Con il voto della scorsa settimana, il Parlamento europeo ha compiuto un passo decisivo, e possiamo dire senza retorica anche storico, verso l’approvazione del nuovo quadro normativo dell’UE sull’intelligenza artificiale, il primo al mondo orizzontale e armonizzato. L’Unione europea si prepara dunque a presentarsi sullo scacchiere geopolitico globale, ancora una volta, come l’unica vera e credibile potenza regolatoria – e si auspica anche tecnologica e di mercato – nel settore dell’IA.
Con l’Artificial Intelligence Act si andrà a regolamentare per la prima volta l’evoluzione del fenomeno dell’IA in quanto tale. Ciò, tuttavia, non significa che oggi non esistono importanti norme che già la disciplinano sotto molteplici aspetti.
Il rapporto stretto tra AI Act e Gdpr
Questa rete di protezione è costituita in prima battuta dalla normativa sulla protezione e circolazione dei dati personali, e in particolare dal GDPR. E ciò sulla base dell’inscindibile legame di interdipendenza che lega intelligenza artificiale e dati. E a riprova di quanto la normativa data protection governi già oggi anche il fenomeno dell’IA basta ricordare come le uniche autorità che sono potute intervenire con poteri interdittivi e coercitivi, prima, ed estremamente persuasivi, poi, su sistemi di IA, sono le autorità di controllo in materia di dati, con il Garante privacy italiano a fare da autorevole e, per qualche settimana, unico apripista europeo grazie ai due noti provvedimenti di blocco dei trattamenti disposti nei confronti dei chatbot Replika e ChatGpt.
Questo stretto legame tra GDPR e intelligenza artificiale non verrà meno neanche a seguito dell’approvazione dell’AI Act: i due regolamenti, infatti, andranno a disciplinare in modo complementare quel complesso fenomeno tecnologico che chiamiamo artificial intelligence.
Dalla proposta della Commissione al voto del Parlamento
Provando a ripercorrere brevemente la cronistoria di questo nuovo regolamento, possono essere individuate alcune tappe fondamentali. La prima è la presentazione della proposta della Commissione UE nell’aprile 2021, un momento estremamente atteso e che ha dato attuazione alla strategia europea sull’IA avviata nel 2018. Da lì sono partiti i lavori delle altre due istituzioni europee, al fine di definire le proprie posizioni comuni. Quella del Consiglio è arrivata nel dicembre 2022 sotto la presidenza ceca, mentre la posizione negoziale del Parlamento è stata definitivamente approvata con il voto della scorsa settimana.
Verso l’approvazione finale dell’AI Act
Il risultato raggiunto in Parlamento apre ora le porta ad una nuova fase di lavori, il cosiddetto trilogo, dove i rappresentanti delle tre istituzioni europee si incontreranno per negoziare il testo finale che vedremo in Gazzetta Ufficiale, auspicabilmente, tra la fine del 2023 e l’inizio del 2024, prima cioè delle elezioni europee del prossimo anno.
Il nuovo AI Act dopo gli emendamenti del Parlamento
Nonostante il corposo numero di modifiche proposte dal Parlamento (sono stati ben 771 gli emendamenti votati), l’architettura normativa individuata dalla Commissione nella propria proposta è rimasta valida e centrale. Si conferma dunque l’obiettivo di raggiungere un equilibrio tra tutela dei diritti fondamentali e innovazione. L’approccio scelto è quello risk-based, con l’identificazione di una serie di classi di rischio a cui far corrispondere divieti (per i sistemi di IA a rischio inaccettabile), requisiti e obblighi (rivolti in modo particolare, ma non esclusivo, ai sistemi di IA ad alto rischio), il tutto sottoposto a un sistema di governance diffuso e ad un importante impianto sanzionatorio, a cui fanno da contraltare ideale alcune norme a sostegno dell’innovazione.
Tra i principali punti sui quali sono intervenute le modifiche del Parlamento possono segnalarsi:
- la scelta di una nuova definizione di “sistema di IA”, optando per la formula elaborata dall’OCSE;
- l’introduzione di un elenco di principi generali applicabili a tutti i sistemi di IA, tra cui privacy e data governance;
- l’ampliamento delle pratiche di intelligenza artificiale vietate, con l’inclusione di nuove fattispecie, come ad esempio i sistemi di polizia predittiva;
- sempre sulle pratiche di IA vietate, la scelta di escludere del tutto l’ammissibilità dell’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico e di vietare l’uso di sistemi di identificazione biometrica remota “a posteriori” in spazi accessibili al pubblico, a meno che questi ultimi non siano soggetti a previa autorizzazione giudiziaria e siano strettamente necessari per la ricerca mirata collegata a uno specifico reato grave;
- la modifica dei criteri di classificazione e delle ipotesi di sistemi di IA ad alto rischio;
- l’inserimento di nuovi obblighi per i fornitori di foundation models e per i sistemi di intelligenza artificiale generativa (come, ad esempio, dichiarare che il contenuto è stato generato dall’IA);
- l’inserimento dell’obbligo di effettuare una valutazione d’impatto sui diritti fondamentali per i sistemi di IA ad alto rischio;
- l’istituzione dell’Ufficio europeo per l’intelligenza artificiale, che prende il posto del Comitato europeo per l’intelligenza artificiale proposto dalla Commissione, al quale viene affidato il compito di monitorare l’attuazione del regolamento;
- la modifica di alcuni aspetti dell’impianto sanzionatorio;
- un più esteso coordinamento con le norme del GDPR.
Conclusioni
L’Unione europea ha dunque battuto un primo colpo che si è sentito forte e chiaro negli Stati membri così come oltre oceano. Basterà tutto ciò a ridare fiducia in questa straordinaria tecnologia al servizio dell’uomo? Di certo la strada tracciata è quella giusta, ma potrebbero essere necessari ulteriori sforzi per rendere l’ambiente dell’AI amichevole e funzionale ai bisogni di tutti e non solo a quelli di pochi.
