La proposta dell’Unione Europea per regolare l’IA


 

Lo scorso 21 aprile la Commissione europea ha reso nota la propria proposta di Regolamento, volta a fornire una normativa armonizzata e comune dell’Unione europea sull’Intelligenza Artificiale (d’ora in avanti IA).

Tale normativa si presenta come innovativa non solo sullo scenario europeo, ma anche su scala mondiale, poiché rappresenta il primo vero tentativo di regolamentazione sistematica dell’IA, senza alcun precedente.

La proposta si è resa necessaria poiché, come si legge nel primo paragrafo del Memorandum Esplicativo, si è constatato come l’IA sia una branca della tecnologia ancora non normata che può implicare una potenziale ambivalente applicazione: da una parte, comportare numerosi benefici alla società e in particolar modo ai settori ad alto impatto come ambiente, finanza e sanità e, dall’altra, dischiudere molteplici rischi per gli individui e la società, stante la sua rapidissima, incontrollata evoluzione.

Il fine ultimo della proposta è quello di formulare un quadro giuridico capace di contemperare diverse esigenze: incoraggiare lo sviluppo tecnologico, così assicurando all’Unione una leadership nel settore ed altresì garantire ai cittadini europei l’applicazione di sistemi di IA affidabili, calibrati su valori e diritti fondamentali dell’Unione europea.

La proposta in esame non riveste il carattere assoluto di novità in quanto, già il 19 febbraio 2020, era stato pubblicato un Libro bianco da parte dell’esecutivo europeo che definiva le opzioni politiche per promuovere l’adozione dell’IA e affrontare i rischi associati a taluni usi della citata tecnologia.

Contestualmente alla pubblicazione del Libro Bianco, la Commissione aveva altresì avviato un’ampia consultazione pubblica online durata fino al 14 giugno 2020, con la quale si chiedeva ai partecipanti quali azioni specifiche avrebbe potuto intraprendere l’Unione europea per l’adozione dell’IA nell’economia e nella pubblica amministrazione, delineando altresì aspetti afferenti alla sicurezza e alla responsabilità.

I 1.215 partecipanti al sondaggio hanno formulato risposte ed espresso esigenze estremamente eterogenee, che in una certa misura hanno ricalcato quanto era già stato previsto dal Libro Bianco e che sono state parzialmente recepite dall’attuale proposta di Regolamento, come si dirà a breve.

Peraltro, tale proposta risponde anche alle sollecitazioni di impulso legislativo per garantire per i sistemi di IA un mercato interno ben funzionante, esplicitamente rivolte dal Parlamento europeo e dal Consiglio europeo.

Invero, da ultimo, le conclusioni del Consiglio europeo del 21 ottobre 2020 chiedevano di risolvere la complessità, la distorsione e un certo grado di imprevedibilità ed autonomia di alcuni sistemi di IA, al fine di garantire la loro compatibilità con i diritti fondamentali e per facilitare l’applicazione delle norme giuridiche.

Il Parlamento europeo, dal canto suo, già nell’ottobre 2020, aveva adottato una serie di risoluzioni, inter alia un provvedimento sugli aspetti etici dell’intelligenza artificiale, a norma del quale raccomandava specificamente alla Commissione di proporre un Regolamento per sfruttare le opportunità e i benefici dell’IA e per garantire la protezione dei principi etici.

La proposta di Regolamento dello scorso 21 aprile recepisce proprio tali impulsi istituzionali, garantendo la sicurezza del diritto applicabile ai sistemi di IA immessi sul mercato dell’Unione con il fine specifico di facilitare gli investimenti e l’innovazione, così da poter costituire un mercato unico europeo.

Il testo normativo non è rivolto esclusivamente agli operatori europei, ma anche ai fornitori ed utenti di sistemi di IA con sede esterna all’Unione europea, laddove il risultato finale dei citati sistemi (c.d. “output”) venga adoperato in uno degli Stati membri dell’Unione.

La competenza della proposta, inoltre, si estende anche ad autorità pubbliche in paesi terzi ed organizzazioni internazionali allorché adoperino sistemi di IA per programmi di cooperazione giudiziaria o investigativa con l’Unione europea o con uno Stato membro.

Per ragioni di chiarezza e sistematicità, la Commissione ha provveduto a classificare le pratiche di IA in diverse categorie: dal rischio “inaccettabile”, “elevato”, “limitato” e “minimo”, sulla scorta di una valutazione di conformità di tali pratiche ai valori dell’Unione europea.

La metodologia di identificazione del rischio permetterà di vietare tout court le pratiche particolarmente dannose, qualificate come dal rischio “inaccettabile” poiché costituenti una chiara minaccia per i cittadini, quali, a titolo esemplificativo, gli strumenti di manipolazione delle persone attraverso tecniche subliminali o indirizzati a specifici gruppi vulnerabili.

Tra le pratiche vietate figurano l’assegnazione da parte delle autorità pubbliche, tramite sistemi di IA, di “punteggi sociali” (si pensi alla profilazione tramite “Social Credit System” sviluppato in Cina) e i sistemi di identificazione biometrica in tempo reale in spazi pubblici.

Sull’ultimo argomento, tuttavia, la proposta di Regolamento ha inserito una deroga che consentirebbe alle autorità statali l’utilizzo del sistema di identificazione biometrica per ragioni legate alla tutela della sicurezza, alla lotta contro il terrorismo o per ricerche di vittime di rapimenti.

Qualche riserva deve esprimersi proprio sul cennato punto: sebbene sia prevista una rigorosa procedura di valutazione di conformità ai diritti fondamentali e alla protezione dei dati personali, sarebbe comunque auspicabile una circoscrizione delle ipotesi derogatorie in cui possa adoperarsi l’identificazione biometrica a distanza, per evitare un’applicazione eterogenea e discrezionale nei diversi Stati membri sulla scorta di differenti esigenze.

Per quanto concerne tali sistemi dal rischio “inaccettabile”, la proposta prevede che gli eventuali trasgressori possano incorrere in sanzioni amministrative fino a 30 milioni di euro o, nel caso si tratti di aziende, del 6% del proprio fatturato annuo complessivo.

Diversamente, i sistemi definiti dal rischio “elevato”, che presentino significative possibilità di danneggiare la salute, la sicurezza ovvero i diritti fondamentali delle persone fisiche tramite una valutazione d’impatto, sono consentiti subordinatamente al rispetto di alcuni requisiti obbligatori orizzontali.

In particolare, tali sistemi dovranno seguire procedure di valutazione della conformità in relazione alla gestione dei dati, alla documentazione e alla registrazione, alla trasparenza, alla fornitura di informazioni agli utenti, all’accuratezza e alla sicurezza durante l’intero ciclo di vita dei sistemi di IA.

Fra le tecnologie ritenute a rischio “limitato” sono inseriti i chatbot e gli assistenti vocali per i quali vengono proposti solo obblighi minimi di trasparenza ed, infine, tra i sistemi a rischio “minimo” sono individuati i filtri anti-spam o i videogiochi sviluppati con sistemi di AI per i quali non sono previsti obblighi specifici.

Le norme proposte saranno applicate non solo attraverso un sistema di governance a livello di Stati membri, ma anche tramite un meccanismo di cooperazione a livello unionale che richiederà l’istituzione di un Comitato Europeo per l’Intelligenza Artificiale, con il compito di sorvegliare la corretta applicazione del Regolamento nei vari Stati membri ed elaborare linee guida in materia.

Per concludere, deve rilevarsi come la proposta di Regolamento abbia una chiara matrice “antropocentrica”, anteponendo ai benefici economici derivanti dall’utilizzo di sistemi di IA la piena garanzia dei cittadini, alla luce di valutazioni effettive che garantiscano il pieno rispetto dei diritti umani e dei valori fondanti l’Unione europea.

Tale assunto può ben essere rilevato dalla struttura sistematica della proposta di Regolamento, la quale risulta fortemente incentrata sulla tutela dei privati da eventuali nocumenti derivanti dall’utilizzo di tecnologie di IA dannose e che, solo complementarmente, regola concretamente l’uso trasversale dell’IA.

 

 

image_pdfimage_print

facebooktwittergoogle_plusmailfacebooktwittergoogle_plusmail