On April 21, 2021, the European Commission released a first draft of the regulation laying down the legal framework for Artificial Intelligence Systems within the European Union. The draft, named “Artificial Intelligence Act“, it is to date a unique legislative example worldwide, and aims to guarantee the compliance with existing laws on fundamental rights and Union values, whilst ensuring legal certainty to facilitate investments. Hefty sanctions are envisaged for operators that do not comply.
IL FATTO:
La proposta di regolamento elaborata dalla Commissione identifica e norma tre diverse tipologie di sistemi di Intelligenza Artificiale (“IA”), sulla base dei rischi che questi presentano per la salute, la sicurezza e i diritti fondamentali delle persone.
In primo luogo, il regolamento individua una serie di sistemi “vietati”, che include le tecnologie che vanno a confliggere con i diritti ed i valori fondamentali dell’Unione Europea, rappresentando “una chiara minaccia per la sicurezza, i mezzi di sussistenza e i diritti delle persone”. Trattasi di sistemi in grado di manipolare in maniera subliminale il comportamento delle persone, di individuare e sfruttare le vulnerabilità di un gruppo specifico di persone o di valutare l’affidabilità delle persone fisiche (il c.d. “social scoring”). Sono inclusi in tale elenco anche i sistemi per l’identificazione biometrica a distanza “in tempo reale” che siano presenti in aree accessibili al pubblico. Alcuni dei divieti previsti dal legislatore europeo non paiono però assoluti, essendo soggetti ad una lista di possibili deroghe la cui natura è stata oggetto di critica da parte di vari operatori, rischiando di andare a “svuotare” di significato i divieti imposti.
In secondo luogo, il regolamento si dedica a quello che costituisce il vero fulcro dell’Artificial Intelligence Act, ovverosia la disciplina dei sistemi “ad alto rischio”. La maggioranza delle norme contenute nella proposta legislativa della Commissione sono dedicate a tali sistemi, specificatamente individuati in un apposito allegato al regolamento, oggetto di periodico aggiornamento e revisione da parte della Commissione stessa.
La regolamentazione dei sistemi ad alto rischio è piuttosto articolata, ma in linea di massima ne viene consentito l’utilizzo a condizione che questi rispettino una serie di oneri posti in capo a tutti i soggetti che fanno parte di quella filiera produttiva e distributiva che porta un sistema di IA ad essere immesso sul mercato europeo. La Commissione richiede nello specifico che i “provider” di sistemi ad alto rischio sottopongano tali forme di IA ad una valutazione di conformità antecedente rispetto alla commercializzazione. La conformità deve riguardare vari aspetti, quali le pratiche di data governance, le misure in materia di cybersecurity, la redazione di documentazione tecnica e informativa, la conservazione di varie informazioni mediante l’archiviazione di appositi log, la garanzia di supervisione umana e richiede pertanto la costruzione di un adeguato sistema di risk management.
Una volta che il provider sia in grado di dimostrare la conformità rispetto ai requisiti previsti del regolamento, esso è tenuto a redigere una dichiarazione europea di conformità e ad apporre il marchio di sicurezza CE sul proprio sistema emesso dall’autorità competente designata dai vari Stati membri. Il sistema sarà oggetto di registrazione in apposito elenco pubblico.
Gli oneri, peraltro, non terminano con la commercializzazione: costituendo i sistemi di IA una tecnologia dinamica e in perpetua evoluzione, i provider sono tenuti a realizzare un sistema di monitoraggio dei sistemi, proporzionato rispetto alla tipologia di prodotto, che garantisca la continuità del processo di conformità.
In caso di non conformità con il Regolamento, i soggetti appartenenti alla filiera produttiva rischiano sanzioni che nel massimo possono raggiungere la cifra di 30 milioni di euro o, in caso di aziende, il 6% del loro fatturato globale annuo, a seconda di quale sia il valore più alto.
PERCHÉ È IMPORTANTE:
L’Artificial Intelligence Act costituisce il primo, ambizioso tentativo a livello mondiale di fornire un quadro normativo dedicato a tutte quelle tecniche e sistemi tecnologici che vengono comunemente accorpati sotto la dicitura di Intelligenza Artificiale. Nonostante ci troviamo solo all’inizio di quello che è il percorso istituzionale che porterà all’approvazione di un testo definitivo, è necessario che tutti gli stakeholder interessati siano consci della portata della proposta normativa formulata dalla Commissione.
Il monito sembra chiaro: non c’è innovazione senza tutela dei diritti fondamentali. Solo con il tempo scopriremo come questo atteggiamento delle istituzioni europee, ereditato dal GDPR, influirà sullo sviluppo e l’innovazione dei sistemi di IA a livello europeo.