presso l’UE (Coreper) ha convalidato l’accordo politico provvisorio sul Regolamento in oggetto raggiunto dal Parlamento europeo e dal Consiglio dell’UE dopo oltre 37 ore di negoziati in data 8 dicembre 2024.
[3] Si veda l’articolo 2 della decisione, “Mission and tasks”.
[4] ChatGPT è un chatbot IA che sfrutta intelligenza artificiale generativa e apprendimento automatico, basato su un modello conversazionale, per dialogare, per iscritto, con utilizzatori finali umani.
[5] Dall-E è un sistema di IA generativa e apprendimento automatico, capace di interpretare input testuali (c.d. prompt) e trasformare gli stessi in immagini.
[6] Si veda l’articolo 3 della decisione, “Implementation of the forthcoming Regulation”.
[7] I sistemi GPAI a rischio sistemico costituiscono una categoria di sistemi enucleata nelle fasi finali di definizione dell’AI Act, e rispetto ai normali sistemi GPAI, richiedono una più intensa attività di compliance ai fini del loro utilizzo.
Per ulteriori informazioni si vedano l’articolo 52a dell’AI ACT, “Classification of general-purpose AI models as general purpose AI models with systemic risk”, e l’articolo 52d dell’AI ACT, “Obligations for providers of general-purpose AI models with systemic risk”.
[8] Cfr. paragrafo successivo per una migliore contestualizzazione delle funzioni di questo organismo.
[9] E ‘interessante notare come sarà la stessa Commissione ad irrogare le sanzioni relativamente ai fornitori di GPAI per violazioni dell’AI ACT. L’articolo 72a del regolamento europeo sull’intelligenza artificiale (rubricato “Fines for providers of general purpose AI models”) prevede infatti che “…The Commission may impose on providers of general purpose AI models fines not exceeding 3% of its total worldwide turnover in the preceding financial year or 15 million EUR whichever is higher …”. Per il resto, il potere sanzionatorio per violazioni dell’AI ACT sarà demandato ad autorità nazionali che dovranno essere nominate dagli Stati membri (cfr. ultimo paragrafo di questo contributo).
[10] Si veda l’articolo 3 della decisione, “Implementation of the forthcoming Regulation”.
[11] Le c.d. regulatory sandbox rappresentano contesti, sia fisici che virtuali, in cui le imprese possono testare nuovi prodotti o servizi tecnologici sotto la supervisione delle autorità di regolamentazione settoriale, per un periodo limitato, e con la possibilità di ottenere deroghe alle normative vigenti. Per ulteriori informazioni si veda l’articolo 53 dell’AI ACT, “AI regulatory sandboxes”.
[12] Per ulteriori informazioni si veda l’articolo 56 dell’AI ACT, “Establishment and structure of the European Artificial Intelligence Board”.
[13] Per ulteriori informazioni si veda l’articolo 58 dell’AI ACT, “Tasks of the Board”.
[14] Per ulteriori informazioni si veda l’articolo 58a dell’AI ACT, “Advisory Forum”. Nel dettaglio l’AI ACT prevede che debba essere nominata almeno un’autorità di notifica e almeno un’autorità di sorveglianza del mercato.
[15] Per ulteriori informazioni si veda l’articolo 58b dell’AI ACT, “Scientific Panel of independent experts”.
[16] Per ulteriori informazioni si veda l’articolo 59 dell’AI ACT, “Designation of national competent authorities and single point of contact”.
[17] Come noto dall’articolo 71 dell’AI ACT, tali sanzioni possono arrivare fino a multe di 35 milioni di Euro o a cifre pari al 7 % del fatturato mondiale totale annuo della società nei casi più gravi.
