L’Unione Europea prosegue nella definizione del pacchetto di norme e strumenti finalizzati alla regolamentazione dello sviluppo e dell’uso di sistemi di intelligenza artificiale, a completamento dell’Artificial Intelligence Act (“AI Act”).
L’AI Act è stato approvato dal Parlamento Europeo il 14 giugno 2023, dopo un lungo iter di discussione interna, seguito all’originaria proposta di Regolamento della Commissione UE (21 aprile 2021).
Il testo rappresenta la prima regolamentazione organica e specifica, a livello mondiale, in materia di sistemi di intelligenza artificiale, correlati profili di gestione del rischio e della responsabilità.
A partire dal 29 settembre 2023, la Commissione Europea ha quindi adottato e reso disponibili dei modelli di clausole che possono essere implementate nei contratti tra fornitori di sistemi AI e contraenti-committenti pubblici, sia in relazione ai sistemi ad alto rischio (con dichiarazioni e impegni di trasparenza particolarmente stringenti) che per i sistemi a rischio limitato. Le clausole potranno comunque rappresentare un modello informale anche nei contratti tra privati (per es. in merito alle dichiarazioni e garanzie del fornitore).
Inoltre, il progetto di un codice di condotta comune, a livello internazionale, per i soggetti che sviluppano strumenti di IA vede ora la sua prima fase di sviluppo. A partire dai lavori svolti da Paesi membri del c.d. G7 (Canada, Francia, Germania, Giappone, Italia, Regno Unito, Stati Uniti), la Commissione Europea ha infatti consolidato un decalogo di principi generali su cui tale codice modello, che dovrebbe essere implementato dai Paesi G7 e, si assume, dagli Stati membri dell’UE, sarà basato.
In data 13 ottobre, la Commissione ha quindi avviato una pubblica consultazione finalizzata a ottenere dai soggetti interessati contributi tecnici per la redazione del Codice di Condotta.
***
Sul modello di altre fonti comunitarie in materia di compliance evoluta per le nuove tecnologie (cybersecurity, come la direttiva NIS2 [1] o il regolamento DORA [2], lo stesso GDPR), le nuove previsioni e i relativi presidi attuativi (clausole modello e codici di condotta) adottano un approccio basato sull’individuazione di settori strategici impattati dalla normativa e, soprattutto, sulla classificazione dei livelli di rischio.
Quanto ai profili soggettivi, le previsioni sono destinate (e applicabili per competenza) agli attori dell’intera filiera di produzione, distribuzione e uso del sistema: produttori/sviluppatori, soggetti che mettono i sistemi in servizio (fornitori), utilizzatori, distributori.
Il classamento comprende sistemi vietati, sistemi considerati ad alto rischio e sistemi a rischio limitato.
Sono vietati, perché implicano un rischio inaccettabile “per la sicurezza, i mezzi di sussistenza e i diritti delle persone”, i sistemi di IA con funzionalità considerate in limine incompatibili con l’ordinamento. A titolo esemplificativo, tecnologie in grado di conseguire identificazione biometrica in spazi pubblici, il riconoscimento delle emozioni, strumenti di c.d. polizia predittiva (per le forze dell’ordine), social scoring o valutazione dell’affidabilità.
Sono invece qualificati ad alto rischio i sistemi che possono implicare un “rischio significativo di danno alla salute, alla sicurezza o ai diritti fondamentali”. La categoria include principalmente due ambiti, specificamente individuati dalle nuove norme:
- i settori soggetti alla normativa UE sulla sicurezza dei prodotti (es. giocattoli, presidi medici, aviazione, sistemi di ascensore);
- alcuni settori strategici direttamente elencati dall’AI Act e, in particolare:
- infrastrutture critiche (ad es. i trasporti);
- formazione educativa o professionale (accesso all’istruzione e al percorso professionale, es. punteggio degli esami);
- identificazione e categorizzazione biometrica delle persone fisiche;
- occupazione, gestione dei lavoratori (ad es. software di selezione dei CV per le procedure di assunzione);
- accesso e fruizione di servizi privati e pubblici essenziali;
- gestione della migrazione, dell’asilo e del controllo delle frontiere (ad es., la verifica dell’autenticità dei documenti di viaggio);
- applicazione della legge;
- amministrazione della giustizia e processi democratici.
I sistemi a rischio elevato sono soggetti a presidi normativi volti a controllare e limitare il rischio stesso.
- In primo luogo, il produttore/titolare deve implementare un adeguato sistema di valutazione e mitigazione dei rischi, sia prima dell’immissione in commercio che durante il ciclo di vita; in particolare, dovrà essere svolta in via preliminare una vera e propria valutazione d’impatto del sistema rispetto ai diritti fondamentali [3].
- Devono sempre essere fornite informazioni chiare e adeguate all’utente, circostanza che si riflette nella redazione dei contratti relativi all’uso del sistema.
- I sistemi sono soggetti all’eventuale valutazione di conformità delle Autorità (es. Commissione UE), con obbligo di fornire alle stesse documentazione dettagliata sulla natura e sul funzionamento.
- È richiesta la registrazione delle attività dei sistemi, per garantirne la tracciabilità (in materia di impatto ambientale, consumo energetico etc.).
I sistemi considerati a rischio limitato sono soggetti esclusivamente a specifici obblighi di trasparenza verso l’utente (es. chiara disclosure/indicazione che l’utente interagisce con una forma di IA).
Sono poi previsti requisiti particolari per le intelligenze artificiali c.d. generative.
(i) In termini di trasparenza verso utilizzatori e Autorità preposte, il sistema deve fornire una chiara disclosure che il contenuto è stato generato da IA; inoltre, lo sviluppatore deve segnalare eventuali elementi protetti da copyright utilizzati per l’addestramento (machine learning).
(ii) Il relativo modello deve essere progettato in modo da impedire che generi contenuti illegali.
Prossimi passi.
L’approvazione finale del testo dell’AI Act da parte del Consiglio dell’Unione Europea, con possibili ulteriori emendamenti, è prevista entro il 2023. L’efficacia delle norme è prevista per inizio 2026 (con possibile anticipazione), scadenza che rappresenta quindi il necessario termine di adeguamento per i soggetti interessati.
Entro tre mesi dall’entrata in vigore del Regolamento sarà fornita un’indicazione formale sulla nomina – o costituzione ex novo – di un’Autorità nazionale indipendente, preposta alla regolamentazione del settore ed all’attuazione della normativa.
Anche se non sussiste un termine ufficiale, in base alle indicazioni informali, il Codice di Condotta internazionale (G7) dovrebbe assumere una fisionomia completa e trovare approvazione nella seconda metà del 2024.