AI Act, cosa dice la legge Ue sull’intelligenza artificiale

di Avv. Edoardo C. Raffiotta  (Of Counsel LCA; Università di Milano Bicocca) e Sergio Amato (LCA; Certified Information Privacy Professional/Europe)           

Il Parlamento Europeo nella giornata di mercoledì 14 giugno, a Strasburgo, ha approvato in seduta plenaria con 499 voti a favore, 28 contrari e 93 astensioni la sua posizione negoziale sulla legge sull’intelligenza artificiale (AI Act).

La normativa in fieri mira a garantire che l’AI sviluppata e utilizzata in Europa sia conforme con i diritti fondamentali e i valori dell’UE, in particolare in materia di supervisione umana, sicurezza, protezione dei dati, trasparenza, non discriminazione e benessere sociale e ambientale.

Il legislatore comunitario è infatti ben conscio del fatto che gli stessi elementi e le stesse tecniche che alimentano i benefici socio-economici dell’AI (tanto a vantaggio dei cittadini e della collettività, quanto per le imprese e i servizi pubblici in genere) possono altresì comportare nuovi rischi o conseguenze negative per le persone fisiche coinvolte in tali processi.

Il voto favorevole del 14 giugno si pone dunque come un significativo e quantomai auspicato passo in avanti su una normativa pioneristica che vede come (arduo) obiettivo quello di regolamentare il complesso e variegato fenomeno dell’intelligenza artificiale, in tutte le forme e declinazioni che questa riveste, in un’ottica di contestuale di sviluppo sostenibile e antropocentrico dell’innovazione e del progresso umano.

Le novità della normativa Ue sull’AI

Le novità dell’ultima versione del testo ricomprendono aspetti, anche definitori, su cui vigevano alcuni dubbi e pareri contrastanti:

1. La definizione di Sistemi di AI: si è deciso di optare sulla definizione proposta dall’Organizzazione per la cooperazione e lo sviluppo economici (OCSE) e incentrata sui processi di machine learning.
2. L’elenco delle pratiche proibite: oltre le già note attività proibite, il Parlamento ha inteso vietare, in quanto corrispondenti ad un rischio inaccettabile (i) l’uso dei sistemi di identificazione biometrica nell’UE sia “tempo reale” – per cui sono state bocciate gli emendamenti che prevedevano eccezioni –  che per l’uso “a posteriori” (tranne nei casi di reati gravi e di previa autorizzazione giudiziaria); (ii) tutti i sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili; (iii) i sistemi di polizia predittiva (basati sulla profilazione, l’ubicazione o il comportamento criminale pregresso); (iv) i sistemi di riconoscimento delle emozioni (utilizzati nell’ambito di attività di contrasto, gestione delle frontiere, luoghi di lavoro e istituti di istruzione); e infine (v) i sistemi che utilizzano l’estrazione indiscriminata di dati biometrici dai social media o da filmati di telecamere a circuito chiuso per creare banche dati di riconoscimento facciale.
3. Attività ad alto rischio: la categorizzazione di tale regime è stata ritoccata aggiungendo il riferimento al “rischio significativo” di danneggiare la salute, la sicurezza, i diritti fondamentalidelle persone o l’ambiente. Inoltre, sono stati aggiunti e ricompresi anche i sistemi di AI utilizzati per influenzare gli elettori nelle campagne politiche e quelli utilizzati nei sistemi di raccomandazione dei principali social media. Il Parlamento ha altresì imposto a coloro che utilizzano un sistema ad alto rischio nell’UE l’obbligo di effettuare una valutazione d’impatto sui diritti fondamentali.
4. AI per finalità generali: l’intenzione del Parlamento è stata quella di prediligere un approccio basato su più livelli, in cui imporre ai fornitori di modelli di base di AI l’obbligo di garantire una solida tutela dei diritti fondamentali, nonché di valutare e mitigare i rischi fin dalla fase di progettazione, registrando in ogni caso tali modelli in una banca dati dell’UE. Inoltre, dopo il noto caso di ChatGPT, i fornitori di modelli di AI generativa sarebbero ricompresi tra i sistemi ad alto rischio e dunque soggetti ad obblighi di trasparenza rigorosi, tra cui (i) rilevare che il contenuto è stato generato dall’AI e non da esseri umani, in modo tale da mitigare il fenomeno dei deepfake; (ii)  progettare i loro modelli in modo da impedire la generazione di contenuti illegali; e (iii) pubblicare riepiloghi dei dati con diritti d’autore autorizzati ai fini dell’ addestramento.
5. Governance: ogni Stato Membro deve designare un’autorità nazionale di controllo sull’AI, ma è rimesso alla fase del trilogo la definizione circa quali e quante autorità i singoli stati debbano prevedere. Anche sulle tempistiche di designazione c’è ancora dell’incertezza: la proposta dalla Commissione Europea prevedeva un termine massimo di 3 mesi a decorrere dal “entry into force” del Regolamento. La certezza è l’istituzione di un ufficio centrale dell’UE per l’AI, in grado di sostenere l’applicazione armonizzata della legge sull’AI e monitorarne l’attuazione. Infine, per rafforzare il diritto dei cittadini di presentare reclami, all’interno dell’AI Act viene prevista la possibilità di chiedere spiegazioni sulle decisioni basate su sistemi di AI ad alto rischio con un impatto significativo sui loro diritti fondamentali.
6. Ricerca e innovazione: il Parlamento non ha trascurato la necessità di stimolare e sostenere l’innovazione nel campo dell’AI: vengono infatti previste alcune deroghe al regime applicativo della normativa dell’AI Act, in particolare per tutti quei soggetti che compiono attività di ricerca e sviluppo di componenti di AI liberi e open source, promuovendo in tal modo i c.d. spazi di sperimentazione normativa.

L’iter legislativo

L’iter legislativo prevede adesso la fase del cosiddetto “trilogo”, a cui prendono parte alcuni rappresentanti del Parlamento, Consiglio e della Commissione, e durante il quale verranno concordati eventuali emendamenti, così da concludere le negoziazioni entro la fine del 2023. Quanto convenuto in seno ai triloghi sarà presentato alle plenarie di Consiglio e Parlamento Europeo per l’approvazione definitiva dell’AI Act, prevista per l’inizio del 2024. L’effettiva data di entrata in vigore dell’AI Act – così come accaduto per il “fratello maggiore” GDPR – dovrebbe avvenire decorsi due anni dall’emanazione, termine che si sta valutando se ridurre a 18 mesi. Infine, ancillari all’AI Act, durante questa fase di approvazione e successiva entrata in vigore del nuovo framework regolatorio, saranno due strumenti particolarmente strategici e basati su un processo di negoziazione e adesione volontaria alla compliance:

1. l’AI Code of Conduct: proposto per la prima volta al G7 di Hiroshima, si tratta di un codice di condotta relativo alla compliance dei sistemi di AI generativa a cui le imprese private possono aderire su base volontaria;
2. l’AI Pact: il patto sull’intelligenza artificiale avanzato dal Commissario europeo per il mercato interno e i servizi, che spinge le imprese a conformarsi alle previsioni dell’AI Act prima dell’effettiva entrata in vigore dello stesso, così da accelerare l’adesione a regole e best practies che diventarono poi vincolanti.