Con l’approvazione del Regolamento sull’Intelligenza Artificiale (AI Act) dello scorso 13 Marzo il Parlamento europeo ha tagliato un traguardo epocale nell’evoluzione del quadro normativo in materia di diritto delle nuove tecnologie. Non a caso la presidenza semestrale di turno belga del Consiglio Ue lo ha definito una pietra miliare nella creazione di un impianto regolatorio di riferimento per tutti i Paesi europei rispetto ad una materia il cui sviluppo inarrestabile apre scenari sempre più vasti e dai risvolti talvolta imprevedibili.

L’iter di adozione, alquanto complesso e articolato se si considerano gli accesi dibattiti politici e le battute d’arresto che ne hanno segnato le tappe principali, giunge in queste settimane alla sua fase finale: 20 giorni dopo la pubblicazione in Gazzetta Ufficiale è il tempo stabilito per l’entrata in vigore effettiva, prevista per Maggio. Le disposizioni diverranno applicabili secondo un criterio di gradualità definito in base alle priorità: sei mesi dalla pubblicazione del testo definitivo per i divieti – essenziali per orientare operatori e sviluppatori – 24 mesi per la piena validità di tutte le prescrizioni. 

Protezione e sicurezza dei dati sono al centro dell’interesse dell’AI ACT, dimostrando, in queste finalità primarie, la vicinanza con altre normative europee quali GDOR e NIS 2 e ponendosi rispetto a queste in continuità, come conferma l’utilizzo di principi condivisi quali la compliance by design in relazione alla progettazione dei sistemi o in riferimento alla documentazione necessaria. Il Regolamento sull’AI intende rafforzare ed essere complementare agli impianti normativi vigenti, andando a disciplinare un settore specifico che richiede una regolamentazione peculiare rispetto al campo di applicazione, fermo restando che per le questioni connesse alla “data protection” il GDPR resta la stella polare che indica la direzione da seguire.

Impianto sanzionatorio e ambito di applicazione

Sul piano sanzionatorio le ammende possono giungere fino a 35 milioni di euro o al 7% del fatturato mondiale annuo nell’anno precedente, se superiore. Accogliendo la logica delle percentuali condivisa anche da altri impianti normativi quali NIS 2 e GDPR, le sanzioni saranno proporzionate in base alla gravità dei reati e delle organizzazioni destinatarie, raggiungendo il picco massimo nei casi di violazione delle cosiddette pratiche vietate.

Rispetto al campo di applicazione l’AI ACT non troverà attuazione fuori dal perimetro di competenza del diritto europeo e non interesserà i sistemi di AI con finalità militari, di sicurezza o difesa e i sistemi il cui utilizzo è limitato a scopi di ricerca o non professionali. Destinatari del Regolamento i fornitori di AI che immettono le loro soluzioni sul mercato UE e gli operatori – anche quelli fuori dai confini europei – nel caso in cui le elaborazioni dei sistemi di AI siano impiegate sul territorio UE. L’AI ACT coinvolgerà, inoltre, operatori del comparto quali importatori, distributori e fabbricanti di sistemi di AI.

AI ACT: tra definizioni e classificazione dei rischi

Calandosi nel testo normativo, una delle caratteristiche più peculiari del Regolamento è rappresentata dalla volontà di definire un impianto in grado di tenere conto delle rapide ed inaspettate evoluzioni tecnologiche in campo AI e dei relativi sviluppi del mercato. La stessa definizione di “sistema di intelligenza artificiale” adotta un approccio quanto più possibile neutrale, nell’ottica di rispondere sia alle presenti che alle future esigenze, senza rischiare di doversi ritenere antiquata prima della stessa entrata in vigore.

Definendolo come “un sistema basato macchine progettato per funzionare con diversi livelli di autonomia, che può mostrare capacità di adattamento dopo l’implementazione e che, per obiettivi espliciti o impliciti, deduce dagli input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici”, il sistema di AI, per essere considerato tale, secondo l’AI ACT deve rispondere ad una serie di criteri oggettivi quali: deve essere machine-based e progettato in modo da operare – almeno in parte – senza l’intervento umano, ovvero in autonomia; deve essere dotato di capacità di adattamento e apprendimento; deve essere in grado di raggiungere specifici obiettivi espliciti o impliciti e generare risultati in base agli input raccolti.

Ed è proprio nella vastità e – nella potenziale sconfinata estensione  – dei campi di applicazione dei sistemi di AI dal marketing alla comunicazione, dalle chatbot all’ambito HR, dalla progettazione, alla domotica e alla ricerca, passando per la logistica e il comparto IT fino all’industria 4.0 e alla valutazione e scoring, la principale ragione che porta il Legislatore ad evitare la formulazione di definizioni eccessivamente rigide, preferendo la  definizione di punti di riferimento normativo, in grado di lasciare ampio margine a sviluppi futuri del settore e di restare validi indipendentemente dalle evoluzioni.

La classificazione del rischio: il principio cardine dell’AI ACT

Nel testo dell’AI ACT assume una assoluta centralità il concetto di “rischio”, che in termini pratici si traduce nell’approccio risk-based richiesto alle organizzazioni destinatarie delle disposizioni e agli operatori del comparto. Una logica, quella del rischio, che si articola in una vera propria classificazione declinata in base al livello di potenziale impatto rispetto ai diritti fondamentali e ai possibili rischi generati. In altre parole, maggiore è il rischio, più stringenti si fanno obblighi e divieti.

Si parla di rischio inaccettabile – e ne viene di conseguenza categoricamente vietato l’utilizzo -nei casi in cui l’AI venga impiegata per attuare tecniche di manipolazione cognitivo-comportamentale o categorizzazione biometrica riferita ai dati personali sensibili. Rientrano nel divieto gli usi connessi al riconoscimento delle emozioni nei luoghi lavoro o a scuola, alla polizia predittiva, al punteggio sociale (social scoring) o ai messaggi pubblicitari rivolti ai bambini.

Nei casi di rischio elevato il Regolamento prevede una serie di rigorosi requisiti ed obblighi quali ad esempio l’adozione di sistemi di gestione dei rischi, di documentazione tecnica e conservazione delle registrazioni, fino alla trasparenza e alla fornitura di informazioni agli utenti. Parimenti devono essere adottati adeguati livelli di accuratezza, robustezza e cybersicurezza e, prima di immettere tali sistemi sul mercato, agli operatori di sistemi di AI ad alto rischio è richiesta, quale ulteriore misura, una valutazione dell’impatto sui diritti fondamentali. Gli obblighi connessi ai sistemi ad alto rischio – ricordiamo – non interesseranno solo i fornitori di sistemi di IA, ma anche gli altri operatori della filiera (quali importatori, distributori, rappresentanti autorizzati), destinatari di obblighi proporzionati rispetto all’attività svolta. Rientrano in questa categoria attività come il credit scoring, la chirurgia assistita, le chatbot o la selezione del personale. Sono classificabili, infine, come a rischio basso o nullo sistemi di AI quali videogiochi o antispam soggetti a minimi obblighi di trasparenza: l’utente deve infatti essere consapevole -e pertanto informato in merito -di interagire con un sistema di AI o che il contenuto che sta fruendo è stato generato attraverso l’intelligenza artificiale. Si auspica in questo senso ad una rapida redazione e adozione di codici di condotta adeguati, valutati dalla Commissione entro due anni dall’entrata in vigore dell’AI ACT e revisionati con cadenza triennale