A.I. Act: il primo provvedimento normativo sull’Intelligenza Artificiale è europeo

Il Parlamento e il Consiglio europeo sono ormai vicini alla definitiva adozione del primo testo di legge relativo all’intelligenza artificiale; l’iter aveva preso avvio dalla proposta di Regolamento da parte della Commissione europea nel 2021.

Si tratta di un documento normativo basato su un approccio umano-centrico all’Intelligenza Artificiale che prevede un insieme di regole volte a tutelare i diritti fondamentali della persona. I principi su cui si fonda A.I. Act sono: vita privata e governance dei dati (art.10); intervento e sorveglianza umani (art. 14); robustezza tecnica e sicurezza (art. 15); trasparenza (artt. 13 e 50);diversità, non discriminazione ed equità, benessere sociale e ambientale (cons. 27); responsabilità dei fornitori di sistemi I.A. (art. 25).

L’obiettivo del Regolamento è quello di disciplinare l’immissione all’interno del mercato europeo dei sistemi di intelligenza artificiale da parte di soggetti pubblici e privati, anche extraeuropei.

Il provvedimento troverà applicazione nei confronti dei fornitori e degli operatori economici che fanno uso della tecnologia I.A., i quali saranno tenuti al rispetto di determinati obblighi di controllo, documentazione e garanzia della qualità dei sistemi utilizzati.

Non rientrano nell’ambito di applicazione dell’A.I. Act i sistemi di I.A. il cui utilizzo:

  • sia esclusivamente volto a soddisfare scopi militari, di difesa o di sicurezza nazionale (di competenza degli Stati membri);
  • siano necessari per attività di ricerca e sviluppo scientifico relative a sistemi di intelligenza artificiale;
  • avvenga ad opera di persone fisiche che utilizzano l’I.A. per motivi non professionali.

L’A.I. Act adotta un approccio “basato sul rischio”, procedendo alla classificazione dei sistemi a seconda del rischio che sono in grado di generare:

  • sistemi che generano un rischio inaccettabile perché in grado di manipolare i comportamenti umani, ricorrendo alla categorizzazione biometrica o identificazione biometrica in tempo reale, ovvero sistemi di rilevazione dello stato d’animo in luoghi di lavori o istituti pubblici.
  • sistemi ad alto rischio i quali possono arrecare nocumento ai diritti fondamentali; rispetto a questi sistemi, fornitori e utilizzatori sono tenuti a garantire la conformità degli stessi agli standard previsti dalla normativa europea, la loro robustezza tecnica, l’adeguatezza dei set di dati utilizzati, la tracciabilità e verificabilità dei processi. Tra i sistemi I.A. ad alto rischio rientrano quelli finalizzati a determinare l’accesso o l’assegnazione a istituti di formazione; quelli utilizzati per l’erogazione di servizi pubblici o per valutare l’affidabilità creditizia.
  • i sistemi a rischio minimo sono quelli esenti da obblighi, sebbene i fornitori possano comunque decidere di aderire spontaneamente ai codici di condotta. La maggior parte dei sistemi di intelligenza artificiale immessi nel mercato europeo appartengono a questa categoria.

I modelli di I.A. generativa

Si tratta di sistemi capaci di generare un’informazione nuova e originale partendo da una serie di input che vengono loro forniti; il regolamento prende in considerazione tanto questi modelli quanto quelli di A.I. per scopi generali, entrambi assai diffusi sul territorio europeo. Si tratta di sistemi che possono essere utilizzati per una vasta gamma di compiti; alcuni di essi potrebbero creare dei problemi sistemici se ampiamente utilizzati.

Il rischio sistemico consiste in una minaccia per il regolare funzionamento del mercato europeo e nella possibilità che siano pregiudicati valori come salute, sicurezza pubblica e diritti fondamentali. Per questi sistemi sono previsti specifici adempimenti come:

  • redazione della documentazione tecnica della macchina, del suo processo di addestramento e della valutazione dei suoi risultati;
  • rispetto della normativa in materia di tutela del diritto di autore;
  • redazione e messa a disposizione del pubblico del set di dati utilizzati per l’addestramento della macchina.

La Commissione europea ritiene che, allo stato attuale della tecnologia, i modelli di I.A. per finalità generali che sono stati addestrati utilizzando una potenza di calcolo totale superiore a 10^25 FLOPS comportino rischi sistemici; tale soglia potrà essere modificata a seconda dello sviluppo tecnologico in materia.

Le sanzioni

Le sanzioni per le violazioni della disciplina in analisi sono state fissate secondo una percentuale del fatturato annuo globale dell’anno precedente delle imprese autrici dell’illecito ovvero in misura fissa, a seconda di quale sia l’importo più elevato. Gli Stati sono incaricati di individuare misure sanzionatorie efficaci, proporzionali e dissuasive, comprese le sanzioni amministrative pecuniarie.

La Governance dell’A.I.

L’attuazione del regolamento sarà garantita da un sistema costruito su due livelli, uno europeo e uno nazionale.

Le Autorità nazionali della concorrenza di ogni Stato membro verificheranno l’attuazione della disciplina contenuta nel regolamento, mentre in seno alla Commissione europea sarà costituito un Ufficio europeo per A.I. con un ruolo, da un lato, di raccordo e, dall’altro, di centro propulsore per lo sviluppo di nuove competenze all’interno dell’Unione europea in materia di intelligenza artificiale.

Un Comitato europeo per l’A.I., costituito da rappresentanti di ogni Stato, avrà un ruolo consultivo per la Commissione. Si prevede, infine, l’istituzione di un forum consultivo per i portatori di interessi, come i rappresentanti dell’industria, le PMI, le start-up, la società civile e il mondo accademico.

Al fine di incentivare la sperimentazione, il Regolamento prevede strumenti come i sandbox normativi e gli spazi di prova in condizioni reali. I primi sono ambienti, fisici o virtuali, in cui le aziende Fintech possono sperimentare nuove tecnologie, sotto la supervisione delle Autorità vigilanti del settore, per un periodo di tempo limitato e in deroga alle norme vigenti.

Le prove in condizioni reali avranno una durata di sei mesi prorogabili, e prima di essere espletate dovranno essere precedute dalla presentazione all’autorità di vigilanza sul mercato di un piano suscettibile di approvazione o meno. Sarà altresì necessario che gli utenti che si sottoporranno alla prova rilascino il loro consenso e non subiscano ripercussioni negative di alcun tipo e che i loro dati vengano subito cancellati dopo la fine della prova.

Infine, deve precisarsi che l’A.I.  Act non intende introdurre una disciplina esaustiva in materia di Intelligenza Artificiale, ma tiene conto della sussistenza di discipline specifiche già vigenti (come quella in materia di tutela della privacy).

Non resta, dunque, che attendere la definitiva adozione del testo di legge e la successiva applicazione da parte degli Stati membri per valutare i punti di forza e quelli di criticità dell’A.I. Act.