Vuoi ricevere i nostri aggiornamenti?
La proposta di Regolamento sulla responsabilità civile dell’intelligenza artificiale: commenti a caldo
L’Unione Europea ha confermato il primato: è la prima ad aver ideato un quadro giuridico relativo alla responsabilità giuridica collegata allo sviluppo e all’utilizzo di sistemi di intelligenza artificiale.
Il 21 aprile 2021, infatti, la Commissione Europea ha presentato
- L’ “Artificial Intelligence Act” ossia la proposta di regolamento diretta a realizzare norme armonizzate sull’intelligenza artificiale (ai sensi dell’art. 114 del TFUE);
- un piano coordinato sull’IA revisionato.
Gli obiettivi della proposta di regolamento sono:
- garantire che i sistemi di IA immessi sul mercato dell'Unione e utilizzati siano sicuri e siano conformi al diritto vigente in materia di diritti fondamentali e ai valori dell'Unione;
- garantire la certezza del diritto per facilitare gli investimenti e l'innovazione nell'IA;
- migliorare la governance e l'applicazione efficace del diritto vigente in materia di diritti fondamentali e di requisiti di sicurezza applicabili ai sistemi di IA;
- facilitare lo sviluppo di un mercato unico di sistemi di intelligenza artificiale legali, sicuri e affidabili e prevenire la frammentazione del mercato.
Il regolamento è impostato, come anticipato, sul risk-based approach (ed in ciò riprende un approccio già utilizzato dall’UE per la regolamentazione dei dispositivi medici, ad esempio).
Ecco i punti più salienti del quadro regolatorio prospettato.
1. Le definizioni adottate (ART. 3)
- Viene adottata la terminologia ‘sistema di intelligenza artificiale’ (e non quindi ‘intelligenza artificiale’), definito come il “software che è sviluppato con una o più delle tecniche e degli approcci elencati nell'allegato I[1] e può, per un dato insieme di obiettivi definiti dall'uomo, generare output come contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono”;
- Viene definito il ‘reasonable foreseeable misuse’ (uso improprio ragionevolmente prevedibile) ossia l'uso di un sistema di intelligenza artificiale in un modo che non è conforme alla sua destinazione, ma che può derivare da un comportamento umano ragionevolmente prevedibile o dall'interazione con altri sistemi;
- Viene fatto riferimento alla marcatura CE quale attestazione della conformità del sistema di IA ai requisiti stabiliti all’intero del regolamento;
- Viene definito il concetto di ‘incidente grave’ come qualsiasi incidente che direttamente o indirettamente, provoca, avrebbe potuto provocare o potrebbe provocare
- Il decesso di una persona o gravi danni alla salute di una persona, a beni; o
- un'interruzione grave e irreversibile della gestione e del funzionamento di infrastrutture critiche.
2. Le prassi proibite (ART. 5)
- Vengono definiti gli utilizzi di sistemi di IA che sono in violazione dei valori dell’UE e di diritti fondamentali, ad esempio
- Sistemi di intelligenza artificiale che distorcono il comportamento di una persona o che possono causare danni fisici o psicologici utilizzando tecniche subliminali o sfruttando le vulnerabilità dovute all'età o alla disabilità fisica o mentale della persona;
- L'uso di sistemi di intelligenza artificiale per il social scoring e da parte delle autorità pubbliche o per loro conto (cioè, la valutazione o la classificazione dell'affidabilità delle persone fisiche in un certo periodo di tempo in base al loro comportamento sociale o alle loro caratteristiche) che porta al trattamento negativo o sfavorevole di alcuni gruppi di persone.
3. I sistemi di IA ‘ad alto rischio’
La classificazione dei sistemi di IA a rischio elevato (ART.6), la loro regolamentazione e gli obblighi previsti (ART 16, le obbligazioni dei provider di sistemi di IA ad alto rischio, ARTT. 24, 26, 27, obblighi dei produttori, degli importatori e dei distributori, ART. 29 obblighi degli utilizzatori).
I sistemi di IA a rischio elevato rappresentano il cuore dell’AI Act. Vengono definite 3 categorie di sistemi ad alto rischio (Articolo 6). La lista non è esaustiva, e potrà essere integrata dalla Commissione Europea:
- Sistemi esplicitamente menzionati nell’allegato 3 alla proposta di regolamento (ad esempio sistemi di intelligenza artificiale destinati ad essere utilizzati per l'invio o per stabilire la priorità nell'invio di servizi di prima risposta alle emergenze, compresi i vigili del fuoco e aiuto medico)
- Sistemi AI destinati ad essere utilizzati come prodotto o come componente di prodotti coperti da una serie di normative UE preesistenti indicate all’allegato 2 (Ad esempio il regolamento 2017/745 sui dispositivi medici);
- Sistemi di IA nel caso in cui
- il prodotto il cui componente di sicurezza è il sistema di intelligenza artificiale, o
- il sistema di intelligenza artificiale stesso in quanto prodotto,
sia sottoposto a una valutazione di conformità da parte di terzi in vista dell'immissione sul mercato o della messa in servizio di tale prodotto ai sensi di normative UE preesistenti all’allegato 2 (Ad esempio, come sopra, il regolamento 2017/745)
Una volta identificati i sistemi ad alto rischio, la proposta di regolamento individua una serie di obblighi per i produttori, i distributori, gli importatori e gli utilizzatori.
Tra gli obblighi in capo ai produttori, ricordiamo:
- L’obbligo di definizione di un sistema di management del rischio;
- L’obbligo di conservare la documentazione tecnica che attesti al conformità del sistema al regolamento;
- L’obbligo di predisporre un sistema qualità;
- Obblighi relativi alla trasparenza, all’accuratezza e alla sicurezza del prodotto;
- L’obbligo di sottoporre il sistema ad una valutazione di conformità da parte di un soggetto terzo, volta ad ottenere una dichiarazione di conformità e all’apposizione del marchio CE
- L’obbligo di registrazione nel database europeo dei sistemi ad alto rischio dell’IA;
- L’obbligo di monitoraggio post-marketing e di notificare le autorità competenti nel caso di violazioni degli obblighi.
4. Le sanzioni (ART. 71)
Vengono delineati tre livelli di sanzioni:
- Fino a 30 milioni di euro o al 6% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:
- sviluppo e immissione sul mercato o messa in servizio di un sistema di intelligenza artificiale inserito nella ‘blacklist’ (prevista dall’articolo 5)
- sviluppo e immissione sul mercato o messa in servizio di un sistema di intelligenza artificiale che non rispecchia i requisiti relativi ai set di dati utilizzati per l’allenamento, la validazione e il test dei sistemi di IA nonché i requisiti previsti per l’espletamento di queste fasi (previsti dall’articolo 10);
- Fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo dell'esercizio finanziario precedente, se superiore: inosservanza da parte del sistema AI di qualsiasi requisito o obbligo ai sensi del regolamento (diverso da quelli previsti dall’articolo 5 o dall’articolo 10);
- Fino a 10 milioni di euro o al 2% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: la comunicazione di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta
Note:
[1] (a) Machine learning approaches, including supervised, unsupervised and reinforcement learning, using a wide variety of methods including deep learning; (b) Logic- and knowledge-based approaches, including knowledge representation, inductive (logic) programming, knowledge bases, inference and deductive engines, (symbolic) reasoning and expert systems; (c) Statistical approaches, Bayesian estimation, search and optimization methods.
Rubrica "Sanità Digitale e Intelligenza Artificiale"
Leggi gli altri articoli presenti nella nostra rubrica dedicata.