AI Act, approvato dal Parlamento europeo: breve guida alla lettura

Il Parlamento europeo ha approvato il testo del Regolamento sull’Intelligenza Artificiale (di seguito: Regolamento o IA Act) sul quale era stato raggiunto, con il Trilogo il 9 dicembre 2023, l’accordo politico tra gli Stati membri. Il testo, sottoposto in questi giorni, ad una messa a punto giuridico-linguistica per tutti gli Stati membri, dovrà essere formalmente approvato dal Consiglio.

Entrerà in vigore (180 Considerando, 113 Articoli, 13 Allegati) 20 giorni dopo la pubblicazione nella Gazzetta ufficiale UE e inizierà ad applicarsi 24 mesi dopo l’entrata in vigore salvo per quanto riguarda:

• i divieti relativi a pratiche vietate, che si applicheranno a partire da sei mesi dopo l’entrata in vigore;
• i codici di buone pratiche (9 mesi dopo);
• le norme sui sistemi di IA per finalità generali, compresa la governance (12 mesi dopo);
• gli obblighi per i sistemi ad alto rischio (36 mesi dopo).

Quella di ieri segna una tappa importante, ma non certo l’ultima, di un lungo percorso iniziato il 14 aprile 2021 con la proposta presentata dalla Commissione europea volta a promuovere lo sviluppo e l’adozione, in tutto il mercato unico, di una IA sicura e lecita, che rispetti i diritti fondamentali dell’individuo.

Una tecnologia antropocentrica, “uno strumento per le persone con il fine ultimo di migliorare il benessere degli esseri umani” (Considerando 6, IA Act) che si inserisce in un più ampio pacchetto di misure politiche a sostegno di una IA affidabile[1], con l’obiettivo di garantire la sicurezza e i diritti fondamentali delle persone e delle imprese e rafforzare la diffusione, gli investimenti e l’innovazione in tutta l’Unione europea. In ultima analisi si vuole, è questa la sfida, creare le premesse per fare in modo che gli europei possano fidarsi per quanto di buono l’IA può offrire.

E in quest’ottica va vista la mossa della Commissione di istituire, con decisione del 24 gennaio 2024, l’Ufficio europeo per l’IA previsto dall’art. 64 dell’AI Act, che ha il compito di contribuire all’attuazione, al monitoraggio e alla supervisione dei sistemi e della governance dell’IA.

L’Ufficio, infatti, ha il compito di collaborare con gli organi di governance degli Stati membri nello svolgimento dei loro compiti e con la più ampia comunità di esperti combinando le conoscenze nei diversi campi e settori (comunità scientifica, società civile, industria) valutando sviluppi possibili, potenziali vantaggi e rischi. Dovrebbe diventare un organismo centrale di coordinamento per la politica in materia di IA a livello UE e cooperare con gli altri dipartimenti della Commissione, gli organismi dell’UE, gli Stati membri e la comunità delle parti interessate. Sarà affiancato da un Gruppo scientifico di esperti indipendenti.

Vediamo insieme i passaggi del Regolamento più rilevanti.

La definizione

Innovativa ed allineata al lavoro delle organizzazioni internazionali, in particolare l’OCSE, l’IA  intesa come, “un sistema automatizzato (basato su macchine) progettato per funzionare con diversi livelli di autonomia e che può mostrare capacità di adattamento dopo l’installazione e che, per obiettivi espliciti o impliciti, deduce, dagli input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali” (art.3 IA Act). Il Considerando 10 chiarisce espressamente che la definizione non è intesa a coprire i sistemi software tradizionali o gli approcci di programmazione più semplici “basati su regole definite unicamente da persone fisiche per eseguire le operazioni in modo automatico”. Inoltre, la Commissione è stata incaricata di sviluppare linee guida sull’applicazione della definizione di sistema di IA.

Un approccio basato sul rischio

Più alto è il rischio possibile, più rigorosa e stringente deve essere la regolamentazione.

Regole che devono essere rispettate (in analogia con quanto accade per il Regolamento europeo sulla protezione dei dati) dai fornitori che immettono sul mercato o mettono in servizio nei paesi dell’Unione sistemi di IA indipendentemente dal fatto che siano stabiliti o ubicati nell’Unione o in un paese terzo; dagli operatori che hanno sede o sono situati all’interno dell’Unione e quelli situati in un paese terzo, purché l’output prodotto dal sistema di IA sia utilizzato nell’Unione; parimenti si applica ad altri soggetti della catena e, soprattutto a tutte le persone interessate che si trovano nell’Unione europea.

Rimangono fuori dal campo di applicazione dell’AI Act i sistemi utilizzati per scopi militari, di difesa e di sicurezza nazionale (il Regolamento non pregiudica le competenze degli Stati membri in materia di sicurezza nazionale) di ricerca e sviluppo scientifico.

Vengono vietate le applicazioni di IA che rappresentano un rischio inaccettabile per i diritti fondamentali dei cittadini. In particolare, si tratta di quei sistemi che:

• distorcono il comportamento di una persona attraverso tecniche subliminali o sfruttando vulnerabilità specifiche in modi che causano o sono suscettibili di causare danni fisici o psicologici;
• consentono la valutazione/classificazione dell’affidabilità (raiting) di persone fisiche mediante l’attribuzione di un punteggio sociale con finalità generali da parte di autorità pubbliche, tali da determinare trattamenti pregiudizievoli e o sfavorevoli (manipolazione comportamentale cognitiva, lo scraping non mirato delle immagini facciali da internet o da filmati di telecamere a circuito chiuso, il riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione, il punteggio sociale, la categorizzazione biometrica per dedurre dati sensibili, quali orientamento sessuale o le convinzioni religiose e alcuni casi di polizia predittiva per le persone);
• consentono l’identificazione biometrica remota, salvo casi eccezionali autorizzati dalla legge riconducibili ad attività di prevenzione e contrasto del crimine e soggetti a garanzie specifiche per il rispetto dei diritti fondamentali (casi di vittime di determinati reati, alla prevenzione di minacce reali, presenti o prevedibili, come attacchi terroristici e alla ricerca di persone sospettate dei più gravi reati).

I sistemi considerati ad alto rischio, sono quelli che potrebbero arrecare danni significativi alla salute, alla sicurezza, ai diritti fondamentali, all’ambiente riportati nell’Allegato III soggetto a integrazione e modifiche da parte della Commissione.

Rientrano in questa categoria gli usi legati alle infrastrutture critiche, istruzione e formazione professionale, occupazione, servizi pubblici e privati di base assistenza sanitaria, banche…), alcuni sistemi di contrasto, migrazione e gestione delle frontiere, giustizia e processi democratici. Questi sistemi sono soggetti ad obblighi rigorosi prima di essere immessi sul mercato che ne aumentino la sicurezza e la trasparenza, il controllo umano, standard elevati di cybersicurezza, la condivisione di informazioni adeguate con l’utente e uno specifico sistema di gestione dei rischi oltre a garanzie di alta qualità dei datasets e tracciabilità dei risultati.

Gli interessati avranno diritto di presentare reclami, per mancata conformità al regolamento, alle pertinenti autorità di vigilanza e a ricevere spiegazioni sulle decisioni adottate.

In presenza di un rischio limitato sono introdotti specifici obblighi di trasparenza per garantire che gli individui siano informati di trovarsi di fronte a sistemi e prodotti generati o che utilizzano IA.

Tutti i fornitori devono garantire che i sistemi di IA destinati ad interagire direttamente con le persone fisiche siano progettati e sviluppati in modo tale che le persone interessate siano di fatto informate di stare interagendo con un sistema di IA. Tale obbligo non si applica ai sistemi autorizzati dalla legge per accertare, prevenire, indagare o perseguire reati, fatte salve le tutele adeguate per i diritti e le libertà di terzi.

Obbligo di formazione

I fornitori e gli operatori avranno altresì l’obbligo di garantire, per quanto possibile, un livello sufficiente di alfabetizzazione in materia di IA del loro personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA per loro conto, sulla base delle loro conoscenze tecniche, esperienze, istruzione e formazione nonché del contesto e delle persone su cui i sistemi di IA devono essere utilizzati.

Governance

Oltre all’Ufficio per l’IA verrà istituito:

• un Comitato europeo per l’IA, composto da un rappresentante per Stato membro, al quale partecipa come osservatore il Garante europeo per la protezione dei dati, con il potere di agevolare coerenza e coordinamento tra le autorità nazionali nel rispettivo Stato, agevolare le attività congiunte e contribuire all’armonizzazione delle pratiche amministrative. Anche attraverso la raccolta di dati ed informazioni pertinenti il Comitato, su richiesta della Commissione o di propria iniziativa, potrà formulare raccomandazioni e pareri scritti su qualsiasi questione pertinente l’interpretazione e l’applicazione coerente ed efficace del Regolamento (art. 65 AI Act). Rappresenta una piattaforma di coordinamento e organo consultivo della Commissione con un ruolo importate nei singoli stati nell’attuazione del regolamento, compresa la progettazione di codici di buone pratiche per i modelli di base;
• un Forum consultivo composto da una selezione equilibrata di portatori di interessi, quali i rappresentanti dell’industria, le PMI, le start-up, la società civile e il mondo accademico al fine di fornire competenze tecniche al Comitato per l’IA;
• un Gruppo di esperti scientifici indipendenti (da qualsiasi fornitore) selezionati dalla Commissione in possesso di particolari conoscenze, capacità e competenze scientifiche o tecniche nel settore anche per sostenere il lavoro dell’Ufficio per l’IA e delle autorità di vigilanza. Anche gli Stati membri possono ricorrere autonomamente al Gruppo di esperti con le modalità che saranno fissate dalla Commissione;
• Autorità nazionali competenti: una di notifica e una di vigilanza, che dovranno operare in modo indipendente imparziale e senza pregiudizi salvaguardando i principi di obiettività e garantire applicazione del Regolamento: conformemente alle esigenze organizzative di ciascun Stato membro, nel rispetto di tali principi compiti e attività possono essere svolti da una o più autorità designate. Alle Autorità vanno garantite risorse tecniche, finanziarie ed umane adeguate, nonché infrastrutture necessarie per svolgere efficacemente i loro compiti a norma del Regolamento. Ogni anno gli Stati membri devono presentare una relazione alla Commissione che esprime un giudizio di adeguatezza, sentito il Comitato.
• una banca dati comune europea per i sistemi ad alto rischio.

Il Regolamento che, come anticipato, sarà formalmente approvato, prima della fine della legislatura, nel prossimo Consiglio europeo dopo la necessaria verifica finale ad opera del gruppo dei giuristi-linguisti, segna una sfida importante per ciascuno degli Stati membri e per le istituzioni europee.

Sicuramente si tratta di un tassello fondamentale (non certamente semplice nella sua applicazione, dalla stessa governance, articolata e complessa) che andrà a segnare il ruolo che l’Unione saprà assumere nello scenario mondiale.  Occorre coerenza, condivisione e cooperazione.

[1] Nel mese di gennaio la Commissione ha lanciato un pacchetto di innovazione sull’IA “GenAI4EU” per sostenere le startup e le PMI nello sviluppo di un’IA affidabile e conforme ai valori e alle norme dell’UE. Le aree di applicazione includono robotica, salute, biotecnologia e chimica, produzione (materiali e batterie – manifatturiero e ingegneria), mobilità, clima e mondi virtuali, cybersicurezza, aerospazio, agricoltura, scienza e mondi virtuali).