24 Lug AI Act: il Parlamento europeo adotta la propria posizione
Autori: Davide Baldini, Francesca Tugnoli, Eleonora Margherita Auletta
Iter legislativo ed entrata in vigore
In data 14 giugno 2023, il Parlamento europeo ha approvato la propria posizione[1] relativa al c.d. “AI Act”, ossia la bozza di regolamento proposta dalla Commissione europea nel 2021[2], con l’obiettivo di stabilire regole applicabili al settore dell’Intelligenza Artificiale[3] valide in tutta l’UE.
Il testo approvato dal Parlamento europeo non costituisce ancora la versione finale[4]: si prevede che l’AI Act verrà formalmente adottato entro la fine del 2023, divenendo direttamente applicabile entro il 2025[5].
L’“Intelligenza Artificiale”: definizione e ambito applicativo dell’AI Act
L’obiettivo dichiarato del Regolamento è quello di promuovere lo sviluppo di sistemi di Intelligenza Artificiale (“IA”) in grado di garantire un elevato livello di protezione per la salute, la sicurezza, i diritti fondamentali, la democrazia e l’ambiente[6]. In questo contesto, il Regolamento adotta una definizione piuttosto ampia di “Sistema di IA”, definendolo come: “un sistema automatizzato progettato per operare con livelli di autonomia variabili e che, per obiettivi espliciti o impliciti, può generare output quali previsioni, raccomandazioni o decisioni che influenzano gli ambienti fisici o virtuali”[7]. Tale definizione è allineata a quella adottata di recente dall’OCSE[8], al fine di favorire una convergenza sulla definizione di IA[9], che, in virtù della portata particolarmente ampia, sia idonea a ricomprendere non soltanto gli approcci basati sul machine learning[10] – ad oggi, il settore dell’IA maggiormente noto e utilizzato – ma anche altre tecnologie esistenti ormai da decenni, come gli expert systems[11].
Dal punto di vista soggettivo, l’AI Act individua il destinatario della maggior parte degli obblighi nel “Fornitore di IA”, vale a dire il soggetto che sviluppa e/o mette in commercio il sistema di IA[12]. Questi si differenzia dall’”Operatore”, ossia l’effettivo utilizzatore del sistema di IA, che risulta destinatario di minori adempimenti.
Un approccio basato sul rischio: la categorizzazione dei Sistemi di IA
L’AI Act si contraddistingue per aver adottato una linea d’azione basata sulla valutazione del rischio, che si declina nella categorizzazione dei Sistemi di IA in tre macro-categorie:
-
-
-
- i sistemi vietati, in quanto considerati eccessivamente rischiosi;
- i sistemi ad alto rischio, soggetti a obblighi e requisiti stringenti;
- i sistemi a rischio basso e limitato, soggetti a obblighi più blandi, principalmente in materia di trasparenza verso l’utente finale.
-
-
Nella categoria dei sistemi vietati[13]rientrano gli AI Systems utilizzati per finalità di:
-
-
-
- social scoring da parte di pubbliche amministrazioni;
- manipolazione del libero arbitrio mediante tecniche subliminali;
- identificazione biometrica remota in tempo reale in spazi accessibili al pubblico[14];
- identificazione biometrica al fine di categorizzare persone sulla base delle speciali categorie di dati personali di cui all’art. 9 del Regolamento UE n. 2016/679 (“GDPR”);
- riconoscimento delle emozioni, salvo il loro utilizzo per applicazioni mediche e con consenso informato del paziente.
-
-
Assai più nutrita risulta la lista dei sistemi ad alto rischio[15], nella quale sono compresi i Sistemi di IA utilizzati, ad esempio, per finalità di:
-
-
-
- calcolo del rischio creditizio;
- valutazione dello status di migrazione, asilo, o protezione internazionale;
- valutazione delle performance degli studenti;
- giustizia, quali ad esempio la valutazione del rischio di recidiva;
- utilizzo in ambito lavorativo, tra cui la valutazione dei CV ai fini di assunzione, delle performance di dipendenti, ecc.
-
-
Sono altresì considerati ad alto rischio i c.d. “recommender systems”, ma solo laddove utilizzati da “very large online platforms” o “very large online search engine” ai sensi del Digital Services Act[16], la cui lista è stata di recente pubblicata dalla Commissione europea[17].
I provider di sistemi ad alto rischio sono soggetti a molteplici obblighi, tra cui:
-
-
-
- registrare i propri sistemi in un database;
- sottoporre i sistemi a un meccanismo di conformità ex ante, ossia da condurre prima della messa in commercio del sistema e che, una volta superato, permetterà al Fornitore di utilizzare il marcatore “CE”;
- soddisfare una serie di requisiti tecnici riguardo alla gestione del rischio;
- implementare meccanismi di testing;
- assicurare la robustezza tecnica del sistema;
- soddisfare una serie di requisiti nell’ambito di data training e data governance;
- assicurare la trasparenza;
- garantire il controllo umano sul funzionamento e la sicurezza informatica;
- fornire dettagliate istruzioni sull’utilizzo del Sistema di IA all’Operatore e, più in generale, progettare i Sistemi di IA affinché gli Operatori possano comprenderne il funzionamento[18];
- qualora stabiliti fuori dall’UE, designare un rappresentante autorizzato all’interno dell’Unione.
-
-
Al fine di adempiere agli obblighi sopra indicati, i Fornitori di IA potranno ricorrere ad appositi standard europei, attualmente in via di definizione, beneficiando così di una presunzione di conformità[19].
Quanto all’Operatore che utilizza Sistemi di IA ad alto rischio, è richiesto che quest’ultimo effettui una valutazione d’impatto sui diritti fondamentali[20].
Focus sulla regolamentazione della “generative AI”
Rispetto alla precedente versione dell’AI Act, il Parlamento europeo ha integrato nuovi obblighi applicabili a Fornitori e Operatori di Sistemi di “General-purpose AI”[21], quali ad esempio ChatGPT, introducendo una regolamentazione” a strati” applicabile a questa tecnologia e distinguendo, altresì, l’ulteriore categoria dei ”foundation models”. I Fornitori di tali sistemi sono anch’essi tenuti a garantire un elevato livello di protezione dei diritti fondamentali, salute, sicurezza, ambiente, democrazia e stato di diritto e a valutare e mitigare i rischi derivanti da tali sistemi, nonché registrarli in un database.
I sistemi utilizzati per generare arte, musica e altri contenuti sono, invece, soggetti a rigidi obblighi di trasparenza. I rispettivi Fornitori sono tenuti a segnalare che il contenuto è stato generato da un Sistema di IA, ad addestrare e progettare i modelli per prevenire la generazione di contenuti illegali, nonché a pubblicare informazioni sull’uso dei dati protetti da copyright, ove utilizzati per addestrare il modello.
Conclusioni: nuovi obblighi, ma anche opportunità di compliance. Take away operativi
Vi sono molteplici punti di contatto tra il nuovo Regolamento e il GDPR: laddove, infatti, il sistema di IA effettui attività di trattamento di dati personali, il GDPR troverà applicazione “cumulativamente” all’AI Act. Coerentemente, le sanzioni comminabili ai sensi dell’AI Act – fino a 40 milioni o 7% del fatturato mondiale annuo – potranno essere eventualmente cumulabili con quelle previste in caso di violazione del GDPR.
In particolare, la figura dell’Operatore sarà, nella pratica, sovrapponibile a quella del Titolare del trattamento. Pertanto, tale soggetto potrà sfruttare a proprio vantaggio gli obblighi che il nuovo Regolamento pone in capo al Fornitore tra cui, segnatamente, l’obbligo di fornire le istruzioni e le specifiche tecniche relative al Sistema di IA, per adempiere all’obbligo di valutazione d’impatto[22] e in, generale per rafforzare la propria accountability.
Nell’ambito dei successivi passaggi legislativi, si attendono modifiche soprattutto sulla lista dei sistemi vietati e quelli ad alto rischio, sulla definizione di IA e sulla regolamentazione della IA generativa, mentre l’impostazione generale del Regolamento non dovrebbe subire particolari variazioni[23].
Infine, alla luce di quanto precede, è raccomandabile che le organizzazioni che utilizzano Sistemi di IA avviino fin da ora un processo di mappatura, verificando la categoria di rischio di appartenenza. A tal fine, potranno essere sfruttate a proprio vantaggio le attività di compliance GDPR già poste in essere, tra cui, ad esempio, la redazione del Registro dei trattamenti. Naturalmente, i Fornitori di Sistemi di IA ad alto rischio potranno, dal canto loro, già porre in essere preliminari valutazioni riguardo alla conformità tecnica delle proprie soluzioni ai requisiti dell’AI Act.
[1] Il testo della versione approvata dal Parlamento è disponibile al seguente URL: https://www.europarl.europa.eu/doceo/document/TA-9-2023-0236_IT.html. All’interno del presente contributo, il termine “AI Act” e “Regolamento” si riferiscono alla versione approvata dal Parlamento.
[2] COM(2021) 206 final https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52021PC0206.
[3] L’espressione “Intelligenza Artificiale” non trova una definizione globalmente accettata (cfr. S.J. Russell, P. Norvig, Artificial Intelligence: A Modern Approach, Harlow, 2021, p. 19 e ss.). All’interno del presente contributo, con tale espressione ci si riferisce alla definizione proposta dal Parlamento europeo, esaminata poco più avanti.
[4] Il testo approvato dal Parlamento verrà adesso sottoposto ai c.d. “triloghi”. Semplificando, si tratta di una fase del procedimento legislativo ordinario dell’UE (disciplinato dagli artt. 289 e ss. TFUE), consistente in negoziazioni interistituzionali tra il Parlamento europeo (espressione della sovranità popolare), il Consiglio dell’UE (espressione dei governi degli Stati membri) e la Commissione europea (espressione del potere esecutivo dell’Unione).
[5] https://www.euractiv.com/section/politics/news/eu-commission-expects-first-bloc-wide-ai-law-to-be-adopted-this-year/.
[6] Si veda l’art. 1 dell’AI Act.
[7] Si veda l’art. 3(1)(1) dell’AI Act.
[8] Si tratta in particolare del documento “Recommendation of the Council on Artificial Intelligence”, disponibile al seguente indirizzo: https://legalinstruments.oecd.org/en/instruments/OECD-LEGAL-0449.
[9] Il considerando 6 dell’AI Act stabilisce in proposito: “La nozione di sistema di IA di cui al presente regolamento dovrebbe essere definita in maniera chiara e strettamente allineata al lavoro delle organizzazioni internazionali che si occupano di intelligenza artificiale al fine di garantire la certezza del diritto, l’armonizzazione e un’ampia accettazione, prevedendo nel contempo la flessibilità necessaria per agevolare i rapidi sviluppi tecnologici”.
[10] Secondo la nota definizione di T. Mithcell, il machine learning può essere definito come ”lo studio di algoritmi informatici che migliorano automaticamente attraverso l’esperienza”. Cfr. T. Mitchell, Machine Learning, McGraw Hill, 1997.
[11] Si tratta di software, sviluppati a partire dagli anni ’70, programmati per risolvere problemi complessi ragionando attraverso ”corpi di conoscenza”, rappresentati principalmente come regole “if-then“. Cfr. S.J. Russell e P. Norvig, nota 3 supra, pp. 40-42.
[12] La definizione si rinviene all’art. 3(2) dell’AI Act: ”una persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che sviluppa un sistema di IA o fa sviluppare un sistema di IA e immette tale sistema sul mercato o lo mette in servizio con il proprio nome o marchio, a titolo oneroso o gratuito”.
[13] La categoria è delineata dall’art. 5 dell’AI Act.
[14] L’utilizzo di questi sistemi resta possibile solo ove disposto dall’autorità giudiziaria nell’ambito di procedimenti penali.
[15] La categoria è delineata dall’art. 6 dell’AI Act.
[16] Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio del 19 ottobre 2022 relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali).
[17] https://ec.europa.eu/commission/presscorner/detail/en/IP_23_2413.
[18] Art. 13(1) dell’AI Act.
[19] Per una disamina del ruolo degli standard nell’ambito dell’AI Act, si veda M. Veale, F. Z. Borgesius, Demystifying the Draft EU Artificial Intelligence Act, Computer Law Review International, 4/2021, disponibile al seguente indirizzo: https://arxiv.org/abs/2107.03721.
[20] Art. 29 bis dell’AI Act.
[21] La nozione, resa in italiano come ‘Sistema di IA per finalità generali’ si rinviene all’art. 3(1)quinquies dell’AI Act: ”un sistema di IA che può essere utilizzato e adattato a un’ampia gamma di applicazioni per le quali non è stato intenzionalmente e specificamente progettato”.
[22] Come ribadito altresì dall’art. 29(5) dell’AI Act.
[23] Cfr. nota 5, supra.