La tanto attesa proposta di Regolamento sull’Intelligenza Artificiale è stata finalmente pubblicata dalla Commissione europea. Dal testo pubblicato traspare una proposta di Regolamento ambiziosa, ma focalizzata principalmente su determinati usi dell’Intelligenza Artificiale considerati ad alto rischio. Vediamo quali sono i punti principali della proposta; notiamo che ci sono varie differenze rispetto alla bozza emersa la scorsa settimana.
Tuttavia ne conserva la struttura e conferma nella sostanza l’impianto regolamentare che quest’ultima lasciava intravedere.
Trova quindi conferma l’intento della Commissione di presentare una proposta di Regolamento di grande portata innovativa, anche se con alcuni aggiustamenti di tiro rispetto alla prima bozza trapelata, soprattutto per quanto riguarda gli usi dell’IA che verrebbero vietati in maniera sostanzialmente assoluta.
Obbiettivi del Regolamento e ambito di applicazione
L’obbiettivo principale della proposta – che rientra nella strategia complessiva dell’UE in materia – è duplice:
- fare in modo che l’uso dell’IA avvenga nel rispetto dei diritti fondamentali e dei valori europei;
- al contempo assicurarsi che la regolamentazione europea dell’IA sia equilibrata, proporzionata e non limiti inutilmente lo sviluppo tecnologico; anzi lo promuova sviluppando la fiducia in questa tecnologia.
In sostanza, l’obbiettivo è quello di garantire all’Ue di acquisire e preservare una leadership tecnologica, assicurandosi però che i cittadini europei possano beneficiare delle nuove tecnologie di IA senza rinunciare a quei valori e principi che caratterizzano il nostro sistema giuridico comune.
L’esteso ambito di applicazione del Regolamento riflette questi obbiettivi. Il Regolamento si applica all’immissione sul mercato, alla messa in servizio e all’uso di “sistemi di IA”.
Questi ultimi sono definiti in maniera piuttosto ampia dal Regolamento come software, sviluppati con tecniche specificamente elencate dal Regolamento stesso, che siano in grado di generare contenuti, previsioni, decisioni o raccomandazioni in grado di influenzare l’ambiente con cui interagiscono.
Il Regolamento divide gli usi in base al rischio, basso, medio o elevato.
Tuttavia, la gran parte dei requisiti del Regolamento riguardano solo determinati sistemi di IA considerati “ad alto rischio”. La maggior parte degli attuali usi (come i sistemi di raccomandazione) sono considerati a basso rischio.
Dove si applica e dove no
Il Regolamento non si applica invece ai sistemi di IA utilizzati esclusivamente per scopi militari. Le tecnologie a duplice uso, civile e militare, sembrerebbero invece rientrare nell’ambito di applicazione del Regolamento.
Per quanto riguarda l’ambito di applicazione territoriale, il Regolamento si applica sia agli operatori europei che a quei fornitori o utenti di sistemi di IA stabiliti al di fuori dell’Ue qualora l’“output” dei sistemi sviluppati o utilizzati dagli stessi venga utilizzato all’intero dell’Ue.
Il Regolamento non si applica però né alle autorità pubbliche in paesi terzi né alle organizzazioni internazionali, ma solo qualora tali autorità od organizzazioni utilizzino sistemi di IA nell’ambito di programmi di cooperazione giudiziaria o investigativa con l’Ue o con uno Stato Membro.
L’ambito di applicazione territoriale del Regolamento è quindi piuttosto ampio, in linea con l’approccio seguito da altre normative di derivazione europea, quali il GDPR.
Si muovono anche gli USA su AI: raccomandazioni FTC
Il processo che ha portato alla pubblicazione del Regolamento è stato seguito con grande attenzione non solo in Europa, ma anche e soprattutto negli Stati Uniti. Ciò principalmente a causa del timore di un possibile impatto del Regolamento sulle aziende americane, ma anche per la curiosità di scoprire quale linea avrebbe tracciato l’Europa sulla regolamentazione dell’IA, mista probabilmente alla preoccupazione di cedere il passo agli europei sul punto.
Tant’è vero che la Federal Trade Commission (FTC) ha deciso di pubblicare appena due giorni prima della presentazione del Regolamento europeo una serie di raccomandazioni indirizzate alle aziende che sviluppano tecnologie di IA, con l’obbiettivo principale di scongiurare che tali tecnologie producano effetti discriminatori o che facciano false promesse; con obbligo a testarne gli effetti e a darne trasparenza pubblica.
Sembra quindi che l’iniziativa portata avanti dalla Commissione europea abbia già fatto da catalizzatore per attività di regolamentazione in materia di IA anche oltreoceano. Ciò non stupisce: da un punto di vista geopolitico, la partita dell’intelligenza artificiale si giocherà infatti non solo sul piano tecnologico ma anche su quello normativo.
Usi vietati dell’IA
Il Regolamento vieta in termini sostanzialmente assoluti una serie di possibili usi di alcuni sistemi di IA. Tali divieti sono stati modificati, sia nel numero che nella portata di ciascun singolo divieto, rispetto alla bozza trapelata. I divieti riguardano:
- La vendita e l’uso di sistemi di IA che utilizzano tecniche subliminali per distorcere in maniera sostanziale il comportamento di una persona, così causando, o potendo causare, danni fisici o psichici a quella persona o ad altri.
La portata di questo divieto sembrerebbe più ristretta rispetto a quanto indicato nella bozza trapelata, la quale non faceva riferimento né all’ uso di “tecniche subliminali” né alla presenza di un “danno fisico o psichico” (faceva invece riferimento al concetto di svantaggio (“detriment”).
- La vendita e l’uso di sistemi di IA che sfruttano una vulnerabilità legata all’età o ad una disabilità di uno specifico gruppo di persone al fine di distorcere in maniera sostanziale il comportamento di una persona appartenente al gruppo, così causando o potendo causare danni fisici o psicologici a quella persona o a terzi.
Anche questo divieto risulta di minore portata rispetto a come era formulato nella prima bozza, per ragioni analoghe a quelle esposte sopra riguardo al primo divieto. Inoltre, la bozza trapelata non delimitava le vulnerabilità ritenute rilevanti.
- L’uso di sistemi di social scoring (tipo quelli utilizzati in Cina) da parte delle autorità pubbliche o da parte di chi agisce per conto delle stesse.
Anche questo divieto era di portata più ampia nella bozza trapelata, visto che la stessa non limitava l’applicabilità del divieto alle autorità pubbliche.
- L’uso in tempo reale di sistemi di identificazione biometrica da remoto (come i sistemi di riconoscimento facciale) in luoghi accessibili al pubblico per finalità di repressione dei reati. Il Regolamento però prevede svariate eccezioni a questo divieto e lascia in parte liberi gli Stati Membri di consentire e regolamentare l’uso di questo tipo di sistemi di IA.
Quest’ultimo divieto non compariva tra quelli indicati nella bozza trapelata, che invece sottoponeva questi sistemi di IA ad un regime autorizzativo.
Va inoltre sottolineato che, rispetto alla bozza trapelata, sparisce il divieto di utilizzo di sistemi di IA a fini di sorveglianza di massa indiscriminata e generalizzata, anche se è bene ricordare che l’utilizzo di tali sistemi è già fortemente limitato da altre norme, come quelle del GDPR.
Regolamentazione dei sistemi di IA ad alto rischio
Il Regolamento qualifica come “sistemi di IA ad alto rischio” una serie di tecnologie che creano rischi elevati per la salute, la sicurezza o i diritti fondamentali delle persone. Il Regolamento prevede due principali categorie di “sistemi di IA ad alto rischio”:
- I sistemi di IA destinati ad essere utilizzati come componenti di sicurezza di prodotti soggetti a valutazione di conformità secondo quanto previsto da altre norme europee (specificamente elencate in un allegato del Regolamento). Si tratta, ad esempio, di sistemi di IA destinati ad essere utilizzati come componenti di sicurezza di dispositivi medici, apparecchiature radio, ascensori, giocattoli, ecc.
- Una serie di sistemi di IA specificamente elencati in un allegato del Regolamento, tra cui i sistemi di IA da utilizzare per la selezione del personale, i sistemi di IA per valutare la solvibilità delle persone, i sistemi di polizia predittiva, ecc. Tale lista potrà essere integrata dalla Commissione nel corso del tempo seguendo una serie di criteri fissati dal Regolamento stesso.
Regole per sistemi ad alto rischio
I sistemi di IA che il Regolamento qualifica come “sistemi di IA ad alto rischio” sono soggetti a regole specifiche, molte delle quali riflettono best practice o raccomandazioni di settore già esistenti.
Tra queste si segnalano in particolare:
- l’obbligo di creare e mantenere attivo un sistema di risk management;
- l’obbligo di assicurarsi che i sistemi di IA vengano sviluppati seguendo specifici criteri qualitativi per quanto riguarda i dati ed i modelli utilizzati; il requisito di documentare in maniera adeguata come è avvenuto lo sviluppo di un determinato sistema di IA ed il funzionamento dello stesso (anche al fine di dimostrarne la conformità al Regolamento);
- specifici obblighi di trasparenza verso gli utenti sul funzionamento dei sistemi di IA;
- l’obbligo di assicurarsi che i sistemi di IA possano essere sottoposti a supervisione da parti di persone fisiche (“human oversight”);
- e l’obbligo di garantire l’attendibilità, accuratezza e sicurezza di tali sistemi.
La verifica del rispetto dei requisiti di cui sopra avverrà attraverso “procedure di valutazione della conformità”, secondo modalità identiche o analoghe a quelle già previste per altri prodotti regolamentati a livello europeo, come i dispositivi medici, le apparecchiature elettroniche, ecc. Infatti, per alcune categorie di sistemi di IA, sarà il produttore stesso a valutare in maniera autonoma la conformità dei propri sistemi di IA ai requisiti del Regolamento, mentre per altri sistemi sarà necessario coinvolgere un organismo esterno di valutazione della conformità. Questo sistema di conformity assessment sarà facilitato dall’adozione di appositi standard di riferimento (per categorie di sistemi di IA) da parte degli enti di normazione quali ISO e CEN.
Una volta effettuata con successo la “procedura di valutazione della conformità”, i sistemi di IA dovranno essere marcati CE. Alcuni sistemi dovranno inoltre essere registrati in un apposito database accessibile al pubblico. Solo a questo punto, potranno essere immessi sul mercato. La marcatura CE e la registrazione nel suddetto database saranno quindi i principali strumenti che consentiranno di valutare facilmente, almeno in prima battuta, quali sono quei prodotti e tecnologie che rispondono alla normativa europea.
Obblighi di trasparenza applicabili anche ad alcuni specifici sistemi di IA
Specifici obblighi di trasparenza si applicano anche ad alcuni sistemi di IA non considerati di per sé ad “alto rischio”.
Il Regolamento prevede infatti specifici obblighi informativi applicabili a sistemi di IA destinati ad interagire con persone fisiche, di riconoscimento delle emozioni (come, ad esempio, alcuni apparati promozionali del tipo “digital signage”), e usati per la manipolazione di video e immagini di persone fisiche (ad esempio, i cosiddetti “deep fake”). In sostanza, il fatto che si utilizza questo tipo di tecnologie deve essere reso palese a chi interagisce con le stesse.
Regulatory sandboxes in materia di IA
Il Regolamento introduce espressamente la possibilità di creare “regulatory sandboxes” per sviluppare servizi di IA sotto la guida delle autorità competenti, in modo da implementare con maggior facilità soluzioni che siano “legal by design”. Tali “sandboxes” già esistono in diversi Stati europei, come ad esempio in Norvegia, ma con l’adozione del Regolamento troverebbero un riconoscimento formale a livello europeo, creando così le condizioni per creare “sandboxes” anche per progetti paneuropei.
Il Regolamento fissa inoltre regole specifiche per il riutilizzo di dati personali (raccolti per altre finalità) all’interno di una “sandbox”. Si tratta di un punto importante per il coordinamento tra le norme del Regolamento e quelle del GDPR.
Il Regolamento prevede poi un accesso preferenziale alle “sandboxes” per le startup, le quali beneficeranno anche di tariffe ridotte per quanto riguarda l’espletamento delle procedure di conformity assessment da parte di organismi esterni di valutazione della conformità. Queste misure a favore delle startup mirano a stimolare la creazione di tecnologie innovative in Europa, in modo da rendere il continente più competitivo anche sul piano tecnologico.
Comitato europeo per l’intelligenza artificiale
Per quanto riguarda gli aspetti istituzionali, il Regolamento prevede la creazione di un Comitato europeo per l’intelligenza artificiale. Si tratta di un organismo, in parte simile al Comitato europeo per la protezione dei dati (EDPB), con lo specifico incarico di sorvegliare la corretta applicazione del Regolamento nei vari Stati Membri e di elaborare linee guida in materia.
Monitoraggio successivo all’immissione in commercio e obblighi di notifica degli incidenti
I fornitori di sistemi di IA sono tenuti ad implementare sistemi volti a monitorare l’uso dei sistemi di IA che immettono sul mercato per verificare se gli stessi rimangono conformi al Regolamento nel corso del proprio ciclo di vita. Sono inoltre tenuti a segnalare alle autorità competenti eventuali malfunzionamenti ed incidenti che dovessero ricontrare attraverso tale attività di monitoraggio.
Sanzioni
Il Regolamento prevede che le autorità competenti, individuate da ciascuno Stato Membro, potranno comminare sanzioni amministrative fino a 30.000.000 Euro o 6% del fatturato annuo mondiale in caso di violazioni del Regolamento. Le sanzioni applicabili sarebbero quindi maggiori di quelle previste dal GDPR, ma risulterebbero in linea con quelle previste dal Digital Services Act, secondo il testo proposto dalla Commissione.
Intelligenza artificiale, obiettivo regole privacy per renderla “umana”
Conclusione
Il testo del Regolamento rivela una proposta di portata ambiziosa che intende fungere da punto di riferimento per la regolamentazione dell’Intelligenza Artificiale a livello globale.
La portata innovativa del Regolamento sta soprattutto nel fatto che si tratta del primo tentativo a livello mondiale di regolamentare in maniera piuttosto sistematica l’uso dell’Intelligenza Artificiale. L’Unione europea si conferma quindi come uno dei (se non il) player di rifermento per quanto riguarda la regolamentazione delle nuove tecnologie digitali, con i vantaggi e gli svantaggi legati alla condizione di “first mover” in cui si trova.
Tuttavia, più che un Regolamento sull’Intelligenza Artificiale, quello appena proposto dalla Commissione parrebbe piuttosto un Regolamento sulle intelligenze artificiali (al plurale).
Infatti, il testo della Commissione non si occupa tanto di regolare in maniera trasversale l’uso dell’IA, ma si concentra invece su una serie di specifiche tecnologie considerate ad alto rischio. In questo senso, l’impatto del Regolamento avrà probabilmente effetti intersettoriali più limitati rispetto, per esempio, al GDPR.
Resta però da vedere quali modifiche verranno apportate al Regolamento nel corso dell’iter legislativo, che si preannuncia complesso e probabilmente lungo.