Non si fa altro che parlare di intelligenza artificiale: una tecnologia dirompente che- come sempre quando arriva una innovazione che sconvolge alcuni aspetti del nostro modo di fare le cose – solleva interrogativi, dubbi e anche paure.
A questi interrogativi, dubbi e paure l’Unione Europea ha da tempo deciso di rispondere in via preventiva, con un Regolamento, l’AI Act, – valido in tutti e 27 gli Stati membri – che ha l’obiettivo di stabilire da subito cosa si può fare con l’intelligenza artificiale e cosa no, e quali sono le procedure per governare questi sistemi in Europa e i paletti etici del suo utilizzo.
Indice degli argomenti
Principali divieti dell’AI Act e linee guida della Commissione UE
Il 2 febbraio scorso sono entrati in vigore alcuni importanti “divieti” posti dal Regolamento: è vietato così produrre, distribuire e usare l’IA per alcune specifiche finalità, che sono pratiche dannose e alcune finalità ad alto rischio, pur non del tutto vietate, comportano obblighi di verifica preventiva da parte degli organismi competenti a livello nazionale ed UE e il 4 febbraio sono state pubblicate dalla Commissione UE delle importanti linee guida sull’applicazione dell’art. 5 dell’AI Act – che stabilisce quali siano le “pratiche” (non ad alto rischio) comunque vietate in base all’AI Act. Si tratta di un documento molto complesso, di 135 pagine, che andrà studiato con attenzione e il fatto che sia stato pubblicato dopo che il divieto è entrato in vigore non aiuta.
PA: Guida pratica alla transizione al cloud per i servizi SaaS
Portata ed efficacia dei divieti e della regolamentazione dell’AI
È interessante però – indipendentemente dalle precisazioni e criteri contenuti nelle Linee Guida – riflettere in generale su quale sia la portata effettiva dei divieti che vengono posti: le misure dell’AI Act sono cioè in grado di garantire che un divieto sia realmente efficace e che intervenga tempestivamente, prima che il danno sia fatto o prevedono solamente sanzioni pecuniarie, senza reali misure per bloccare effettivamente gli utilizzi vietati?
Il dibattito sulla necessità di regolamentare l’intelligenza artificiale
Prima di parlarne, c’è da dire che alcuni ritengono errato regolare l’AI, che la regolamentazione sia un freno all’innovazione e – peraltro – si va accentuando questa differenza di vedute tra Italia e USA, ora che la nuova amministrazione Trump, tra i suoi primi atti, ha abrogato l’ordine esecutivo del Presidente Biden che regolava l’AI in maniera abbastanza simile al Regolamento UE.
È però anche vero che è perfettamente normale regolare una nuova tecnologia, che ha effetti così pervasivi sulla vita degli individui: immaginiamo se non ci fossero regole e sorveglianza sui farmaci, se non ci fossero regole sulle automobili e sui veicoli a motore, se non ci fossero regole sul traffico aereo e marittimo, se non ci fossero regole sull’edilizia… probabilmente ci sarebbe minore freno all’innovazione, ma si rischierebbe un’innovazione pericolosa, i cui utilizzatori sarebbero – in sostanza – cavie.
Quale tipo di regolamentazione è più efficace: regole dettagliate o principi generali
Il problema è quale sia il giusto tipo e livello di regolamentazione: regole molto dettagliate come quelle dell’AI Act o principi generali – come quelli del GDPR e dello “storico” regolamento sul commercio elettronico del 2000, che – grazie alle sue regole chiare e generali, ha svolto la sua funzione – stabilendo le generali regole di responsabilità per chiunque fornisce e opera servizi di qualsiasi tipo su Internet – per quasi un quarto di secolo sino a che non è stato integrato dal Digital Services Act.
I rischi di una regolamentazione troppo restrittiva per l’innovazione
Il fatto è che le norme che funzionano meglio sembrano essere principi generali i quali poi lasciano alla giurisprudenza dei tribunali e/o alle autorità di vigilanza l’interpretazione dei singoli casi.
Quando furono introdotte le automobili, nel Regno Unito, una famosa norma imponeva a ogni automobile di farsi precedere da una persona che ne annunciava l’arrivo e diceva di spostarsi…. Quando furono introdotti i fonografi negli USA si cercò di vietarli perché avrebbero impedito la propagazione orale della musica e della cultura… insomma, è facile che una norma impostata male freni l’innovazione a causa di timori eccessivi.
Fatto sta che la scelta europea è stata per una normativa molto analitica, con molte (troppe) distinzioni, prescrizioni ed eccezioni, molto difficili da verificare “a freddo”, prima che il modello di AI entri in funzione e sia utilizzato nella pratica. È come se all’entrata in vigore del GDPR si fosse cercato di stabilire tutti i casi in cui potesse essere applicato e le relative eccezioni… questo lavoro è invece, negli anni, frutto dell’elaborazione e casistica dei Garanti e si adatta così progressivamente all’evoluzione della tecnologia.
L’efficacia reale dei divieti dell’AI Act
Mi sono allora posto il problema di verificare quanto i “divieti” dell’AI Act si possano definire realmente tali – nel senso che non sarà in nessun caso possibile che in UE vengano violati e quanto – invece – siano norme che stabiliscono sanzioni amministrative, ma non garantiscono che i servizi di IA “vietati” non potranno in qualche caso essere prodotti, distribuiti e utilizzati.
Normalmente, quando il Legislatore vuole essere certo che un comportamento sia effettivamente proibito, prevede sanzioni penali – che in questo caso non ci sono, mentre i casi più gravi delle violazioni del GDPR possono essere considerati anche reato – e/o prevede penetranti e dettagliati poteri di inibitoria della Autorità di vigilanza, magari con l’intervento della magistratura e anche l’Autorità Antitrust, ha penetranti poteri di inibitoria dei comportamenti delle imprese che violano la concorrenza o il Codice del Consumo.
Nel caso dell’AI Act, accanto a divieti molto molto dettagliati, troviamo norme molto meno precise su quali siano le sanzioni e, soprattutto, quali siano le procedure per applicarle e i poteri delle autorità di vigilanza di inibire temporaneamente il servizio che potrebbe essere valutato come vietato.
Manca altresì una chiara disposizione su come e per quale motivo è possibile appellare le sanzioni emanate ai sensi dell’AI Act: il Regolamento lascia al Legislatore nazionale di stabilire chi sia competente e quale sia la procedura… bisogna allora pensare che non sia possibile l’appello al Tribunale di Primo Grado e Corte di Giustizia UE? Ciò favorirà la creazione di differenze interpretative tra Stato e Stato, anche riguardo alla medesima violazione.
Il sistema delle sanzioni e i suoi limiti
Concentriamoci però su cosa può effettivamente accadere al soggetto che produca/distribuisca/usi un sistema di AI vietato.
Analisi delle sanzioni previste dall’AI Act
La prima conseguenza potrebbe sicuramente essere la sanzione: le prime letture dell’AI Act parlano di sanzioni monstre: fino a 35.000.000 di euro o 7% del fatturato mondiale – se la cifra è maggiore. Tuttavia, le cifre non devono trarre in inganno: si tratta di massimali e – se guardiamo alle sanzioni erogate per violazioni del GDPR, tali massimali si sono raggiunti molto raramente: tipicamente una grave violazione viene sanzionata con 6-7 milioni di euro e non possono essere applicate in prima battuta alla massima intensità, l’AI Act prescrive una certa gradualità e valutazione della gravità dei comportamenti.
D’altra parte, se pensiamo alle sanzioni monstre del GDPR, vediamo che, a fronte della sanzione massima di 20.000.000 o 4% del fatturato (se maggiore) il livello medio è ben inferiore: grandi gruppi vengono sanzionati per violazioni gravi dei dati personali con importi di 5-6 milioni, piccole e medie imprese se la cavano con cifre anche molto inferiori al milione.
È inoltre molto strano che le sopra citate sanzioni si applichino per la violazione dell’art. 5 dell’AI Act (pratiche vietate) mentre la violazione dell’art. 6 (IA ad alto rischio) viene sanzionata con massimali inferiori: fino a 15 milioni di Euro o 3% del fatturato mondiale annuo, se superiore.
Peraltro, le sopra citate sanzioni si applicano per la “non conformità” ai divieti del modello di IA e non sembra essere chiaramente prevista una specifica ulteriore e diversa sanzione per la violazione degli ordini delle autorità di vigilanza (ad esempio se il fornitore non modifica il modello, nonostante gli sia richiesto) e, paradossalmente, non è chiaro nemmeno se l’Autorità di vigilanza possa ordinare un blocco cautelare del modello e quali siano le conseguenze se questo ordine venga ignorato.
L’unica cosa certa è che la violazione dei principali divieti dell’AI Act viene sanzionata con una sanzione pecuniaria, non necessariamente con il blocco del sistema che viola il divieto e tale sanzione – scimmiottando il GDPR – è elevata in base al “fatturato” della singola impresa.
Ora, non è difficile immaginare una situazione in cui chi sviluppa/distribuisce/usa il sistema di AI sanzionato non abbia un elevato fatturato, potrebbe anche avere fatturato zero… in questo caso si perde ogni effetto deterrente della sanzione.
Gli effetti limitati delle sanzioni sulle pratiche vietate
D’altra parte, le “pratiche” vietate dall’AI Act potrebbero essere compiute non sulla base di considerazioni economiche e la prospettiva di pagare il 7% del fatturato potrebbe essere messa in conto.
Su questo punto l’AI Act mi sembra piuttosto carente: sanziona il fornitore/deployer/utilizzatore ma non prevede (se non in casi molto specifici) che l’uso di un sistema vietato abbia effetti sugli atti che vengono posti in essere attraverso il sistema.
Immaginiamo ad esempio un sistema di AI che – in violazione dell’AI Act – persuada la maggioranza degli elettori in una competizione elettorale a votare per un determinato candidato: non si prevede alcun effetto invalidante delle elezioni “truccate”… il deployer paga la sanzione e l’eletto prende il potere.
Gli esempi potrebbero anche essere più semplici: se un telemarketing usa l’AI per persuadermi con tecniche subliminali a comprare un servizio, non si prevede la nullità del contratto stipulato.
Quando un’impresa compie una pratica commerciale vietata dal Codice del Consumo, l’autorità di vigilanza (in questo caso l’antitrust) non solo applica una sanzione pecuniaria, ma ha il potere di bloccare la pratica scorretta e di imporre a chi la ha messa in atto di annullarne gli effetti e riparare all’illecito (es. risarcire), se l’impresa non obbedisce a questi ordini, addirittura di farla chiudere. Come si diceva nell’AI Act questa escalation non è sembra essere stata prevista: tutto si esaurisce con la sanzione pecuniaria. L’Antitrust ha anche il potere di accettare impegni che, evitando la sanzione, risolvano il danno creato dalla pratica scorretta.
Le scappatoie per le PMI e i gruppi aziendali
Qualcuno dirà che la sanzione pecuniaria alta è comunque un deterrente ma – come dicevo – anche qui diversamente da quel che avviene per le violazioni del Codice del Consumo, la sanzione è applicata sul fatturato della sola impresa che commette la violazione, non del gruppo cui appartiene e, se l’impresa che commette la violazione è una PMI o startup, c’è una importante agevolazione: se il 7% del fatturato è minore di 35.000.000 di euro (come è quasi certo) si applica come massimale la percentuale; se si tratta di una startup che non ha ancora fatturato… la sanzione è zero!
Quindi, se l’interpretazione sopra esposta è corretta, un grosso gruppo, che voglia sviluppare un modello di AI borderline, non ha che da farlo sviluppare a una sua impresa, la quale non fattura direttamente, perché finanziata dagli azionisti a monte, purché abbia i requisiti di PMI. Peraltro, l’AI Act prevede comunque una importante eccezione per le attività di mero sviluppo.
Le sanzioni per informazioni inesatte e la resistenza dei soggetti esteri
Altra sanzione “importante” dell’AI Act è quella relativa alla fornitura agli organismi notificati/autorità di vigilanza nazionali di informazioni “inesatte, incomplete o fuorvianti”: è prevista una sanzione di massimo 7.500.000 di Euro o 1% del fatturato mondiale, se superiore; anche in questo caso una PMI o startup se la cava con un massimo del 1% del fatturato; è da notare al riguardo che la sanzione viene applicata per la fornitura di informazioni inesatte, incomplete o fuorvianti; dal punto di vista semantico potrebbe essere possibile argomentare che potrebbe essere complesso sanzionare la mancata risposta tout court alla richiesta perché non sarebbe una fornitura.
Ci sono già evidenze che l’atteggiamento di resistenza ed elusione sarà quello dei soggetti esteri: basti vedere come Deepseek ha risposto al nostro Garante privacy, rifiutando – di fatto – il contraddittorio e di farsi mettere sotto esame… e, a differenza dell’AI Act, la violazione del GDPR è anche assistita in Italia da possibili sanzioni penali, come avviene in vari paesi UE anche per la violazione delle norme antitrust. Anche su questo fronte la violazione dell’AI Act non è rafforzata da alcuna previsione di natura penale.
Margini di miglioramento dell’AI Act
In conclusione, pur nella sinteticità della analisi sopra effettuata, sembrano esservi ancora significativi margini di miglioramento dell’impianto dell’AI Act, specie dal punto di vista procedurale e sanzionatorio. Alcuni di questi temi potrebbero essere affrontati nella implementazione a livello nazionale, ma altri sembrano richiedere un correttivo a livello UE.
Scopri le strategie e gli investimenti che stanno trasformando il volto della Sicilia
