L’AI ACT: il primo regolamento europeo sull'intelligenza artificiale

Il 13 marzo 2024, il Parlamento Europeo ha definitivamente approvato il primo regolamento europeo sull’intelligenza artificiale – l’AI Act – così concludendo l’iter legislativo, avviato nel 2021, che ha visto coinvolti il Parlamento Europeo, la Commissione Europea e il Consiglio Europeo e che ha portato al raggiungimento di un primo accordo politico sul progetto di legge sull'intelligenza artificiale nel dicembre 2023 e a una preliminare approvazione della bozza di regolamento nel gennaio 2024. 

Il Regolamento si pone l’obiettivo di assicurare la tutela dei diritti e delle libertà, consentendo al tempo stesso la formazione di uno “spazio” in grado di garantire lo sviluppo delle nuove tecnologie. L’aspirazione principale dell’AI Act è infatti quella di assicurare l’immissione sicura di sistemi di Intelligenza Artificiale sul mercato europeo, garantire che l’utilizzo degli stessi sia effettuato in conformità ai valori e ai diritti fondamentali dell’UE e promuovere investimenti e innovazioni nel territorio europeo. 

La definizione di Intelligenza Artificiale 

Per fornire una chiara definizione di quelli che sono gli strumenti di intelligenza artificiale e per far sì, al contempo, che la stessa possa essere facilmente adeguata alle esigenze future, il Regolamento si è allineato alla definizione precedentemente adottata dall’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE). 

Pertanto, lo strumento di Intelligenza Artificiale è stato definito come “un sistema automatizzato progettato per funzionare con diversi livelli di autonomia e che può mostrare capacità di adattamento dopo l’installazione e che, per obiettivi espliciti o impliciti, deduce, dagli input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”. 

È chiaro, pertanto, che questa definizione esclude, seppur lasciando ampie maglie di interpretazione, sistemi software tradizionali “più elementari” e quegli algoritmi di programmazione che non determinano un certo grado di capacità di adattamento e autonomia. 

A tal riguardo, si segnala tuttavia che la Commissione è stata incaricata di elaborare linee guida specifiche per l’applicazione di questa definizione. 

Ambito di applicazione 

Il Regolamento, conformemente agli scopi che lo stesso si prefigge, ha specificamente individuato e circoscritto l’alveo dei soggetti vincolati. L’ AI Act si applica quindi a tutti quei soggetti, sia pubblici che privati, stabiliti all’interno dell’UE così come in paesi terzi, che producono o distribuiscono strumenti di intelligenza artificiale nel mercato europeo.

I sistemi di intelligenza artificiale utilizzati per scopi militari, di difesa o di sicurezza nazionale sono esclusi dal campo di applicazione del Regolamento, così come i sistemi sviluppati specificamente per il solo scopo di ricerca e sviluppo scientifico. 

L’approccio adottato dal Regolamento 

Il regolamento è stato strutturato facendo sì che venga seguito un approccio cosiddetto “risk-based”: tanto più elevato è il rischio per la sicurezza e i diritti delle persone, tanto più stringenti sono le regole dettate. 

I sistemi di AI sono stati quindi distinti in quattro categorie:

1. sistemi che presentano un rischio inaccettabile, per tali intendendosi tutti quegli strumenti di AI contrari ai valori e ai principi dell’UE e pertanto vietati;
2. sistemi che presentano un rischio elevato, che possono negativamente e significativamente impattare sui diritti e sulla sicurezza delle persone e per i quali, pertanto, l’accesso al mercato è consentito solo su assolvimento di obblighi e conformità a requisiti, tra i quali si segnalano, ad esempio, la necessità di procedere a una valutazione di conformità e di rispettare gli standard di armonizzazione europea;
3. sistemi che presentano un rischio limitato per gli utenti e che quindi sono soggetti a meri e circoscritti obblighi di trasparenza;
4. sistemi che presentano un rischio minimo, che presentano un rischio trascurabile per gli utenti e che non sono soggetti a particolari obblighi. 

In aggiunta, il Regolamento introduce specifiche disposizioni per regolamentare i Modelli di Intelligenza Artificiale di Uso Generale (General Purpose AI Model - GPAI), per tali intendendosi tutti quei “modelli informatici che, anche tramite l’allenamento su una vasta quantità di dati, possono essere usati per una varietà di compiti, singolarmente o inseriti come componenti in un sistema AI”. Tali sistemi, proprio per la loro capacità di servire una pluralità di scopi, presentando quindi rischi sistemici e potendo impattare negativamente sul mercato interno, sono soggetti a requisiti più stringenti, di efficacia, di interoperabilità, di trasparenza, di conformità. 

Pratiche AI vietate 

Il Regolamento vieta espressamente l'immissione sul mercato, la messa in servizio o l'uso di un sistema di AI che: 

• utilizzi tecniche subliminali al di là della coscienza di una persona, tecniche manipolative o ingannevoli;
• sfrutti una qualsiasi vulnerabilità di una persona o di un gruppo specifico di persone;
• sia volto alla valutazione o alla classificazione di persone fisiche o gruppi basandosi su un punteggio sociale che può portare a uno o entrambi i seguenti risultati: 
  • trattamento svantaggioso o sfavorevole di individui specifici o di interi gruppi, in contesti sociali che non sono direttamente correlati ai contesti in cui i dati sono stati originariamente generati o raccolti;
  • trattamento svantaggioso o sfavorevole di individui specifici o di interi gruppi, che risulta ingiustificato o sproporzionato al loro comportamento sociale o alla sua gravità;
• utilizzi sistemi di identificazione biometrica a distanza "in tempo reale" in spazi accessibili al pubblico, a meno che e nella misura in cui tale uso sia strettamente necessario per uno dei seguenti obiettivi: 
  • la ricerca mirata di vittime specifiche di rapimento, tratta di esseri umani e sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse; 
  • la prevenzione di una minaccia specifica, sostanziale e imminente alla vita o all'incolumità fisica di persone fisiche o di una minaccia reale e attuale o reale e prevedibile di attacco terroristico; 
  • la localizzazione o l'identificazione di una persona sospettata di aver commesso un crimine o di averne commesso uno. 

La supervisione e l’applicazione del Regolamento 

L’AI Act ha previsto la designazione di una o più autorità competenti in grado di collaborare per garantire la sicurezza, la trasparenza e la conformità al Regolamento nell’utilizzo dei sistemi di intelligenza artificiale. Nello specifico, sono state individuate: 

1. Autorità nazionale di vigilanza, designata da ciascuno stato membro, per il monitoraggio e l’applicazione del regolamento a livello nazionale;
2. Comitato europeo per l’Intelligenza Artificiale, operante a livello europeo, con il compito di coordinare e armonizzare le attività delle autorità nazionali di vigilanza, garantendo coerenza nell’applicazione del Regolamento;
3. Autorità di Vigilanza del Mercato, con il compito di monitorare il mercato e garantire il rispetto delle norme e dei requisiti previsti. 

Le Sandbox Regolamentari 

L’AI Act prevede l’istituzione di Sandbox Regolamentari, definite come “ambienti controllati, istituiti da un'autorità competente che offre ai fornitori o ai potenziali fornitori di sistemi di IA la possibilità di sviluppare, addestrare, convalidare e testare, se del caso in condizioni reali, un sistema di IA innovativo, in base a un piano di sandbox per un periodo di tempo limitato sotto la supervisione regolamentare”. 

Le Sandbox consentono quindi di promuovere l'innovazione tecnologica e i sistemi di AI, istituendo un ambiente di sperimentazione e test controllati nella fase di sviluppo e di pre-commercializzazione, godendo anche di esenzioni regolamentari, al fine di migliorare la comprensione dei sistemi di AI degli operatori e delle autorità competenti e garantire la conformità dei sistemi innovativi di AI al Regolamento e ad altre leggi nazionali e dell'Unione Europea. 

Si sottolinea peraltro che l’Unione Europea sta già creando strutture di test e sperimentazione (TEF), fisiche e virtuali, aperte a tutti gli operatori europei per testare e sperimentare su larga scala soluzioni di Intelligenza Artificiale. A gennaio 2024 sono iniziati i primi test, ad oggi limitati ai settori: Agri-Food: Progetto “agrifoodTEF”; Healthcare: Progetto “TEF- 4 Health; Manifatturiero: Progetto “AI-MATTERS”; Smart Cities & Communities: Progetto “Citcom.AI”. 

Le prossime tappe 

L’approvazione dell’AI Act da parte del Parlamento Europeo ha segnato un momento importante nella storia dell’Unione Europea, che è ufficialmente diventata la prima al mondo ad introdurre un quadro giuridico completo in materia di intelligenza artificiale. 

Il testo, però, sarà soggetto a un ulteriore voto da parte del Parlamento Europeo, previsto per metà aprile, e al successivo via libera ufficiale anche da parte del Consiglio dell'Unione Europea. Si prevede quindi la promulgazione e la pubblicazione in Gazzetta Ufficiale del testo definitivo, tradotto in 24 lingue ed adattato alle normative nazionali, non prima di maggio 2024. 

Le norme che regolano l’utilizzo degli strumenti di AI entreranno in vigore scaglionate nel tempo: entro sei mesi dall’entrata in vigore dovranno essere eliminati i sistemi ad alto rischio vietati dal Regolamento, entro dodici mesi si applicheranno le norme relative alla governance e alle autorità individuate del Regolamento e entro 36 mesi le regole relative all’implementazione dei sistemi di AI considerati ad alto rischio. 

Entro due anni dall’entrata in vigore il Regolamento sarà pienamente applicabile, comprese le norme per i sistemi ad alto rischio. 

Controllo e Sanzioni 

Sul piano sanzionatorio, il Regolamento prevede un sistema di sanzioni variabili, parametrate in base alla gravità e alla natura delle violazioni, nonché al fatturato dell’operatore responsabile di condotte non conformi alle disposizioni normative, sviluppando pertanto una strategia proporzionata e dissuasiva, che al contempo tenga conto anche degli interessi delle piccole e medie imprese e delle start-up. 

Il Regolamento individua le soglie delle sanzioni che saranno poi lasciate alla discrezionalità dagli Stati Membri, i quali potranno, nel rispetto dei limiti massimi individuati dal legislatore europeo, adottare tutte le misure necessarie per assicurare l'attuazione delle disposizioni. 

Si prevede inoltre che la Commissione emetterà diverse direttive, deleghe e linee guida e si occuperà del processo di standardizzazione necessario per l'attuazione degli obblighi. 

Critiche 

Ad una primissima analisi, di seguito le principali critiche che possiamo muovere al testo.

• Mostra un'incertezza generale sui ruoli e le responsabilità dei diversi attori, in particolare per i modelli di AI open-source. 
• Richiede miglioramenti per garantire la protezione dei consumatori, quali un ambito di applicazione più ampio per la definizione dei sistemi di AI e principi e obblighi di base per tutti i sistemi di AI.
• La bozza non affronta i rischi sistemici di sostenibilità e le norme sulle pratiche vietate e ad alto rischio potrebbero rivelarsi inefficaci nella pratica.
• Mancano strutture efficaci per l'applicazione delle norme e questo prevede diritti individuali di applicazione. Il testo manca di adeguati meccanismi di coordinamento tra le autorità.

A cura di Marco Carlizzi e Maria Valentina Medei