Tra l’8 e il 9 dicembre 2023, il Consiglio europeo e il Parlamento europeo hanno raggiunto un accordo pionieristico sulla disciplina atta a regolare l’uso dell'intelligenza artificiale.
Si tratta di una bozza di testo normativo, la prima al mondo nel suo genere, che si incarica di disciplinare, con pretesa di organicità, la materia dell’intelligenza artificiale.
Noto come “Artificial Intelligence Act” (cd. AI Act), è un regolamento ispirato all’esigenza di bilanciare innovazione e sostenibilità, fissando standard globali volti a responsabilizzare tutti i soggetti che interagiscono con il mondo dell’intelligenza artificiale: tanto gli operatori che sviluppano e immettono sul mercato sistemi e prodotti di AI all’interno dell'Unione - indipendentemente dal fatto che siano stabiliti nell'Unione o in un paese terzo - quanto quelli che utilizzano sistemi di AI nel territorio comunitario.
L’AI Act distingue, con riferimento ai sistemi di AI, quattro macro-aree di rischio con conseguente peculiare regolamentazione: minimo, limitato, alto e inaccettabile. Maggiore è il rischio, maggiori sono le responsabilità che gravano sul soggetto che si avvale di tecnologie AI.
In particolare, con riferimento alla categoria di rischio “inaccettabile”, la nuova regolamentazione intende vietare le pratiche di intelligenza artificiale considerate eccessivamente invasive della sfera personale, sociale e culturale dell’individuo. Rientrano in questa classe tutti quei sistemi di AI che utilizzano tecniche subliminali manipolative della coscienza umana, i sistemi di intelligenza artificiale che sfruttano e si avvantaggiano della vulnerabilità delle persone, i sistemi di social scoring e di emotional scoring, nonché i sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico.
Rilevano per il loro livello di rischio “alto”, invece, quei sistemi che incidono negativamente sulla salute e sulla sicurezza o sui diritti fondamentali delle persone. In relazione ai prodotti di AI qualificati ad alto rischio secondo i criteri prestabiliti, l’AI Act individua una serie di requisiti cui tali sistemi debbono obbligatoriamente conformarsi e prevede la sottoposizione dei componenti di AI, sia prima della loro immissione sul mercato sia durante il loro ciclo di vita, a specifiche procedure di valutazione della conformità degli stessi alle disposizioni del regolamento. Rientrano nei sistemi di AI ad alto rischio, a titolo esemplificativo, i sistemi di identificazione e categorizzazione biometrica, i sistemi utilizzati nel settore dell’istruzione, della formazione professionale e nel settore dell’occupazione e della gestione dei lavoratori, nonché quelli relativi all’accesso e alla fruizione di servizi essenziali pubblici e privati (ad esempio, le tecnologie utilizzate per valutare l’affidabilità creditizia delle persone fisiche).
Nella categoria dei sistemi di AI a rischio limitato si annoverano tutti quei sistemi in cui è necessario e sufficiente il rispetto di un livello minimo di trasparenza, come ad esempio i chatbot e il deepfake (contenuti multimediali che, prima facie, appaiono autentici o veritieri). In relazione ad essi, l’AI Act introduce l’obbligo di informare le persone fisiche ogniqualvolta queste si trovino ad interagire con sistemi di AI, nonché l’obbligo di segnalare la divulgazione di contenuti generati dall'intelligenza artificiale per distinguere quelli che sono i risultati di una manipolazione dalle immagini autentiche.
Infine, quanto alla categoria a “rischio minimo”, essa raggruppa tutti i sistemi di AI che non pongono particolari rischi con riferimento alla sfera della persona. Per questi sistemi, l’AI Act suggerisce l'elaborazione su base volontaria di codici di condotta (che sono invece obbligatori per i sistemi ad alto rischio) volti a regolamentare l’attività di raccolta di dati e informazioni, di conservazione della documentazione, di vigilanza sul rispetto delle prescrizioni contenute nel regolamento.
Quali oneri per le imprese?
I principali soggetti interessati dall’AI Act sono tutte le imprese che sviluppano, commercializzano e utilizzano sistemi di AI, cui sono richiesti adempimenti specifici per assicurare che i propri sistemi siano conformi alla nuova normativa.
In particolare, l’AI Act impone agli operatori del settore di: i) individuare il livello di rischio in relazione ai sistemi di AI utilizzati; ii) predisporre adeguate strutture per la prevenzione e la sensibilizzazione degli utenti sui rischi legati all’uso dell’AI; iii) individuare le condotte che costituiscono una violazione delle disposizioni normative e prevedere le sanzioni applicabili; iv) conservare e aggiornare periodicamente la documentazione tecnica contenente tutte le informazioni idonee a provare la conformità dei propri sistemi di AI ai requisiti previsti dal regolamento (caratteristiche, capacità e limiti del sistema, algoritmi, dati, processi di prova e di convalida utilizzati); v) istituire strutture interne deputate alla vigilanza sul rispetto della normativa; vi) registrare i propri sistemi di AI in una banca dati europea che sarà appositamente predisposta; vii) collaborare, su richiesta, con le autorità di sorveglianza del mercato nazionali.
Le sanzioni applicabili in caso di inosservanza delle disposizioni normative possono essere molto elevate: sino al 7% del fatturato globale per le violazioni più gravi, mentre per quelle minori si parla dell’1,5% del fatturato.
Il ruolo chiave degli Stati membri
Nell’architettura normativa dell’AI Act, gli Stati membri sono chiamati a vigilare sulla corretta applicazione e attuazione delle disposizioni del regolamento, designando a tal fine una o più autorità nazionali.
Il regolamento prevede, altresì, l’istituzione di un Comitato europeo per l’intelligenza artificiale, che sarà composto dalle autorità nazionali di controllo del mercato designate da ciascuno Stato membro.
In questa prospettiva, gli Stati membri sono tenuti a riferire annualmente alla Commissione in merito allo stato delle risorse finanziarie e umane delle autorità nazionali designate. La Commissione trasmette tali informazioni al Comitato, che potrà fornire eventuali raccomandazioni.
Inoltre, il regolamento invita le autorità nazionali competenti alla collaborazione e allo scambio di esperienze, al fine di armonizzare l’attuazione delle disposizioni normative contenute nell’AI Act.
Luci e ombre
Un impatto positivo attribuibile all’intervento normativo in commento si ravvisa nella possibilità di adottare strategie di individuazione e minimizzazione dei rischi che, in prospettiva, si ritiene incentiverà le imprese ad investire nello sviluppo tecnologico, con un favorevole riflesso sulla produttività, e ad adottare un processo decisionale più efficiente in grado di analizzare grandi quantità di dati in tempi estremamente contenuti.
D’altro canto, la previsione di obblighi stringenti e di sanzioni elevate desta molte perplessità. Infatti, le nuove disposizioni rischiano di mettere in difficoltà soprattutto le imprese di modeste dimensioni, costringendole a istituire ulteriori dipartimenti di compliance e ad affrontare significativi costi.
Inoltre, l’introduzione del divieto di identificazione biometrica remota "in tempo reale", ad oggi utilizzata in larga scala quale sistema di sicurezza, avrà un significativo impatto sull’attività delle imprese, che si vedranno costrette ad adottare sistemi di sicurezza diversi, potenzialmente meno affidabili e più onerosi.
Questo scenario potrebbe generare importanti ripercussioni sulle decisioni aziendali, fino addirittura ad indurre alcune imprese a trasferire la propria attività al di fuori del territorio dell’Unione Europea, non riuscendo a sostenere i costi delle iniziative da assumere per rendere la propria realtà conforme ai dettami posti dalla normativa europea per l’utilizzo delle tecnologie.
Determinante sarà dunque la votazione del Consiglio europeo sull’ultima bozza, che avverrà presumibilmente nella prima decade di febbraio. Nel frattempo, per accelerare il recepimento delle disposizioni contenute nell’AI Act, la Commissione europea promuoverà l'AI Pact, ossia un patto ad adesione volontaria, preliminare all’entrata in vigore del regolamento, volto a permettere alle imprese aderenti di predisporre adeguate misure per il recepimento delle nuove disposizioni normative
ARTIFI~1.PDFTAGS
act Legal Us