C’è grande attesa per la pubblicazione da parte della Commissione europea della proposta di Regolamento sulla Intelligenza Artificiale (IA), ulteriore tassello dell’ambiziosa strategia dell’Ue per quanto riguarda la regolamentazione delle nuove tecnologie digitali.
La pubblicazione ufficiale delle proposta di Regolamento dovrebbe avvenire mercoledì 21 aprile, ma una bozza è già trapelata. Nonostante sia probabile che la versione finale della proposta di Regolamento contenga svariate modifiche rispetto alla bozza trapelata, quest’ultima consente già di farsi un’idea di quale sia la direzione intrapresa dalla Commissione.
Vediamo quali sono i punti principali della proposta di Regolamento, così come risultano dalla bozza in questione.
Obiettivi del Regolamento e ambito di applicazione
L’obbiettivo principale della proposta è duplice: fare in modo che l’uso dell’IA avvenga nel rispetto dei diritti fondamentali e dei valori europei, ed al contempo assicurarsi che la regolamentazione europea dell’IA sia equilibrata, proporzionata e non limiti inutilmente lo sviluppo tecnologico.
In sostanza, l’obbiettivo è quello di garantire all’Ue di acquisire e preservare una leadership tecnologica, assicurandosi però che i cittadini europei possano beneficiare delle nuove tecnologie senza rinunciare a quei valori e principi che caratterizzano il nostro sistema giuridico comune.
L’esteso ambito di applicazione del Regolamento riflette questi obbiettivi. Il Regolamento si applica all’immissione sul mercato, alla messa in servizio e all’uso di “sistemi di IA” (definiti in maniera piuttosto ampia dal Regolamento). Tuttavia, la gran parte dei requisiti del Regolamento riguardano solo determinate tecnologie considerate “ad alto rischio”.
Per quanto riguarda l’ambito di applicazione territoriale, il Regolamento si applica sia agli operatori europei che a quei fornitori o utenti di sistemi di IA stabiliti al di fuori dell’Ue qualora i sistemi sviluppati o utilizzati dagli stessi abbiano un impatto sulle persone che si trovano nell’Unione. L’ambito di applicazione territoriale del Regolamento è quindi in linea con l’approccio seguito da altre normative di derivazione europea, quali il GDPR. Andrà però chiarito cosa si intende per “impatto sulle persone che si trovano nell’Unione”.
Il Regolamento non si applica invece ai sistemi di IA utilizzati esclusivamente a scopi militari (le tecnologie a duplice uso, civile e militare, rientrano invece nell’ambito di applicazione del Regolamento) o per altre attività che non rientrano nell’ambito di applicazione del diritto dell’Unione. Si tratta di un’esclusione abbastanza scontata che riflette quelli che sono i limiti entro i quali il legislatore europeo può operare alla luce dei trattati.
Usi vietati dell’IA
Il Regolamento vieta in termini sostanzialmente assoluti una serie di possibili usi dell’IA. Questi comprendono:
- I sistemi di IA progettati o utilizzati in modo da manipolare il comportamento umano, le opinioni o le decisioni delle persone.
- I sistemi di IA progettati o utilizzati per sfruttare le informazioni o le previsioni riguardo ad una persona o ad un gruppo di persone per indurle a comportarsi, formarsi un’opinione o prendere una decisione a proprio discapito.
- I sistemi di IA utilizzati a fini di sorveglianza di massa indiscriminata e generalizzata.
- I sistemi di IA utilizzati a fini di punteggio sociale (ovvero il social scoring, tipo quello utilizzato in Cina).
Il Regolamento lascia però liberi gli Stati Membri di consentire e regolamentare l’uso dei sistemi di IA appena elencati (ad eccezione dei sistemi di social scoring) per fini di pubblica sicurezza. Si tratta di un’eccezione che farà discutere molto, ma su cui sarà difficile fare importanti passi indietro, visto che il tema della sicurezza nazionale resta di esclusiva competenza di ciascuno Stato membro; il legislatore europeo non ha quindi molti margini di manovra sul punto.
Regolamentazione dei sistemi di IA ad alto rischio
Il Regolamento qualifica come “sistemi di IA ad alto rischio” una serie di tecnologie (espressamente elencate), quali i sistemi di identificazione biometrica delle persone negli spazi pubblici, i sistemi di IA da utilizzare per la selezione del personale, i sistemi di IA per valutare la solvibilità delle persone, ecc. La lista dei sistemi di IA considerati “ad alto rischio” inclusa nel Regolamento potrà però essere integrata dalla Commissione nel corso del tempo seguendo una serie di criteri fissati dal Regolamento stesso.
I sistemi di IA che il Regolamento identifica come “sistemi di IA ad alto rischio” sono soggetti a regole specifiche. Tra queste si segnalano in particolare: l’obbligo di assicurarsi che i sistemi di IA in questione vengano sviluppati sulla base di data set adeguati (che ne assicurino l’accuratezza e l’assenza di effetti discriminatori); il requisito di documentare in maniera adeguata come è avvenuto lo sviluppo di un determinato sistema di IA (anche al fine di dimostrarne la conformità al Regolamento); specifici obblighi di trasparenza verso gli utenti sul funzionamento dei sistemi di IA; l’obbligo di assicurarsi che i sistemi di IA possano essere sottoposti a supervisione da parti di persone fisiche; e l’obbligo di garantire l’attendibilità, accuratezza e sicurezza di tali sistemi.
La valutazione della conformità dei sistemi di IA ad alto rischio ai requisiti di cui sopra avverrà in maniera in parte analoga a quella ad oggi applicabile ad altri prodotti ad alto rischio quali, ad esempio, i dispositivi medici. Infatti, per alcune categorie di sistemi di IA, sarà il produttore stesso a valutare in maniera autonoma la conformità dei propri sistemi di IA attraverso l’espletamento di una cosiddetta “procedura di valutazione della conformità”, mentre per altri sistemi che presentano rischi particolarmente elevati sarà necessario coinvolgere un organismo esterno di valutazione della conformità. Questo sistema di conformity assessment sarà facilitato e reso pienamente operativo dall’adozione di appositi standard di riferimento (per categorie di sistemi di IA) da parte degli enti di normazione quali ISO e CEN.
Una volta effettuata con successo la “procedura di valutazione della conformità”, i sistemi di IA dovranno essere marcati CE e registrati in un apposito database accessibile al pubblico. Solo a questo punto, potranno essere immessi sul mercato. La marcatura CE e la registrazione nel suddetto database saranno quindi gli strumenti che consentiranno di valutare facilmente, almeno in prima battuta, quali sono quei prodotti e tecnologie che rispondono alla normativa europea.
Obblighi di trasparenza applicabili anche ad altri sistemi di IA
Specifici obblighi di trasparenza sia applicano anche ad alcuni sistemi di IA non considerati di per sé ad alto rischio. Il Regolamento prevede infatti specifici obblighi informativi applicabili a sistemi di IA destinati ad interagire con persone fisiche, di riconoscimento delle emozioni (come, ad esempio, alcuni apparati promozionali del tipo “digital signage”), e usati per la manipolazione di video e immagini di persone fisiche (ad esempio, i cosiddetti “deepfake”). In sostanza, il fatto che si utilizza questo tipo di tecnologie deve essere reso palese a chi interagisce con le stesse.
Utilizzo di sistemi di identificazione biometrica negli spazi accessibili al pubblico
Il Regolamento prevede che l’utilizzo di sistemi di identificazione biometrica a distanza (in sostanza i sistemi di riconoscimento facciale) in spazi accessibili al pubblico venga sottoposto a procedure autorizzative da parte delle autorità garanti della privacy. In sostanza, tali sistemi potranno essere utilizzati solo dopo aver superato un severo scrutino da parte delle autorità competenti. Non verrebbe quindi stabilito un vero e proprio divieto assoluto, ma solo forti limitazioni all’uso di tali sistemi.
Regulatory sandboxes in materia di IA
Il Regolamento introduce espressamente la possibilità di creare “regulatory sandboxes” per sviluppare servizi di IA sotto la guida delle autorità competenti, in modo da implementare con maggior facilità soluzioni che siano “legal by design”.
Tali “sandboxes” già esistono in diversi Stati europei, come ad esempio in Norvegia. In questo senso il Regolamento provvedere quindi solo a dare un riconoscimento formale ad iniziative già esistenti.
Comitato europeo per l’intelligenza artificiale
Per quanto riguarda gli aspetti istituzionali, il Regolamento prevede la creazione di un Comitato europeo per l’intelligenza artificiale. Si tratta di un organismo, in parte simile al Comitato europeo per la protezione dei dati (EDPB), che dovrebbe riunire tutte le autorità nazionali competenti in materia di IA con lo specifico incarico di sorvegliare la corretta applicazione del Regolamento nei vari Stati Membri e di elaborare linee guida in materia.
Monitoraggio successivo all’immissione in commercio e obblighi di notifica deli incidenti
I fornitori di sistemi di IA sono tenuti ad implementare sistemi volti a monitorare l’uso dei sistemi di IA che immettono sul mercato ed a segnalare alle autorità competenti eventuali malfunzionamenti ed incidenti che dovessero ricontrare attraverso tale attività di monitoraggio.
Sanzioni
Il Regolamento prevede che le autorità competenti, individuate da ciascuno Stato Membro, potranno comminare sanzioni amministrative fino a 20.000.000 Euro o 4 % del fatturato annuo mondiale in caso di violazioni del Regolamento. Il regime sanzionatorio sarebbe quindi paragonabile a quello previsto dal GDPR.
Conclusione
Nell’attesa di vedere quale sarà il contenuto finale della proposta di Regolamento, il contenuto della bozza trapelata indica chiaramente come la Commissione abbia intenzione di presentare un testo ambizioso che possa fungere da punto di riferimento per la regolamentazione dell’Intelligenza Artificiale a livello globale.
È però probabile che, come è stato per il GDPR, il testo presentato dalla Commissione sarà oggetto di lunghi e intesi dibattiti durante l’iter legislativo, che con tutta probabilità porteranno a non poche modifiche del testo della Commissione.
