AI Act: come tutelare i cittadini dai sistemi ad alto rischio
Il regolamento vieta l'immissione sul mercato, la messa in servizio o l'uso di determinate pratiche di I.A. e disciplina i sistemi di I.A. ad alto rischio. Ma sono sufficienti le attuali disposizioni per proteggere gli utenti o è necessario ampliare le aree del divieto?
Il 14 giugno 2023 il Parlamento Europeo ha approvato la proposta di regolamento sull'intelligenza artificiale che dà inizio ai negoziati interistituzionali con il Consiglio Europeo per arrivare alla definizione della normativa, probabilmente entro la fine del 2023.
La proposta di regolamento approvata è la prima a tagliare il filo di lana e, siccome tutto il mondo è interessato a disciplinare la materia, questa disciplina costituirà il punto di riferimento per tutti gli Stati, anche non appartenenti alla U.E.
Va ricordato che il regolamento, una volta giunto alla versione definitiva, sarà efficace ed applicabile nei confronti di tutti i soggetti appartenenti ai diversi ordinamenti degli Stati dell'U.E., senza alcuna necessità di recepimento da parte degli Stati membri.
Lo scopo di fondo del regolamento è duplice: da un lato, istituire un quadro giuridico uniforme per lo sviluppo, la commercializzazione e l'uso dell'intelligenza artificiale, impedendo così agli Stati membri di imporre restrizioni alla diffusione del sistema dell'intelligenza artificiale; da un altro lato, garantire un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali.
Il regolamento è composto di 85 articoli, preceduti da 89 "considerando", ed è strutturato in 12 titoli, alcuni di essi suddivisi anche in capi.
Dopo il titolo I che riguarda le "disposizioni generali", il regolamento detta la normativa protettiva, individuando al:
• titolo II, le "pratiche di intelligenza artificiale vietate";
• titolo III, i "sistemi di I.A. ad alto rischio", articolato in 5 capi, composto dagli articoli che vanno dal 6 al 51 e che è la parte più estesa del regolamento;
• titolo IV, gli "obblighi di trasparenza per determinati sistemi di I.A.".
Quindi, il regolamento tratta al:
•titolo V, delle "misure a sostegno dell'innovazione";
• titolo VI, degli organi di "Governance", con 2 capi;
• titolo VII, la "banca dati dell'U.E. per i sistemi di I.A. indipendenti ad alto rischio";
•titolo VIII, "monitoraggio successivo all'immissione sul mercato, condivisione delle informazioni, vigilanza del mercato", in 3 capi;
• titolo IX, i "codici di condotta";
• titolo X, "riservatezza e sanzioni";
• titolo XI, "delega di potere e procedura di comitato";
• titolo XII, le "disposizioni finali".
In sostanza: misure di protezione degli utenti, che occupa gran parte del regolamento (artt. 5-52), e a sostegno della diffusione della I.A.; organi di governance e monitoraggio e vigilanza sul mercato a seguito della immissione; codice di comportamento; obblighi di riservatezza e irrogazione delle sanzioni; delega di potere e, infine, le disposizioni finali.
La tutela del cittadino più efficace è il divieto di immissione sul mercato, la messa in servizio o l'uso di determinate pratiche di I.A., classificate in quattro gruppi.
• I primi due salvaguardano la sfera psicologica e la situazione di vulnerabilità propria di uno specifico gruppo di persone a cui l'I.A. provochi o possa provocare un danno fisico o psicologico e precisamente:
a) l'uso di tecniche subliminali "che agiscono senza che una persona ne sia consapevole al fine di distorcerne materialmente il comportamento" (art. 5, paragrafo 1, lett. a);
b) il sistema di I.A. che approfitta delle "vulnerabilità di uno specifico gruppo di persone, dovute all'età o alla disabilità fisica o mentale, al fine di distorcere materialmente il comportamento di una persona che appartiene a tale gruppo" (art. 5, paragrafo 1, lett. b).
Questi due divieti riguardano l'attività di tutti coloro, indipendentemente se soggetti pubblici o privati, che immettono sul mercato, mettono in servizio o utilizzano sistemi di I.A.
Gli ulteriori due gruppi proteggono l'utente dall'utilizzo dell'I.A. da parte delle autorità pubbliche o per loro conto.
• Il terzo gruppo vieta la valutazione e la classificazione "dell'affidabilità delle persone fisiche per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note o previste" qualora ciò comporti "il verificarsi di uno o di entrambi i seguenti scenari: "un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di interi gruppi di persone fisiche "i) … in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti" o "ii) … che sia ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità" (art. 5, paragrafo 1, lett. c).
•Il quart o gruppo censura "l'uso di sistemi di identificazione biometrica remota ‘in tempo reale' in spazi accessibili al pubblico a fini di attività di contrasto, a meno che e nella misura in cui tale uso sia strettamente necessario" (art. 5, paragrafo 1, lett. d), evidenziando gli obiettivi che giustificano tale identificazione e che riguardano determinate attività di prevenzione e repressione di reati specifici, tenendo conto di alcuni elementi che connotano la gravità, la probabilità e l'entità del danno causato dal mancato uso del sistema di I.A. e le contrapposte esigenze in conseguenza dell'uso del sistema di I.A. per i diritti e le libertà delle persone interessate. Comunque, ogni singolo uso di un sistema di identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico "è subordinato ad un'autorizzazione preventiva rilasciata da un'autorità giudiziaria o da un'autorità amministrativa indipendente dello Stato membro in cui deve avvenire l'uso" (art. 5, paragrafo 3).
L'art. 5 specifica anche gli accertamenti che deve compiere l'autorità giudiziaria o amministrativa competente per rilasciare l'autorizzazione.
Possono ritenersi efficaci queste disposizioni per la tutela del cittadino ovvero devono essere ampliate le aree del divieto e che corrispondono ad un rischio inaccettabile?
Il regolamento, invero, disciplina anche il "rischio alto" di alcuni sistemi di I.A. che coprono un'ampia area e che comportano una valutazione, prima di essere immessi sul mercato e anche durante il loro impiego; se funziona la governance, disciplinata dagli artt. 56 e ss., l'utente è protetto ma, se vi fossero inefficienze nel sistema, diventerebbe reale il rischio connesso all'uso dei sistemi di I.A. ed inadeguate le disposizioni sui divieti di utilizzo.
______
*A cura del Prof. Avv. Enrico Follieri – Enrico Follieri & Associati