Manca sempre meno al giorno zero dell’AI Act. In queste settimane le istituzioni europee stanno procedendo con gli ultimi adempimenti formali prima della definitiva approvazione con successiva pubblicazione in Gazzetta Ufficiale. Da quel momento scatteranno le diverse timeline di applicazione del nuovo regolamento, con aziende ed enti pubblici che dovranno attivarsi tempestivamente in vista di una nuova stagione di compliance lunga e complessa.
Le prime norme ad acquisire effettività saranno quelle sulle pratiche di IA vietate. E proprio a tale complesso di disposizioni è dedicato questo mio terzo approfondimento sull’AI Act (dopo il primo di inquadramento della nuova normativa e il secondo sul rapporto tra regole e innovazione), che scrivo da Washington, DC, dove mi trovo per prendere parte, come di consueto, all’annuale Global Privacy Summit 2024 dell’IAPP, International Association of Privacy Professional, l’associazione mondiale dei professionisti del mondo dei dati, di cui sono Country Leader per l’Italia*.
Alla base del risk-based approach
Avvalendosi dell’interpretazione autentica fornita dal legislatore europeo, la consistenza e il senso ultimo della strategia che ha portato all’approvazione dell’AI Act sono sintetizzate nel considerando 26 dell’AI Act: «Al fine di introdurre un insieme proporzionato ed efficace di regole vincolanti per i sistemi di IA è opportuno avvalersi di un approccio basato sul rischio definito in modo chiaro. Tale approccio dovrebbe adattare la tipologia e il contenuto di dette regole all’intensità e alla portata dei rischi che possono essere generati dai sistemi di IA. È pertanto necessario vietare determinate pratiche di IA inaccettabili, stabilire requisiti per i sistemi di IA ad alto rischio e obblighi per gli operatori pertinenti, nonché obblighi di trasparenza per determinati sistemi di IA».
In altre parole, si tratta di parametrare gli obblighi normativi in modo che, al crescere del coefficiente di rischio («la combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso», riprendendo la definizione di rischio contenuta all’articolo 3 del regolamento), crescano le prescrizioni normative, nelle forme di raccomandazioni, requisiti, obblighi e finanche divieti. Non si tratta di un concetto inedito: anche la normativa in materia di protezione dei dati personali, e in particolare il GDPR, ha già sperimentato e variamente declinato tale approccio.
Certamente poi non si tratta dell’unica metodologia possibile per regolamentare lo sviluppo e l’utilizzo dei sistemi di intelligenza artificiale, ma è quella che è stata scelta dall’Unione europea e che già molti altri Paesi stanno emulando, manifestandosi così – e ancora una volta – il noto Brussels effect. Ed è qui che possiamo individuare una chiave di lettura ulteriore del risk-based approach.
Gli effetti dell’approccio basato sul rischio
Le scelte compiute dal legislatore europeo nel definire questo equilibrio dinamico e gerarchico tra livelli di rischio e connessi obblighi e requisiti rappresentano la concretizzazione, in un testo di legge, del sistema di principi etici, diritti fondamentali e valori costituzionali che contraddistinguono la comunità europea, il tutto declinato nell’ottica di non fermare lo sviluppo di questa tecnologia e di attrarre e non allontanare gli investimenti. Ciò è particolarmente evidente guardando alla lista dei sistemi di IA vietati, sui quali tornerò nel prossimo paragrafo.
Dunque, da un lato si può dire che il legislatore europeo, ponendo quale fondamenta della propria costruzione normativa questo approccio, ha eretto l’AI Act sul sistema valoriale di tradizione costituzionale proprio dell’Unione. Dall’altro lato, ciò si traduce nella possibilità che tale approccio, e quindi il complesso di valori che ne costituisce la ragione d’essere, diventi il modello internazionale a cui tendere nella regolamentazione, giuridica, etica, di mercato dell’intelligenza artificiale.
In altre parole, con l’AI Act (e similmente a quanto già avvenuto con il GDPR) il Brussels effect non riguarderà soltanto la scelta di regolare un fenomeno e la tecnica legislativa adoperata, ma anche e soprattutto una visione su quale ruolo devono avere i diritti e i valori fondamentali della persona nei rapporti con la tecnologia, operando sempre un bilanciamento con lo scopo di promuovere il mercato digitale.
Le pratiche di IA vietate
Tale dimensione valoriale, che permea l’approccio basato sul rischio dell’AI Act, emerge in modo evidente nell’elenco di sistemi di IA proibiti. Si tratta di pratiche che il legislatore europeo mette al bando in quanto «contrarie ai valori dell’Unione relativi al rispetto della dignità umana, alla libertà, all’uguaglianza, alla democrazia e allo Stato di diritto e ai diritti fondamentali sanciti dalla Carta, compresi il diritto alla non discriminazione, alla protezione dei dati e alla vita privata e i diritti dei minori» (considerando 28).
Tali pratiche proibite sono puntualmente elencate all’articolo 5 dell’AI Act e includono, ad esempio, le tecniche di manipolazione cognitivo-comportamentale basate sull’IA, i sistemi di riconoscimento delle emozioni in determinati contesti, il social scoring, gli algoritmi di polizia predittiva, lo scraping di immagini facciali da internet per la creazione di banche dati. Ogni eccezione è perimetrata dalla norma appena citata, con l’aiuto dei connessi considerando, nell’ottica di cercare di definire con precisione l’ambito di ciascun divieto.
L’elenco di cui all’articolo 5 è il frutto dei lavori e del compromesso trovato dalle istituzioni europee coinvolte nel procedimento di approvazione del regolamento. Non sempre la parola compromesso piace e infatti molti hanno criticato tale attitudine al compromesso delle istituzioni europee accusate, da alcuni, di essere state troppo sensibili alle esigenze del business, mentre per altri è proprio la comprensione delle esigenze dell’economia dei dati a non essere compresa e vantaggio di una presunta tutela dei diritti attraverso la regolamentazione di un settore ancora troppo in erba. Tuttavia non dobbiamo dimenticare che se le istituzioni comunitarie non si fossero mosse velocemente come hanno fatto, anche al costo di dover sostenere più di qualche rinuncia e compromesso, oggi non avremmo alcuna legge, mentre le tecnologie a base AI corrono più veloci di quel che possiamo immaginare, erodendo tempo e guadagnando spazio.
Conclusioni
Le norme sui sistemi di IA vietati saranno le prime a trovare piena applicazione, decorsi sei mesi dall’entrata in vigore dell’AI Act, che verosimilmente avverrà nelle prossime settimane. Si tratta pertanto del vero banco di prova del nuovo regolamento e dell’approccio basato sul rischio che ne costituisce una delle colonne portanti.
Con la vigenza di queste regole e di taluni divieti in Europa, la visione di un’IA antropocentrica e al servizio dell’uomo, che opera nel rispetto e a sostegno dei diritti e delle libertà fondamentali delle persone, troverà una prima e decisa affermazione in punto di diritto. Sarà tutela effettiva? L’Italia sembra aver preso molto sul serio il tema e ne è testimonianza la continua attenzione che il Governo vi rivolge, sia attraverso i continui riferimenti che il Capo del Governo, Giorgia Meloni, non manca di fare in ogni occasione programmatica, sia mediante le politiche e le attività avviate dal Sottosegretario all’Innovazione Alessio Butti, anche in vista della prossima individuazione dell’organo di controllo di tale settore. Ma la variabile vera è: che faranno gli altri Paesi nel frattempo, in particolare Stati Uniti, Cina e Russia?
*Anche quest’anno il Global Privacy Summit ha chiamato a raccolta oltre 5000 delegati da tutto il mondo – pochi, pochissimi purtroppo gli italiani, tra cui chi vi scrive e, degni di menzione, il componente dell’Autorità Garante per la protezione dei dati personali, Avv. Guido Scorza e il Presidente di Assodpo Matteo Colombo – a discutere e condividere temi e visioni, regole e prassi sulla circolazione, uso e protezione dei dati, sulla loro valorizzazione e sull’uso che le tecnologie dell’AI ne fanno.
Centrale, manco a dirlo, il ruolo dell’AI Act e le sue prime prove di implementazione, in attesa dell’interpretazione e dell’enforcement.
