La pubblicazione della proposta di Regolamento europeo sull’intelligenza artificiale ha lo scopo di rendere l’UE leader a livello mondiale nell’AI, ma rischia di introdurre obblighi onerosi che ne potrebbero limitare la crescita.
Nell’ormai lontano 1962, Arthur C. Clarke, pioniere della narrativa fantascientifica moderna, dava i natali ad una frase destinata alla storia: “Ogni tecnologia sufficientemente avanzata è indistinguibile dalla magia”. Oggi, nel 2021, nell’epoca di Neuralink, del 5G e delle smart cities, i tempi appaiono quanto mai maturi per una radicale trasformazione tecnologica destinata ad influenzare profondamente i nostri usi e le nostre culture. E tale trasformazione non potrà che basarsi sulla diffusione pervasiva di strumenti e sistemi basati su sempre più complessi algoritmi di intelligenza artificiale (AI): la “magia” a cui Clarke si riferiva.
Nello scenario attuale, consapevole delle immanenti implicazioni delle AI sui diritti e le libertà fondamentali dei cittadini europei, la Commissione EU non si è fatta trovare impreparata. La proposta di Regolamento sull’intelligenza artificiale (“Regulation on European Approach for Artificial Intelligence”) è stata presentata ufficialmente dalla Commissione europea. Il Regolamento sull’AI segna un passo in avanti verso la normazione di una tecnologia rischiosa quanto necessaria allo sviluppo economico degli Stati Membri. Complessivamente, la proposta di Regolamento risponde a due esigenze fondamentali.
In primo luogo, coerentemente con il White Paper pubblicato dalla Commissione nel 2020, il Regolamento si focalizza su tre categorie principali di sistemi AI: (i) i sistemi incompatibili con i principi del diritto europeo, il cui uso è espressamente vietato; (ii) i sistemi considerati ad “alto rischio” il cui utilizzo è circoscritto a puntuali adempimenti e (iii) altre forme di AI destinate a interagire con gli esseri umani.
Dal testo della proposta di Regolamento sull’intelligenza artificiale, è evidente la presa di coscienza della Commissione sul potenziale innovativo delle AI, alla luce delle recenti applicazioni di tecnologie di machine learning a sistemi di sorveglianza di massa dei maggiori attori di questo nuovo mercato avveniristico: la Cina e gli USA. Tra l’incudine ed il martello, la “terza via” suggerita dalla Commissione europea favorisce un utilizzo virtuoso delle AI per l’economia europea. In tal senso, determina l’incompatibilità tra i principi fondanti dell’Unione Europea e le AI finalizzate a calcolare l’affidabilità dei cittadini e delle imprese nonché alla sorveglianza di massa.
La propostadi Regolamento sull’intelligenza artificiale vieta l’uso di sistemi di AI “progettati per manipolare il comportamento umano, le decisioni o le opinioni, per un fine dannoso”. Stessa sorte per l’impiego di AI predittive volte a sfruttare e/o amplificare le vulnerabilità di persone o gruppi sociali. In linea con il dettato del GDPR, il Regolamento non vieta ogni tipo di profilazione o trattamento automatizzato, ma impone severe limitazioni al targeting “dannoso” preordinato, ad esempio, alla discriminazione di gruppi sociali o alla disinformazione. I sistemi ad “alto rischio”, inoltre, dovranno essere valutati prima di essere messi in commercio ed utilizzati. Secondo quanto stabilito dal Regolamento, la classificazione dei sistemi AI ad “alto rischio” dovrebbe essere basata sull’analisi di destinazione e modalità d’uso della tecnologia, alla luce dell’entità dei danni che potrebbero derivarvi e dalla probabilità di eventi pregiudizievoli. Esempi di “danni” relativi ai sistemi AI ad alto rischio sono determinati nel Regolamento: “il ferimento o la morte di una persona, danni alla proprietà, impatti negativi sistemici per la società in generale, interruzioni significative della fornitura di servizi essenziali per lo svolgimento ordinario di attività economiche e sociali di importanza critica, impatto negativo sulle opportunità finanziarie, educative o professionali delle persone, impatto negativo sull’accesso ai servizi pubblici e qualsiasi forma di assistenza pubblica, e impatto negativo sui diritti fondamentali”. Il Regolamento introduce, inoltre, un sistema di certificazione per le AI ad alto rischio. Nelle lettere del Regolamento, “i sistemi AI ad alto rischio dovrebbero portare il marchio CE per indicare la loro conformità al presente regolamento in modo che possano muoversi liberamente all’interno dell’Unione”.
In secondo luogo, la Commissione estende i principi dell’accountability e del risk-based approach alle applicazioni della AI: ogni attore sotteso al Regolamento dovrà valutare i rischi connessi alla tecnologia di IA attraverso un’apposita valutazione d’impatto. Data la complessità della catena di valore dei sistemi AI, la portata del Regolamento sarà ragionevolmente ampia. Il Regolamento si applica a: (i) fornitori di sistemi AI operanti sul mercato europeo, indipendentemente dal fatto che siano stabiliti in UE o meno; ii) agli utenti dei sistemi AI stabiliti in UE; iii) fornitori e utenti di sistemi AI stabiliti al di fuori dell’UE, nella misura in cui i tali sistemi si riferiscano ai cittadini europei; iv) istituzioni, uffici, organismi e agenzie dell’UE, nella misura in cui rientrino nella categoria i) o ii) di cui sopra.
Particolare attenzione è rivolta anche ai sistemi di “identificazione biometrica a distanza” nei luoghi pubblici (es. dispositivi di riconoscimento facciale). L’applicazione di tali tecnologie richiederà un regime autorizzatorio rafforzato: si legge di “procedure più rigorose di valutazione della conformità attraverso il coinvolgimento di un organismo di controllo”. I controlli in considerazione saranno, pertanto, finalizzati ad analizzare i rischi specifici nell’uso della tecnologia ed il relativo impatto sulla protezione dei dati personali degli interessati. Nella valutazione d’impatto sarà soppesata la probabilità e la gravità del danno potenziale causato dalle imprecisioni del sistema AI, con particolare riferimento a dati quali età, etnia, sesso e disabilità degli interessati.
Ove i sistemi AI non siano considerabili ad “alto rischio”, ma destinati ad interagire con gli utenti, si applicheranno requisiti aggiuntivi relativi alla cd. algorithm transparency. Il Regolamento riconosce il diritto dell’interessato ad essere informato se nell’erogazione di servizi o attività di assistenza nonché nella fruizione di contenuti multimediali (es. deepfake) stia interagendo con un sistema AI o con un essere umano. La Commissione approccia, inoltre, la spinosa questione dei bias nei sistemi AI con riferimento a pregiudizi razziali e di genere. In tal senso, il Regolamento stabilisce che i dataset non potranno “incorporare alcun pregiudizio intenzionale o non intenzionale” che possa determinare decisioni discriminatorie.
Per quanto concerne il regime sanzionatorio, in caso di non-compliance per i soggetti sottesi al Regolamento sono previste multe fino a € 30 milioni o fino al 6% del fatturato globale annuo. Tuttavia, il Regolamento ammette ragionevoli eccezioni laddove attività ad “alto rischio” siano bilanciate da interessi superiori stabiliti dalla normativa nazionale e/o europea, come in materia di ordine pubblico.
La proposta di Regolamento, inoltre, propone l’istituzione di un “Consiglio Europeo per l’Intelligenza Artificiale”, che comprenda un rappresentante per ogni paese dell’Unione Europea, il Garante europeo della protezione dei dati (EDPS) e un rappresentante della Commissione. Tale organo supervisionerebbe l’implementazione della normativa a livello comunitario, determinando le best practice della disciplina.
La proposta passerà ora al vaglio del Parlamento Europeo e del Consiglio dell’Unione Europea, seguendo il tracciato della procedura del “Trilogo”. Il dibattito in seno al Parlamento Europeo ed agli Stati Membri sarà probabilmente foriero di nuovi sviluppi e modifiche al testo del Regolamento. Data la natura controversa delle AI, il gran numero delle parti e degli interessi in gioco, è ragionevole supporre che la strada verso l’adozione di un framework europeo sulle intelligenze artificiali sarà lunga e accidentata.
In caso di approvazione, il Regolamento AI è destinato ad entrare in vigore 20 giorni dopo la pubblicazione nella Gazzetta Ufficiale dell’Unione Europea e sarà pienamente applicabile entro 24 mesi da tale data. Tuttavia, termini così estesi incrementano il rischio di obsolescenza di alcune norme del framework europeo, nonostante gli sforzi avanguardistici della Commissione.
I tempi per l’avvento delle AI sono ormai maturi, e nell’attesa di scoprirne i frutti, l’Unione Europea ha stabilito le prime regole del gioco. L’obiettivo? Evitare che la magia delle intelligenze artificiali si trasformi in un incantesimo.
Su un argomento simile può essere interessante il podcast “Come l’intelligenza artificiale sta cambiando il business con Fabio Moioli di Microsoft”.