Artificial Intelligence Act
A marzo 2024 è stato approvato il Regolamento sull’Intelligenza Artificiale, con la finalità del legislatore di sfruttare le potenzialità che l’IA offre, incanalando il fenomeno all’interno di un quadro etico e giuridico adeguato, basato su valori comuni e in linea con la Carta dei diritti fondamentali dell’UE, così da creare un ecosistema affidabile e sicuro per tutti i cittadini europei. La misura così adottata vuole:
- assicurare che i sistemi di IA immessi sul mercato dell’Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell’Unione;
- assicurare la certezza del diritto per facilitare gli investimenti e l’innovazione nell’intelligenza artificiale;
- migliorare la governance e l’applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA;
- facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato.
Inoltre, è posto come obiettivo quello di promuovere la diffusione di un’Intelligenza Artificiale antropocentrica ed affidabile, che possa garantire un livello elevato di protezione per i cittadini, fissando regole armonizzate per lo sviluppo, l’immissione sul mercato e l’utilizzo di sistemi di IA nell’Unione seguendo un approccio proporzionato basato sul rischio. Proseguendo, risulta subito evidente come la definizione dell’IA all’articolo 3 sia piuttosto generale, idonea quindi a ricomprendere tutta la moltitudine di applicazioni possibili, ciò è essenziale in virtù del continuo sviluppo della materia. Si parla, infatti, di un sistema automatizzato progettato per operare con livelli di autonomia variabili, che può generare output quali previsioni, raccomandazioni o decisioni.
Nel solco di quanto già delineato nel 2016 in fase di introduzione del GDPR, l’approccio principale è quello di un modello basato sul rischio, intendendosi quindi i rischi che i diversi usi dell’IA possono presentare, classificandoli per intensità e pericolosità; vengono così a individuarsi differenti categorie di rischio, sia questo inaccettabile, alto ovvero minimo.
Conseguentemente, vengono individuate una serie di pratiche, che senza previa autorizzazione, sono vietate proprio in ragione della loro insita pericolosità: si fa quindi riferimento all’utilizzo di tecniche subliminali impiegate, senza la consapevolezza dell’utente finale, al fine di distorcerne materialmente il comportamento in un modo che provochi o possa provocare a tale persona o ad un’altra persona un danno fisico o psicologico.
Vengono poi delineati gli obblighi a carico dei soggetti coinvolti nella filiera di creazione e di utilizzo di tali sistemi, ossia la figura del provider. Ne consegue che questa figura è chiamata a garantire la conformità del sistema ai requisiti sinora descritti, nonché, in caso di difformità, ad adottare immediatamente le necessarie misure correttive, ovvero a ritirare il sistema, nell’ipotesi di impossibilità. Ancora, è posto a carico del provider l’obbligo di predisporre un sistema di gestione della qualità e redigere la documentazione tecnica del sistema, oltre ai relativi log generati dallo stesso. Inoltre, per quanto previsto dell’articolo 30, ciascuno Stato membro designa o istituisce un’autorità di notifica responsabile della predisposizione e dell’esecuzione delle procedure necessarie per la designazione e notifica degli organismi di valutazione della conformità e per il loro monitoraggio.
Infine, anche per i sistemi di IA diversi da quelli ad alto rischio sono previsti alcuni obblighi, che si sostanziano nei requisiti minimi di trasparenza e l’adozione di codici di condotta su base volontaria. È il caso, ad esempio, dei sistemi di IA che sono destinati ad interagire con le persone fisiche; i provider devono garantire che gli utenti siano informati di stare interagendo con un sistema di IA, a meno che non risulti evidente dalle circostanze e dal contesto di utilizzo.
A seguito di questa disamina dell’Artificial Intelligence Act è possibile formulare alcune osservazioni sulle novità introdotte e relative conseguenze pratiche nella loro applicazione. In primo luogo, è impossibile non rilevare come alcuni dei requisiti di compliance per gli sviluppatori siano pressoché impossibili da soddisfare.
Infatti, l’articolo 10 richiede che i set di dati di addestramento, convalida e prova siano pertinenti, rappresentativi, esenti da errori e completi.
In aggiunta, si possono sollevare dubbi sulla possibile ambiguità terminologica utilizzata dal legislatore: infatti, l’articolo 10 (3) non chiarisce cosa si intende per errore all’interno di un data-set, ossia se questo sia inteso verso l’insieme dei dati, alla loro classificazione, ovvero al modo in cui viene rappresentato l’output.
Unitamente a ciò, con uno sguardo più ampio, si può osservare come l’impostazione generale dell’AIA faccia ricadere sui soggetti che commercializzano i sistemi di IA una moltitudine di responsabilità. Questi obblighi ricomprendono: certificazioni, notifiche, produzione di documentazione e marcature, che sono doveri anche di natura amministrativa. La criticità che qui si rileva è insita nel fatto che questi obblighi sono i medesimi per tutti i soggetti, indipendentemente dalle dimensioni dell’impresa, andando così a penalizzare quella costellazione di attività di piccole e medie dimensioni che operano nell’economia europea. La conseguenza diretta potrebbe essere, quindi, un disincentivo per questi soggetti ad investire nell’IA a causa degli oneri che comporta, rallentando dunque il processo di innovazione all’interno dell’eurozona; tuttavia, non possono nemmeno essere ignorati i rischi cui l’impiego di questa tecnologia può esporci.