L’Artificial Intelligence Act è forse una delle normative sulla data economy più complesse e innovative degli ultimi anni. Ciò renderà il compito delle autorità coinvolte nella relativa attività di governance assolutamente centrale, tanto a livello europeo, quanto – e per certi versi a maggior ragione – a livello nazionale. E proprio in Italia, negli ultimi mesi, moltissimo si è discusso rispetto a quale (o quali) Autorità dovrebbero essere investite di tali compiti e poteri.
Ritengo dunque necessario un approfondimento sullo stato dell’arte e sulle prospettive future di questo fondamentale punto della normativa europea di imminente approvazione, che diventa l’ennesima puntata di questa mia serie di approfondimenti sull’AI Act per Agenda Digitale (potete recuperare i numeri precedenti qui).
La governance a livello europeo
La complessità e trasversalità dell’oggetto normativo – i sistemi di intelligenza artificiale – ha determinato la necessità di edificare, innanzitutto a livello europeo, un articolato sistema di organi e uffici a cui demandare le attività di governance dell’AI Act.
Si parte dall’Ufficio per l’IA, tramite il quale la Commissione europea svilupperà le competenze e le capacità dell’Ue nel settore dell’intelligenza artificiale, potendo contare anche sull’impegno degli Stati membri ad agevolare i compiti allo stessa affidati. L’European AI Office è stato già istituito dalla Commissione con la decisione del 24 gennaio 2024, con la quale gli sono stati attributi numerosi e rilevanti compiti, tra cui quello di contribuire e dare supporto nell’attuazione del regolamento europeo, con un focus particolare nell’ambito dei modelli di IA per finalità generali.
Un ruolo centrale nel sistema di governance del regolamento lo svolgerà poi il Comitato europeo per l’intelligenza artificiale. Composto da un rappresentante per Stato membro, avrà il compito di fornire consulenza e assistenza alla Commissione europea e agli Stati membri per agevolare l’applicazione coerente ed efficace dell’Artificial Intelligence Act. Tale fondamentale funzione verrà realizzata contribuendo al coordinamento tra le autorità nazionali competenti, fornendo consulenza sull’attuazione del regolamento, predisponendo raccomandazioni e pareri sulle previsioni dell’AI Act, contribuendo all’elaborazione di documenti di orientamento, solo per fare qualche esempio.
Completano il sistema di governance a livello europeo un forum consultivo e un gruppo di esperti scientifici indipendenti. Il primo avrà la missione di fornire consulenza e competenze tecniche al Comitato e alla Commissione, potendo elaborare a tal fine pareri, raccomandazioni e contributi scritti, e la sua composizione seguirà un criterio di selezione equilibrata di portatori di interessi, tra cui l’industria, le start-up, le PMI, la società civile e il mondo accademico. Il secondo dovrà sostenere le attività di esecuzione previste dal regolamento europeo, fornendo in particolare consulenza e sostegno all’Ufficio per l’IA, ma anche gli Stati membri potranno fare ricorso agli esperti scientifici del gruppo per sostenere le proprie attività di esecuzione.
La governance a livello nazionale
Scendendo sul piano nazionale, ogni Stato membro sarà tenuto a istituire o designare come autorità nazionali competenti almeno un’autorità di notifica e almeno un’autorità di vigilanza del mercato. A norma dell’AI Act, tali autorità dovranno esercitare i propri poteri in modo indipendente, imparziale e senza pregiudizi, condizione da rispettare anche per consentire che tali compiti e attività vengano svolti da una o più autorità designate.
Gli Stati membri, che dovranno comunicare alla Commissione l’identità di tali autorità, oltre a quella che opererà da punto di contatto unico, saranno tenuti a garantire che le autorità nazionali competenti dispongano di risorse tecniche, finanziarie e umane adeguate, nonché delle infrastrutture necessarie per svolgere efficacemente i propri compiti. In particolare, il personale delle autorità nazionali competenti dovrà avere una comprensione approfondita, tra le altre, in ambito IA, protezione dei dati personali, cibersicurezza e diritti fondamentali.
Quanto ai compiti, le autorità nazionali competenti potranno fornire orientamenti e consulenza sull’attuazione del regolamento, tenendo conto degli orientamenti del Comitato europeo per l’intelligenza artificiale e della Commissione Ue. Tra i vari compiti e poteri riconosciuti dall’AI Act alle autorità di vigilanza del mercato c’è naturalmente quello di ricevere i reclami presentati da persone fisiche o giuridiche per le violazioni delle disposizioni del regolamento, nonché quello di infliggere le sanzioni previste dall’AI Act in caso di non conformità delle relative disposizioni.
La situazione in Italia
Come anticipato all’inizio di questo articolo, molto si è discusso – e ancora oggi si discute – in Italia su quale o quali autorità debbano essere designate per lo svolgimento dei compiti attribuiti dall’Artificial Intelligence Act.
Il punto di partenza in questo caso può essere il punto di arrivo ad oggi raggiunto. Faccio riferimento al disegno di legge italiano sull’intelligenza artificiale, licenziato dal Consiglio dei Ministri lo scorso 23 aprile. L’articolo 18 del provvedimento indentifica quali autorità nazionali per l’intelligenza artificiale l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la cybersicurezza nazionale (ACN). La prima sarà «responsabile di promuovere l’innovazione e lo sviluppo dell’intelligenza artificiale […] provvede[ndo], altresì, a definire le procedure e ad esercitare le funzioni e i compiti in materia di notifica, valutazione, accreditamento e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di intelligenza artificiale, secondo quanto previsto dalla normativa nazionale e dell’Unione europea». La seconda sarà invece «responsabile per la vigilanza, ivi incluse le attività ispettive e sanzionatorie, dei sistemi di intelligenza artificiale, secondo quanto previsto dalla normativa nazionale e dell’Unione europea […] [essendo], altresì, responsabile per la promozione e lo sviluppo dell’intelligenza artificiale relativamente ai profili di cybersicurezza». Entrambe le autorità, per i profili di rispettiva competenza, assicureranno inoltre «l’istituzione e la gestione congiunta di spazi di sperimentazione finalizzati alla realizzazione di sistemi di intelligenza artificiale conformi alla normativa nazionale e dell’Unione europea […]». L’articolo in commento si conclude chiarendo che «restano ferme le competenze, i compiti e i poteri del Garante per la protezione dei dati personali».
Le scelte compiute dal nostro legislatore arrivano al culmine di una stagione inedita per l’Italia caratterizzata da una attenzione significativa e continua verso i temi del digitale e dell’economia dei dati come non mai avvenuto in passato.
Le sfide future: verso la creazione di un Garante dei dati e dell’AI
Ad ogni cambio di Governo negli ultimi anni, il direttore Longo, che ringrazio, mi ha sempre chiesto di scrivere una analisi che comprendesse un bilancio del Governo precedente ed una valutazione sul programma di quello appena insediato. L’attuale Governo, con encomiabile tempismo, ha da subito compreso le istanze e le sfide poste dalla diffusività dell’AI e, non solo a parole, ma anche con i fatti, non manca mai di mettere al centro delle proprie politiche i temi connessi e derivanti dalla applicazione dell’AI, ma anche del digitale e della data economy, avvenendo peraltro questo a tutti i livelli, dato che di AI si occupa non solo e sopra tutti il Sottosegretario Alessio Butti, che ne ha le dirette competenze, ma anche direttamente il Presidente del Consiglio, posto il numero di richiami all’AI che la premier Giorgia Meloni ha più volte fatto nei suoi discorsi ufficiali.
Al tempo stesso, non si può non segnalare come la fase che viviamo è caratterizzata da una cifra di complessità estremamente alta, e ciò non solo per i cittadini, ma anche per le imprese e le pubbliche amministrazioni. L’AI dovrà accrescere il benessere di tutti ed è pensata per semplificarci la vita e migliorare i processi di convivenza e le soluzioni a favore dell’umanità. Ma la sua navigazione è complessa e pericolosa e cittadini, aziende e PA meritano soluzioni semplici ed immediate. In tal senso, la moltiplicazione degli enti regolatori, sulla carta, potrebbe essere un elemento in più di complessità. Il numero dei soggetti delegati e competenti in materia non si limiterà alle sole Agid, Acn e Garante Privacy – sopra tutte e come è naturale – ma anche l’Agcom e l’Antitrust avranno poteri e voce da far sentire nei loro mercati di riferimento.
Il Garante Privacy ha già dimostrato, prima ancora dell’entrata in vigore dell’AI ACT, nei noti casi Replika e OpenAI/ChatGPT – da chi scrive seguiti professionalmente in prima persona – non solo di avere poteri e competenza, ma anche di saperli usare e dosare per regolare i mercati – e attenzione non solo al mercato italiano, ma ai mercati globalmente intesi: si ricorda che il Garante italiano con i suoi provvedimenti del 2023 e che presto avranno una coda anche nell’anno corrente, ha cambiato decisamente il mondo delle regole assumendo per la prima volta coraggiosi provvedimenti che hanno di molto migliorato i sistemi di AI, ponendo al centro dell’attenzione il rispetto delle regole sui dati e la tutela dei diritti delle persone coinvolte e contribuendo all’accelerazione dell’approvazione dell’AI Act e ad una nuova consapevolezza sui temi dell’AI a livello planetario.
Un tale patrimonio, invidiatoci in tutto il mondo, meriterebbe un rafforzamento ed una integrazione con le migliori professionalità della nostra pubblica amministrazione. In tal senso bene ha fatto il nostro Governo ad affidare ad altre due eccellenze nostrane, all’AGiD e all’ACN parte delle competenze rilevanti in materia, facendo salve le già vaste competenze del Garante, ma forse sarebbe stato il caso di una maggiore armonizzazione delle competenze e dei poteri, anche per semplificare la vita delle aziende che diversamente vedranno moltiplicarsi il numero dei regolatori e dei controllori.
Sarebbe stato utile, in tal senso, pensare ad una grande Autorità tecnologica, il Garante dei Dati e dell’AI. Ma forse i tempi non sono ancora maturi e ci vorrà ancora qualche anno ed un primo periodo di applicazione dell’AI Act, in combinata con il GDPR e con le altre regole rilevanti della dimensione digitale europea (DSA, DMA, DA) prima di arrivare a vedere concretizzata questa mia idea, al momento anche un po’ audace.
