L’UE riuscirà a regolare l’intelligenza artificiale?

Dell’avv. Manuela Bianchi
Qui, l’articolo comparso su Appunti di Stefano Feltri

(illustrazione realizzata con Midjourney)

Il Parlamento europeo ha votato la nuova versione dell’Artificial Intelligence Act che prova a normare le nuove tecnologie. E non è una impresa facile.

Già nel 1955, all’epoca del seminario di Dartmouth ove un gruppo di ricercatori guidati da John McCarthy coniò il termine “Artificial Intelligence”, era evidente che le potenzialità dell’Intelligenza Artificiale (IA), se coltivate, avrebbero avuto un sensibile impatto.

Oggi, la capacità e la velocità di analizzare dati complessi propria dell’IA stanno modificando l’industria in modo trasversale, dalla chimica al marketing, dal manifatturiero alla finanza, dal sanitario all’assicurativo.

Secondo i dati Anitec-Assinform, l’associazione delle aziende ICT di Confindustria, in Italia nel 2022 il mercato dell’IA è aumentato del 21,9 per cento, raggiungendo un volume d’affari pari a circa 422 milioni di euro, con una prospettiva di crescita media annua del 22 per cento entro il 2025.

A inizio del 2023, secondo l’Osservatorio Artificial Intelligence del Politecnico di Milano, il 61 per cento delle grandi imprese italiane ha avviato almeno un progetto di IA e, di queste, il 42 per cento ne ha più di uno operativo. 

Anche tra le Pmi, il 15 per cento ha almeno un progetto di IA avviato e una su tre ne ha in programma di nuovi nel prossimo biennio. 

I settori di maggiore applicazione risultano essere l’Intelligent Data Processing (analisi ed estrazioni di informazioni dai dati per fare previsioni, ad esempio, per la gestione degli investimenti o la pianificazione aziendale), il Recommendation System (algoritmi che suggeriscono contenuti, prodotti e servizi agli utenti in base alle loro preferenze), le Generative AI e tutte quelle collegate all’interpretazione del linguaggio, e le soluzioni di Computer Vision per l’analisi di immagini, applicabili anche nell’ambito della sorveglianza pubblica.

Di fronte a questi dati, è chiaro che si aprono questioni giuridiche ed etiche che necessitano di trovare una disciplina quanto prima.

Il voto sull’AI Act

Il 14 giugno il Parlamento europeo ha approvato la proposta di AI Act, il Regolamento che disciplinerà l’uso dell’IA in uguale maniera in tutti gli Stati membri dell’Unione europea e che rappresenterà il primo caso al mondo di regolamentazione dell’intelligenza artificiale.

A breve avranno inizio i negoziati informali, tra rappresentanti dello stesso Parlamento, del Consiglio e della Commissione, per arrivare, entro la fine di quest’anno, all’approvazione del testo definitivo dell’AI Act. 

Un regolamento europeo non richiede recepimenti nazionali una volta approvato, il che significa che entrerà in vigore direttamente negli Stati dell’Unione alla data fissata una volta pubblicato nella Gazzetta Ufficiale dell’Unione europea, senza necessità di una ratifica, e che non può essere modificato se non in casi molto limitati.

Vediamo, ad oggi, quali sono i punti salienti della bozza approvata dall’Europarlamento con 499 voti favorevoli, 28 contrari e 93 astenuti.

La normativa ha come obiettivi: un quadro giuridico uniforme e armonizzato per lo sviluppo, la commercializzazione e l’uso dell’IA, la libera circolazione transfrontaliera di prodotti e servizi generati e forniti con l’IA, l’elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali e tutela dei principi etici, il monitoraggio e vigilanza del mercato, governance e sostegno all’innovazione, l’approccio basato sul rischio, e la complementarietà tra l’AI Act e le altre normative europee, in particolare su protezione dei dati, tutela dei consumatori, diritti fondamentali, occupazione e sicurezza dei prodotti.

La bozza definisce l’intelligenza artificiale

“Un sistema progettato per funzionare con elementi di autonomia e che, sulla base di dati e input forniti da macchine e/o dall’uomo, deduce come raggiungere una determinata serie di obiettivi avvalendosi di approcci di apprendimento automatico e/o basati sulla logica e sulla conoscenza, e produce output generati dal sistema quali contenuti (sistemi di intelligenza artificiale generativi), previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui il sistema di intelligenza artificiale interagisce”.

Questa definizione comprende sistemi di apprendimento automatico, tra cui il deep learning, e le IA generative, come ChatGpt, ma anche approcci più semplici e collaudati come l’inferenza bayesiana (metodo statistico classico che usa i dati osservabili per fare inferenze su aspetti che non possono essere osservati).

La discriminante è il livello di autonomia e il grado di indipendenza rispetto all’intervento e al coinvolgimento umano.

Il regolamento si applicherà ai fornitori di sistemi di IA, a prescindere dal fatto che siano stabiliti in uno Stato Ue o in un Paese extra Ue, agli utenti dei sistemi di IA stabiliti nella Ue e anche agli utenti dei sistemi IA stabiliti extra Ue, se questi influiscono su persone residenti all’interno della Ue.

Questione di rischio

L’approccio è detto “risk based”, cioè classifica i sistemi di IA in base al livello di rischio che il loro uso pone per i diritti fondamentali, a prescindere dalla tecnologia e dall’algoritmo usato. 

Questo permette di distinguere diversi tipi di prodotto in base al rischio e così individuare le soluzioni adottabili a seconda del sistema che si vuole usare, a partire dal divieto di utilizzo nel caso di sistemi che possano causare danni fisici o psicologici, fino alla possibilità di utilizzo di prodotti in grado di interagire con le persone fisiche, purché però le stesse vengano sempre debitamente informate circa tutti gli elementi necessari alla comprensione dello strumento e del trattamento dei propri dati.

Per il loro livello di rischio inaccettabile, il testo originario stabiliva che fossero pratiche vietate quelle in cui i sistemi di IA sono usati per fini contrari ai valori dell’Unione, ad esempio nei diritti fondamentali della persona, presentando un elevato potenziale in termini di manipolazione delle persone attraverso tecniche subliminali oppure sfruttano la vulnerabilità dei minori o di persone con disabilità al fine di distorcere il comportamento in maniera da provocare un danno psicologico o fisico.

Il testo approvato il 14 giugno, con alcune modifiche rispetto alla bozza sottoposta all’Europarlamento, che non ha accolto le mozioni del Partito popolare europeo, individua e vieta i software:

• di riconoscimento biometrico remoto, in tempo reale e a posteriori in aree pubbliche;
• predittivi, ora anche con riferimento agli illeciti (erano già vietati in materia penale);
• usati per l’assegnazione di punteggi sociali, anche da parte di enti privati, e che sfruttano le vulnerabilità di gruppi di persone a cause della loro condizione sociale ed economica;
• di riconoscimento delle emozioni, se applicati in ambito giudiziario, di gestione delle frontiere, sui luoghi di lavoro e nei contesti educativi;
• di categorizzazione biometrica, basati su genere, razza, etnia, cittadinanza, religione, credo politico;
• di estrazione non mirata di dati biometrici da Internet o da video di telecamere a circuito chiuso.

Il documento regola i sistemi di IA ad alto rischio per la salute e la sicurezza o per i diritti fondamentali delle persone fisiche. Questi sistemi saranno consentiti sul mercato europeo solo rispettando determinati requisiti obbligatori e a seguito di una valutazione preventiva. 

In linea con la normativa vigente dell’Ue in materia di sicurezza dei prodotti, la classificazione dei sistemi di IA come ad alto rischio si basa sulla sua finalità prevista, di conseguenza non dipende solo dalla funzione svolta dal sistema IA, ma anche dalle sue finalità e modalità specifiche.

Il regolamento distingue obblighi di conformità differenti a seconda del rischio che uno specifico sistema di IA comporta; naturalmente, più alto è il rischio, maggiori sono gli obblighi e le responsabilità a carico dei produttori e dei fornitori dei software e dei servizi di IA.

Ad esempio, i sistemi di IA considerati ad alto rischio sono soggetti a specifici obblighi, tra cui creare e mantenere attivo un sistema di risk management, assicurarne lo sviluppo seguendo specifici criteri qualitativi relativi ai dati e ai modelli utilizzati, documentare lo sviluppo e il funzionamento, garantire la trasparenza verso gli utenti, assicurarsi che il sistema possa essere sottoposto a supervisione da parte di persone fisiche, e garantirne l’attendibilità, l’accuratezza e la sicurezza. 

La valutazione della conformità del sistema di IA al regolamento potrà essere fatta talvolta in maniera autonoma , talvolta coinvolgendo un organismo esterno.

Norme più severe sono previste per i foundation model, ovvero quei modelli di machine learning che vengono prima addestrati con una grande quantità di dati e poi usati come punto di partenza per l’addestramento di altri modelli con compiti particolari. Esempio di foundation model sono i sistemi di IA generativi, come ChatGPT, che dovranno: 

• rispettare ulteriori obblighi di trasparenza e implementare adeguate salvaguardie contro la generazione di contenuti in violazione del diritto dell’Ue;
• essere testati durante tutto il loro ciclo di vita per mantenere livelli adeguati di prestazioni, interopretabilità, correggibilità, sicurezza e cybersecurity;
• implementare un sistema di gestione della qualità, fornire i documenti pertinenti fino a 10 anni dopo il lancio del modello e registrare i modelli sul database dell’UE;
• rispettare le misure di governance dei dati, comprese quelle per esaminare la sostenibilità delle fonti di dati, le possibili distorsioni e le opportune misure di mitigazione; e
• rivelare la potenza di calcolo richiesta e il tempo di addestramento del modello.

La zona grigia e le sanzioni

Restano esclusi dall’ambito di applicazione del AI Act i sistemi usati per finalità militari, di difesa e di sicurezza nazionale, quelli finalizzati a ricerca e sviluppo, e i sistemi impiegati da privati per scopi professionali, fermi restando, per questi ultimi, gli obblighi di trasparenza.

L’esclusione dalla regolamentazione di ambiti in cui l’IA potrebbe essere usata in maniera più aggressiva e limitativa dei diritti e delle libertà degli individui rappresenta senza dubbio un potenziale problema.

La scelta del legislatore europeo, sebbene frutto di compromessi, rivela comunque la natura democratica dei Paesi appartenenti all’Unione, che, si confida, agiranno in modo tale da non limitare mai i diritti dei propri cittadini, pena, teoricamente, l’espulsione dalla Ue.

Il Regolamento prevede, per le violazioni, tre fasce di sanzioni amministrative pecuniarie, rispettivamente pari a un massimo di 30-20-10 milioni di euro o, nel caso di un’impresa, fino al 6 per cento del fatturato mondiale annuo. 

La proposta licenziata lo scorso aprile ha apportato delle modifiche per rendere i massimali più proporzionati in caso di violazione da parte delle piccole e medie imprese o di startup.

Tra le violazioni più gravi rientrano l’immissione sul mercato o la messa in opera di un servizio vietato dal Regolamento.

Nel livello medio rientra la violazione dei requisiti richiesti a un sistema di IA e in quello basso la mancata cooperazione e informazioni delle autorità competenti.

Di certo l’IA e la tutela dei dati personali sono strettamente collegate e necessitano di una tutela per poter garantire la libertà e i diritti fondamentali della persona. 

---

Manuela Bianchi è avvocata, da vent’anni si occupa di Data Protection e compliance aziendale. Collabora col Dipartimento di Informatica Giuridica dell’università Statale di Milano e scrive di diritto delle nuove tecnologie su portali e riviste di settore.

---

#ManuelaBianchi #ArtificialIntelligenceAct #AI #ParlamentoEuropeo #UE #UnioneEuropea