Tech Legal Regolamento sull'Intelligenza artificiale, l’ok è vicino. Ecco cosa cambia Anna Capoluongo 11 June 2023 AI IoT Privacy UE Sì ai deepfake, no alla polizia predittiva. Il regolamento europeo sull’AI si avvicina al traguardo con molte novità rispetto alla prima proposta del 2021 Nell’ambito di una più ampia strategia digitale, l’UE si è voluta dedicare anche ad una regolamentazione dei sistemi di intelligenza artificiale (anche AI Act) che potesse rispondere alle esigenze di certezza del diritto e omogeneità applicativa delle medesime norme su tutto il territorio europeo, al fine di garantire condizioni migliori per lo sviluppo, la commercializzazione e l’uso di tale innovativa tecnologia. Su tali basi, infatti, il 21 aprile 2021, la Commissione europea ha pubblicato la proposta per il primo quadro normativo dell’UE per l’Intelligenza Artificiale, sottolineando come nella stessa: “(…) si prende atto delle discussioni svoltesi a livello internazionale e si tenta di delineare una disciplina in cui le istituzioni pubbliche si pongono come custodi di un sistema di governance nel quale autorità indipendenti nazionali si coordinano tra loro e verificano, anche attraverso il contributo di entità private, la qualità dei sistemi AI prima del loro ingresso nel mercato, valutandone i requisiti, che sono differenziati a seconda del rischio intrinseco – elevato o meno – rappresentato dagli agenti artificiali. In altri termini, l’etica dell’IA viene ricondotta ad un sistema di certificazione tecnologica del tutto simile a quella già applicata ai prodotti industriali, ossia ad una questione di design tecnologico”. Una regolamentazione, quindi, fin dall’inizio caratterizzata dal “risk-based approach”, ossia basata sulla valutazione del rischio, ormai già ampiamente nota poiché utilizzata anche nell’ambito della data protection con il Regolamento europeo 679/2016. Si noti che, in caso di violazioni, le sanzioni potranno arrivare fino a 30 milioni di euro o 6% del fatturato mondiale annuo. Il calendario Questa proposta, nata nel 2021 appunto, ha visto negli ultimi 2 anni diversi interventi e modifiche e ad oggi si attende l’approvazione da parte del Parlamento europeo entro fine giugno 2023, cui seguiranno colloqui con i Paesi dell’UE in sede di Consiglio per giungere ad un accordo definitivo. I concetti base Quanto alla struttura, la proposta di Regolamento, dopo aver chiarito l’ambito di applicazione e aver dato una definizione di sistema di AI, continua con l’individuazione delle pratiche di intelligenza artificiale vietate (poiché definite a rischio inaccettabile, come ad esempio il social scoring o punteggio sociale), quelle ad alto rischio (con riferimento all’impatto su diritti, salute e sicurezza) e quelle a rischio limitato (che possono utilizzarsi solo dietro rispetto di specifici obblighi di trasparenza verso le persone fisiche interessate). Per le AI a rischio minimo, invece, è consentito il libero utilizzo (ad esempio nel caso di videogiochi abilitati all’IA o i filtri antispam). Circa la definizione dei sistemi di AI, è bene sottolineare come inizialmente la Commissione la avesse basata su una serie di tecniche elencate in un allegato al Regolamento, mentre da ultimo si sia optato piuttosto per inserirla all’interno del corpo normativo (e non più in un allegato), al tempo stesso allineandola a quella data dall’Organizzazione per la cooperazione e lo sviluppo economico (OCSE). La nuova definizione Ecco, quindi, che ad oggi l’AI – ai sensi dell’AI Act – verrebbe descritta come “un sistema progettato per operare con vari livelli di autonomia che può, per obiettivi espliciti o impliciti, generare risultati come previsioni, raccomandazioni o decisioni che influenzano ambienti fisici o virtuali”. Questa versione risulta ampliata rispetto alla prima formulazione, poiché non fa più riferimento alcuno ai sistemi di machine learning (o apprendimento automatico), e permette di farvi rientrare anche i modelli di AI generativa come l’ormai famoso ChatGPT. Le regole principali Ma le modifiche non si sono fermate alla definizione dei sistemi, andando ad impattare anche sui seguenti aspetti: – sistemi vietati: la proposta iniziale limitava l’uso dei sistemi di identificazione biometrica in tempo reale a situazioni specifiche (ad es. attacchi terroristici e i rapimenti), mentre nell’ultima versione disponibile si rinviene un divieto totale dei sistemi di identificazione biometrica, consentendone l’uso a posteriori solo per reati gravi, previa approvazione giudiziaria. Sono stati, inoltre, vietati la categorizzazione biometrica, la polizia predittiva e i software che raccolgono immagini facciali da Internet per creare database. Il divieto si estende anche ai sistemi per il riconoscimento delle emozioni; – approccio basato sul rischio: attualmente il testo inserisce un livello orizzontale in aggiunta alla classificazione ad alto rischio, al fine di garantire che non siano inclusi i sistemi di IA che non presentano il rischio di causare gravi violazioni dei diritti fondamentali o altri rischi significativi. In aggiunta molti requisiti sono stati chiariti e adeguati così da renderli tecnicamente più realizzabili e meno onerosi per i portatori di interessi; – dati personali particolari: ad oggi è stata mantenuta la possibilità per gli sviluppatori di sistemi di AI di elaborare dati particolari come la razza e il credo religioso al fine di identificare potenziali pregiudizi, ma solo in presenza di specifiche condizioni (che sono state inasprite nell’ultima versione dell’AI Act); – diritti fondamentali: è stato introdotto l’obbligo di effettuare valutazioni d’impatto sui diritti fondamentali (anche, FRAIA, Fundamental Rights and Algorithm Impact Assessment) per tutti gli utenti di sistemi di IA ad alto rischio, per considerare il potenziale impatto sui gruppi vulnerabili; – AI generativa: il regime applicabile a tali modelli si ispira in larga misura a quello delle AI ad alto rischio, in particolare nella gestione del rischio e nella governance dei dati. Inoltre, la solidità del sistema deve essere dimostrata per tutto il suo ciclo di vita attraverso audit esterni. Andrebbero, inoltre, rispettati determinati requisiti di trasparenza quali, ad esempio, la chiara indicazione che il contenuto è stato generato dall’AI, la programmazione del modello in maniera tale che non possano essere generati contenuti illegali e la pubblicazione di riepiloghi dettagliati sui dati di training dell’Ai utilizzati e coperti dalla legge sul copyright; – requisiti per la compliance: almeno due persone debbano esaminare i risultati dei sistemi di AI, ad eccezione delle soluzioni di IA utilizzate nel controllo delle frontiere. Sul punto è stato, inoltre, chiarito che i sistemi di gestione della qualità richiesti dall’AI Act potranno essere integrati in quelli già stabiliti per conformarsi ad altre normative dell’UE (ad esempio, nel settore finanziario); – sistemi di IA a rischio limitato (inclusi quelli che generano o manipolano contenuti di immagini, audio o video, come il deepfake): gli utenti dovranno essere correttamente informati quando interagiscono con tali sistemi, così da poter decidere se continuare o meno ad utilizzarli; – impatti ambientali, sociali e di governance (ESG – Environmental, Social, Governance): le nuove regole ricomprese nell’AI Act permettono anche di ripensare in meglio gli impatti che tali nuove tecnologie hanno o potranno avere sugli aspetti ambientali, sociali e di governance, come ad esempio i rischi ambientali legati alle tecnologie blockchain e dei server di archiviazione dei dati (quindi in ottica di green tech e tecnologie sostenibili), oppure quelli connessi all’uso di sistemi di controllo e videosorveglianza (anche di massa). Anna Capoluongo