Proseguono le discussioni sulla proposta di Regolamento sull’Intelligenza Artificiale della commissione europea, sinora al centro di numerose discussioni. In particolare, al Parlamento europeo sarebbe stato ora raggiunto un nuovo testo di compromesso, che tiene conto dei rilievi e delle critiche sollevate dagli Stati Membri (fra tutti, la Francia).
L’obiettivo è quello di raggiungere un accordo definitivo sui concetti fondamentali del testo entro il giugno 2022 e, in particolare, sulle ipotesi consentite di utilizzo delle tecnologie ad alto rischio, come il riconoscimento facciale. Un ulteriore ritardo sui tempi potrebbe comportare l’impossibilità, per l’Europa, di rivestire un ruolo di rilievo nello sviluppo delle future intelligenze artificiali e di stabilire degli standard di sviluppo delle stesse che tutelino i cittadini.
SI tratta comunque di testi non definitivi che saranno certamente modificati ancora, sulla base dei diversi testi di compromesso che gli stati membri avanzeranno nel corso dei negoziati, ma che aiutano a comprendere quale potrà essere il futuro di questa normativa.
Lo stato dei lavori sul regolamento IA
Nella giornata dell’11 aprile, come dichiarato dai deputati parlamentari Dragos Tudorache e Bando Benifei, che hanno sinora guidato la discussione sulla proposta di regolamento per l’IA, sarebbe stata finalmente definita una linea di azione comune, sebbene alcune questioni, legate in particolar modo agli aspetti più operativi del regolamento, restino ancora da dirimere e definire.
“Ci sono cose che abbiamo già concordato, e saranno nella bozza del rapporto, e cose su cui pensiamo che saremo d’accordo, ma poiché non abbiamo trovato in questo momento il denominatore comune, non le abbiamo inserite nel rapporto”, ha detto Tudorache.
“Il nostro approccio è stato quello di rendere questo regolamento veramente incentrato sull’uomo”, ha continuato Benifei, interpellato da EURACTIV, “Non siamo d’accordo su tutto, ma abbiamo fatto un importante passo avanti”.
La discussione del progetto di relazione è prevista, per le due commissioni parlamentari, per l’11 maggio, con possibile espressione del voto sulla versione finale del testo per la fine di ottobre, e il passaggio in plenaria nei primi di novembre.
Non si esclude che il rispetto delle tempistiche indicate potrebbe venir meno, in virtù delle molteplici questioni ancora da dirimere e del disaccordo sinora sorto tra diversi schieramenti politici in merito ad alcuni dei punti strategici del regolamento. Tuttavia, entrambi i deputati si sono detti “ottimisti sul fatto che il Parlamento adotterà la sua posizione entro la fine dell’anno”.
Regolamento europeo sull’intelligenza artificiale: lo stato dei lavori
I principali punti di contatto
Un aspetto sul quale si è raggiunto un accordo comune sarebbe, in primis, la definizione di intelligenza artificiale “generica”, che viene mantenuta ampia al fine di evitare di escludere dal catalogo delle possibili IA ricomprese nel campo di applicazione del regolamento quelle che possono essere addestrate per lo svolgimento di compiti diversi. Si precisa, inoltre, che l’IA non deve perseguire obiettivi espressamente definiti dall’uomo per poter essere ritenuta soggetta all’AI Act.
SI è concordato, poi, sulla necessità di adottare un approccio normativo a due livelli: uno nazionale ed uno sovranazionale, che consenta di disciplinare con attenzione tutti i fenomeni in cui l’IA può avere profonde implicazioni sui consumatori europei e un diffuso impatto sociale.
Si tratterebbe di una logica simile a quella già sposata per il Digital Services Act, spiega Tudorache: “Alcune parti della domanda rimangono di competenza delle autorità nazionali, ma in alcuni casi, innescate da determinati criteri, entra in gioco la responsabilità per la Commissione”.
Tra le proposte avanzate dai deputati del Parlamento Europeo, vi è anche il rafforzamento del ruolo del Comitato Europeo per l’intelligenza artificiale, al cui interno saranno riunite tutte le autorità nazionali competenti e la Commissione Europea, anche se non è stato ancora chiarito in che modo tale coordinamento sarà esplicato.
Ulteriore emendamento proposto sarebbe quello di consentire ai consumatori di avviare procedimenti legali, includendo l’intelligenza artificiale nella direttiva 2020/1828 relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori.
L’utilizzo dei sistemi biometrici
Si precisa, in riferimento ai sistemi biometrici da remoto, che nella proposta iniziale, gli stessi erano definiti come quel “sistema di IA destinato all’identificazione a distanza di persone fisiche mediante il confronto dei dati biometrici di una persona con i dati biometrici contenuti in una banca dati di riferimento, e senza sapere in anticipo se la persona interessata sarà presente e può essere identificata, a prescindere dalla tecnologia, dai processi o dai tipi specifici di dati biometrici utilizzati. Tenuto conto delle loro diverse caratteristiche e modalità di utilizzo, nonché dei diversi rischi connessi, è opportuno operare una distinzione tra sistemi di identificazione biometrica remota “in tempo reale” e “a posteriori”. Nel caso dei sistemi “in tempo reale”, il rilevamento dei dati biometrici, il confronto e l’identificazione avvengono tutti istantaneamente, quasi istantaneamente o in ogni caso senza ritardi significativi. […] I sistemi “in tempo reale” comportano l’uso di materiale “dal vivo” o “quasi dal vivo” (ad esempio filmati) generato da una telecamera o da un altro dispositivo con funzionalità analoghe. Nel caso dei sistemi di identificazione “a posteriori”, invece, i dati biometrici sono già stati rilevati e il confronto e l’identificazione avvengono solo con un ritardo significativo. Si tratta di materiale, come immagini o filmati generati da telecamere a circuito chiuso o da dispositivi privati, che è stato generato prima che il sistema fosse usato in relazione alle persone fisiche interessate”.
Nel testo modificato a seguito delle interlocuzioni sinora condotte, detta definizione sarebbe stata modificata al fine di escludere dal campo di applicazione del regolamento alcune possibili applicazioni dell’IA, legate, ad esempio, alla sicurezza aeroportuale o allo sblocco dello smartphone. In particolare, sarebbe stata inserita una nuova previsione secondo cui le tecnologie di riconoscimento facciale non si applicherebbero nel caso in cui una persona non sia in grado di farsi identificare dalle forze dell’ordine, rendendo necessario per le stesse svolgere un controllo sull’identità dell’interessato
Inoltre, si estende la possibilità di usare sistemi di identificazione biometrica anche all’ipotesi in cui si renda necessario individuare l’ubicazione di un criminale indagato, senza che vi sia la necessità – come invece previsto nel testo originale – che il reato rientri nell’ambito di applicazione del mandato d’arresto europeo – ossia nei 32 reati elencati nella decisione quadro 2002/584/GAI del Consiglio – ; è sufficiente, invece, che per il reato sia prevista una pena detentiva di almeno cinque anni.
Anche la definizione di “spazio accessibile al pubblico”, in cui si applica il divieto di utilizzare tecnologie di riconoscimento facciale, sarebbe stata modificata nel tentativo di fare maggiore chiarezza con spiegazioni ed esempi aggiunti al preambolo del testo.
Il documento, poi, sempre in riferimento al riconoscimento biometrico, ne amplia il possibile campo di applicazione rispetto alla proposta iniziale, rimuovendo – nella parte in cui si elencano i possibili usi dei sistemi di identificazione biometrica remota in tempo reale, l’esempio riferito alla ricerca di minori scomparsi, e il riferimento all’”imminenza” della minaccia, al fine di evitare un’interpretazione eccessivamente restrittiva della norma.
Pratiche vietate
Il titolo II della proposta di regolamento stabilisce un elenco delle pratiche di IA da ritenersi vietate, secondo un approccio basato su un livello differenziato di rischio. Si distingue, in particolare, tra gli usi dell’IA che creano un rischio inaccettabile; un rischio alto; un rischio basso o minimo.
Gli usi che comportano un rischio inaccettabile, ossia contrario ai valori e ai principi fondamentali dell’Unione, sono da ritenersi vietate a priori, in quanto “presentano un elevato potenziale in termini di manipolazione delle persone attraverso tecniche subliminali, senza che tali persone ne siano consapevoli, oppure di sfruttamento delle vulnerabilità di specifici gruppi vulnerabili, quali i minori o le persone con disabilità, al fine di distorcerne materialmente il comportamento in maniera tale da provocare loro o a un’altra persona un danno psicologico o fisico”.
Nel testo revisionato, secondo quanto dichiarato da Benifei ad Euractiv, sarebbe stata aggiunta all’elenco delle pratiche vietate anche la polizia predittiva, in quanto ritenuta altamente discriminatoria.
Inoltre, l’elenco delle applicazioni ad alto rischio – consentite solo subordinatamente al rispetto di determinati requisiti obbligatori e ad una valutazione della conformità ex ante – è stato esteso per ricomprendere anche “i sistemi di intelligenza artificiale progettati per interagire con i bambini, il triage medico, le assicurazioni, i deep fake e gli algoritmi con un potenziale impatto sui processi democratici, ad esempio quelli utilizzati per le campagne elettorali o per contare i voti elettronici”.
Anche la procedura di valutazione della conformità, necessaria per immettere un sistema sul mercato è stata modificata: nella proposta originale, si prevedeva la possibilità per la Commissione o per un altro Stato membro di contestare l’autorizzazione entro due settimane, con intervento dell’esecutivo dell’UE in caso sorgano delle interpretazioni discordanti tra loro. Questa possibilità, nel testo di compromesso francese preso in esame da Euractiv (https://www.euractiv.com/section/digital/news/french-presidency-pitches-changes-to-law-enforcement-provisions-in-the-ai-act/), è stata rimossa, con aggiunta di un nuovo articolo che prevede ” la possibilità di chiedere ex post l’autorizzazione per le autorità di contrasto, al fine di fornire maggiore flessibilità a queste autorità in caso di urgenze specifiche”, fermo restando che, in questi casi, l’autorizzazione deve essere richiesta “senza indebito ritardo”.
“Questo è troppo ampio e potenzialmente dannoso”, ha affermato Sarah Chander, consulente politico senior presso l’European Digital Rights, “Lo scopo di quell’articolo era quello di avere alcune piccole eccezioni con almeno una certa supervisione. Questo è fondamentalmente dire che la polizia lo fa comunque e chiede in seguito “.
Obblighi di trasparenza e banche dati
Nel caso in cui le autorità pubbliche facciano uso di applicazioni ad alto rischio si prevede, ad ogni modo, l’inserimento delle stesse in una banca dati a livello europeo contenente informazioni sui sistemi ad alto rischio implementati. Queste informazioni, tuttavia, non sarebbero accessibili al pubblico per i sistemi ad alto rischio utilizzati nel campo delle prove, ma sarebbero disponibili solo all’autorità di vigilanza del mercato ed alla Commissione europea.
Inoltre, nel testo francese si richiede agli utilizzatori di sistemi di intelligenza artificiale dotata di sistemi di intelligenza artificiale in grado di riconoscere le emozioni, di informare gli interessati (fatta eccezione, anche in questo caso, per l’eventualità in cui detti dati siano necessari per lo svolgimento di indagini penali. SI specifica, altresì, che l’utilizzo di sistemi di riconoscimento delle emozioni dovrà essere “chiaro e distinguibile” e che i governi nazionali possono introdurre requisiti di trasparenza più stringenti.
Secondo quanto affermato da Tudorache, “il testo fornisce una migliore chiarezza sulla divisione delle responsabilità tra fornitori e utenti. Quando gli utenti apportano modifiche all’algoritmo immesso sul mercato da un fornitore, ciò fa scattare determinati obblighi che l’utente deve adempiere”.
Tuttavia, Benifei ha anticipato che sarebbe stato necessario fare di più nella fase di emendamento.
I punti di conflitto aperti
Come anticipato, restano ancora aperti molteplici tavoli di discussione circa alcuni dei punti principali del Regolamento:
- in primo luogo, i legislatori si sono dichiarati non d’accordo sul processo di valutazione della conformità del sistema di intelligenza artificiale da immettersi sul mercato: nella proposta originale si richiede alle aziende di svolgere sostanzialmente delle autovalutazioni, ma Benifei, secondo quanto riporta Euractiv, ritiene che detto procedimento potrebbe essere troppo rischioso dal punto di vista della protezione dei consumatori e dei diritti fondamentali. Al contrario, Tudorache vuole evitare oneri amministrativi eccessivi per le imprese.
- Relativamente al tema del riconoscimento biometrico, si discute su quali casi possano ritenersi consentiti: la Commissione propone di restringere quanto più possibile il campo, sostenuta dai conservatori e da Tudorache; i deputati di sinistra, invece, chiedono che sia previsto un divieto assoluto di utilizzo di simili tecnologie, in quanto anche poche eccezioni potrebbero esporre il fianco a fenomeni di abuso;
- I legislatori hanno anche discusso sulla possibilità di includere una valutazione d’impatto sui diritti fondamentali, da applicare a tutti gli utenti oppure soltanto agli enti pubblici;
- Manca, inoltre, un accordo circa l’estensione del divieto di pratiche di social scoring nei confronti degli enti privata.
Da ultimo, resta da definire il quadro delle c.d. sandbox normative, che regoleranno nuove sperimentali applicazioni di intelligenza artificiale, sotto la supervisione di un ente regolatore. I deputati conservatori vogliono espandere le sandbox normative, al fine di consentire una maggiore applicazione del regolamento nei confronti delle PMI.
