AI Act: una governance europea per l’intelligenza artificiale

Il Regolamento europeo sull'intelligenza artificiale

Il Parlamento europeo il 13 marzo 2024, dopo l'accordo politico raggiunto dai “colegislatori” nel dicembre 2023, ha votato il testo del Regolamento sull'intelligenza artificiale (Artificial Intelligence Act).

Scopo del regolamento è quello di istituire un quadro giuridico uniforme operante all'interno dell'Unione per la messa in servizio e l'utilizzo dei sistemi di intelligenza artificiale in conformità con i valori dell'Unione, nel rispetto dei diritti umani ed evitando effetti dannosi «garantendo al contempo un elevato livello di tutela della salute, della sicurezza, dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell'Unione europea […] della democrazia, dello Stato di diritto e della tutela dell'ambiente». Con questi presupposti, dunque si intende garantire «la libera circolazione transfrontaliera di beni e servizi basati sull'intelligenza artificiale», impedendo così agli Stati membri di imporre «restrizioni allo sviluppo, alla commercializzazione e all'uso dei sistemi di intelligenza artificiale, se non esplicitamente autorizzati» [1].

Sul piano generale, lo schema di intervento adottato dal Regolamento è quantomai complesso, dato che con la sua adozione l'Unione europea formula in assoluto il primo tentativo di regolamentazione dell'Intelligenza artificiale (IA), partendo dall'individuazione del bene protetto (l'individuo e i suoi diritti fondamentali), individuando i rischi, le misure di protezione e le responsabilità. La formula legislativa del regolamento, direttamente vincolante per gli Stati membri, in luogo di quella della direttiva è stata ritenuta la più idonea per evitare che discipline nazionali dissonanti ostacolino le ragioni dell'UE nella regolazione del mercato unico e le ragioni degli Stati. A questi ultimi viene invece richiesta l'adozione di adeguate politiche di sostegno a supporto della regolamentazione europea.

Sul piano concreto, l'Unione è chiamata a confrontarsi con una realtà in rapida evoluzione, scandita dagli sviluppi continui dei modelli di IA, di fronte alla quale essa, per il tramite della Commissione, deve poter esercitare una altrettanto rapida capacità di governo. L'esistenza di rischi per la sicurezza delle persone e la necessità di garantire la tutela dei loro diritti fondamentali raccomandano, assieme ad un adeguato monitoraggio delle prestazioni dei sistemi di IA, la fissazione di comportamenti e responsabilità specifiche per coloro che utilizzano (deployers) [2] e comunque diffondono (providers) i sistemi in questione. Il Considerando n. 91 del Regolamento afferma al riguardo che tali operatori «dovrebbero […] adottare misure tecniche e organizzative adeguate a garantire che utilizzino sistemi di IA ad alto rischio conformemente alla normativa», diffondendo istruzioni per l'uso, ponendo obblighi per il monitoraggio del funzionamento dei sistemi o la tenuta di appositi registri e utilizzando personale adeguatamente formato in grado di svolgere una supervisione effettiva (“umana”), in modo da evitare l'autocontrollo dei sistemi. I primi sei capitoli del Regolamento sono interamente dedicati a tale piano di intervento.

Il quadro di Governance

Fatte queste premesse, in attesa dell'entrata in vigore del testo definitivo, pare opportuno illustrare quella parte del Regolamento concernente gli strumenti giuridico-amministrativi che l'Unione si è data per attuare la disciplina che regola gli obblighi e i doveri posti a carico dei fornitori e degli utilizzatori dei sistemi di IA.

Il Considerando n. 148 postula, infatti, l'istituzione di «un quadro di governance che consenta di sostenere l'applicazione del presente regolamento a livello nazionale, nonché di costruire capacità a livello dell'Unione e di consentire l'integrazione delle parti interessate nel settore dell'IA» e, altresì, di «un quadro di governance che consenta di coordinare e sviluppare le competenze centrali a livello dell'Unione».

All'argomento è dedicato il Capitolo VII del testo approvato, avente ad oggetto appunto la Governance. Esso è articolato in due Sezioni, la prima (artt. 64-69) intitolata alla Governance a livello di Unione, la seconda (art. 70) diretta ad individuare a livello degli Stati membri le “Autorità competenti” in materia e i punti di contatto con gli organi europei.

I Capitoli VIII e IX sono rispettivamente dedicati all'obbligo della Commissione e degli Stati membri di elaborare una Banca dati europea contenente le informazioni concernenti i sistemi di IA ad alto rischio (VIII), nonché all'obbligo dei fornitori dei sistemi di IA di adeguare le tecnologie ai livelli di rischio (art. 72), nonché di condividere le informazioni collegate (art. 73).

Centro pulsante della governance è la Commissione UE, che costituisce il centro di raccordo di tutte le competenze in materia e del coordinamento dei molteplici soggetti (istituzionali, amministrativi, professionali) interessati. Con un'apposita Comunicazione essa ha sintetizzato la propria visione strategica «per favorire lo sviluppo e l'uso di sistemi di intelligenza artificiale legali, sicuri e affidabili nella Commissione europea», fissando i passi da compiere prima dell'entrata in vigore delle future norme e rendere operativa la disciplina sull'IA fin dall'atto della sua entrata in vigore. La Comunicazione, tra l'altro, preannunzia la creazione di un Ufficio AI della Commissione Europea” chiamato a svolgere «un ruolo chiave nell'attuazione e nell'applicazione del Regolamento sull'IA» [3].

L'art. 64 del testo approvato sancisce questa funzione affermando che la Commissione sviluppa le competenze e le capacità dell'Unione nel campo dell'intelligenza artificiale «tramite l'Ufficio AI» e di quest'ultimo esalta la funzione di coordinamento, richiamando gli Stati membri a facilitarne i compiti facilitano i compiti affidati all'Ufficio AI dal Regolamento.

L'Ufficio europeo per l'intelligenza artificiale (European Artificial Intelligence Office) 

Assieme alla Comunicazione la Commissione, al fine di dare supporto tecnico e amministrativo al sistema di governance, con la Decisione adottata il 24 gennaio 2024 ha costituito l'“Ufficio europeo per l'intelligenza artificiale” (European Artificial Intelligence Office – EAIO), ovvero la struttura «incaricata della vigilanza dei progressi compiuti nel campo dei modelli di IA», che «dovrebbe svolgere un ruolo fondamentale nelle indagini, nei test e nell'applicazione delle norme, e avere una vocazione globale». L'Ufficio è entrato in funzione il 21 febbraio 2024, con l'entrata in vigore della decisione [4].

L'EIAO (UEIA, nell'acronimo italiano) è costituito nell'ambito della Commissione europea, quale parte della Direzione generale delle Reti di comunicazione, ed ha lo scopo di affiancare l'organo politico in tutta una serie di compiti di assistenza, necessari ad assicurare l'attuazione il sistema europeo di governance dell'IA. L'ufficio non ha, pertanto, una sua autonoma collocazione nell'ambito della struttura creata dal Regolamento per la normazione dell'Intelligenza artificiale. Il testo approvato il 13 marzo 2024, infatti, sembra escludere una specifica soggettivizzazione, in quanto afferma che per «Ufficio AI si intende la funzione della Commissione di contribuire all'attuazione, monitoraggio e supervisione dei sistemi di IA e della governance dell'IA svolta dal Ufficio europeo per l'intelligenza artificiale istituito con decisione della Commissione del 24 gennaio 2024» e che «i riferimenti contenuti nel presente Regolamento all'Ufficio AI devono intendersi come riferimenti alla Commissione» (art. 3, “Definizioni”, n. 47).

L'EIAO è dunque una struttura amministrativa a “vocazione globale” costituita in seno alla Commissione, ma non rientrante tra gli “uffici europei” in senso proprio, in quanto non costituente struttura amministrativa creata dalla Commissione (o dalla Commissione insieme a una o più altre istituzioni dell'Unione) per svolgere funzioni orizzontali specifiche, ai sensi dell'art. 2, n. 26, del Regolamento (UE, Euratom) 2018/1046 del Parlamento europeo e del Consiglio del 18 luglio 2018 (quali sono, ad esempio, l'Ufficio europeo per la lotta antifrode, OLAF, o l'Ufficio europeo per l'Asilo, EASO). L'EIAO, pertanto, non gode di stanziamenti autonomi e il suo finanziamento rientra nelle risorse proprie dell'obiettivo “intelligenza artificiale”.

I suoi compiti concernono l'attuazione e l'applicazione del regolamento (non è un'endiadi, il primo termine concerne la definizione della disciplina, il secondo la sua applicazione complessiva), secondo le indicazioni degli artt. 2 e seguenti della decisione 24.01.2024. Al di fuori della puntigliosa numerazione di quest'ultima, una rapida lettura del testo approvato evidenzia che l'EAIO è una sorta di braccio operativo, tramite il quale la Commissione intende assolvere il ruolo ad essa assegnato nel «sistema di governance unico per l'IA nell'Unione» (Considerando n. 5).

Il Comitato europeo per l'intelligenza artificiale

Il testo approvato all'art. 65 prevede la costituzione del “Comitato europeo per l'intelligenza artificiale” (European Artificial Intelligence Board), che è un organo tecnico composto da un rappresentante nazionale per ogni Stato membro. La composizione plurinazionale conferisce a questo Comitato un carattere più direttamente politico, pur essendo previsto che esso sostenga l'azione della Commissione sul piano essenzialmente tecnico, ma pur sempre condizionato dagli interessi dei singoli Stati (in materia ad esempio di alfabetizzazione sull'intelligenza artificiale, sensibilizzazione e comprensione dei pubblici benefici, di rischi, tutele, diritti e obblighi in relazione al suo uso, nonché di codici di comportamento, Considerando n. 20). Il compito più rilevante del Comitato è, comunque, quello di contribuire al coordinamento tra le autorità nazionali responsabili dell'applicazione del regolamento, in collaborazione con le autorità di vigilanza del mercato interessate [5].

La presenza dell'EAIO consente il coordinamento tra la Commissione e il Comitato – dato che l'Ufficio deve (shall) partecipare alle sedute di quest'ultimo, seppure senza diritto di voto – atteso che la funzione dei due organismi (Commissione e Comitato) è considerata speculare (v. Considerando n. 20).

Monitoraggio sull'utilizzo degli strumenti di intelligenza artificiale

Il Regolamento assegna all'EAIO la fondamentale funzione di monitorare e supervisionare i sistemi di IA (art. 3, n. 47), ovvero di «monitorare l'evoluzione dei mercati e delle tecnologie dell'IA» (art. 2, lett. d). Si tratta con evidenza di un compito di estrema delicatezza, perché conferisce una serie di competenze concernenti la verifica di una gamma vastissima di disposizioni regolatorie che deve essere effettuata avendo di mira l'equilibrata diffusione delle tecnologie di IA, modulando però gli interventi di controllo in modo da non condizionare negativamente l'andamento dei mercati [6].

Si tratta di organizzare, dunque, una struttura di monitoraggio e sorveglianza che, partendo dalla base tecnica del fenomeno e considerando la graduazione dei rischi connessi, moduli l'intervento delle autorità preposte. Le disposizioni del Regolamento che disciplinano l'uso dell'IA si basano infatti su una concettualizzazione tecnica dei modelli informatici che non si esaurisce a livello definitorio, ma richiede una continua verifica a livello applicativo.

La complessità di questo percorso si desume da uno dei documenti preparatori indirizzato ai membri del Parlamento europeo. Invertendo i termini del discorso, ma con analoga logica argomentativa, esso suggeriva di seguire una metodologia ampia di valutazione dei sistemi di IA, che non si fermasse solo al loro momento attuativo.

«Sebbene la proposta originaria della Commissione europea non contenesse disposizioni specifiche sulle tecnologie di intelligenza artificiale per scopi generali», si rilevava, era opportuno seguire l'impostazione del Consiglio che ne aveva proposto la presa in considerazione, dato che «nel frattempo gli scienziati hanno avvertito che qualsiasi approccio che classifichi i sistemi di intelligenza artificiale come ad alto rischio o meno a seconda dello scopo previsto creerebbe una scappatoia per i sistemi di uso generale, poiché la futura legge sull'intelligenza artificiale regolerebbe gli usi specifici di un'applicazione di intelligenza artificiale ma non i suoi modelli di base sottostanti» [7].

Il Regolamento al riguardo ha formulato una serie di definizioni concettuali concernenti tali modelli, destinando attenzione particolare ai general purpose AI models (GPAI, ovvero i modelli di IA generativa, art. 52) ed ai rischi sistemici che da essi derivano, graduandone la regolamentazione a seconda del livello di rischio. La governance della Commissione dovrà quindi misurarsi con concetti estremamente tecnici (e sul piano definitorio non pacifici) [8] e con la verifica della rispondenza delle regole adottate alle esigenze di disciplinare l'utilizzo dei modelli interessati.

È evidente, dunque, che le strutture tecniche preposte all'attuazione delle disposizioni del Regolamento, e soprattutto l'AI Office, assumono un ruolo strategico in quanto il loro monitoraggio dovrà essere necessariamente frutto non di accertamenti investigativi (o non solo), ma anche di confronto tecnico-giuridico con gli ideatori, i fornitori ed i distributori dei modelli di IA. La capacità di tenere sotto controllo l'evoluzione continua dei modelli di IA e di suggerire eventuali correzioni alla regolamentazione in vigore (esplicitamente richiesta nel suo documento istitutivo) sarà, anzi, uno dei segnali evidenti della rilevanza ed efficacia dell'Ufficio.

Il Regolamento rimette la sorveglianza sull'uso dei modelli generali (in sostanza sugli algoritmi ivi impiegati) direttamente all'Ufficio AI (e quindi alla Commissione), con i poteri che il Regolamento (UE) 2019/1020 riconosce alle Autorità nazionali di sorveglianza del mercato (art. 75, comma 1). In ogni caso, in presenza di sistemi di IA ad “alto rischio” l'Ufficio coordina eventuali investigazioni congiunte di Commissione ed autorità nazionali (art. 74, comma 11), oppure, fornisce a queste ultime le necessarie informazioni per verificare la conformità dei sistemi stessi alle disposizioni del Regolamento (art. 75, comma 3).

Le autorità nazionali competenti

La seconda Sezione del Capitolo VII (composta da un solo articolo) prevede, invece, un livello di governance di carattere nazionale, ricoperto da Autorità aventi il compito di supervisionare l'applicazione del Regolamento nei singoli Stati. L'art. 70 prevede, infatti, che ciascuno Stato membro istituisca le “Autorità nazionali competenti”, istituendo o designando almeno una “Autorità di notifica” (notifying authority) e almeno una “Autorità di sorveglianza del mercato” (market surveillance authority). Le due Autorità hanno, il compito di verificare la conformità alla disciplina del regolamento dei prodotti informatici di IA immessi sul mercato nazionale, attuando procedure di valutazione e verifica [9].

Lo stesso art. 70 delinea il profilo istituzionale di queste Autorità, precisando che esse esercitano i loro poteri in modo indipendente e imparziale per «salvaguardare l'obiettività della propria attività e dei loro compiti», garantendo la propria terzietà nell'applicazione del Regolamento. A tale fine, i componenti di tali Autorità dovranno astenersi da qualsiasi atto incompatibile con i loro compiti e doveri.

Il Regolamento non fissa il numero di queste Autorità (la norma chiede che ne sia nominata “almeno” una), né delinea un modello giuridico uniforme per la loro istituzione, lasciando agli Stati membri di adottare formule conformi alle loro esigenze nazionali. Il successivo art. 77 fissa agli Stati membri il termine di tre mesi dall'entrata in vigore del Regolamento per individuare le Autorità in questione e pubblicizzarne l'esistenza, anche con notifica agli altri Stati dell'Unione.

Di fronte a queste norme, in Italia si è aperto un confronto di opinioni circa l'opportunità di creare nuovi organismi indipendenti per l'attuazione del Regolamento, sostenendosi in alternativa la possibilità di fissare le nuove competenze in capo alle Agenzie esistenti. In tale ultimo caso potrebbero essere prese in considerazione le Agenzie indipendenti, o, in alternativa (garantiti gli opportuni requisiti di indipendenza e imparzialità richiesti per l'esercizio delle funzioni concernenti l'attuazione del Regolamento) l'Agenzia per l'Italia digitale (AGID) e l'Agenzia per la cybersicurezza nazionale (ACN) operanti nell'ambito della Presidenza del Consiglio dei Ministri.

Sul tema, si rimanda alla news AI Act: il Parlamento UE approva il Regolamento volto a disciplinare i rischi dell'intelligenza artificiale

Note

[1] I passaggi ora virgolettati e quelli che seguono sono ripresi dal testo inglese adottato in prima lettura il 13 marzo 2024, reso pubblico dal Parlamento europeo (P9 TA(2024)0138 Artificial Intelligence Act) e nella presente trattazione preso a riferimento. I riferimenti al “Regolamento” contenuti nella presente trattazione sono da intendere rivolti a questo testo. Le traduzioni dal testo inglese non sono ufficiali.

[2] Con il termine deployer, secondo la definizione accolta dall'art. 3, n. 4, del testo provvisorio, si intende «una persona fisica o giuridica, un'autorità pubblica, un servizio o altro organismo che utilizza un sistema di intelligenza artificiale sotto il proprio controllo».

[3] Comunicazione del 24 gennaio 2024, C(2024) 380 final, «Artificial Intelligence in the European Commission (AI@EC) - A strategic vision to foster the development and use of lawful, safe and trustworthy Artificial Intelligence systems in the European Commission».

[4] La decisione (C/2024/1459, in G.U.U.E./C del 14 febbraio 2024, ex art. entrata in vigore il successivo giorno 219) rientra nel pacchetto che la Commissione ha varato a sostegno delle start-up e delle PMI europee operanti nel settore dell'intelligenza artificiale (IA), in vista della definitiva adozione della prossima adozione del Regolamento.

[5] Gli artt. 67 e 68 prevedono altresì che l'azione della Commissione e del Comitato siano supportati da un tavolo permanente di esperti (art. 67, Advisory forum) e da un gruppo di esperti indipendenti (art. 68, Scientific panel of independent experts).

[6] Il Considerando n. 1, richiamati i valori dell'Unione e affermato l'obiettivo di tutelare salute, sicurezza e diritti fondamentali delle persone, afferma che: «Il presente regolamento garantisce la libera circolazione, transfrontaliera, di beni e servizi basati sull'intelligenza artificiale, impedendo così agli Stati membri di imporre restrizioni allo sviluppo, alla commercializzazione e all'uso dei sistemi di intelligenza artificiale, se non esplicitamente autorizzati».

[7] V. il focus su General-purpose artificial intelligence, in EPRS, European Parliamentary Research Service, PE 745.708 – March 2023.

[8] Il riferimento è tuttavia alla concettualizzazione dell'art. 3, dedicato alle “definizioni”; con riferimento ai nn. 1 (AI system), 63 (general-purpose AI model) e 66 (general-purpose AI system).

[9] Le definizioni date dall'art. 3 sono: Autorità di notifica, «l'autorità nazionale responsabile dell'istituzione e dell'attuazione delle procedure necessarie per la valutazione, la designazione e la notifica degli organismi di valutazione della conformità e per il loro monitoraggio» (n. 19); Autorità di vigilanza del mercato, «l'autorità nazionale che svolge le attività e adottando le misure ai sensi del Regolamento (UE) 2019/1020» (n. 26).