L’Artificial Intelligence Act (AI Act): il Regolamento europeo sull’intelligenza artificiale

Sommario: 1. Il contesto normativo che ha portato all’approvazione dell’AI Act – 2. Definizione, ambito di applicazione e obiettivi del Regolamento europeo sull’intelligenza artificiale – 3. Classificazione dei sistemi di IA in base al livello di rischio, trasparenza e tutela dei diritti fondamentali – 4. Misure a sostegno dell’innovazione – 5. Profili critici dell’AI Act – 6. Conclusioni

1. Il contesto normativo che ha portato all’approvazione dell’AI Act

In data 13 marzo 2024 il Parlamento europeo ha approvato in via definitiva l’Artificial Intelligence Act, ovvero il Regolamento europeo sull’intelligenza artificiale (AI Act), che rappresenta il primo e pioneristico tentativo di disciplinare a livello normativo e globale l’immissione e l’utilizzo di tali strumenti di elevata tecnologia nell’area UE. Il Regolamento UE deve ancora superare l’ultimo vaglio del Consiglio UE prima di essere pubblicato sulla Gazzetta Ufficiale UE per la definitiva entrata in vigore¹.

Tale intervento normativo si inquadra nel più ampio contesto della strategia digitale dell’Unione Europea, che mira a favorire e implementare lo sviluppo di tecnologie digitali sicure, etiche e trasparenti operando un equo bilanciamento tra l’innovazione tecnologica e il rispetto dei diritti umani fondamentali dei cittadini europei.

In via preliminare, si precisa che l‘intelligenza artificiale (AI, Artificial Intelligence) costituisce una delle tecnologie informatiche più innovative che rivoluziona il modo con il quale l’uomo interagisce con la macchina e le macchine tra loro. In altri termini, l’AI è definibile come il processo mediante il quale le macchine e i sistemi informatici  simulano i processi di intelligenza umana.

Le specifiche applicazioni dell’IA concernono sistemi quali l’elaborazione del linguaggio naturale, il riconoscimento vocale e la visione artificiale.

Grazie all’intelligenza artificiale è possibile rendere le macchine e i robot in grado di effettuare operazioni e ragionamenti complessi in breve tempo, apprendere dagli errori, e svolgere funzioni fino ad oggi di appannaggio esclusivo dell’intelligenza umana.

La rapida evoluzione dei sistemi di IA ha messo, inoltre, in evidenza i significativi e dirompenti impatti su vasta scala di tali tecnologie in ogni ambito della vita sociale, dell’economia, della mobilità, del mondo del lavoro, dell’amministrazione pubblica, del diritto e dell’etica.

Da ciò, ne è scaturito un ampio dibattito finalizzato ad individuare le modalità con le quali sfruttare al massimo i vantaggi scaturenti dalle tecnologie dell’IA minimizzando, al contempo, i rischi potenziali derivanti dall’utilizzo di tali strumenti.

Pertanto, è emersa la necessità di delineare a livello europeo un quadro normativo in grado di orientare l’impiego delle tecnologie di IA in modo trasparente, sicuro, responsabile e idoneo a tutelare i diritti fondamentali della persona umana.

In tale ottica, l‘Unione Europea, già nota per l’impegno profuso nella tutela dei dati personali attuata con il Regolamento UE n. 679/2016, Regolamento Generale sulla Protezione dei Dati (GDPR), ha percorso un tentativo simile per l’Intelligenza Artificiale.

Il Regolamento sull’IA è stato emanato a seguito di un lungo e complesso iter legislativo, caratterizzato da un’ampia consultazione pubblica che ha visto il coinvolgimento del mondo dell’industria, delle istituzioni accademiche, delle organizzazioni della società civile e dei cittadini.

A tale corpus normativo saranno tenute ad adeguarsi tutte le aziende e le Pubbliche Amministrazioni in quanto, stante la sua natura di fonte regolamentare, il medesimo risulta direttamente applicabile nell’ordinamento degli Stati membri senza la necessità di una normativa nazionale di recepimento.

Le regole dell’AI Act, similmente a quanto accaduto per il GDPR, entreranno in vigore scaglionate nel tempo, consentendo alle imprese e alle Pubbliche Amministrazioni di adeguarsi al nuovo quadro normativo.

In ogni caso, la tempistica prevista per l’attuazione del Regolamento è comunque ridotta: entro sei mesi dall’entrata in vigore dovranno essere eliminati gradualmente i sistemi vietati dall’AI Act, entro dodici si applicheranno le norme di governance generali a tutte le aziende e le PA. Entro due anni dall’entrata in vigore il Regolamento sarà pienamente applicabile, incluse le disposizioni per i sistemi ad alto rischio.

L’adozione e l’attuazione del Regolamento sull’IA verranno, poi, sottoposte ad un’opera di costante monitoraggio per valutarne l’efficacia e, se del caso, effettuare le modifiche opportune.

2. Definizione, ambito di applicazione e obiettivi del Regolamento europeo sull’intelligenza artificiale

Il nucleo centrale dell’AI Act ruota attorno alla perimetrazione del concetto di intelligenza artificiale, destinato a connotare l’ambito di applicazione del Regolamento.

Al riguardo, si precisa che, sebbene in prima battuta la Commissione europea aveva ipotizzato una definizione flessibile di “sistema di IA”, successivamente tale nozione è stata rimeditata al fine di conformarsi alla definizione dell’OCSE. In tal modo, si è voluto assicurare chiarezza nella distinzione tra IA e sistemi software più semplici. Allo stato attuale, l’Artificial Intelligence Act definisce le tecnologie di IA quali entità automatizzate capaci di adattarsi e influenzare realtà fisiche o virtuali.

Quanto all’ambito di applicazione, si precisa che il Regolamento europeo si applicherà a tutti i soggetti pubblici e privati che producono strumenti tecnologici di intelligenza artificiale rivolti al mercato europeo, indipendentemente dal fatto che le aziende siano o meno europee.

Per contro, il Regolamento sull’IA non si applica ai settori posti al di fuori del diritto dell’UE, preservando le competenze degli Stati membri, nonché ai sistemi di AI utilizzati per scopi militari, di difesa o di sicurezza nazionale, a quelli per scopi di ricerca e sviluppo scientifico, o a quelli rilasciati con licenze free e open source, per l’attività di ricerca, prova e sviluppo relative a sistemi di intelligenza artificiale e per le persone fisiche che utilizzano i sistemi di AI per scopi puramente personali.

Il Regolamento sull’IA persegue, inoltre, diversi obiettivi fondamentali, quale, innanzitutto, la promozione dell’innovazione tecnologica garantendo che l’Europa resti all’avanguardia nell’implementazione e nell’applicazione dell’IA, sostenendo la ricerca e l’innovazione nel rispetto dei valori e dei diritti fondamentali.

In secondo luogo, l’impianto normativo in esame si prefigge la finalità di garantire la sicurezza e tutelare i diritti fondamentali mediante la previsione di requisiti stringenti per i sistemi di IA ad alto rischio, con l’introduzione di norme trasparenti e prevedibili promuovendo la fiducia dei consumatori e delle imprese.

Viene, inoltre, prevista la definizione di un sistema di governance e il monitoraggio della conformità, con la previsione di meccanismi di sorveglianza del mercato dell’IA. In particolare, tale quadro di governance è stato istituito con la previsione di un ufficio per l’IA, un gruppo scientifico di esperti indipendenti e un comitato per l’IA.

La violazione delle previsioni del Regolamento è, infine, stigmatizzata con un sistema di sanzioni che contempla multe pecuniarie proporzionate al fatturato annuo globale, con massimali più equi per PMI e start-up, nonché alla gravità delle violazioni, al fine di assicurare che i sistemi di IA siano sviluppati ed impiegati in modo etico e legale.

3. Classificazione dei sistemi di IA in base al livello di rischio, trasparenza e tutela dei diritti fondamentali

Uno degli aspetti centrali del Regolamento UE sull’IA è rappresentato dalla classificazione dei sistemi di IA in base al rischio, prevedendo un insieme di regole gradualmente più stringenti a seconda dei livelli di rischio, nell’ottica di sottoporre l’ambito dell’IA ad un effettivo controllo da parte delle autorità pubbliche.

I sistemi di AI sono divisi in quattro macrocategorie: a rischio minimo, limitato, alto ed inaccettabile.

Al riguardo, si precisa che più elevato è il rischio e maggiori sono i limiti e le responsabilità cui vanno incontro gli operatori dei sistemi di IA.

In particolare, in relazione ai c.d. sistemi ad “alto rischio” il Regolamento europeo contempla regole più rigorose in punto di valutazione del rischio e di trasparenza, nonché obblighi di controllo da parte dell’uomo ed elevati standard di conformità.

Per i sistemi di IA ad alto rischio è prevista una procedura di valutazione della conformità prima della relativa immissione e utilizzo nel mercato europeo. Inoltre, deve essere progettato un sistema di gestione dei rischi, occorre predisporre un’adeguata documentazione tecnica, la modalità d’uso deve essere illustrata agli utilizzatori e la loro progettazione deve contemplare la sorveglianza umana.

Peraltro, ove un sistema di IA comporti il trattamento di dati personali, deve essere dichiarata la conformità alle norme sulla privacy.

A titolo esemplificativo, sono annoverati nell’ambito dei sistemi di IA ad “alto rischio” quelli afferenti ad ambiti sensibili, quali la gestione delle infrastrutture, la sicurezza pubblica, l’istruzione, l’occupazione e il settore giudiziario.

Per contro, i sistemi di IA non sono considerati “ad alto rischio” se non presentano un rischio significativo di danno alla salute, alla sicurezza o ai diritti fondamentali.

Ad ogni modo, è vietato l’uso dei sistemi di AI per manipolare i comportamenti delle persone, per la categorizzazione biometrica in riferimento ai dati sensibili, per la raccolta massiccia e illimitata di foto di volti da internet, per il riconoscimento delle emozioni sul posto di lavoro o a scuola, per i sistemi di punteggio sociale e per meccanismi di polizia predittiva, cioè l’impiego di dati sensibili per calcolare le probabilità che una persona commetta un reato.

Un aspetto rilevante del Regolamento concerne la trasparenza: le persone devono essere informate sul fatto che stanno interagendo con un sistema di IA, a meno che ciò sia già evidente per un soggetto ragionevolmente attento. In ogni caso, i fornitori dei sistemi di IA devono strutturare e implementare tali sistemi in modo da non ingenerare equivoci nei fruitori degli stessi.

Non solo: è posto a carico dei fornitori dell’IA che producono contenuti audio, immagini, video o testuali sintetici, uno specifico obbligo di assicurare che il relativo prodotto sia marcato in un formato meccanicamente leggibile e rilevabile come generato o manipolato artificialmente.

L’obbligo di trasparenza è prescritto anche per gli operatori che utilizzano sistemi di IA di riconoscimento delle emozioni, sistemi di categorizzazione biometrica e sistemi di IA che creano o manipolano immagini o contenuti audio o video, che costituiscono un “deep fake“².

Il predetto obbligo normativo non sorge, tuttavia, in talune ipotesi: se si impiegano i sistemi IA per ragioni di giustizia penale o, nell’ambito editoriale, se viene effettuata la revisione umana del testo scritto dall’IA e se sussiste un responsabile della pubblicazione del contenuto.

Un aspetto rilevante è, altresì, rappresentato dalla valutazione di impatto sui diritti fondamentali che i fornitori di sistemi di IA ad alto rischio sono tenuti ad effettuare prima dell’immissione sul mercato dei predetti sistemi, nell’ambito della quale evidenziare tutti i potenziali rischi per i diritti e le libertà individuali.

4. Misure a sostegno dell’innovazione

Un ulteriore aspetto innovativo del Regolamento è rappresentato dal tentativo di attuare un equo contemperamento tra la finalità di promuovere l’innovazione con la necessità di predisporre una compiuta regolamentazione.

Invero, l’impianto normativo in esame prevede apposite misure di sostegno per la ricerca e lo sviluppo dell’IA mediante specifiche deroghe e l’introduzione di ambiti di sperimentazione normativa per testare sistemi di IA innovativi in condizioni reali, riducendo gli oneri amministrativi per per Pmi e start-up.

Il Regolamento contempla, altresì, un meccanismo di aggiornamento dinamico, prevedendo la necessità di adeguamento costante in concomitanza con l’evoluzione tecnologica. In particolare, tale meccanismo permette di sottoporre a revisione periodica il sistema di classificazione dei rischi sopra esposto, nonché di aggiornare il quadro normativo in conseguenza dei mutamenti tecnologici e sociali.

5. Profili critici dell’AI Act

A seguito dell’approvazione dell’AI Act è insorto un animato dibattito tra gli esperti del settore in relazione alle possibili ripercussioni del Regolamento europeo e ai profili critici inerenti al suo ambito di applicazione.

In primo luogo, si è osservato che l’articolato quadro normativo e l’imposizione di norme rigorose per i sistemi di IA potrebbero fortemente limitare l’innovazione tecnologica, nonché la competitività delle imprese europee nel settore dell’intelligenza artificiale, in particolare le PMI e le start up.

Un altro aspetto critico concerne il profilo della trasparenza degli strumenti tecnologici di IA e il diritto dei cittadini di comprendere le decisioni assunte mediante i relativi sistemi. In proposito, il timore che si è sollevato in relazione all’impiego delle tecnologie di IA è quello che, in assenza di strumenti di controllo effettivi, il diffondersi di tali sistemi potrebbe generare nuove forme di disuguaglianze sociali. Invero, stante il rapido evolversi dell’IA in tutti i settori della società, potrebbe risultare particolarmente difficoltoso attuare nella pratica quel sistema di monitoraggio introdotto dal Regolamento.

Ulteriori criticità sollevate dall’introduzione del Regolamento riguardano l’asserita difficoltà dell’impianto normativo in esame ad assicurare una tutela effettiva dei cittadini dai potenziali rischi recati dalle tecnologie di IA, con particolare riguardo alla sorveglianza di massa, al profiling etnico e ad altre forme di discriminazione automatizzata.

6. Conclusioni

L’AI Act rappresenta, senza dubbio, un punto di svolta nell’era digitale, recando un quadro normativo globale di regolamentazione dell’IA con l’intento di promuoverne lo sviluppo e di favorire l’adozione di tecnologie digitali sicure e affidabili nell’intero mercato unico dell’UE, con l’obiettivo primario di attuare un delicato bilanciamento tra l’innovazione tecnologica e la protezione dei diritti umani fondamentali.

Il Regolamento europeo sull’IA va, inoltre, salutato con favore in quanto persegue, altresì, la finalità complementare di incentivare gli investimenti e l’innovazione nel campo dell’IA, introducendo un rilevante precedente per l’intera industria europea.

Il successo futuro dell’AI Act, tuttavia, dipenderà dalla capacità di adeguarsi in maniera dinamica alla costante evoluzione dell’IA e del contesto sociale. Sarà, pertanto, necessario un continuo processo di monitoraggio e adattamento del quadro normativo, promuovendo un ampio dialogo con tutti gli stakeholder coinvolti.