Mentre l’Unione Europea (UE) si avvicina alla promulgazione dell’AI Act, segnalandone l’imminente applicazione, gli Stati membri dell’UE, come l’Italia, stanno attivamente sviluppando le proprie normative sull’AI, anch’esse destinate ad essere applicate.
Questa situazione ricorda le conseguenze del GDPR, in cui i Paesi hanno implementato misure aggiuntive a livello locale, nonostante l’intento di armonizzazione della legislazione europea. La conformità alla normativa europea, quindi, è spesso solo il passo iniziale. Le aziende, comprese quelle al di fuori dell’UE che offrono i loro servizi nell’Unione Europea, devono essere preparate a navigare nei singoli (e spesso contrastanti) paesaggi normativi di ciascuno Stato membro. In molti casi, come nel caso della legge italiana, è probabile che questi approcci normativi locali diventino vincolanti prima di molte delle disposizioni dell’AI Act.
La proposta di legge italiana sull’AI, approvata alla fine di aprile dal governo italiano, propone una strategia nazionale completa che affronta gli impatti sociali, normativi, economici e sulla privacy dell’AI. Pur essendo ancora soggetta all’iter parlamentare e non ancora promulgata, la bozza anticipa alcuni dei principi dell’AI Act e introduce molte sfumature nazionali specifiche. In particolare, richiede che i sistemi di AI rispettino, tra gli altri, i principi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità di genere e sostenibilità. Oltre al rispetto di questi principi, la proposta di legge sull’AI stabilisce che lo sviluppo di sistemi e modelli di intelligenza artificiale deve avvenire utilizzando dati e processi che devono essere monitorati per correttezza, affidabilità, sicurezza, qualità, adeguatezza e trasparenza. Il soddisfacimento di tutti questi requisiti deve essere documentato e le aziende devono quindi implementare politiche appropriate e garantire la documentazione delle attività svolte durante lo sviluppo, l’implementazione e l’utilizzo dei sistemi di AI.
Di seguito, DLA Piper esamina i diversi elementi chiave del disegno di legge italiano sull’AI e confronta molti dei suoi termini con l’AI Act.
Applicabilità
Una componente chiave dell’AI Act e del disegno di legge italiano sull’AI è la loro esplicita determinazione dell’ambito di applicazione e dell’applicabilità. In entrambe le norme dell’UE e dell’AI, un’eccezione di applicabilità è prevista per l’AI utilizzata nel contesto della sicurezza nazionale e delle attività di difesa. Queste esclusioni includono elementi vitali della società, tra cui i regimi nazionali di sicurezza informatica, le forze di polizia e le forze armate. A differenza dell’approccio dell’UE, le norme italiane sono molto più restrittive e richiederebbero quindi alle aziende locali e straniere che offrono i loro servizi in Italia di garantire che, nonostante il loro approccio per assicurare la conformità all’AI Act, siano anche conformi alle leggi e alle restrizioni a livello locale.
Priorità alla conservazione locale
La proposta di legge italiana sull’AI prevede che lo Stato e le autorità pubbliche diano priorità, attraverso la loro piattaforma di e-procurement, ai fornitori che utilizzano data center locali per archiviare ed elaborare servizi e strumenti di AI generativa che coinvolgono dati critici. Sebbene i “dati critici” non siano ancora stati definiti nella proposta di legge italiana sull’AI, è probabile che includano informazioni strategicamente vitali per la sicurezza nazionale e la stabilità economica. Si prevede che questa definizione sia ampia, con dettagli specifici che saranno chiariti nelle successive revisioni del testo.
Dare priorità all’archiviazione locale indica la consapevolezza del potenziale di danno quando l’AI viene sfruttata con dati sensibili per l’infrastruttura nazionale – un fatto non del tutto considerato nelle disposizioni dell’AI Act. L’approccio dell’Italia non è isolato, poiché molti governi, tra cui gli Stati Uniti con il loro recente ordine esecutivo che limita alcuni trasferimenti di informazioni statunitensi verso località offshore, stanno iniziando a cercare di limitare l‘offshoring di alcuni tipi e quantità di dati.
AI nella sanità
Sono state introdotte norme specifiche anche per i sistemi di AI utilizzati nel settore sanitario, riconoscendo il loro potenziale nel contribuire al miglioramento del sistema sanitario e alla prevenzione e al trattamento delle malattie. La proposta di legge italiana sull’AI riconosce che questo obiettivo deve essere raggiunto attraverso lo sviluppo e la gestione dell’AI che tenga conto dei diritti, delle libertà e degli interessi dell’interessato, anche in termini di protezione dei dati personali. Ad esempio, in linea con le normative europee, il disegno di legge italiano sull’AI prevede che:
- i sistemi di AI e i relativi dati utilizzati nel settore sanitario devono essere affidabili e periodicamente verificati e aggiornati; e
- il paziente coinvolto ha il diritto di essere informato sull’uso delle tecnologie di intelligenza artificiale, sui benefici diagnostici e terapeutici derivanti dall’utilizzo delle nuove tecnologie e sulle informazioni relative alla logica decisionale utilizzata.
Tuttavia, a differenza dell’AI Act, il disegno di legge italiano sull’AI prevede che il trattamento dei dati, compreso il trattamento dei dati personali, effettuato da enti pubblici e privati senza scopo di lucro per la ricerca e la sperimentazione scientifica nello sviluppo di sistemi di AI per scopi sanitari, come necessario per la creazione e l’utilizzo di banche dati e modelli di base, sia di rilevante interesse pubblico che, tra l’altro, ha un notevole impatto sulla base giuridica applicabile ai sensi del GDPR. Di conseguenza, si prevede l’applicazione di ulteriori controlli e misure in aggiunta ai regimi esistenti a livello europeo.
Questa norma è particolarmente rilevante per le aziende estere che sono coinvolte nella sponsorizzazione della ricerca in Italia. La norma stabilisce che il trattamento dei dati per le sperimentazioni cliniche e la ricerca scientifica nel settore sanitario deve essere sottoposto all’approvazione dei comitati etici competenti e deve essere comunicato al Garante per la protezione dei dati personali. Questo processo può essere complesso per le aziende che operano dall’estero e può comportare maggiori e inaspettati costi finanziari e di tempo.
L’AI sul posto di lavoro e le professioni intellettuali
La proposta di legge italiana sull’AI affronta uno dei temi più sensibili per l’opinione pubblica italiana in questo momento: l’uso dell’AI sul posto di lavoro.
Come l’AI Act, la proposta di legge italiana sull’AI vieta esplicitamente qualsiasi applicazione dell’AI che comporti una discriminazione dei lavoratori basata su sesso, età, origine etnica o orientamento sessuale. Il disegno di legge italiano sull’AI, tuttavia, va oltre questi divieti e istituisce un apposito osservatorio guidato dal Ministro del Lavoro e delle Politiche Sociali per definire una strategia per l’utilizzo dell’AI sul posto di lavoro e monitorarne l’impatto sul mercato del lavoro. Il disegno di legge italiano sull’AI limita inoltre l’AI nel contesto dei servizi professionali al supporto delle attività professionali e obbliga i professionisti a informare i loro clienti sui sistemi di AI che utilizzano in modo chiaro e completo.
Sebbene la proposta di legge italiana sull’AI segua da vicino molti dei fondamenti dell’AI Act, tra cui la trasparenza, la restrizione sull’uso dell’AI nel mondo del lavoro è un altro esempio di sfumature locali che superano di gran lunga l’approccio europeo più visibile alle aziende all’estero, e che deve essere adeguatamente considerato in qualsiasi approccio internazionale all’uso dell’AI.
Autorità locali per l’AI e fondi per l’innovazione
Per garantire l’attuazione dell’AI Act e della legislazione nazionale sull’intelligenza artificiale, l’Italia istituirà due autorità nazionali per l’AI:
- a) AgID (Agenzia per l’Italia Digitale) che avrà il compito di promuovere l’innovazione e lo sviluppo dell’AI. Questa agenzia definirà anche le procedure e condurrà la valutazione, l’accreditamento e il monitoraggio degli enti responsabili della verifica della conformità dei sistemi di AI.
- b) ACN (Agenzia Nazionale di Cybersecurity) che sarà responsabile della supervisione della cybersecurity, comprese le attività di ispezione, per salvaguardare la cybersecurity nazionale.
Questa aggiunta al regime italiano proposto è un punto di scontro normativo, in quanto il Garante per la protezione dei dati personali ha precedentemente indicato che sarebbe più qualificato delle autorità proposte per agire come autorità nazionale per l’AI. C’è una chiara comprensione della rilevanza dell’AI per l’economia globale e, di conseguenza, del potere che le autorità incaricate di applicare la normativa in materia dovrebbero avere.
Per incoraggiare la creazione e la crescita di startup e piccole-medie imprese che si concentrano su tecnologie emergenti e soluzioni innovative ad alto potenziale di innovazione e scalabilità, il governo prevede anche significativi investimenti di venture capital gestiti dallo Stato fino a un miliardo di euro in aziende che operano nel campo dell’intelligenza artificiale e in altre tecnologie innovative, nonché in quelle, anche se situate all’estero, che sviluppano soluzioni di AI con l’obiettivo di creare un campione nazionale di AI.
Esenzioni alla legge sul diritto d’autore per l’uso dell’AI
In linea con l’AI Act, gli autori (o i titolari dei diritti economici, se diversi dagli autori) devono utilizzare elementi o segni identificativi, anche in filigrana, su contenuti video o indicazioni audio all’interno di contenuti audio se questi sono stati generati, modificati o alterati da sistemi di AI. Questo requisito mira a rivelare quando dati, fatti e informazioni presentati come reali sono generati dall’AI.
Il governo italiano, attraverso la proposta di legge sull’AI, ha anche cercato di modificare la legge italiana sul diritto d’autore aggiungendo un riferimento specifico alla necessità di un contributo umano nella creazione di opere protette dal diritto d’autore. Il contributo umano deve essere, come minimo, creativo, rilevante e dimostrabile. Se non si riesce a stabilire sufficientemente queste qualità, l’opera non potrà essere protetta dalla legge italiana sul diritto d’autore. Questo approccio è in linea con il punto di vista dei tribunali dell’Unione Europea e degli Stati Uniti, dove i tribunali tracciano la linea di demarcazione tra ciò che è tutelato e ciò che non lo è. Le aziende dovranno quindi documentare attentamente le loro creazioni per stabilire se il contributo umano è sufficiente a garantire la protezione del diritto d’autore.
La proposta di legge italiana sull’AI fa anche riferimento all’eccezione per l’estrazione di testi e dati prevista dalla Direttiva UE sul diritto d’autore 2019/790, nel caso in cui materiali protetti dal diritto d’autore vengano utilizzati per addestrare i sistemi di AI. L’AI Act contiene un mero riferimento incrociato alla disposizione pertinente della Direttiva UE sul diritto d’autore, senza alcuna discussione o informazione significativa da utilizzare per le organizzazioni. La proposta di legge italiana sull’AI va oltre e discute più specificamente le modalità di attuazione del meccanismo di opt-out da parte dei titolari dei diritti d’autore e gli obblighi di divulgazione a cui sono soggetti i sistemi di AI che riproducono o estraggono opere protette.
Al momento esiste una certa confusione nel mercato riguardo al concetto di riproduzione o estrazione da parte dei sistemi di AI durante la loro fase di formazione, e un livello più preciso di chiarimento aiuterebbe i titolari dei diritti d’autore a capire meglio come esercitare i loro diritti di opt-out e i fornitori e gli implementatori di sistemi di AI a capire quale sia il limite dei loro diritti. In questa fase non è chiaro se questo aspetto sarà affrontato dalle linee guida e dagli sviluppi dell’Ufficio AI a livello europeo, o se le autorità di regolamentazione locali, come quelle italiane, dovranno colmare le lacune.
Cosa possono aspettarsi le aziende straniere che forniscono e utilizzano soluzioni di Ai in Italia?
L’ambiente normativo stratificato dell’UE, composto da regolamenti, direttive e leggi locali degli Stati membri, rappresenta una sfida complessa per le organizzazioni internazionali che operano sul mercato. Questa struttura normativa sfaccettata, che comprende sia la legislazione a livello europeo che le leggi specifiche di ogni Paese, richiede una comprensione sfumata e una strategia da parte degli sviluppatori di AI e delle organizzazioni che cercano di sfruttare strumenti e sistemi alimentati dall’AI.
Sebbene l’AI Act stabilisca le basi per la regolamentazione dell’AI in Europa, i dettagli e i requisiti aggiuntivi che le organizzazioni dovranno affrontare potrebbero (e spesso lo fanno) variare in modo significativo da uno Stato membro all’altro. Sia per le aziende situate nell’UE che per quelle non appartenenti al SEE che offrono i loro servizi nell’UE, ciò significa che il semplice allineamento alle normative dell’UE potrebbe non essere sufficiente a garantire la conformità delle attività commerciali più ampie a tutte le normative applicabili. Un impegno continuo con gli sviluppi legali locali e una strategia di conformità adattiva sono quindi una metodologia preferibile.
La natura in evoluzione del panorama legislativo dell’UE e dell’Italia indica inoltre che il contesto normativo rimane incerto. Gli stakeholder devono quindi rimanere proattivi nel monitorare i requisiti attuali e i potenziali cambiamenti futuri che potrebbero influenzare le loro operazioni.
Sebbene l’AI Act costituisca un punto di riferimento fondamentale, la comprensione e l’adattamento alle leggi specifiche di ciascun Paese, come le normative sull’AI proposte dall’Italia, sono fondamentali per una conformità completa. Le aziende devono riconoscere che i loro obblighi normativi nell’UE saranno tanto dinamici e sfumati quanto la tecnologia che desiderano implementare.
Le aziende non possono aspettare per conformarsi alle normative applicabili all’AI, compresa la proposta di legge italiana sull’AI che dovrebbe entrare in vigore prima che molte delle disposizioni dell’AI Act diventino vincolanti. Da un lato, le aziende che si occupano di AI sentono l’urgenza di adottare soluzioni di AI; dall’altro, temono che i loro dipendenti stiano già utilizzando soluzioni di intelligenza artificiale che non sono state approvate dall’azienda, mettendo potenzialmente l’azienda a rischio di controversie legali. Inoltre, molte aziende stanno cercando di massimizzare i dati disponibili per addestrare i loro sistemi di intelligenza artificiale, il che le porta in un’area di contenzioso normativo in cui i dati sono protetti da copyright.
DLA Piper continua a monitorare l’attività normativa internazionale sul tema dell’intelligenza artificiale ed è pronta ad assistere le aziende in questo momento critico nella gestione degli sviluppi normativi.
Per ulteriori informazioni sull’AI e sugli standard legali e normativi emergenti, visitate la pagina di DLA Piper dedicata all’AI.
Per ottenere approfondimenti e prospettive che vi aiuteranno a definire la vostra strategia sull’AI, consultate la nostra serie AI Chatroom appena pubblicata.
Per le ultime informazioni sullo sviluppo e la posizione dell’AI Act e per sapere come prepararsi alla conformità, si suggerisce l’ultimo webinar di DLA Piper sulla preparazione all’AI Act.
Su un argomento simile può essere di interesse l’articolo “Strategia italiana per l’IA 2024-2026: i punti principali”
Autori: Giulio Coraggio, Danny Tobey, Tommaso Ricci, Coran Darling e Matteo Antonelli
