Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter

La proposta di Regolamento sulla responsabilità civile dell’intelligenza artificiale: commenti a caldo

22/04/2021

L’Unione Europea ha confermato il primato: è la prima ad aver ideato un quadro giuridico relativo alla responsabilità giuridica collegata allo sviluppo e all’utilizzo di sistemi di intelligenza artificiale.

Il 21 aprile 2021, infatti, la Commissione Europea ha presentato

  • L’ “Artificial Intelligence Act” ossia la proposta di regolamento diretta a realizzare norme armonizzate sull’intelligenza artificiale (ai sensi dell’art. 114 del TFUE);
  • un piano coordinato sull’IA revisionato.

Gli obiettivi della proposta di regolamento sono:

  1. garantire che i sistemi di IA immessi sul mercato dell'Unione e utilizzati siano sicuri e siano conformi al diritto vigente in materia di diritti fondamentali e ai valori dell'Unione;
  2. garantire la certezza del diritto per facilitare gli investimenti e l'innovazione nell'IA;
  3. migliorare la governance e l'applicazione efficace del diritto vigente in materia di diritti fondamentali e di requisiti di sicurezza applicabili ai sistemi di IA;
  4. facilitare lo sviluppo di un mercato unico di sistemi di intelligenza artificiale legali, sicuri e affidabili e prevenire la frammentazione del mercato.

Il regolamento è impostato, come anticipato, sul risk-based approach (ed in ciò riprende un approccio già utilizzato dall’UE per la regolamentazione dei dispositivi medici, ad esempio).

Ecco i punti più salienti del quadro regolatorio prospettato.

1. Le definizioni adottate (ART. 3)

  • Viene adottata la terminologia ‘sistema di intelligenza artificiale’ (e non quindi ‘intelligenza artificiale’), definito come il “software che è sviluppato con una o più delle tecniche e degli approcci elencati nell'allegato I[1] e può, per un dato insieme di obiettivi definiti dall'uomo, generare output come contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono”;
  • Viene definito il ‘reasonable foreseeable misuse’ (uso improprio ragionevolmente prevedibile) ossia l'uso di un sistema di intelligenza artificiale in un modo che non è conforme alla sua destinazione, ma che può derivare da un comportamento umano ragionevolmente prevedibile o dall'interazione con altri sistemi;
  • Viene fatto riferimento alla marcatura CE quale attestazione della conformità del sistema di IA ai requisiti stabiliti all’intero del regolamento;
  • Viene definito il concetto di ‘incidente grave’ come qualsiasi incidente che direttamente o indirettamente, provoca, avrebbe potuto provocare o potrebbe provocare
    1. Il decesso di una persona o gravi danni alla salute di una persona, a beni; o
    2. un'interruzione grave e irreversibile della gestione e del funzionamento di infrastrutture critiche.

 

2. Le prassi proibite (ART. 5)

  • Vengono definiti gli utilizzi di sistemi di IA che sono in violazione dei valori dell’UE e di diritti fondamentali, ad esempio
    • Sistemi di intelligenza artificiale che distorcono il comportamento di una persona o che possono causare danni fisici o psicologici utilizzando tecniche subliminali o sfruttando le vulnerabilità dovute all'età o alla disabilità fisica o mentale della persona;
    • L'uso di sistemi di intelligenza artificiale per il social scoring e da parte delle autorità pubbliche o per loro conto (cioè, la valutazione o la classificazione dell'affidabilità delle persone fisiche in un certo periodo di tempo in base al loro comportamento sociale o alle loro caratteristiche) che porta al trattamento negativo o sfavorevole di alcuni gruppi di persone.

 

3. I sistemi di IA ‘ad alto rischio’

La classificazione dei sistemi di IA a rischio elevato (ART.6), la loro regolamentazione e gli obblighi previsti (ART 16, le obbligazioni dei provider di sistemi di IA ad alto rischio, ARTT. 24, 26, 27, obblighi dei produttori, degli importatori e dei distributori, ART. 29 obblighi degli utilizzatori).

I sistemi di IA a rischio elevato rappresentano il cuore dell’AI Act. Vengono definite 3 categorie di sistemi ad alto rischio (Articolo 6). La lista non è esaustiva, e potrà essere integrata dalla Commissione Europea:

  1. Sistemi esplicitamente menzionati nell’allegato 3 alla proposta di regolamento (ad esempio sistemi di intelligenza artificiale destinati ad essere utilizzati per l'invio o per stabilire la priorità nell'invio di servizi di prima risposta alle emergenze, compresi i vigili del fuoco e aiuto medico)
  2. Sistemi AI destinati ad essere utilizzati come prodotto o come componente di prodotti coperti da una serie di normative UE preesistenti indicate all’allegato 2 (Ad esempio il regolamento 2017/745 sui dispositivi medici);
  3. Sistemi di IA nel caso in cui
    1. il prodotto il cui componente di sicurezza è il sistema di intelligenza artificiale, o
    2. il sistema di intelligenza artificiale stesso in quanto prodotto,

sia sottoposto a una valutazione di conformità da parte di terzi in vista dell'immissione sul mercato o della messa in servizio di tale prodotto ai sensi di normative UE preesistenti all’allegato 2  (Ad esempio, come sopra, il regolamento 2017/745)

Una volta identificati i sistemi ad alto rischio, la proposta di regolamento individua una serie di obblighi per i produttori, i distributori, gli importatori e gli utilizzatori.

Tra gli obblighi in capo ai produttori, ricordiamo:

  • L’obbligo di definizione di un sistema di management del rischio;
  • L’obbligo di conservare la documentazione tecnica che attesti al conformità del sistema al regolamento;
  • L’obbligo di predisporre un sistema qualità;
  • Obblighi relativi alla trasparenza, all’accuratezza e alla sicurezza del prodotto;
  • L’obbligo di sottoporre il sistema ad una valutazione di conformità da parte di un soggetto terzo, volta ad ottenere una dichiarazione di conformità e all’apposizione del marchio CE
  • L’obbligo di registrazione nel database europeo dei sistemi ad alto rischio dell’IA;
  • L’obbligo di monitoraggio post-marketing e di notificare le autorità competenti nel caso di violazioni degli obblighi.

4. Le sanzioni (ART. 71)

Vengono delineati tre livelli di sanzioni:

  1. Fino a 30 milioni di euro o al 6% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:
    • sviluppo e immissione sul mercato o messa in servizio di un sistema di intelligenza artificiale inserito nella ‘blacklist’ (prevista dall’articolo 5)
    • sviluppo e immissione sul mercato o messa in servizio di un sistema di intelligenza artificiale che non rispecchia i requisiti relativi ai set di dati utilizzati per l’allenamento, la validazione e il test dei sistemi di IA nonché i requisiti previsti per l’espletamento di queste fasi (previsti dall’articolo 10);
  2. Fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell'esercizio finanziario precedente, se superiore: inosservanza da parte del sistema AI di qualsiasi requisito o obbligo ai sensi del regolamento (diverso da quelli previsti dall’articolo 5 o dall’articolo 10);
  3. Fino a 10 milioni di euro o al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: la comunicazione di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta


Note:

[1] (a) Machine learning approaches, including supervised, unsupervised and reinforcement learning, using a wide variety of methods including deep learning; (b) Logic- and knowledge-based approaches, including knowledge representation, inductive (logic) programming, knowledge bases, inference and deductive engines, (symbolic) reasoning and expert systems; (c) Statistical approaches, Bayesian estimation, search and optimization methods.

Rubrica "Sanità Digitale e Intelligenza Artificiale"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.