AI Act: il Parlamento europeo approva il nuovo regolamento

L' iter approvativo dell'AI Act

L'utilizzo di sistemi di Intelligenza Artificiale (IA, di seguito anche “AI”) ha un forte potenziale per lo sviluppo della tecnologia e dell'economia, oltre che della società, se si pensa anche alle applicazioni nell'ambito della ricerca, della cultura e della salute, fra molte altre. Allo stesso tempo, le caratteristiche dell'IA impongono di considerare alcuni profili di rischio, connessi soprattutto alla sicurezza di questi sistemi e alla tutela dei diritti fondamentali delle persone, tra cui quello alla privacy e alla protezione dei dati personali.

In seno all'UE, da alcuni anni, è stata avviata una importante operazione di innovazione legislativa in questo ambito, nel contesto del più ampio programma europeo per la trasformazione digitale (Path to the Digital Decade), che prevede una serie di obiettivi strategici, anche a livello normativo, da raggiungere entro il 2030. La Commissione europea ha pubblicato un Libro Bianco sull'IA nel febbraio 2020 e ha proposto di istituire un quadro normativo europeo in materia. Lo stesso anno, il Parlamento europeo ha adottato tre risoluzioni legislative sull'IA che riguardano aspetti etici, di responsabilità civile e di proprietà intellettuale, chiedendo alla Commissione di definire un quadro giuridico europeo completo.

Sulla base di tali premesse, la Commissione europea ha presentato una proposta di Regolamento sull'Intelligenza Artificiale (AI Act) nell'aprile del 2021. La bozza è stata poi discussa dal Parlamento e dal Consiglio europeo. Anche altre Istituzioni europee hanno espresso i loro pareri (tra cui anche BCE e EDPB/EDPS). A dicembre del 2022, il Consiglio europeo ha adottato la propria posizione comune sulla bozza del Regolamento.

A maggio di quest'anno le Commissioni Internal Market and Consumer Protection (IMCO) e Civil Liberties, Justice and Home Affairs (LIBE), che nel Parlamento europeo guidano congiuntamente il dibattito su questo lavoro, hanno proposto ulteriori modifiche alla bozza di AI Act. Il 14 giugno il Parlamento ha approvato in seduta plenaria il testo e ha avviato le discussioni con il Consiglio prodromiche alla adozione della versione definitiva.

La struttura del Regolamento

Quando la Commissione europea ha proposto il testo del Regolamento sull'Intelligenza Artificiale non è dovuta partire da una pagina bianca per scrivere i principi e le regole per un uso sicuro, lecito e etico di queste nuove tecnologie. Sul presupposto, infatti, che i dati sono elementi essenziali di ogni sistema di AI – poiché gli algoritmi si alimentano di dati, si allenano grazie a questi e li generano a livello di output – il General Data Protection Regulation (GDPR), che costituisce il fulcro normativo rispetto alla protezione dei dati personali in Europa, rappresentava un valido riferimento. Alcuni aspetti, quindi, sono stati da questo mutuati, tra cui anche il principio di accountability – che richiede di essere pronti a dimostrare le valutazioni fatte per conformarsi ai requisiti di legge – o il principio di trasparenza – in base al quale gli utenti devono sapere che cosa viene fatto con i loro dati e come funziona l'algoritmo – o, ancora, l'approccio basato sul rischio, da cui discende la necessità di approntare tutto quanto è necessario per la tutela delle persone (tra cui le misure di sicurezza) non già in modo standard, ma bensì sulla base dei possibili rischi. Proprio alla luce di questo ultimo punto, nella bozza di AI Act si trova la seguente macro-ripartizione:

• pratiche di intelligenza artificiale vietate, il cui uso è considerato inaccettabile in quanto contrario ai valori dell'UE, perché viola diritti fondamentali (es. quelle che utilizzano tecniche subliminali che agiscono senza che una persona ne sia consapevole al fine di distorcerne il comportamento in un modo che possa provocare danni fisici o psicologici);
• sistemi di AI ad alto rischio.

L'utilizzo di questi ultimi – il cui elenco è riportato in un apposito allegato del Regolamento – è consentito, ma implica il rispetto di numerosi obblighi, tra cui anche l'adozione di un sistema di gestione dei rischi e di pratiche di governance e gestione dei dati, lo svolgimento di valutazioni di conformità, l'attuazione pratica del principio di trasparenza (mediante la redazione di informative comprensibili), l'adozione di misure di sicurezza adeguate, la predisposizione di documentazione tecnica molto dettagliata, l'implementazione di processi per la supervisione umana e per il monitoraggio dei sistemi.

Le novità più rilevanti introdotte dal Parlamento UE

Le Commissioni IMCO e LIBE hanno proposto numerose modifiche e integrazioni alla bozza dell'AI Act (rispetto alla versione del 2021 della Commissione) che il Parlamento UE, nella seduta plenaria del 14 giugno, ha sostanzialmente approvato. Alcune fra le più rilevanti sono le seguenti.

Definizione di IA

La definizione di Intelligenza Artificiale è centrale, poiché da essa dipende l'ampiezza del campo di applicazione della normativa. È stata estesa come segue: artificial intelligence system (AI system) means a machine-based system that is designed to operate with varying levels of autonomy and that can, for explicit or implicit objectives, generate outputs such as predictions, recommendations, or decisions that influence physical or virtual environments.

Invece, la proposta della Commissione faceva riferimento, in modo più restrittivo, a un software sviluppato con alcune caratteristiche espressamente elencate. Una definizione sganciata da determinate caratteristiche tecniche sembra maggiormente idonea a coprire le numerose possibili applicazioni e ad assicurare una maggiore durata alla normativa. Il rischio di una prematura obsolescenza delle regole collegate all'uso della tecnologia, infatti, è molto alto, se le norme sono troppo specifiche. Uno dei motivi del successo del GDPR, per fare un parallelismo con una normativa attigua a quella in oggetto, è la sua “neutralità tecnologica”, che consente una applicazione delle regole in modo trasversale. L'AI Act – per raggiungere l'ambizioso risultato sperato di normare una materia estremamente complessa, lasciando che questa si sviluppi, ma garantendo ai cittadini la necessaria sicurezza – dovrà riuscire a raggiungere lo stesso risultato.   

Pratiche di IA vietate e sistemi ad alto rischio

L'AI Act, come anticipato, prevede che alcune pratiche siano espressamente vietate. L'elenco di queste è stato esteso dal Parlamento, introducendo così nell'ordinamento europeo un livello di protezione più alto per le persone.  

Nel nuovo testo del Regolamento, inoltre, è stato aggiunto un ulteriore livello di applicazioni di IA ad alto rischio: un sistema di intelligenza artificiale rientrerebbe in questa categoria, in generale, se ponesse un rischio significativo di danneggiare l'ambiente, la salute, la sicurezza o i diritti fondamentali delle persone. Anche l'Allegato III, che riporta l'elenco delle applicazioni a rischio alto, è stato notevolmente ampliato.

Gli obblighi per i fornitori di IA ad alto rischio sono aumentati, in particolare con riferimento agli adempimenti in tema di gestione del rischio, di governance dei dati, di documentazione tecnica e di tenuta dei registri. È stato introdotto anche l'obbligo di condurre una valutazione dell'impatto sui diritti fondamentali, considerando anche aspetti peculiari, come i possibili effetti negativi dell'AI sui gruppi di persone più emarginate e sull'ambiente.

Sistemi di IA con finalità generali

La proposta della Commissione non includeva questo tipo di sistemi. L'enorme successo di ChatGPT e di altri Large Language Models (LLMs), in particolare negli ultimi mesi, ha richiesto un intervento urgente e sono stati quindi introdotti alcuni obblighi che si applicano nel caso in cui i cd. General Purpose AI (GPAI) – definiti come i sistemi di AI che possono essere usati e adattati per una vasta serie di applicazioni per cui non erano stati progettati espressamente – siano considerati ad alto rischio o siano integrati in applicazioni ad alto rischio.

Foundation model e AI generativa

Il nuovo testo del Regolamento ha preso in considerazione anche l'AI generativa, ossia quella che è in grado di generare testi, immagini, video, musiche o altri output in risposta a determinate richieste. I foundation model sono modelli di intelligenza artificiale sviluppati per essere altamente versatili e generici nella loro capacità di produrre output. Questi modelli vengono addestrati su una ampia gamma di dati per affrontare numerosi compiti, compresi quelli per i quali non sono stati sviluppati e addestrati. Questi modelli stanno assumendo un'importanza crescente.

Nel caso in cui i foundation model siano forniti come servizio, ad esempio tramite API (Application Programming Interfaces), il fornitore originale deve collaborare con i fornitori successivi che usano il servizio, a meno che il fornitore originale trasferisca il modello di addestramento e informazioni dettagliate sui set di dati e sul processo di sviluppo del sistema, oppure limiti il servizio, in modo tale che il fornitore successivo che fa ricorso al foundation model sia in grado di ottemperare pienamente al regolamento senza ulteriore supporto dal fornitore originale.

Visti i rischi significativi collegati ai foundation model, devono essere implementate adeguate misure di data governance, anche per evitare l'incorporazione di possibili pregiudizi (bias) nel sistema. Il testo del regolamento approvato dal Parlamento richiede anche che tali modelli siano progettati in modo tale da garantire adeguati livelli di sicurezza e il rispetto dell'ambiente. I modelli di AI generativa, inoltre, devono assicurare trasparenza rispetto al fatto che gli output sono generati da una macchina e non da esseri umani e devono essere sviluppati in modo da evitare che i contenuti generati risultino in violazione delle leggi europee (incluse quelle sulla tutela del diritto d'autore) e dei diritti fondamentali delle persone.

Privacy e data protection

È stato sottolineato con forza che i diritti alla privacy e alla protezione dei dati personali (entrambi tutelati dalla Carta dei diritti fondamentali dell'UE, oltre che dal GDPR) devono essere garantiti durante tutto il ciclo di vita del sistema di intelligenza artificiale. L'attuazione dei principi di minimizzazione e di privacy by design e by default risulta essenziale. Per garantire il rispetto di questi diritti fondamentali e la sicurezza dei sistemi di AI è necessario implementare misure tecniche e organizzative all'avanguardia. Tali misure dovrebbero includere non solo l'anonimizzazione e la crittografia, ma anche l'utilizzo di tecnologie che consentono agli algoritmi di lavorare riducendo l'impatto sui dati.

I fornitori di AI ad alto rischio devono predisporre una dichiarazione di conformità del sistema, da tenere a disposizione delle Autorità per 10 anni. Nel caso in cui il sistema di AI preveda il trattamento di dati personali, la dichiarazione deve prevedere anche la conformità del sistema alla normativa europea in materia di protezione dei dati personali.

AI Office

Il Parlamento ha ritenuto necessario attribuire una serie di compiti allo European Artificial Intelligence Office (AI Office), un organismo indipendente che dovrà essere appositamente costituito. Questo avrà sede a Bruxelles e sarà gestito da un board composto da rappresentati della Commissione, delle Autorità di controllo locali (che ogni Stato membro deve individuare per vigilare il rispetto delle norme sull'AI), dell'EDPS, dell'ENISA e dell'Agenzia per i diritti fondamentali, tra cui anche i seguenti:

• fornire supporto e consulenza agli Stati membri, alle Autorità di controllo nazionali e alla Commissione rispetto all'implementazione dell'AI Act, facilitando altresì la creazione di un pool di esperti in materia (sul modello di quanto fatto recentemente dall'EDPB);
• assistere le Autorità nazionali nella costituzione di sandbox regolamentari;
• assicurare una applicazione coerente del Regolamento;
• fornire consulenza alla Commissione affinché questa sviluppi linee guida sulla implementazione pratica del Regolamento;
• fornire linee guida in materia di sicurezza dei sistemi di AI a alto rischio;
• coordinare indagini congiunte;
• cooperare con le Autorità di paesi terzi e con organizzazioni internazionali;
• promuovere una pubblica consapevolezza in merito ai benefici, ai rischi, alle tutele e ai diritti collegati all'uso dell'AI.

In conclusione

Nell'attesa dell'approvazione finale dell'AI Act si è assistito negli scorsi mesi ad alcuni interventi delle Autorità di controllo – tra cui il Garante per la protezione dei dati personali, nel caso ChatGPT – per porre rimedio ad alcune situazioni molto rilevanti, soprattutto in ottica data protection. Certamente seguiranno ulteriori provvedimenti e sanzioni, prima che venga definito il quadro normativo. Ciò contribuisce a dare il segno di quanto sia diventato urgente addivenire a un testo finale che rappresenti la cornice di legalità dell'intelligenza artificiale, almeno in Europa, anche per attribuire maggiore certezza al mondo dell'impresa.

La proposta di Regolamento sull'AI della Commissione, nonostante sia stata presentata solo due anni fa, non sembra del tutto idonea a coprire efficacemente le proporzioni di questo fenomeno. Gli sforzi svolti dagli altri organismi europei coinvolti nel processo di formazione delle nuove regole sull'intelligenza artificiale – tra cui il Consiglio e il Parlamento – hanno contribuito a portare molto avanti il testo dell'AI Act. Le integrazioni da ultimo suggerite da rappresentati direttamente eletti dai cittadini europei (vale la pena sottolinearlo) vanno nella direzione di un allargamento della portata delle norme e di un maggiore livello di protezione per le persone.

Risulta del tutto condivisibile l'approccio che è consistito nell'allargamento della definizione di AI, nel rafforzamento dei presidi in materia di privacy, protezione dei dati e cybersicurezza, nell'estensione degli obblighi previsti per i sistemi ad alto rischio anche ad alcune tecnologie destinate a un sempre maggiore sviluppo e potenzialmente molto pericolose, se non correttamente gestite. Anche il sistema di governance pubblica, come riconfigurato, pare maggiormente idoneo per un lavoro di enforcement efficace, anche alla luce delle esperienze positive registrate nel quinquennio di vigenza del GDPR.

Certamente gli oneri per le aziende che sviluppano e vendono sistemi di AI – e per i soggetti che di questi si vogliono avvalere, per potenziare le proprie attività – sono di notevole portata (le ultime modifiche al Regolamento hanno aumentato e rafforzato gli obblighi) e richiederanno importanti sforzi per la costruzione e il mantenimento di una struttura legale, organizzativa e tecnica adeguata e sempre al passo con l'evoluzione della tecnologia.