La proposta di Regolamento Europeo sulla intelligenza artificiale è stata approvata il 14 Giugno 2023 dal Parlamento Europeo; il procedimento legislativo ora continua con le negoziazioni che dovranno portare alla approvazione del testo definitivo dell'AI Act e ad una normativa europea in materia di intelligenza artificiale.
L'obiettivo principale del Regolamento Europeo AI Act è quello di a conciliare lo sviluppo dell'intelligenza artificiale con il rispetto dei diritti fondamentali dell'Unione Europea. A tal fine, l'AI Act prevede dei requisiti per i sistemi di intelligenza artificiale, delle condizioni per la loro immissione sul mercato e relativi obblighi per i fornitori. In questo articolo esaminiamo l'AI Act nel testo approvato dal Parlamento Europeo con il voto del 14 Giugno 2023.
Risorse
Il Regolamento europeo sull'intelligenza artificiale AI Act 2023 pdf
Emendamenti alla proposta di Regolamento approvati dal Parlamento Europeo.
Indice
- La proposta di Regolamento Europeo sull'intelligenza artificiale
- Approccio basato sul rischio
- AI Act e rapporto con la normativa esistente
- Le applicazioni proibite dell'intelligenza artificiale
- Sistemi di intelligenza artificiale ad alto rischio
- Obblighi di trasparenza
- Il Comitato europeo per l'intelligenza artificiale
- I modelli di base e l'IA generativa
- Codici di condotta
- Conclusioni
La proposta di Regolamento Europeo sull'intelligenza artificiale
Gli obiettivi della proposta di Regolamento Europeo sull'intelligenza artificiale possono essere individuati nella necessità di:
- sviluppare un quadro normativo uniforme che favorisca il buon funzionamento del mercato unico digitale e lo sviluppo di tecnologie e prodotti basati sull'intelligenza artificiale;
- garantire la sicurezza e la conformità dei sistemi di intelligenza artificiale immessi sul mercato con la normativa europea in materia di diritti fondamentali;
- predisporre una governance efficace che garantisca l'applicazione della normativa esistente in materia di diritti fondamentali e sicurezza ai sistemi di intelligenza artificiale.
Per conseguire questi risultati è necessaria una normativa europea sull'intelligenza artificiale, evitando la frammentazione che potrebbe derivare da iniziative adottate singolarmente da ogni Stato membro. A tal proposito si è dunque scelto di adottare lo strumento del Regolamento: una volta approvato, un Regolamento Europeo è direttamente applicabile nei sistemi legali degli Stati membri e non necessita di atti di recepimento, come invece accade con le Direttive.
AI Act e rapporto con la normativa esistente
La normativa introdotta con il Regolamento Europeo sull'intelligenza artificiale avrà un impatto anche su settori già oggetto di regolamentazione Comunitaria: la proposta di Regolamento intende conservare ed integrare le fonti normative preesistenti con disposizioni dedicate alle nuove problematiche poste dall'intelligenza artificiale. Questo è il caso ad esempio delle normative in materia di tutela dei dati personali, protezione dei consumatori, parità di genere e non discriminazione.
Un altro caso in cui bisognerà armonizzare le disposizioni del Regolamento con la preesistente normativa europea è quello dei sistemi di intelligenza artificiale ad alto rischio che sono componenti di sicurezza dei prodotti...la presente proposta sarà integrata nella normativa settoriale vigente in materia di sicurezza al fine di assicurare la coerenza, evitare duplicazioni,e ridurre al minimo gli oneri aggiuntivi
. Così dispone la relazione introduttiva alla proposta di Regolamento.
Approccio basato sul rischio
Il Regolamento prevede obblighi e divieti in considerazione del rischio derivante dall'uso dell'intelligenza artificiale per determinati scopi; vengono individuati tre livelli di rischio:
- inaccettabile;
- alto rischio;
- rischio minimo.
Le applicazioni proibite dell'intelligenza artificiale
Il Regolamento AI ACT vieta l'uso dell'intelligenza artificiale per determinati scopi: il rischio è ritenuto inaccettabile, o comunque alcune applicazioni sono in contrasto con i diritti fondamentali tutelati dal Diritto dell'Unione Europea
- manipolare le persone in maniera da provocare, o rischiare di provocare, danni fisici o psicologici, alla persona vittima di manipolazione o ad altri;
- sfruttare le vulnerabilità delle persone, dovute ad età o disabilità, al fine di alternarne il comportamento producendo o rendendo possibile un danno fisico o psicologico per queste stesse persone o altri.
- classificare le persone ed assegnarle a categorie sulla base di caratteristiche sensibili quali
il genere e l'identità di genere, la razza, l'origine etnica
o comunque qualsiasi altro motivo per il quale è vietata la discriminazione secondo l'articolo 21 della Carta dei diritti fondamentali dell'Unione Europea o dell'articolo 9 del GDPR. Così dispone il considerando 16 bis, introdotto dall'emendamento 39 in occasione del voto del Parlamento Europeo del 14 Giugno. - social scoring: è vietato l'uso dell'intelligenza artificiale per analizzare il comportamento delle persone al fine di attribuire un punteggio da cui far dipendere trattamenti punitivi, ingiustificati o sproporzionati rispetto ai comportamenti tenuti.
- identificazione biometrica remota; questa è consentita solo se avviene in tempo reale per le seguenti finalità:
la ricerca mirata di potenziali vittime specifiche di reato
;- la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l'incolumità fisica delle persone fisiche o di un attacco terroristico;
- identificare e perseguire l'autore di un reato che consente il mandato d'arresto europeo ai sensi dell'articolo 2 paragrafo 2 della decisione quadro del Consiglio 2002/584/GAI del 13 Giugno 2002.
Intelligenza artificiale ed identificazione biometrica remota
Il considerando 33 giustifica l'inclusione dei sistemi di identificazione biometrica remota tra quelli ad alto rischio (per le applicazioni consentite) in ragione del potenziale discriminatorio di eventuali inesattezze di carattere tecnico
.
La definizione di sistema di identificazione biometrica remota è fornita dal considerando n° 8 della proposta di Regolamento come:
sistema di IA destinato all'identificazione a distanza di persone fisiche mediante il confronto dei dati biometrici di una persona con i dati biometrici contenuti in una banca dati di riferimento, e senza sapere in anticipo se la persona interessata sarà presente e può essere identificata, a prescindere dalla tecnologia, dai processi o dai tipi specifici di dati biometrici utilizzati.
considerando n° 8 - AI Act
Il Regolamento europeo sull'intellingenza artificiale traccia una distinzione tra:
Identificazione biometrica remota "in tempo reale"
il rilevamento dei dati biometrici, il confronto e l'identificazione avvengono tutti istantaneamente, quasi istantaneamente o in ogni caso senza ritardi significativi
. In tali casi si ritiene che l'identificazione istantanea non presenti particolari problemi quanto al rispetto della disciplina posta dal regolamento, per quanto venga ammessa nei casi limitati che abbiamo appena visto.
Identificazione biometrica remota "a posteriori"
Diverso è il caso in cui la raccolta dei dati biometrici e l'uso degli stessi per l'identificazione di una persona avvenga in momenti diversi: in tal caso infatti i dati biometrici sono stati già raccolti prima di essere utilizzati in relazione alle persone fisiche interessate
.
L'identificazione biometrica remota a posteriori era inizialmente vietata; nella versione attuale della proposta di regolamento, approvata dal Parlamento Europeo il 14 Giugno, è ora ammessa nella misura strettamente necessaria a:
- perseguire gravi reati
- che sono stati già commessi
- con la preventiva autorizzazione di un giudice.
Così dispone l'emendamento 41 al considerando 18.
Sistemi di intelligenza artificiale ad alto rischio
Il titolo III della proposta di regolamento individua applicazioni dell'intelligenza artificiale che comportano un alto rischio per la salute e la sicurezza o per i diritti fondamentali delle persone fisiche
. In tali casi, i sistemi di intelligenza artificiale possono essere immessi sul mercato solo dopo:
- una valutazione che attesti la conformità a dei requisiti minimi obbligatori;
- aver registrato l'applicazione ad alto rischio in una banca dati pubblica istituita a livello europeo e gestita dalla Commissione. La registrazione consentirebbe alle autorità competenti di esercitare un controllo sui sistemi ad alto rischio, valutando la loro conformità ai requisiti per essi richiesti.
Per quanto riguarda i sistemi di intelligenza artificiale ad alto rischio che sono componenti di sicurezza di prodotti la valutazione di conformità verrà effettuata da terzi (e non direttamente dal fornitore) secondo la normativa vigente in materia di sicurezza dei prodotti. Come abbiamo accennato in precedenza, si tratterà di raccordare le normative esistenti, in questo caso quella in materia di sicurezza dei prodotti, con le disposizioni introdotte dal regolamento sull'intelligenza artificiale.
Quali sono i sistemi di intelligenza artificiale ad alto rischio?
I sistemi di intelligenza artificiale ad alto rischio sono individuati dall'articolo 6 del Regolamento: Regole di classificazione per i sistemi di IA ad alto rischio
. Si tratta di:
- sistemi destinati ad essere utilizzati come componenti di sicurezza di prodotti che richiedono una valutazione di conformità per l'immissione sul mercato secondo le fonti normative di armonizzazione citate dall'allegato II al regolamento; lo stesso ove sia il sistema di AI ad essere il prodotto che necessita della valutazione di conformità per essere immesso sul mercato.
- i sistemi impiegati per le finalità elencate dall'allegato III al regolamento.
La Commissione potrà aggiornare l'elenco dei sistemi ad alto rischio ed aggiungerne altri sulla base delle necessità che dovessero emergere in ragione di nuovi usi e applicazioni dell'intelligenza artificiale.
Requisiti per sistemi di intelligenza artificiale ad alto rischio
Il primo dei requisiti previsti per i sistemi di intelligenza artificiale ad alto rischio prevede l'elaborazione di un sistema di gestione dei rischi che:
identificazione e analisi dei rischi noti e prevedibili associati a ciascun sistema di IA ad alto rischio
- valutazione dei rischi che possono derivare da un uso normale del sistema e anche da un
uso improprio ragionevolmente prevedibile
; - valutazione dei rischi emersi dall'analisi successiva alla immissione del sistema di IA sul mercato;
- identifica appropriate misure di gestione dei rischi in conformità con le modalità e i principi esposti dall'articolo 9.
Gli altri requisiti minimi per i sistemi di intelligenza artificiale sono definiti dagli articoli dal 10 al 15 in relazione a:
- Dati e governance dei dati
- Documentazione tecnica
- Conservazione delle registrazioni
- Trasparenza e fornitura di informazioni agli utenti
- Sorveglianza umana
- Accuratezza, robustezza e cibersicurezza.
Obblighi per i fornitori di sistemi di intelligenza artificiale ad alto rischio
Gli obblighi per i fornitori di sistemi di intelligenza artificiale ad alto rischio sono elencati dall'articolo 16 e disciplinati nel dettaglio dagli articoli dal 17 al 30. Il fornitore deve:
- garantire la conformità ai requisiti previsti per i sistemi ad alto rischio;
- adottare un sistema di gestione della qualità che elenchi le politiche e le procedure seguite per assicurare che il sistema di intelligenza artificiale sia conforme al regolamento;
- redigere la documentazione tecnica: un documento che fornisce gli elementi tecnici che consentono alle autorità di effettuare una valutazione sulla conformità del sistema di intelligenza artificiale alle disposizioni del regolamento, da produrre necessariamente prima della immissione del prodotto sul mercato.
- conservare i log generati automaticamente dal sistema, se questi sono nelle disponibilità del fornitore;
- sottoporre il sistema alla procedura di valutazione della conformità prevista per i sistemi ad alto rischio: questa è disciplinata nel dettaglio dal Capo 5 del titolo III del regolamento, dagli articoli 40 al 51.
- registrare il sistema nella banca dati dell'Unione Europea sui sistemi ad alto rischio;
- apportare la modifiche necessarie se a seguito della procedura di valutazione il sistema dovesse essere ritenuto non conforme;
- apporre al sistema ad alto rischio, giudicato conforme, la marcatura CE;
- su richiesta di una autorità nazionale competente, il fornitore deve dimostrare la conformità ai requisiti previsti per i sistemi ad alto rischio.
Obblighi informativi per i fornitori
Tra gli obblighi a carico dei fornitori di sistemi di IA ad alto rischio ve ne sono alcuni di carattere informativo, finalizzati a garantire la trasparenza dei sistemi immessi sul mercato e rendere conto della loro conformità ai requisiti per essi richiesti. Tra tali obblighi informativi vi è quello della registrazione presso la banca dati dell'Unione Europea cui abbiamo accennato: le informazioni fornite in sede di registrazione vanno ad alimentare la banca dati, istituita con lo scopo di garantire la trasparenza dei sistemi di intelligenza artificiale ad alto rischio, consentendo lo scrutinio pubblico su questi e la valutazione circa la loro conformità.
I fornitori dovranno poi comunicare tempestivamente alle istituende autorità nazionali competenti eventuali incidenti che comportano una violazione degli obblighi in materia di diritti fondamentali, così come ogni richiamo dei sistemi di intelligenza artificiale già sul mercato.
I fornitori di sistemi di IA ad alto rischio immessi sul mercato dell'Unione segnalano qualsiasi incidente grave o malfunzionamento di tali sistemi che costituisca una violazione degli obblighi previsti dal diritto dell'Unione intesi a tutelare i diritti fondamentali alle autorità di vigilanza del mercato degli Stati membri in cui tali incidenti o violazioni si sono verificati.
Articolo 62
Obblighi di trasparenza
L'articolo 52 introduce obblighi di trasparenza per determinati sistemi di IA
caratterizzati da un rischio minore rispetto a quelli definiti ad alto rischio.
Si tratta dei sistemi che:
- interagiscono con le persone;
- riconoscono le emozioni degli utenti o ricorrono a meccanismi di categorizzazione biometrica;
- manipolano contenuti audio o video in maniera da farli sembrare autentici mentre non lo sono: "deep fake".
Per tali sistemi è previsto l'obbligo di informare l'utente del fatto che il servizio di cui sta usufruendo è un prodotto dell'intelligenza artificiale, che si tratti di un chatbot o di contenuti digitali. Tali obblighi di trasparenza incontrano delle eccezioni e dunque il ricorso all'intelligenza artificiale può non essere rivelato se:
- è consentito dalla legge per
accertare, prevenire, indagare e perseguire reati
è necessario per l'esercizio del diritto alla libertà di espressione e del diritto alla libertà delle arti e delle scienze garantito dalla Carta dei diritti fondamentali dell'UE
.
Il Comitato europeo per l'intelligenza artificiale
Il Regolamento sull'intelligenza artificiale prevede una governance condivisa tra Unione Europea e Stati membri per l'attuazione del regolamento:
- Gli Stati membri istituiscono autorità nazionali di controllo con il compito di vigilare sulla corretta applicazione ed attuazione del regolamento al livello nazionale.
- Al livello europeo, viene prevista l'istituzione di un Comitato europeo per l'intelligenza artificiale con i seguenti compiti:
- favorire la cooperazione tra autorità nazionali di controllo e la Commissione;
- contribuire alla attività di analisi e alla eleborazione di orientamenti da parte della Commissione e delle autorità nazionali sulle materie disciplinate dal regolamento e la applicazione di questo nel mercato interno.
- assistere la Commissione e le autorità nazionali assicurando l'uniforme applicazione del regolamento.
I modelli di base e l'IA generativa
La versione originale della proposta di regolamento è impostata sulle finalità per cui le applicazioni di intelligenza artificiale vengono utilizzate; alcuni usi sono disciplinati in quanto considerati rischiosi o del tutto vietati. In altre parole, le applicazioni o prodotti vengono regolamentati in base allo scopo cui sono destinati.
Questa impostazione però finiva per ignorare quelle applicazioni dell'intelligenza artificiale caratterizzate dalla loro versatilità, impiegabili per finalità generali, come l'IA generativa. Il rapido sviluppo di queste applicazioni multi purpose dell'intelligenza artificiale avutosi negli ultimi mesi ha portato ad integrare la proposta di regolamento con alcuni emendamenti, che ora prevedono una disciplina specifica per i sistemi di IA per finalità generali e per i modelli di base.
Intelligenza artificiale per finalità generali
L'articolo 3, al punto 1 quinquies, aggiunto dall'emendamento 169, ora definisce un sistema di intelligenza artificiale per finalità generali come
un sistema di IA che può essere utilizzato e adattato a un'ampia gamma di applicazioni per le quali non è stato intenzionalmente e specificamente progettato;
Modelli di base
Le applicazioni di intelligenza artificiale generativa sono il prodotto di un modello di base ; ad esempio, l'applicazione nota come ChatGPT è basata sul modello di base GPT-3.5.
L'articolo 3, al punto 1 quater, definisce un modello di base:
"modello di base": un modello di sistema di IA addestrato su un'ampia scala di dati, progettato per la generalità dell'output e che può essere adattato a un'ampia gamma di compiti distinti;
Articolo 3 punto 1 quater - emendamento 168
I sistemi di IA con finalità previste specifiche o i sistemi di IA per finalità generali possono essere l'attuazione di un modello di base, il che significa che ciascun modello di base può essere riutilizzato in innumerevoli sistemi di IA a valle o in sistemi di IA per finalità generali. Questi modelli rivestono un'importanza crescente per molte applicazioni e molti sistemi a valle.
Considerando 60 sexies - emendamento 99
Obblighi per il fornitore di un modello di base
Un fornitore di un modello di base, prima di metterlo a disposizione sul mercato o di metterlo in servizio, garantisce che sia conforme ai requisiti previsti dal presente articolo, a prescindere dal fatto che sia fornito come modello autonomo o integrato in un sistema di IA o in un prodotto, o fornito su licenza gratuita e open source, come servizio, nonché altri canali di distribuzione.
Articolo 28 ter - emendamento 399
L'emendamento 399 ha introdotto un nuovo articolo 28 ter dedicato agli obblighi per il fornitore di un modello di base.Si tratta di obblighi che in parte ricalcano quelli già visti per i sistemi ad alto rischio, come la necessità di redigere una documentazione tecnica, prevedere un sistema di gestione della qualità e registrare il sistema in una apposita banca dati.
Inoltre, il fornitore di un modello di base deve:
- prevedere ed attenuare i rischi prevedibili per
la salute, la sicurezza, i diritti fondamentali, l'ambiente, la democrazia e lo Stato di diritto, prima e durante lo sviluppo, con metodi adeguati, ad esempio con il coinvolgimento di esperti indipendenti, nonché la documentazione dei restanti rischi non attenuabili dopo lo sviluppo;
- fare ricorso soltanto ad
insiemi di dati soggetti a idonee misure di governance dei dati per i modelli di base, in particolare misure per esaminare l'adeguatezza delle fonti di dati ed eventuali distorsioni e un'opportuna attenuazione
- progettare e sviluppare il modello di base, in maniera da conseguire adeguati livelli di:
- prestazioni
- prevedibilità
- interpretabilità
- corregibilità
- protezione e cibersicurezza
- progettare e sviluppare il modello di base applicando quelle tecnologie disponibili che riducano il consumo di energia, di risorse e la produzione di rifiuti. Inoltre, i modelli di base vanno progettati in maniera che sia possibile misurare il loro consumo di energia e ove possibile del loro impatto ambientale durante tutto il loro ciclo di vita.
Modelli di base e intelligenza artificiale generativa
Agli obblighi per i fornitori che abbiamo appena sintetizzato, se ne aggiungano altri ove i modelli di base vengano destinati alla intelligenza artificiale generativa; in tali casi il fornitore deve:
- informare l'utente del fatto che sta interagendo con un sistema di intelligenza artificiale;
- progettare il modello di base
in modo da assicurare opportune garanzie contro la generazione di contenuti che violano il diritto dell'Unione
- informare gli utenti circa l'uso fatto dal modello di base di dati protetti dal diritto d'autore.
Codici di condotta
La proposta di regolamento europeo sull'intelligenza artificiale incoraggia l'elaborazione di codici di condotta che applichino la normativa sui requisiti per i sistemi ad alto rischio anche nei casi in cui questa non sia obbligatoria. L'obiettivo è quello di estendere su base volontaria l'applicazione della normativa sui requisiti per i sistemi ad alto rischio anche ai sistemi che tali non sono. Questo, con particolare riguardo ai requisiti relativi a sostenibilità ambientale, accessibilità per le persone con disabilità, alla partecipazione allo sviluppo dei sistemi di intelligenza artificiale dei soggetti portatori di interessi.
I codici di condotta possono essere formulati direttamente dai fornitori, dalle organizzazioni che li rappresentano oppure in maniera congiunta da fornitori e relative organizzazioni rappresentative; alla stesura possono contribuire anche gli utenti e tutti i portatori di interessi.
Conclusioni
La proposta di regolamento AI Act non lesina certo gli sforzi nel provare a regolare gli usi dell'intelligenza artificiale, mirando a conciliare gli sviluppi di una tecnologia che avanza in maniera dirompente con i diritti fondamentali dell'Unione Europea, impostando un quadro normativo condiviso al livello europeo che tuteli il buon funzionamento del mercato unico digitale, il tutto, nelle intenzioni, senza ostacolare lo sviluppo tecnologico.
Se è indubbia la necessità di regolazione in un ambito come quello dell'intelligenza artificiale, in particolare al livello europeo, rimane da vedere se il regolamento sarà idoneo a realizzare un tale difficile bilanciamento, o se il tentativo non si risolva in un altro caso di overregulation : inefficace quanto agli obiettivi di tutela e costoso in termini di competitività.

Vincenzo Lalli
Di formazione legale, appassionato da sempre di tecnologia ed informatica; esperienza professionale acquisita a cavallo tra i due mondi, finora piuttosto lontani tra loro. Mi dedico ad esplorare le crescenti interazioni tra il Diritto e la tecnologia, e a dare il mio contributo alla causa dell'innovazione nel settore legale; a tal fine, ho dato vita ad Avvocloud.net.