AI Act: La prima legge al mondo sull’intelligenza artificiale

I partner di Andersen Paola Finetto e Francesco Marconi del team Technology dello Studio hanno preparato un documento di approfondimento sul nuovo Regolamento europeo per l’applicazione dell’intelligenza artificiale. Il 13 marzo scorso il Parlamento europeo ha licenziato il testo, tendenzialmente definitivo, del Regolamento in materia di intelligenza artificiale. L’approvazione finale è attesa entro maggio 2024, all’esito di un lungo percorso e di molteplici confronti e bilanciamenti.
Obiettivo primario del Regolamento sull’intelligenza artificiale è garantire un elevato livello di protezione della salute, della sicurezza e dei valori fondamentali riconosciuti dal diritto dell’Unione Europea, affinché l’IA sia una “tecnologia antropocentrica” e, dunque, costituisca uno “strumento per le persone, con il fine ultimo di migliorare il benessere degli esseri umani”, assicurando anche il persistente rispetto del diritto dell’Unione in materia di protezione dei dati personali, della vita privata e della riservatezza delle comunicazioni, di cui, in particolare, al Regolamento (UE) 2016/679 – GDPR.

Perchè un regolamento

Il percorso per l’approvazione di questo documento inizia da una proposta presentata dalla Commissione europea il 21 aprile 2021, nel contesto di un più ampio pacchetto di iniziative volte a promuovere l’innovazione, nonché la sicurezza e la resilienza delle infrastrutture
digitali . Sono poi seguite le diverse posizioni del Consiglio europeo e del Parlamento, rispettivamente il 6 dicembre 2022 e il 14 giugno 2023. I successivi negoziati politici in seno alle massime istituzioni europee si sono conclusi il 9 dicembre 2023 con un accordo politico sul quadro normativo da recepire nell’AI Act. Oggetto di negoziato e di attenta valutazione sono stati molteplici aspetti applicativi della intelligenza artificiale, rapportati ai diritti fondamentali dell’Unione Europea, nella consapevolezza
che l’IA può esporre le persone a significativi pregiudizi anche fisici e morali ma, al contempo, “può fornire vantaggi competitivi fondamentali alle imprese e condurre a risultati vantaggiosi sul piano sociale e ambientale, ad esempio in materia di assistenza sanitaria,
agricoltura, sicurezza alimentare, istruzione e formazione, media, sport, cultura, gestione delle infrastrutture, energia, trasporti e logistica, servizi pubblici, sicurezza, giustizia, efficienza dal punto di vista energetico e delle risorse, monitoraggio ambientale, conservazione e ripristino della biodiversità e degli ecosistemi, mitigazione dei cambiamenti climatici e adattamento ad essi”.

Obiettivi e divieti

Oltre alla principale finalità di protezione di diritti fondamentali, democrazia, Stato di diritto e sostenibilità ambientale dei sistemi di IA ad alto rischio, il Regolamento in materia di intelligenza artificiale promuove l’innovazione e assicurando all’Europa un ruolo guida nel settore.
Inoltre, offre agli sviluppatori e agli operatori indicazioni chiare su obblighi e divieti relativi agli usi specifici dell’intelligenza artificiale con riguardo allo sviluppo, alla immissione sul mercato, alla messa in servizio e all’uso di sistemi di intelligenza artificiale. Parimenti, il Regolamento sostiene l’attuazione di azioni di “alfabetizzazione in materia di IA al fine di dotare i fornitori, i deployer e le persone interessate delle nozioni necessarie per prendere decisioni informate in merito ai sistemi di IA”.

L’art. 5 del Regolamento riporta le pratiche di IA vietate che, essenzialmente, sono quelle che espongono i diritti delle persone a danni gravi.

Tra le pratiche vietate si segnalano:

  • i sistemi di categorizzazione biometrica basati su caratteristiche sensibili
  • l’estrapolazione indiscriminata di immagini facciali da internet o dalle registrazioni dei sistemi di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale
  • i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole
  • i sistemi di credito sociale
  • le pratiche di polizia predittiva (se basate esclusivamente sulla profilazione o sulla valutazione delle caratteristiche di una persona)
  • i sistemi che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone

Sistemi ad alto rischio

L’IA ha il potenziale di trasformare radicalmente società ed economia, portando benefici considerevoli, ma comporta anche rischi per i diritti, la sicurezza e il corretto funzionamento del mercato unico. Per garantire un equilibrio tra queste due prospettive e guidare l’Europa nell’adozione responsabile dell’IA e dei suoi vantaggi nel migliore interesse generale, il Regolamento è stato concepito con un approccio basato sul rischio. Gli articoli da 6 a 27 definiscono e regolano i sistemi di IA ad alto rischio, in quanto caratterizzati da un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche. I sistemi di IA identificati come ad alto rischio includono, ad esempio, la tecnologia di IA utilizzata nel settore delle infrastrutture critiche (ad esempio, trasporti, sanità, istruzione, servizi bancari e finanziari), oppure nella produzione di componenti di sicurezza dei prodotti (si pensi all’applicazione di IA in chirurgia robotizzata), nell’ambito della ricerca, selezione e gestione dei lavoratori, nel contestato dell’amministrazione della giustizia (sistemi di giustizia predittiva, ad esempio). Per lo sviluppo e la commercializzazione di sistemi di IA ad alto rischio sono previsti obblighi stringenti. Di particolare interesse è la circostanza che i sistemi di identificazione biometrica, dei quali il Garante Privacy italiano si è in più occasioni occupato, in taluni casi sono considerati ad alto rischio e, ricorrendo determinate circostanze, sono vietati.

Sviluppo responsabile dell’intelligenza artificiale

Il Regolamento si propone, dunque, di supportare la diffusione di sistemi basati su una intelligenza artificiale affidabile e sicura, garantendo comunque la libera circolazione transfrontaliera di beni e servizi basati sull’IA e, soprattutto, sostenendo l’innovazione e le attività di ricerca e sviluppo. Allo stesso tempo, il Regolamento introduce misure a sostegno dell’innovazione, con particolare attenzione per le PMI e le start-up (artt. 57-63): è previsto che i Paesi dell’UE istituiscano e rendano accessibili “spazi di sperimentazione normativa” e meccanismi
di prova in condizioni reali (sandbox), in modo che PMI e start-up possano sviluppare e testare nuovi sistemi di IA. Lo scorso 24 gennaio la Commissione europea ha varato un pacchetto di misure per sostenere le start-up e le PMI europee nello sviluppo di tecnologie e sistemi AI-based conformi al nuovo framework normativo. In attesa che l’iter legislativo europeo si concluda e il Regolamento venga pubblicato, è ora
necessario che tutti gli operatori, anzitutto istituzionali, coinvolti nell’attuazione dell’AI Act si attivino per passare “dalla regola scritta alla regola viva”.