Unione Europea e Intelligenza Artificiale: verso lo sviluppo di un ecosistema di eccellenze

Il 19 febbraio 2020 la Commissione Europea ha presentato l’attesissimo Whitepaper sull’Intelligenza Artificiale. Il whitepaper rientra nell’ “approccio europeo coordinato alle implicazioni umane ed etiche dell'IA" preannunciato dalla Presidente della Commissione Ursula von der Leyen all'inizio del suo mandato. Le proposte contenute nel whitepaper sono aperte alla consultazione pubblica fino al 19 maggio 2020.

In esso la Commissione affronta l’importante tema di come adattare – se possibile – il ricco quadro normativo europeo già in essere alle specificità collegate ai sistemi di Intelligenza Artificiale: si pensi ad esempio ai profili di intersezione con la Direttiva relativa alla sicurezza generale sui prodotti[1] nonché con il  Regolamento sui dispositivi medici.[2]

Sebbene i documenti fino ad ora diffusi non definiscano un quadro giuridico europeo completo per l'IA, tramite essi è possibile individuare le priorità chiave dell’UE e quali saranno i prossimi passi.  L’Unione Europea è, infatti, intenzionata a diventare leader nella “AI revolution”.

Procediamo ora ad analizzare la strategia europea passo per passo ed in linea cronologica, prima di fornire una panoramica generale del whitepaper.

Il 10 aprile 2018, 25 stati membri dell’Unione Europea firmano la Declaration of Cooperation on Artificial Intelligence. Successivamente, il 25 aprile 2018, la Commissione, il Consiglio europeo, il Consiglio, il Comitato economico e sociale europeo e il Comitato delle regioni sul tema Intelligenza artificiale per l’Europa promulgano il comunicato “Artificial Intelligence for Europe”, con il quale predispongono le fondamenta dell’iniziativa europea sull’Intelligenza Artificiale. Gli scopi delineati sono:

• Promuovere la capacità industriale e tecnologica dell’Unione Europea attraverso investimenti nel campo dell’Intelligenza Artificiale (aumento degli investimenti fino a 20 milioni di euro all’anno nei prossimi dieci anni), sia nel settore privato che in quello pubblico.

Viene esplicitamente menzionata la necessità di rendere disponibili e pubbliche grandi quantità di dati (sempre nel rispetto del GDPR), anche tramite la creazione di un nuovo centro di supporto per la condivisione dei dati;

• Preparare l’UE al cambiamento socio-economico portato dall’Intelligenza Artificiale;
• Assicurare la creazione di un quadro etico-normativo basato sui valori dell’UE e rispettoso della Carta dei Diritti Fondamentali (che includa, tra le altre, indicazioni sulle norme attuali relative alla responsabilità da prodotto difettoso).

Ad inizio Giugno 2018 viene creato il Gruppo Indipendente di Esperti ad Alto Livello sull’Intelligenza Artificiale (High Level Expert Group – HLEG) e viene lanciata l’Alleanza Europea sull’Intelligenza Artificiale. Questo produrrà gli Orientamenti Etici per un’Intelligenza Artificiale Affidabile, nonché una checklist per verificare l’affidabilità della stessa.

Il 19 febbraio 2020, come anticipato all’inizio dell’articolo, viene pubblicato il “White Paper on Artificial Intelligence – A European approach to excellence and trust”. Nella stessa data, la Commissione pubblica due comunicazioni relative alla sua strategia digitale quinquennale:  “Dare forma al futuro digitale dell'Europa” e la “Strategia europea per i dati, nonché il “Rapporto sulle implicazioni di sicurezza e responsabilità dell'Intelligenza Artificiale, dell'Internet e della robotica”.

Il “White Paper on Artificial Intelligence – A European approach to excellence and trust”

Evidenziamo ora i punti salienti del whitepaper, il documento più rilevante relativamente agli aspetti legali.

Perché è importante?

Perché la Commissione illustra le opzioni legislative che l'UE potrebbe attuare per promuovere un maggiore uso dell'IA, affrontando al tempo stesso i rischi associati a questa tecnologia.

La Commissione si concentra innanzitutto sull’importanza di stabilire un approccio uniforme all’Intelligenza Artificiale nell’UE in un’ottica di garantire l’efficienza e l’effettività del mercato unico europeo. Il whitepaper delinea un approccio regolatorio dell’Intelligenza Artificiale basato sul rischio della stessa (“risk-based approach”).

È interessante come la Commissione evidenzi quale attività pericolosa la capacità per un IA di rintracciare e de-anonimizzare dati relativi a persone fisiche, così facendo creando un vero e proprio  nuovo rischio  di violazione dei principi di data protection anche in relazione  a dati  che di per sé non sarebbero soggetti al GDPR, in quanto contenenti anonimizzati. Ciò va a riprova di quanto sia scivoloso il terreno dell’anonimità del dato e come sia difficile, nonché rischioso, considerare un dato anonimo come tale.  

Vengono presentate una serie di problematicità legate al quadro normativo esistente:

1. Limitazioni nella portata applicativa della normativa europea esistente: nella normativa relativa alla sicurezza del prodotto nel mercato europeo il software, quando è parte del prodotto finale, segue le regole relative alla sicurezza del prodotto Rimangono aperte due importante questioni:
   1. il software stand-alone è soggetto alla normativa sulla sicurezza del prodotto quando non esistono regole esplicite (si pensi al Regolamento sui Medical Device)?
   2. La normativa si applica solamente ai prodotti, perciò come deve essere regolato il commercio di servizi basati sull’Intelligenza Artificiale (ad es. servizi sanitari, servizi finanziari, servizi di trasporto, ..)?
2. Il cambiamento funzionale nei sistemi AI-based: l’integrazione e l’aggiornamento del software possono causare un cambiamento funzionale del prodotto durante il suo ciclo vitale, in particolare ciò riguarda software che richiedono aggiornamenti continui o che sono basati su sistemi di apprendimento di machine learning. La normativa attuale, secondo la Commissione, non è idonea ad affrontare i rischi che possono risultare da aggiornamenti o cambiamenti funzionali non presenti al momento dell’immissione del mercato.
3. Insicurezza relativa all’attribuzione della responsabilità da prodotto difettoso: in generale, secondo la normativa europea la responsabilità per la sicurezza del prodotto (che riguarda tutti i suoi componenti) ricade sul produttore che lo ha immesso nel mercato. Secondo la Commissione, l’applicazione di tali regole sarebbe difficoltosa nei casi in cui, per esempio, l’Intelligenza Artificiale venga aggiunta dopo l’immissione nel mercato da una terza parte.

Inoltre, la diffusione di prodotti basati o composti da sistemi di Intelligenza Artificiale ha comportato un cambiamento nella definizione di “sicurezza” del prodotto poiché sono sorti nuovi rischi. Si pensi ad esempio a rischi legati alla cybersecurity nonché legati alla perdita di connettività.

È dirimente come la Commissione proponga di concentrarsi e di regolare solamente le applicazioni dell’IA rientrati tra quelle “ad alto rischio”. Un'applicazione di IA dovrebbe essere considerata ad alto rischio:

1. Se è utilizzata in un settore ad alto rischio, tra i quali vengono elencati la sanità, i trasporti e l'energia;
2. Se è utilizzata in modo da porre rischi significativi: questo criterio serve ad escludere che tutte le applicazioni di AI nei settori considerati ad alto rischio vengano ritenute tali. Ad esempio un software utilizzato per fissare appuntamenti per visite sanitarie, visto il lieve impatto sull’individuo, non è da considerare ad alto rischio.

Le applicazioni di IA ritenute ad alto rischio sarebbero soggette a regolazione attraverso requisiti obbligatori di valutazione della conformità prima dell'immissione sul mercato.

Ci si chiede se sarà possibile per una fonte normativa definire con certezza cosa rientra nell’alto rischio e cosa invece no. Il pericolo è che alcune situazioni grigie “sfuggano” nelle maglie larghe di una determinazione di questo tipo.

Relativamente all’ambito di applicabilità territoriale della futura normativa, i requisiti si applicherebbero a tutti gli operatori che offrono prodotti o servizi di IA nell'UE, indipendentemente dal loro luogo di stabilimento. La valutazione di conformità, inoltre, dovrebbe essere inclusa in valutazioni di conformità già esistenti per determinati prodotti (ad es. MD).

Per tutte le altre applicazioni di IA, la Commissione parla di un sistema di etichettatura volontario, che consentirebbe ai fornitori di "segnalare comunque che i loro prodotti e servizi abilitati all'IA sono affidabili". Anche se del tutto volontario, una volta in cui un fornitore sceglie di utilizzare l'etichetta, i requisiti diventerebbero vincolanti.

Ma quali saranno gli aspetti dell’IA che potrebbero essere regolati nell’ambito della valutazione di conformità obbligatoria prima dell’immissione del mercato?

La Commissione suggerisce questi requisiti:

1. Dati per l’allenamento dell’IA

Fare in modo che l'IA sia addestrata su dati ampi, rappresentativi e non discriminatori e che vengano trattati sempre nel rispetto del GDPR.

2. Conservazione dei registri e dei dati:

Richiedere alle aziende di conservare documentazione dettagliata relativa a:

• Il data set utilizzato per l’allenamento e per la fase di test dell’algoritmo, inclusa una descrizione delle sue caratteristiche principali e di perché è stato scelto;
• In alcuni casi specifici, potrebbe essere richiesta la conservazione del data set di training stesso;
• Documentazione relativa alla programmazione e alla metodologia di allenamento dell’algoritmo, nonché relativa alle procedure per testarlo e validarlo

Lo scopo è poter essere in grado di tracciare e verificare ex post come sono state fatte determinate scelte problematiche da parte dell’IA.

3. Fornire le informazioni

Comunicare ai cittadini in modo coerente, obiettivo e facilmente comprensibile quando stanno interagendo con un'IA, nonché lo scopo e i limiti di questa. La Commissione riconosce anche che, poiché l’art. 13 (2)(f) del GDPR già impone ai soggetti titolari del trattamento di informare gli interessati relativamente ai trattamenti automatizzati, non devono essere imposti obblighi eccessivi che vadano a “pesare” troppo sul fornitore nel caso in cui sia ovvio all’interessato di star interagendo con un’IA.

4. Robustezza e precisione

Requisiti relativi al mantenimento dell’accuratezza del software nel corso del suo ciclo vitale nonché al mantenimento, nel tempo, della capacità di questo di gestire gli errori, di difendersi da attacchi cibernetici e  di non essere in grado di manipolare il proprio l’algoritmo.

5. Human oversight

Deve essere sempre garantito un livello adeguato di supervisione umana sull’operato dell’algoritmo. Ciò potrebbe avvenire adottando le seguenti misure:

• L’output dell’IA non può divenire effettivo fino a quando non viene sottoposto a review da parte dell’agente umano;
• L’output dell’IA ha efficacia immediata ma viene garantito l’intervento umano dopo;
• Il monitoraggio costante del sistema di IA e l’abilità per l’operatore umano di intervenire in tempo reale e disattivarlo;
• Nella fase di design, imponendo determinati limiti operazionali sul sistema (ad es. nel caso della macchina driverless che smette di operare nel caso di scarsa visibilità)

Vengono poi suggeriti requisiti specifici per il riconoscimento biometrico.

Il whitepaper conclude dicendo che la compliance al futuro quadro regolatorio dovrebbe essere garantita da un organo di governo che collabori con le autorità già esistenti (ad esempio per i dispositivi medici o per i farmaci) e conduca valutazioni sulla conformità ai requisiti legali imposti, testando i sistemi basati sull’intelligenza artificiale in modo indipendente.

Il quadro normativo suggerito dalla Commissione rispecchia molto quello che si è delineato nel corso degli anni e viene oggi applicato ai dispositivi medici.

Si tratta comunque di una serie di linee guida: l’emanazione delle norme ad hoc è prevista per la fine del 2020.

Note:

[1] Direttiva 2001/95/CE del Parlamento europeo e del Consiglio, del 3 dicembre 2001, relativa alla sicurezza generale dei prodotti

[2] Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il regolamento (CE) n. 178/2002 e il regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio (Testo rilevante ai fini del SEE. )

Rubrica "Sanità Digitale e Intelligenza Artificiale"

Leggi gli altri articoli presenti nella nostra rubrica dedicata.

VAI ALLA RUBRICA