AI Act, pratiche vietate e regole per i sistemi ad alto rischio nel segno della trasparenza e sicurezza
La proposta di legge è al centro del triplice negoziato tra Commissione europea, Parlamento europeo e Consiglio europeo. Una volta adottato, l'AI Act entrerà in vigore dopo 24 mesi
Nel corso degli ultimi anni, l'Intelligenza Artificiale (AI) e i pericoli ad essa correlati sono stati uno dei temi più dibattuti a livello pubblico nell'ambito delle discussioni sulle nuove tecnologie. A causa delle crescenti preoccupazioni, provenienti, in particolare, da un consistente numero di esperti del settore, la maggior parte dei Paesi industrializzati ha cominciato a voler regolamentare l'AI.
Anche l'Unione europea si è attivata e, dopo l'adozione di un Libro bianco nel febbraio 2020 e diversi studi ad hoc sull'argomento, la Commissione europea ha pubblicato, nell'aprile 2021, una prima bozza di legge sull'AI, denominata AI Act.
Lo scopo di questo intervento legislativo è tracciare un quadro di riferimento dal punto di vista giuridico per lo sviluppo, il posizionamento sul mercato, e l'utilizzo dei prodotti e servizi di AI nei Paesi dell'Unione Europea, fornendo, al contempo, un sistema che tenga conto dei rischi di tali innovazioni e che, conseguentemente, imponga specifici vincoli e doveri ai soggetti coinvolti nella creazione e distribuzione di sistemi di AI.
La proposta di legge si divide in dodici Titoli, ma il Titolo II, III e IV sono quelli più rilevanti, in quanto contengono i concetti cardine su cui si basa l'intero documento.
• Il Titolo II stabilisce una serie di pratiche di AI vietate, poiché riconosciute come dannose per la sicurezza e i diritti dell'individuo. Tali pratiche includono, ad esempio, sistemi di AI che utilizzano tecniche manipolative o ingannevoli, che sfruttano le vulnerabilità delle persone, che portano alla creazione di punteggi di credito sociale creando trattamenti sfavorevoli, che usano sistemi di identificazione biometrica remota in tempo reale in spazi pubblici. A causa dei rischi associati, tutte queste pratiche sono vietate dalla proposta.
• Il Titolo III si occupa di regolamentare i sistemi di AI ad alto rischio.
Con questa espressione, il provvedimento indica i sistemi AI utilizzati come componenti di sicurezza di un prodotto, quelli che sono essi stessi un prodotto, coperto dalla legislazione UE in materia di salute e sicurezza e, infine, quelli che rientrano nelle aree elencate nell'allegato III dell'AI Act .
Se un sistema AI rientra in una di queste tre casistiche, viene classificato come ad alto rischio e per essere immesso sul mercato dovrà soddisfare numerosi requisiti.
Sarà necessario, anzitutto, istituire, attuare e mantenere un sistema di gestione del rischio, oltre che uno di data governance.
Secondariamente, bisognerà redigere una documentazione tecnica prima dell'immissione di un sistema sul mercato per dimostrare che questo è conforme ai requisiti imposti dal provvedimento, e possedere un registro che garantisca la costante tracciabilità del funzionamento del sistema per tutto il tempo in cui rimane sul mercato.
È richiesta trasparenza per facilitare gli utenti nell'interpretazione e nell'utilizzo appropriato dei dati, oltre che una costante supervisione umana e un adeguato livello di accuratezza e sicurezza informatica.
Ovviamente, questi obblighi si estendono a tutta la catena di produzione.
Ai fornitori, in aggiunta, è richiesto di conservare la documentazione tecnica del sistema di AI, assicurarsi che questo sia conforme alle regole stabilite dalla proposta e, nel caso non lo fosse, di adottare le azioni correttive necessarie e di informare tempestivamente le autorità nazionali di vigilanza degli Stati membri in cui il sistema AI è stato reso disponibile.
Questo livello di controllo reciproco si estende anche agli altri operatori. Importatori e distributori, infatti, sono ugualmente tenuti a verificare che i soggetti intervenuti prima di loro abbiano seguito tutte le procedure previste e che il sistema di AI sia conforme ai requisiti della proposta. Ad aiutare in questa attività è la presenza di un marchio di conformità con la sigla CE, che deve essere apposto dal fornitore se il sistema rispetta tutti i requisiti.
• Il Titolo IV si occupa della delicata questione della trasparenza. Ai sensi dell'articolo 52 della proposta, i fornitori di sistemi AI che interagiscono con persone fisiche (come, ad esempio, i chatbot) devono garantire che le persone esposte siano informate del fatto che stiano interagendo con un sistema AI.
Lo stesso comportamento deve essere adottato dai sistemi di riconoscimento delle emozioni o di categorizzazione biometrica, informando le persone esposte ad essi del proprio funzionamento e ottenendo un consenso preventivo al trattamento dei dati biometrici e personali dell'utente. Inoltre, tutti quegli utenti che generano e/o manipolano contenuti multimediali che sembrerebbero a primo impatto autentici o veritieri (si pensi, ad esempio, ai deep fake) devono comunicare che tali contenuti sono frutto di una manipolazione basata sull'AI.
Allo stato attuale, la proposta di legge è al centro del triplice negoziato tra Commissione europea, Parlamento europeo e Consiglio europeo. Una volta adottato, l'AI Act entrerà in vigore dopo 24 mesi.
Questo vuol dire che, se si riuscirà a raggiungere entro fine anno un accordo finale sul testo del provvedimento, tale legge si applicherà, nella migliore delle ipotesi, alla fine del 2025 .
Indipendentemente dalle tempistiche, è importante evidenziare che l'Unione europea è la prima al mondo ad aver adottato in modo quasi definitivo una legislazione che regolamenterà ampiamente i sistemi di AI e, anche se non si sta ancora parlando del testo definitivo, in quello della proposta si possono comunque comprendere molte delle preoccupazioni che le autorità pubbliche hanno nei confronti del futuro dell'intelligenza artificiale.
_____
*A cura dell'Avv. Daniela Della Rosa – Partner Studio Legale Internazionale Curtis, Mallet-Prevost, Colt & Mosle LLP e Avv.Federico Criscuoli – Associate Studio Legale Internazionale Curtis, Mallet-Prevost, Colt & Mosle LLP
