È ormai chiaro che nel 2024 si giocheranno gli ultimi atti della corsa alla regolazione dell’Intelligenza Artificiale (IA). Già nella seconda parte del 2023 abbiamo potuto assistere a una crescente pressione sulle forze politiche globali per trovare un accordo che possa garantire sicurezza e innovazione: proprio le istituzioni dell’Unione Europea nel mese di dicembre 2023 hanno consolidato le rispettive posizioni in un accordo prodromico all’adozione del testo finale del primo Regolamento relativo all’IA nei prossimi mesi.
Lato USA, a fine ottobre 2023, il Presidente Biden, con proprio ordine esecutivo, ha chiesto alle agenzie federali di intensificare la loro supervisione riguardo agli strumenti di intelligenza artificiale di loro competenza, in attesa di ulteriore legislazione. È pertanto ragionevole aspettarsi ulteriori sviluppi regolatori anche dagli US, vista la crescente attenzione federale e le numerose iniziative statali.
L’Intelligenza Artificiale in ambito sanitario
Dunque, è quanto mai necessario volgere lo sguardo alle implicazioni concrete della definizione del quadro normativo, non solo considerando gli aspetti di cornice, ma iniziando ad approcciare quelli di dettaglio, ad esempio considerando le conseguenze che l’IA e le norme ad essa dedicate avranno su determinati settori, specie quelli legati a finalità squisitamente pubblicistiche, quali la sanità. È noto come uno dei vantaggi dell’IA sia la sua versatilità, ossia la capacità di tradursi come utile alleato nella gestione di problematiche di diverso genere. Ebbene, uno dei settori in cui pare essere particolarmente promettente è senz’altro quello sanitario, laddove l’IA promette di rivoluzionare metodologie di diagnosi, trattamenti e cure.
Tuttavia, l’adozione di queste tecnologie avanzate richiede una regolamentazione accurata per garantire un uso sicuro, etico e rispettoso dei diritti fondamentali dei cittadini. In questo contesto, emergono due esigenze chiave: armonizzare i quadri regolatori tra Stati Uniti e Unione Europea e sviluppare approcci basati sul rischio che siano in grado di dialogare.
Premessa una ricostruzione dello stato dell’arte in entrambi i contesti, si delineeranno profili di dialogo che si auspica possano essere implementati nel prossimo futuro per permettere all’IA di divenire un prezioso alleato in uno dei settori chiave della vita pubblica.
La Regolamentazione in USA
Nel corso dell’ultimo anno, come si anticipava, vi sono stati progressi significativi nella regolamentazione dell’IA in USA. Pur non modificando immediatamente il regime normativo, il Presidente Biden ha predisposto una specifica timeline per l’adozione di oltre 100 misure volte all’utilizzo responsabile dell’IA, che più di 50 agenzie dovranno seguire, fra cui il Dipartimento della salute e dei servizi umani del Governo e l’Ufficio brevetti e marchi degli Stati Uniti. Per aiutare i dipartimenti e le agenzie federali ad attuare l’ordine esecutivo, l’Ufficio per la gestione e il bilancio ha pubblicato una bozza di memorandum sull’avanzamento della governance, dell’innovazione e della gestione del rischio per l’uso dell’intelligenza artificiale da parte delle agenzie, con lo scopo di “indirizzare le agenzie a far progredire la governance e l’innovazione dell’IA, gestendo al contempo i rischi che possono incidere sulla sicurezza e sui diritti del pubblico”. La bozza è stata aperta ai commenti del pubblico fino a dicembre 2023.
Il Blueprint for an AI Bill of Rights
Si può inoltre ricordare come, nell’ottobre 2022, la Casa Bianca avesse già presentato un “Blueprint for an AI Bill of Rights“, ossia un insieme di principi e pratiche finalizzate a guidare la progettazione, l’uso e l’implementazione di sistemi automatizzati garantendo la protezione dei diritti dei cittadini americani. Nel luglio 2023, inoltre, l’amministrazione Biden aveva ottenuto l’impegno da parte di sette grandi aziende di Intelligenza Artificiale (IA) – Amazon, Anthropic, Google, Inflection, Meta, Microsoft e OpenAI – a promuovere uno sviluppo responsabile e sicuro dell’IA. Molte di queste aziende, è bene ricordare, sono già attive nell’healthcare e nella gestione dei dati sanitari.
L’importanza di bilanciare innovazione e rischi
Come notato in diversi ambiti internazionali, è questione consolidata che, metodologicamente parlando, è preferibile adottare un approccio basato sul rischio nella regolamentazione dell’IA, sì da favorire proporzionalità e bilanciamento degli interessi in gioco. A tal riguardo, già nel febbraio 2019, l’amministrazione Trump con l’ordine esecutivo “Maintaining American Leadership in Artificial Intelligence” (EO 13859) aveva sottolineato l’importanza di bilanciare innovazione e rischi. Oggi, questo approccio è comunque promosso dall’Artificial Intelligence Risk Management Framework dell’US National Institute of Standards and Technology (NIST), che favorisce lo sviluppo di uno standard volontario per la gestione del rischio dell’IA.
In questa cornice, la direzione intrapresa dagli Stati Uniti d’America è sinora stata frammentaria, giacché alcuni Stati si sono già mossi in autonomia. Sarà, pertanto, cruciale giungere a una legislazione di tipo federale che sappia tener conto dei diversi sentimenti bipartisan che stanno emergendo, specie nel campo della sanità. Un esempio è riscontrabile nel dialogo in corso tra i senatori Blumenthal e Hawley, che stanno collaborando a una proposta di framework per definire i requisiti per la trasparenza dei dati e gli standard di sicurezza, nonche’ per la creazione di un ufficio federale indipendente per il controllo della tecnologia e della responsabilità delle aziende per violazioni della privacy e dei diritti civili.
Gli sforzi della Food and Drug Administration (FDA)
Da ultimo, vale la pena ricordare gli sforzi della Food and Drug Administration (FDA) per creare un ecosistema regolatorio agile che possa facilitare l’innovazione e salvaguardare la salute pubblica, indirizzandosi anch’essa verso il risk based approach. È interessante notare che la FDA ha altresì pubblicato una serie di linee guida a supporto degli sviluppatori dei dispositivi medici basati sull’IA. L’agenzia richiede che vi sia un attento monitoraggio di questi ultimi anche attraverso meccanismi di valutazione ex post la loro distribuzione. Queste iniziative vanno di pari passo con l’attività di aggiornamento del quadro regolatorio dell’agenzia: un sforzo che ha preso avvio nel 2021 con l’Artificial Intelligence/Machine Learning Based Software as a Medical Device Action Plan, e che è proseguito nel 2023 con l’annuncio dell’istituzione di un comitato consultivo per la salute digitale atto a fornirle consulenza sulle tecnologie sanitarie digitali, compresa l’intelligenza artificiale.
L’approccio dell’Unione Europea verso l’IA
È ragionevole ritenere che l’Unione europea sarà la prima ad adottare una legge sull’IA. Difatti, come si anticipava, dopo una maratona di 36 ore, lo scorso dicembre 2023 i responsabili politici dell’UE hanno raggiunto un accordo politico sull’AI Act, la proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce norme armonizzate sull’intelligenza artificiale. Sebbene vi siano diverse incertezze sulla capacità dell’Europa di creare un modello normativo, l’AI Act rappresenta effettivamente un archetipo con cui si dovranno confrontare l’uso e l’applicazione dei sistemi di intelligenza artificiale a livello globale.
Regolamentazione dell’IA, alla ricerca di un difficile compromesso
La forma attuale del testo è il risultato di anni di lavoro, che hanno coinvolto, per ciò che di competenza, le diverse istituzioni europee. Da luglio 2023, hanno avuto inizio i trilogues, ossia i negoziati tra Commissione Europea, Consiglio e Parlamento Europeo per addivenire a un’unica posizione. In particolare, i negoziati hanno affrontato 21 questioni aperte, che riguardano l’open source, i modelli di fondazione, la governance, la sicurezza nazionale e le pratiche vietate. Sebbene la stampa abbia accolto l’accordo politico con grande clamore, non è ancora detta l’ultima parola sull’AI Act.
È notizia recente che durante l’ultimo COREPER (Comitato dei Rappresentanti Permanenti), Francia, Germania e Italia hanno votato contro l’implementazione dell’AI Act e hanno rimandato ulteriori discussioni alle riunioni di febbraio. Questo non significa che la legge sull’AI verrà bloccata, ma è senza dubbio un’indicazione del fatto che l’accordo viene valutato attentamente dagli Stati membri, soprattutto quando sperano di avere un margine di manovra a loro favore. Tuttavia, al momento, mancando la versione finale del testo, è impossibile fare qualsiasi tipo di previsione sul contenuto e sull’esito dei negoziati.
La necessità di norme specifiche per il settore sanitario
Nondimeno, possono essere svolte alcune considerazioni rispetto all’opportunità di costruire una maggiore armonizzazione settoriale rispetto alla regolazione dell’IA, specie in ambito sanitario. Difatti, l’AI Act dedica molta attenzione a taluni usi critici di IA, come il riconoscimento facciale per scopi di pubblica sicurezza, o l’IA generativa e i cd. foundation models. Scarsa attenzione è invece dedicata ad altri settori, come quello sanitario.
Detto aspetto è menzionato nell’AI Act al Cons. 37, come modificato dal Parlamento Europeo, ove si propone una classificazione ad alto rischio per quei sistemi di IA che, consentendo l’espletazione di servizi pubblici essenziali, possono risultare in un rischio per gli individui. L’Allegato III della proposta chiarisce che sono considerati sistemi ad alto rischio:
- Sistemi di intelligenza artificiale destinati a essere utilizzati da o per conto delle autorità pubbliche per valutare l’idoneità delle persone fisiche a beneficiare di prestazioni e servizi di assistenza pubblica, compresi i servizi sanitari e i servizi essenziali, tra cui, a titolo esemplificativo e non esaustivo, l’alloggio, l’elettricità, il riscaldamento/raffreddamento e internet, nonché per concedere, ridurre, revocare, aumentare o reclamare tali prestazioni e servizi;
- Sistemi di intelligenza artificiale destinati a valutare e classificare le chiamate di emergenza da parte di persone fisiche o a essere utilizzati per l’invio o per stabilire la priorità nell’invio di servizi di primo intervento di emergenza, compresi quelli della polizia e delle forze dell’ordine, dei vigili del fuoco e dei soccorsi medici, nonché dei sistemi di triage dei pazienti di emergenza sanitaria.
Vista la genericità della classificazione, sarà necessario un raccordo con la normazione di settore, come pure suggerito dal Cons. 41 a) (sempre relativo alla versione del Parlamento Europeo). Sotto il profilo regolatorio, il principale riferimento è il Regolamento UE 2017/745 sui dispositivi medici (Medical Device Regulation o MDR), che a partire dal 26 maggio 2021 ha sostituito il previgente regime (in particolare, la Direttiva 93/42/CEE). Detta norma prevede controlli di conformità preventivi, nonché doveri di sorveglianza post-commercializzazione, simili a quanto descritto lato US. È chiaro che la diffusione di sistemi di IA ad apprendimento automatico richiedono anche un ripensamento di queste categorie, specie per controllare eventuali evoluzioni della capacità di analisi, come nota anche una parte della dottrina. Il frammentato quadro normativo consta altresì delle norme a tutela dei consumatori (vale a dire la disciplina contenuta nella direttiva 85/374/CEE sulla product liability, che in Italia è stata tradotta negli articoli 114-127 del Codice del Consumo) nonché il Regolamento UE 2017/746 sui dispositivi medico-diagnostici in vitro (“IVDR”).
L’impatto globale delle applicazioni IA nel settore sanitario
Dall’analisi dei due contesti normativi, emerge come l’utilizzo dell’IA in sanità porti con sé numerosi quesiti che il legislatore è ora chiamato a risolvere. Il settore è infatti vasto e complesso: si estende su una vasta gamma di applicazioni, come diagnosi mediche, ricerca farmaceutica, monitoraggio dei pazienti, medical devices, trial clinici, terapie personalizzate e altro ancora. Per questo motivo, occorre precauzione verso un approccio “one size fits all”: si potrebbe, infatti, rischiare di inavvertitamente inibire l’innovazione che porta a trattamenti più rapidi e migliori per i pazienti. Dunque, proprio nella consapevolezza che il primo obiettivo deve essere quello della sicurezza dei pazienti, è innanzitutto necessario valutare se delle norme settoriali basate su un approccio di rischio possano meglio riconoscere le peculiarità del settore, consentendo di stabilire requisiti specifici per garantire che le applicazioni dell’IA nel settore sanitario siano sicure ed efficaci, ma favorendo al contempo l’innovazione e permettendo di proteggere la proprietà intellettuale.
In ogni caso, regole chiare e trasparenti sono fondamentali e necessarie anche per accrescere la fiducia del pubblico nei confronti delle nuove tecnologie; dal momento che l’IA nell’healthcare coinvolge questioni di salute e vita, è assolutamente essenziale che il pubblico abbia piena fiducia nelle tecnologie utilizzate.
L’importanza dell’armonizzazione dei quadri regolatori
Mentre l’IA promette di trasformare il settore sanitario in tutto il mondo, l’armonizzazione dei quadri regolatori diventa cruciale, soprattutto in una fase così iniziale. In questo senso, un approccio comune tra l’UE e gli Stati Uniti potrebbe garantire coerenza, ridurre la complessità e facilitare la cooperazione internazionale. Ciò risulta particolarmente importante nel settore sanitario, dove le applicazioni dell’IA possono attraversare le frontiere e avere un impatto globale. In particolare, sarà importante prestare attenzione per verificare se si arriverà a una convergenza di definizioni e terminologie tra:
- Autorità e Istituzioni all’interno del medesimo contesto regolatorio, e quindi a un’armonizzazione del linguaggio utilizzato da EMA e legislazione europea (per esempio l’Artificial Intelligence Act), così come fra FDA e legislazione federale in US;
- Autorità e Istituzioni a livello transnazionale, con un avvicinamento fra l’approccio tra l’EMA e l’FDA e quello tra legislazione europea e statunitense, oltre alle diverse Autorità Garanti per la Protezione dei Dati Personali che hanno, invece, finora adottato atteggiamenti divergenti (per fare un esempio, proprio l’Italia è fra i paesi più restrittivi rispetto all’uso dei dati sanitari).
Le opinioni espresse nel presente articolo appartengono ai soli autori e non riflettono necessariamente la posizione ufficiale degli enti di appartenenza.
