AI Act, per gli operatori obblighi differenziati in base al livello di rischio
Il Regolamento adotta un approccio risk-based ed impone obblighi ai fornitori ed agli sviluppatori di sistemi di Intelligenza Artificiale in base ai diversi livelli di rischi individuati: rischio inaccettabile, rischio elevato, rischio limitato e rischio minimo o nullo
UE pioniera sull'Intelligenza Artificiale
Nel 2021 la Commissione Europea ha emanato una proposta di Regolamento (c.d. "A.I. Act") volto ad istituire un quadro giuridico uniforme per lo sviluppo, la commercializzazione e l'uso, in conformità ai valori dell'Unione, dell'Intelligenza Artificiale (A.I.) definita come "un sistema basato su macchina progettato per operare con diversi livelli di autonomia e che può, per obiettivi espliciti o impliciti, generare output come previsioni, raccomandazioni o decisioni, che influenzano ambienti fisici o virtuali".
Per quanto siano stati sin da subito intuibili gli innegabili vantaggi e benefici che l'uso dell'A.I. comporterà, sia a livello economico che sociale (basti pensare all'assistenza sanitaria, all'agricoltura, all'istruzione, alla gestione delle infrastrutture, dell'energia, dei trasporti, della sicurezza e della giustizia, solo per citare alcuni ambiti), l'utilizzo delle nuove tecnologie porta in dote inevitabili quesiti etici e, sicuramente, potrebbe determinare l'insorgere di innumerevoli rischi in termini di interessi pubblici, quali la salute e la sicurezza, e di protezione dei diritti fondamentali.
Non stupisce dunque che il dibattito rimanga vivo, sia nell'opinione pubblica che in seno ai singoli legislatori. Mentre gli Stati Uniti hanno appena iniziato il percorso di regolamentazione sull'A.I., l'Europa si è dimostrata all'avanguardia nel regolamentarne la disciplina e l'obiettivo è prossimo: con 499 voti a favore, 28 contrari e 93 astenuti, infatti, il Parlamento europeo ha aggiunto un altro tassello adottano la propria posizione negoziale sull'AI Act.
Tali norme guideranno le discussioni con gli Stati membri dell'UE per definire la legislazione finale, garantendo che l'A.I. sviluppata e utilizzata in Europa aderisca pienamente ai diritti e ai valori dell'UE, comprendendo la supervisione umana, la sicurezza, la privacy, la trasparenza, la non discriminazione e il benessere sociale e ambientale.
Nonostante i 771 emendamenti votati dal Parlamento, l'architettura normativa individuata dalla Commissione nella proposta iniziale è rimasta valida con l'obiettivo di raggiungere un equilibrio tra innovazione e tutela dei diritti fondamentali.
L'approccio basato sul rischio
Il Regolamento adotta un approccio risk-based ed impone obblighi ai fornitori ed agli sviluppatori di sistemi di Intelligenza Artificiale in base ai diversi livelli di rischi individuati: rischio inaccettabile, rischio elevato, rischio limitato e rischio minimo o nullo.
In particolare, i sistemi di Intelligenza Artificiale che presentano un rischio inaccettabile per la sicurezza delle persone saranno vietati ed il Regolamento amplia l'elenco delle pratiche vietate per includere usi intrusivi e discriminatori dell'A.I., come:
• sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico;
• sistemi di identificazione biometrica a distanza, salvo che per finalità di contrasto nell'accertamento di reati gravi e solo previa autorizzazione giudiziaria;
• sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili come genere, razza, etnia, cittadinanza, religione o orientamento politico;
• sistemi di polizia predittiva basati su profilazione, posizione o comportamento criminale pregresso;
• sistemi di riconoscimento delle emozioni impiegati nelle forze dell'ordine, nella gestione delle frontiere, nei luoghi di lavoro e nelle istituzioni educative;
•raccolta indiscriminata di immagini facciali da Internet o filmati CCTV per la creazione di database di riconoscimento facciale, in violazione dei diritti umani e della privacy.
L'uso del riconoscimento facciale è stato uno degli argomenti più rilevanti del dibattito ed il Parlamento europeo ha deciso di vietarlo in modalità live, ma è confermata la possibilità di concedere esenzioni per determinate situazioni quali la sicurezza nazionale e le esigenze di applicazione della legge.
Secondo la bozza del Parlamento europeo, le applicazioni ad alto rischio comprendono i sistemi di Intelligenza Artificiale in grado di arrecare danni significativi alla salute, alla sicurezza, ai diritti fondamentali o all'ambiente delle persone ed includono i sistemi di Intelligenza Artificiale utilizzati per l'influenza degli elettori , i risultati delle elezioni ed i sistemi di raccomandazione utilizzati dalle piattaforme dei social media con una base utenti superiore a 45 milioni.
I sistemi di A.I ad alto rischio saranno soggetti a determinati vincoli prima di poter essere utilizzati tra i quali l'obbligo di fornire adeguata documentazione contenente tutte le informazioni necessarie sullo scopo del sistema affinché le autorità possano valutarne la conformità, la predisposizione di una valutazione dei rischi, la garanzia sulla tracciabilità dei risultati, ecc.
I sistemi di Intelligenza Artificiale a basso rischio, come quella generativa di ChatGPT di OpenAi e Bard di Google, saranno tenuti a rispettare i requisiti di trasparenza, inclusa la divulgazione di contenuti generati dall'Intelligenza Artificiale per distinguere i deep-fake dalle immagini autentiche e saranno obbligati a valutare e mitigare i potenziali rischi per la salute, la sicurezza, i diritti fondamentali, l'ambiente, la democrazia e lo stato di diritto. Inoltre, tali modelli dovranno essere registrati nella banca dati dell'UE prima della loro immissione nel mercato interno.
Da ultimo, in caso di rischio minimo l'utilizzo dell'A.I. rimane libero.
Per incoraggiare l'innovazione nell'ambito dell'Intelligenza Artificiale e sostenere le piccole e medie imprese, tuttavia, sono state incorporate esenzioni per le attività di ricerca e per i componenti dell'A.I. forniti con licenze open source. La legislazione promuove anche la creazione di sandbox normative, ambienti controllati creati dalle autorità pubbliche per testare l'A.I. prima della distribuzione.
Le sanzioni e le segnalazioni
Ulteriori modifiche introdotte dal Parlamento riguardano le sanzioni in caso di inottemperanza: fino a 40 milioni di euro, oppure il 7 % del fatturato annuo mondiale totale, a seconda di quale sia l'importo in concreto più alto.
È stato inoltre ridotto da 15 giorni a 72 ore il termine per la segnalazione di incidenti gravi.
I prossimi passi
Con l'approvazione del Parlamento europeo, iniziano i negoziati (trilogi) per il testo definitivo con il Consiglio dell'Unione europea e la Commissione.
La pubblicazione della versione finale della legge sull'IA è prevista entro la fine del 2023 e dovrebbe entrare in vigore nei successivi due anni.
_____
*A cura dell'Avv. Giacomo Gori, Cocuzza & Associati