La presidenza Ceca del Consiglio d’Europa ha condiviso il testo del primo compromesso sull’ Artificial Intelligence Act (AI Act), proposto dalla Commissione Europea e attualmente al vaglio delle istituzioni europee.
Mentre il Parlamento si appresta a discutere le centinaia di emendamenti proposti dalle diverse coalizioni politiche, riuscirà il documento a facilitare il raggiungimento di un accordo?
AI Act, la quadra è ancora lontana: perché la proposta non convince il Parlamento europeo
Il compromesso proposto: le quattro questioni prioritarie
Il testo proposto dalla presidenza ceca affronta quattro questioni considerate prioritarie, e già individuate a giugno 2022. Gli Stati membri avranno tempo fino al 2 settembre per fornire commenti, a seguito dei quali la presidenza fornirà un nuovo compromesso.
Definizioni
Viene introdotta una definizione più limitata di Intelligenza Artificiale, in cui è stato introdotto il concetto di autonomia: infatti, nel compromesso si definisce AI “un sistema progettato per avere un certo livello di autonomia in grado di raggiungere una serie di obiettivi definiti dall’uomo, avvalendosi di tecniche quali il machine learning e l’approccio knowledge-based”. Proprio il machine learning e l’approccio knowledge-based sono stati aggiunti nel preambolo del testo, per distinguere il software AI da quello tradizionale. Inoltre, pur mantenendo i concetti base della definizione concordata con l’Organizzazione per la Cooperazione per lo Sviluppo Economico (OCSE), è stato integrato il concetto di “autonomia” così come richiesto da alcune delegazioni.
Ricordiamo che invece la definizione di AI proposta nell’AI Act, all’ Art. 3-1, era quella di “sistema di intelligenza artificiale” (sistema di IA): un software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I, che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono”. Anche l’Allegato I, che conteneva appunto l’elenco dettagliato di approcci e tecniche per lo sviluppo di sistemi di AI è stato eliminato nel testo del compromesso.
L’unica opposizione in questo senso è giunta dai Paesi Bassi, che hanno affermato che la definizione ora non è sufficientemente rappresentativa.
La presidenza ceca ha anche incluso una definizione e obblighi specifici per i sistemi di AI general purpose. Il regolamento sarebbe così di fatto applicabile a tutti questi sistemi, a meno che il produttore del sistema AI non dimostri che non esiste alcun rischio elevato nell’utilizzo.
High-risk systems
Sono molti gli stati membri che temono che il regolamento AI possa coinvolgere anche quei sistemi che in realtà non rappresentano un alto rischio di violazione dei diritti degli individui: ad esempio la Francia da tempo chiede una rivalutazione dei processi riguardanti le infrastrutture critiche.
Per rispondere a queste richieste, la presidenza ceca ha proposto, di ridurre l’elenco dei sistemi considerati “ad alto rischio”, modificando significativamente l’Allegato III, dedicato appunto ad elencare quei sistemi AI considerati ad alto rischio in base all’Art. 6-2: al momento sembra che le categorie relative alla identificazione biometrica, alla protezione dell’ambiente, al controllo dell’inquinamento e ai software che suggeriscono fake news non facciano più parte dell’elenco. Queste eliminazioni, al momento, sembrano essere più una potenziale “merce di scambio” per i negoziati con il Parlamento europeo sulle questioni tuttora aperte e non affrontate dal compromesso.
Oltre a questo, la presidenza ceca ha proposto di aggiungere un ulteriore livello per valutare il concetto di “alto rischio”, prendendo in considerazione anche il significato e l’immediatezza dell’output del sistema AI durante il processo decisionale: pertanto, l’AI sarà considerato ad alto rischio solo se è immediatamente efficace senza richiedere una revisione umana o se non è semplicemente a corredo della decisione umana. I criteri per poter effettuare questa valutazione saranno forniti dalla Commissione Europea, che dovrà anche provvedere a fornire orientamenti che garantiscano l’uniformità della valutazione.
Governance ed enforcement
Diversi Stati membri avevano manifestato la loro preoccupazione riguardo al fatto che la governance dell’IA Act fosse eccessivamente decentralizzata, poiché “l’applicazione a livello nazionale nel ciberspazio potrebbe avere limitazioni, in particolare a causa di capacità e know-how insufficienti a livello delle autorità nazionali”.
Per rispondere a queste preoccupazioni, il compromesso ceco introduce due diversi aspetti, entrambi nella direzione di rafforzare l’azione dello European Artificial Intelligence Board o Comitato Europeo per l’Intelligenza Artificiale (Art. 56 e seguenti), il cui compito sarà quello di sostenere le autorità nazionali nell’applicazione del regolamento.
Il primo riguarda l’attribuzione al Board della possibilità di fornire l’assistenza necessaria alle autorità di vigilanza, formando adeguatamente il personale delle autorità nazionali e fornendo consulenza alla stessa Commissione Europea in merito alle questioni relative all’ AI. Nel compromesso, la composizione del Board viene modificata per includervi solo i rappresentanti degli Stati membri, e viene introdotto un nuovo requisito che riguarda la costituzione di un sottogruppo permanente costituito da un’ampia gamma di parti interessate, che potrebbero anche essere consultati durante la redazione di specifici atti.
Il secondo, si occupa di introdurre un nuovo articolo, che richiede alla Commissione di designare una o più testing facilities, in grado di fornire, a livello europeo, consulenza tecnica e scientifica al Board o alle autorità di sorveglianza. Nulla vieta, inoltre, sulla base di questo nuovo articolo, che la Commissioni possa istituire un pool di esperti indipendenti (analogamente alla recente iniziativa dell’European Data Protection Board), a supporto delle autorità nazionali.
Sicurezza nazionale
I rappresentanti di paesi come l’Olanda e la Francia si sono espressi da tempo a favore della possibilità di includere un’esenzione per motivi di sicurezza nazionale. Secondo alcuni però, prevedere una simile esenzione, creerebbe un precedente attraverso cui sistemi di Ai che mettono a repentaglio i diritti umani, come i poligrafi che si basano sull’Intelligenza Artificiale per rilevare le bugie sulla base di attributi fisici, potrebbero comunque essere utilizzabili dalle forze di polizia o di frontiera.
Va ricordato che il testo originale riguardante l’esenzione, presente nella proposta di AI Act, era “I sistemi di IA sviluppati o utilizzati esclusivamente per scopi militari dovrebbero essere esclusi dall’ambito di applicazione”; successivamente, è stata approvata una ulteriore esenzione per quanto riguarda “i sistemi di IA sviluppati o utilizzati esclusivamente a fini di sicurezza nazionale”.
Il compromesso proposto cerca di chiarire il significato di “esenzione nel caso di sicurezza nazionale”, dove per attività di sicurezza nazionali si indicano quelle “attività che riguardano la sicurezza militare, della difesa o nazionale, indipendentemente dal tipo di ente che svolge tali attività”. Tale definizione si applicherebbe anche ad appaltatori privati.
Dal testo originale della seconda esenzione, però, sarebbe stata eliminata la parola “esclusivamente”, aspetto che non sarebbe stato ben accolto dalla platea dei parlamentari.
Il dibattito in Europa e lo stallo del Parlamento europeo
I legislatori europei, pur concordando sulla necessità di regolamentazione dell’Intelligenza Artificiale, sono divisi su molteplici questioni quali il riconoscimento facciale, lo scoring o punteggio sociale, fino alla definizione stessa di IA.
Ciascun gruppo politico del Parlamento europeo ha presentato diverse centinaia di emendamenti, con il risultato che a questo punto il Parlamento deve discutere diverse migliaia di emendamenti.
Uno degli argomenti più controversi è stata proprio la definizione di AI: i parlamentari di centro-sinistra ne auspicano una definizione ampia, piuttosto che accettare un elenco ristretto di tecniche di intelligenza artificiale, mentre il Partito Popolare Europeo di centrodestra appoggia invece la definizione concordata in sede OCSE. L’organizzazione economica internazionale ha stabilito una serie di raccomandazioni e principi nel 2019 che i deputati sostengono promuoverebbero un accordo internazionale su come costruire un’IA affidabile tra le democrazie, inclusa quella degli Stati Uniti.
Un altro aspetto estremamente controverso riguarda quali pratiche dovranno essere vietate. Gli eurodeputati verdi sostengono la necessità di vietare la categorizzazione biometrica, il riconoscimento delle emozioni e tutto il monitoraggio automatizzato del comportamento umano; pertanto, sarebbero vietati tutti quei software che suggeriscono fake news e contenuti illegali, ma anche quelli usati dalle forze dell’ordine, l’affidabilità creditizia, i processi di assicurazione sanitaria, pagamenti e al recupero crediti. Una parte dei parlamentari sarebbe favorevole anche al divieto totale del riconoscimento biometrico, eliminando le eccezioni dalla proposta di regolamento.
Tra gli emendamenti che sono stati proposti in sede parlamentare, anche quella di un articolo riguardante le applicazioni di intelligenza artificiale nel metaverso, incluso riferimenti alle valute supportate da blockchain e NFT.
Emendamenti discordanti sono stati presentati per quanto riguarda le sanzioni: una parte dei legislatori le vorrebbe ridurre, introducendo fattori come negligenza o cooperazione nella valutazione delle stesse; altri, invece, auspicano un aumento generale delle sanzioni.
A inizio maggio di quest’anno, infine, il Parlamento europeo ha adottato la relazione sull’intelligenza artificiale, proposta dalla Commissione speciale del Parlamento europeo sull’intelligenza artificiale nell’era digitale (AIDA) che stabilisce un elenco di richieste per garantire la posizione dell’UE nell’IA e indica la ricerca come uno dei mezzi chiave per raggiungere tale obiettivo.
Conclusioni
La Repubblica Ceca, che ha assunto la presidenza del Consiglio d’Europa il 1° luglio 2022, e che la manterrà fino alla fine dell’anno, ha sottoscritto un programma a tre, con la presidenza francese uscente e con la successiva presidenza svedese. Come affermato dallo stesso ministro dell’Industria e del Commercio Jozef Síkela, la Presidenza si adopererà per portare avanti i negoziati con i deputati al Parlamento europeo e per raggiungere una posizione comune in seno al Consiglio sul regolamento generale sulla sicurezza dei prodotti, sulla legge sull’intelligenza artificiale e sulla trasparenza e sul targeting della pubblicità politica.
Il compromesso proposto dalla commissione Ceca, sebbene affronti solo una piccola parte delle questioni in sospeso, va appunto in questa direzione. Si tratta comunque di un passo importante per cercare di sbloccare la situazione che si è creata in Parlamento e agevolare l’iter legislativo del’ AI Act, il primo importante regolamento sull’IA a livello globale, sebbene la riduzione dell’Allegato III e quindi dei sistemi di AI considerati ad alto rischio, fa pensare che i negoziati siano ancora solo all’inizio, perché la soluzione proposta non potrà essere questa, anche considerando i commenti di EDPB ed EDPS.
Da canto loro, i deputati hanno avvertito da tempo che l’UE deve agire rapidamente per stabilire regole chiare per l’IA se vuole avere voce in capitolo nel futuro della tecnologia. “Abbiamo l’opportunità di stabilire standard globali”, ha affermato a giugno il relatore del fascicolo del Parlamento, Axel Voss. “Se ci permettiamo di perdere la posizione di leadership, ci rassegniamo allo status di colonie digitali soggiogate ad altre regioni che non condividono i nostri valori”. Le stesse raccomandazioni, del resto, sono state sollevate anche dalla commissione AIDA nella sua relazione.
Intelligenza Artificiale, le tappe salienti dell’iter del Regolamento Ue
Come si ricorderà, il Regolamento sull’ Intelligenza Artificiale (AI Act) è stato proposto dalla Commissione Europea nell’aprile del 2021, con l’obiettivo di regolare l’utilizzo dell’AI. Tale regolamento rappresenta un elemento essenziale della strategia del mercato unico digitale dell’UE, in quanto ha come obiettivo quello di definire regole condivise in grado di agevolare l’immissione sul mercato europeo di nuovi prodotti e servizi che fanno uso di questa tecnologia, e di aumentare la fiducia degli utenti nell’impiego di tecnologie che già oggi vengono impiegate in ogni ambito della loro vita quotidiana.
Il lavoro preparatorio per il raggiungimento di una proposta è stato lungo e articolato. Tra le varie iniziative precedenti alla proposta di regolamento, ricordiamo il Libro Bianco sull’Intelligenza Artificiale del 12 Marzo 2018, dedicato alle amministrazioni pubbliche e che contiene raccomandazioni e indicazioni su come sfruttare al meglio le opportunità offerte dall’Intelligenza Artificiale, la Dichiarazione di Cooperazione sull’Intelligenza Artificiale del 10 Aprile 2018, in cui gli Stati Membri hanno dichiarato di voler collaborare per sviluppare un quadro normativo uniforme relativamente all’IA, secondo un approccio europeo, e il Piano Coordinato sull’Intelligenza Artificiale del 7 Dicembre 2018, che predispone le azioni europee per gli anni 2019-2020 in questo settore.
Numerosi sono stati gli esperti di altro internazionali (High Level Expert Group on Artificial Intelligence), riuniti nella European AI Alliance, che hanno collaborato con la Commissione Europea per fornire suggerimenti e consigli sull’uso delle tecnologie AI, come le Ethics guidelines for trustworthy AI, che definiscono l’approccio human-centric all’IA ed i 7 requisiti chiave per avere un’IA affidabile, e il documento A definition of Artificial Intelligence: main capabilities and scientific disciplines, che sviluppa l’approccio della Commissione all’IA.
In Italia, il 2 luglio 2020, il Ministero dello Sviluppo Economico (MISE) aveva pubblicato un documento Proposte per una strategia italiana per l‘intelligenza artificiale di indirizzo politico per definire l’apporto italiano al Piano Coordinato sull’Intelligenza Artificiale, dove si viene approfondita la governance proposta per l’AI italiana e vengono proposte alcune raccomandazioni per l’implementazione, il monitoraggio e la comunicazione della strategia nazionale in tema di intelligenza artificiale.
Va poi menzionato l’importate contributo dell’OCSE, sia in termini di raccomandazioni, con le raccomandazioni del 2019 e con l’identificazione del’ OCSE Framework for the Classification of AI Systems, lo strumento fornito dall’OCSE per valutare i sistemi di intelligenza artificiale da una “prospettiva politica”.
Dopo la pubblicazione della proposta dell’AI Act, diversi sono stati i pareri provenienti da varie istituzioni. Il 18 giugno 2021, l’European Data Protection Board (EDPB) e l’European Data Protection Supervisor (EDPS), in un parere congiunto hanno accolto favorevolmente la proposta di regolamento della Commissione, poiché “la proposta ha implicazioni estremamente rilevanti per la protezione dei dati”, ma hanno anche sollevato alcune perplessità. Più nello specifico, secondo EDPB ed EDPS avrebbe dovuto essere inserito il requisito della conformità alle norme europee sulla protezione dei dati (GDPR) e il divieto generale di qualsiasi uso di tecnologie di riconoscimento biometrico in spazi pubblicamente accessibili. Nel parere vengono anche richiesti chiarimenti sull’autorità competente per la vigilanza, identificata in EDPS, e viene suggerito che le autorità di protezione dei dati siano designate come autorità di vigilanza nazionale e autorità competenti ai sensi dell’articolo 59 della proposta. Il parere boccia senza appello la proposta di certificazione, in quanto EDPB ed EDPS evidenziano la mancanza di una chiara correlazione con le norme sulla protezione dei dati, e non viene tenuto conto dei principi della minimizzazione dei dati e della protezione dei dati fin dalla progettazione come uno dei gli aspetti da tenere in considerazione prima di ottenere la marcatura CE. Il parere raccomanda quindi di modificare la proposta per chiarire la relazione tra i certificati rilasciati ai sensi del detto Regolamento e certificazioni, sigilli e marchi sulla protezione dei dati.
Il 22 febbraio 2022, l’ EDBP ha inviato alla Commissione Europea una lettera nella quale ha rivolto ulteriori raccomandazioni, anche richiamandosi al precedente parere congiunto adottato sull’AI Act con l’EDPS. Nella lettera, l’EDPB ribadisce la necessità di chiarire i ruoli dei produttori e fornitori di sistemi di intelligenza artificiale utilizzati per incrementare la sicurezza dei dati personali, così da consentire una corretta attribuzione di responsabilità sia in termini di protezione dei dati sia in termini di responsabilità civile. La lettera evidenzia inoltre l’opportunità di assicurare agli utenti la trasparenza riguardo all’impiego di sistemi di AI attraverso idonee informazioni sui meccanismi di elaborazione dei dati.
Nella sua lettera, l’EDPB ricorda inoltre che, poiché non sempre risulta possibile illustrare in modo chiaro ed esaustivo il funzionamento di sistemi di AI, vi è la necessità di progettare questi sistemi in modo conforme ai principi di protezione dati, verificando costantemente la qualità dei dati e dei processi di elaborazione. In terzo luogo, è essenziale per il Comitato europeo per la protezione dei dati personali la valutazione preliminare della qualità dei dati utilizzati dagli algoritmi. Altro aspetto evidenziato dall’EDPB, infine, è che la nuova normativa sulla responsabilità civile dovrà essere efficace come legislazione a sé stante e non ricalcare semplicemente gli obblighi previsti dal futuro AI Act. Sebbene un approccio basato sul rischio possa essere adatto nel contesto della legge sull’AI, non lo è nel contesto specifico delle norme sulla responsabilità. Questo perché, dal punto di vista del consumatore, le norme sulla responsabilità intervengono per lo più ex post, cioè una volta che il danno si è materializzato. Pertanto, viene raccomandato di considerare possibili norme di responsabilità civile per l’AI che non si basino sulla differenziazione tra categorie di prodotti in base ai loro profili di rischio.