E’ stata diffusa, da parte di due relatori del Parlamento Europeo, un nuovo testo di compromesso per la proposta di Regolamento sull’Intelligenza Artificiale o AI Act. Lo scopo perseguito dal regolamento è quello di regolamentare lo sviluppo e l’utilizzo dell’intelligenza artificiale, allo scopo di incrementare la fiducia dei cittadini europei verso simili strumenti e garantire che l’utilizzo degli stessi non costituisca una violazione dei diritti fondamentali sanciti dalla normativa europea vigente.
Oggetto del nuovo testo di compromesso, stando a quanto riferito da Euractiv, sono:
- i sistemi di IA c.d. “ad alto rischio” e
- l’ individuazione degli obblighi e delle responsabilità che dovrebbero essere poste in capo ai fornitori dei sistemi di intelligenza artificiale.
Le modifiche proposte dai correlatori Brand Benifei e Dragoș Tudorache saranno ora discusse e poste al vaglio del Parlamento Europeo, fermo restando che sono ancora molti i punti caldi della proposta che necessiteranno di ulteriori approfondimenti tecnici, una volta consolidate e chiarite le parti meno “controverse” della proposta medesima. Trattasi, secondo quanto riportato da Euractiv sulla scorta delle notizie rese note da un funzionario del Parlamento Europeo, di una strategia ben precisa perseguita dai legislatori, che ha portato sinora al mantenimento degli emendamenti di compromesso sinora proposti con lievi modifiche, accelerando i tempi di elaborazione del testo definitivo.
Regolamento intelligenza artificiale, gli obblighi dei fornitori per i sistemi ad alto rischio
Come anticipato in premessa, la nuova proposta emendativa introduce, per i fornitori di sistemi di intelligenza artificiale ad alto rischio, nuovi obblighi: in primo luogo, gli stessi dovranno implementare un sistema di gestione della qualità che potrà essere integrato nei sistemi esistenti in conformità alle norme europee di settore, ivi incluso il Regolamento Europeo sui dispositivi medici.
I fornitori di IA, inoltre, dovranno conservare i log generati automaticamente dai sistemi per almeno sei mesi, salvo che non sia previsto diversamente dalla normativa europea o dalla normativa nazionale applicabile, o si renda appropriato conservare i log per un periodo maggiormente esteso sulla scorta di quanto stabilito dagli standard di settore o dello scopo attribuito al sistema di IA.
Tuttavia, sono state rimosse le norme che prevedevano l’obbligo di redigere la documentazione tecnica e sulla valutazione della conformità, a causa della loro ridondanza con altri articoli dello stesso testo normativo.
Resta fermo che, ove il fornitore di IA ritenga che uno dei suoi sistemi ad alto rischio non sia conforme al regolamento, dovrà, senza indugio, ritirare lo stesso dal mercato e disabilitarlo in via definitiva.
In capo ai fornitori di sistemi di IA viene posto, altresì, l’onere di informare immediatamente i distributori e gli eventuali ulteriori attori della catena del valore, di qualsiasi non conformità rilevata sul sistema, e delle azioni correttive intraprese per rimediare a detta non conformità; parimenti, dovranno essere informate di ciò anche le autorità nazionali di vigilanza del mercato, e l’organismo che si è occupato di verificare il sistema.
Anche gli utenti dei sistemi di IA ad alto rischio dovranno essere disponibili a collaborare con le Autorità nazionali, il Consiglio Europeo per l’IA e la Commissione Europea, al fine di dimostrare la conformità del sistema, al pari di quanto previsto per i fornitori.
Su richiesta motivata dell’esecutivo dell’UE o di un’autorità di vigilanza del mercato, i fornitori o gli utenti dovranno poi fornire l’accesso ai registri generati automaticamente dal sistema, con obbligo di riservarezza per tutti gli enti pubblici cui viene consentito l’accesso.
La catena delle responsabilità
La proposta emendativa, più in generale, si focalizza, sulla corretta ripartizione delle responsabilità lungo l’interezza della complessa catena di approvvigionamento dei sistemi di IA. Proprio a tal riguardo, non mancano all’interno dell’emendamento anche una serie di incentivi a includere disposizioni specifiche legate al concetto di IA generica, ossia sistemi che possono essere costruiti per svolgere una serie di compiti diversi.
Relativamente a detti sistemi, infatti, appare particolarmente complesso individuare le ipotesi nelle quali il fornitore possa essere ritenuto responsabile dei risultati ottenuti dall’IA, non potendo lo stesso avere contezza, al momento in cui l’IA è sviluppata ed immessa sul mercato, di quale scopo gli utenti potranno dare ai sistemi finali. Per tale ragione, l’argomento non appare ancora pienamente risolto.
Ciò premesso, il testo di compromesso mira altresì a chiarire le responsabilità, oltre a quelle dei fornitori dei sistemi, anche degli importatori e dei distributori dei sistemi di IA ad alto rischio, focalizzandosi su come queste collaboreranno con le autorità nazionali e su come mitigare i rischi imprevisti.
Inoltre, quale prerequisito per poter commercializzare le IA nel mercato dell’UE, i fornitori dovranno nominare un rappresentante autorizzato, il quale sarà incaricato di garantire che la procedura di valutazione delle conformità del sistema sia stata eseguita, nonché di tenere a disposizione dell’autorità nazionale competente tutta la documentazione pertinente, così come la dichiarazione di conformità.
Le modifiche alle procedure amministrative
All’interno del compromesso, secondo quanto riportato da Euractiv, i deputati hanno focalizzato l’attenzione anche sul ruolo degli organismi notificati, nonché delle società private incaricate di controllare la conformità dei sistemi ad alto rischio e delle autorità di notifica, oltre che delle autorità nazionali che esercitano l’attività di controllo sugli organismi.
Il testo di compromesso, in particolare, mira a garantire che vi siano procedure amministrative coerenti: a titolo esemplificativo, si prevede che la procedura per la valutazione e il monitoraggio degli organismi di valutazione della conformità debba essere concordata da tutte le autorità nazionali competenti.
All’interno del nuovo testo di compromesso è stato rimosso, poi, il paragrafo sulle “revolving-doors”, che mirava ad evitare che potessero esserci dei conflitti di interesse tra gli organismi di verifica della conformità e il fornitore di IA, in modo particolarmente stringente: la disposizione, infatti, impedirebbe al dipendente di un organismo notificato di lavorare con un fornitore di sistemi di intelligenza artificiale per un anno successivo alla verifica, da parte dell’organismo, di uno dei sistemi resi dal fornitore medesimo.
Inoltre, è stata chiarita maggiormente la procedura tramite la quale poter ottenere l’accreditamento degli organismi di valutazione della conformità nei paesi terzi: questi ultimi, in particolare, potranno essere accreditati mediante il rispetto di uno schema di valutazione della conformità (conformity assessment scheme), o un accordo di riconoscimento reciproco (mutual recognition agreement).
I prossimi passi
Una volta discusse le modifiche proposte nel nuovo testo di compromesso, gli eurodeputati procederanno con la discussione di una serie di ulteriori norme che andranno a disciplinare la presunzione di conformità ed il processo di valutazione della conformità medesima, oltre alla circostanza per la quale i tempi di conservazione dei documenti tecnici debbano o meno essere basati su una tempistica specifica o sull’intero ciclo di vita del prodotto.
