Le nuove regole in materia di intelligenza artificiale

 AI - Aggiornamenti normativi

L’Unione si pone come obiettivo quello di essere un leader mondiale nello sviluppo di un’intelligenza artificiale sicura, affidabile ed etica (Considerando 5).

Lo scorso aprile ha pubblicato la Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’Unione.

La Proposta di regolamento persegue i seguenti obiettivi specifici:

• assicurare che i sistemi di IA immessi sul mercato dell’Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell’Unione;
• assicurare la certezza del diritto per facilitare gli investimenti e l’innovazione nell’intelligenza artificiale;
• migliorare la governance e l’applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA;
• facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato.

Al fine di raggiungere tali obiettivi l’Unione ha scelto, ancora una volta, il regolamento quale strumento normativo e un approccio c.d. “risk based”.

La scelta del regolamento

L’utilizzo dello strumento normativo del regolamento piuttosto che della direttiva assicura una maggiore uniformità di applicazione all’interno dell’Unione europea, facilitando lo sviluppo di un mercato unico dove i sistemi di IA possano circolare liberamente. Si tratta di una scelta che l’Unione europea ha compiuto frequentemente negli ultimi tempi in settori strategici o particolarmente rilevanti (si pensi al Reg. UE 679/2016 sul trattamento dei dati personali, ai Reg. UE 745/2017 e 746/2017 sui dispositivi medici e sui dispositivi medici in vitro o al Reg. 536/2014 sulle sperimentazioni cliniche di medicinali per uso umano).

L’approccio basato sul rischio

La proposta di regolamento non vuole dettare un sistema di norme “ingessato” che rischierebbe di ostacolare lo sviluppo tecnologico in una materia in continua evoluzione e quindi l’evoluzione del mercato collegato, per cui l’Unione ha scelto un approccio normativo proporzionato basato sul rischio. Rischio che dovrà essere valutato non solo in fase di ideazione e creazione del sistema di IA ma anche successivamente alla sua immissione sul mercato. Anche da questo punto di vista si tratta di un approccio già più volte proposto dall’Unione, è il caso, ad esempio, del GDPR.

La definizione di IA

La stessa definizione di IA è piuttosto ampia

Art. 3 (Definizioni)

1. “sistema di intelligenza artificiale” (sistema di IA): un software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I, che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono;

Di fatto ricomprende qualsiasi software che, per finalità determinate dall’uomo, sia in grado di generare output in grado di influenzare gli ambienti – quindi anche le persone – con cui interagiscono.

La definizione proposta è sufficientemente flessibile da non ostacolare i futuri sviluppi tecnologici I sistemi di IA e al contempo coprire tali futuri sviluppi; inoltre ricomprende software progettati per funzionare con livelli di autonomia variabili e per essere utilizzati come elementi indipendenti (stand-alone) o come componenti di un prodotto, a prescindere dal fatto che il sistema sia fisicamente incorporato nel prodotto (integrato) o assista la funzionalità del prodotto senza esservi incorporato (non integrato).

La definizione di fornitore

Interessante anche la definizione di fornitore, inteso come

Art. 3 (Definizioni)

• “fornitore”: una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che sviluppa un sistema di IA o che fa sviluppare un sistema di IA al fine di immetterlo sul mercato o metterlo in servizio con il proprio nome o marchio, a titolo oneroso o gratuito;

Dalla definizione di fornitore si evince che la Proposta di regolamento è diretta sia verso i privati sia verso le autorità pubbliche che immetteranno sul mercato un sistema di IA con il proprio nome o il proprio marchio.

L’ambito di applicazione

Anche l’ambito di applicazione delle nuove regole concernenti l’immissione sul mercato, la messa in servizio e l’utilizzo di sistemi di IA è ampio.

Ai sensi dell’art. 2 (Ambito di applicazione)

Il presente regolamento si applica:

1. ai fornitori che immettono sul mercato o mettono in servizio sistemi di IA nell’Unione, indipendentemente dal fatto che siano stabiliti nell’Unione o in un paese terzo;
2. agli utenti dei sistemi di IA situati nell’Unione;
3. ai fornitori e agli utenti di sistemi di IA situati in un paese terzo, laddove l’output prodotto dal sistema sia utilizzato nell’Unione.

In sintesi, ogni volta che un sistema di IA è immesso sul mercato dell’Unione, è utilizzato da utenti che si trovano all’interno dell’Unione o genera output utilizzati all’interno dell’Unione, si applica la normativa comunitaria.

Sistemi di IA vietati, ad alto rischio, a basso rischio

Seguendo l’approccio basato sul rischio la Proposta di regolamento differenzia i sistemi di IA a seconda che determinino i) un rischio inaccettabile; ii) un rischio alto; iii) un rischio basso o minimo.

I sistemi che determinano un rischio inaccettabile (ad esempio perché violano diritti fondamentali) sono vietati e un elenco è presente al titolo II (Pratiche di intelligenza artificiale vietate) art. 5.

I sistemi a basso rischio sono sostanzialmente liberi ma i fornitori sono incoraggiati (titolo IX) ad adottare codici di condotta.

Sono invece disciplinati nel dettaglio i sistemi ad alto rischio.

I sistemi ad alto rischio

La classificazione di un sistema di IA come ad alto rischio si basa sulla sua finalità prevista, in linea con la normativa vigente dell’UE in materia di sicurezza dei prodotti. Di conseguenza la classificazione come ad alto rischio non dipende solo dalla funzione svolta dal sistema di IA, ma anche dalle finalità e modalità specifiche di utilizzo di tale sistema(Relazione par. 5.2.3).

L’allegato III alla Proposta contiene già un elenco di sistemi classificati ad alto rischio ed è previsto che la Commissione possa ampliare tale elenco sempre applicando una serie di criteri e una metodologia di valutazione dei rischi.

Il capo 2 del titolo III definisce i requisiti giuridici per i sistemi di IA ad alto rischio in relazione a dati e governance dei dati, documentazione e conservazione delle registrazioni, trasparenza e fornitura di informazioni agli utenti, sorveglianza umana, robustezza, accuratezza e sicurezza.

La valutazione di conformità e la certificazione

È previsto un sistema di valutazione della conformità (art. 48) e di marcatura CE (art. 49) che si differenzia a seconda che i sistemi di IA siano

1.  destinati a essere utilizzati come componenti di sicurezza di prodotti disciplinati conformemente al nuovo quadro normativo (ad esempio macchine, giocattoli, dispositivi medici, ecc.); in tal caso saranno soggetti agli stessi meccanismi di conformità e applicazione ex ante ed ex post dei prodotti di cui sono un componente. La differenza fondamentale consiste nel fatto che i meccanismi ex ante ed ex post assicureranno la conformità non soltanto ai requisiti stabiliti dalla normativa settoriale, ma anche a quelli fissati nella Proposta di regolamento sull’IA.
2. Indipendenti; in tal caso la Proposta prevede un sistema di valutazione interno ex ante ed ex post da parte dei fornitori, che quindi emetteranno la Dichiarazione di conformità. Fanno eccezione i sistemi di identificazione biometrica remota che sarebbero soggetti a una valutazione della conformità da parte di organismi notificati.

Il sistema di monitoraggio post commercializzazione

I fornitori sono tenuti a redigere un piano di monitoraggio successivo all’immissione sul mercato che sia proporzionato alla natura delle tecnologie di intelligenza artificiale e ai rischi del sistema di IA ad alto rischio. Il sistema di monitoraggio deve essere idoneo a raccogliere, documentare e analizzare attivamente e sistematicamente i dati pertinenti forniti dagli utenti o raccolti tramite altre fonti sulle prestazioni dei sistemi di IA ad alto rischio per tutta la durata del loro ciclo di vita e deve consentire al fornitore di valutare la costante conformità dei sistemi di IA ai requisiti previsti dalla normativa.

La banca dati dell’UE dei sistemi ad alto rischio

È prevista la creazione di una banca dati europea dei sistemi ad alto rischio, in cui i fornitori inseriscono le informazioni elencate all’allegato VIII. I dati inseriti nella banca dati sono accessibili al pubblico.

Misure a sostegno dell’innovazione

In un’ottica di sviluppo tecnologico, l’art. 53 prevede la creazione di spazi di sperimentazione per l’IA istituiti da una o più autorità competenti degli Stati membri o dal Garante europeo della protezione dei dati e che dovrebbero costituire ambiente controllato volto a facilitare lo sviluppo, le prove e la convalida di sistemi di IA innovativi per un periodo di tempo limitato prima della loro immissione sul mercato.

*  *  *

L’intento dell’ Unione di contribuire alla definizione di norme e standard globali e alla promozione di un’IA affidabile che sia coerente con i valori e gli interessi dell’Unione è certamente una sfida molto ambiziosa, che va letta in stretta connessione con la strategia dell’UE in materia di dati (Comunicazione della Commissione, Una strategia europea per i dati (COM/2020/66 final), che ha tra gli altri lo scopo dichiarato di stabilire meccanismi e servizi affidabili per il riutilizzo, la condivisione e la messa in comune dei dati, essenziali per lo sviluppo di modelli di IA di alta qualità basati sui dati.

Rubrica "AI LEGAL, un prisma da comporre"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA