Il 9 dicembre 2023, i negoziatori del Parlamento europeo e la presidenza del Consiglio hanno concordato un accordo politico sulla versione finale di quello che si ritiene essere il primo quadro giuridico completo al mondo sull'intelligenza artificiale (AI) o, nel linguaggio giuridico europeo, l’AI Act.
L’AI Act è stato proposto per la prima volta dalla Commissione Europea nell’aprile 2021. Si tratta di un regolamento. I regolamenti sono atti giuridici che si applicano automaticamente e in modo uniforme a tutti i paesi dell’Unione Europea (UE) non appena entrano in vigore, senza bisogno di essere recepiti nel diritto nazionale degli stati membri. In altre parole, sono vincolanti in ogni loro parte per tutti i paesi dell’UE. A differenza delle direttive (per esempio. la direttiva Bolkestein), non hanno bisogno di una approvazione per essere validi. Ma avendo anche un framework legislativo complesso, è previsto un periodo di transizione a disposizione dei paesi membri per implementarli [1].
Il Parlamento Europeo ha approvato la sua versione del testo della legge nel giugno 2023. I rapporteur (ossia i relatori) erano Brando BENIFEI - (Gruppo dei Socialisti e Democratici) e Drago Tudorache (Gruppo dei Liberali). Ma c’erano anche altri co-rapporteur o shadow rapporteur come per esempio la bulgara Eva Maydell (Gruppo dei Popolari). A seguito della seconda lettura in Parlamento, ha fatto seguito il cosiddetto trilogo.
Nell'ambito della procedura legislativa ordinaria dell’Unione europea, un trilogo è un negoziato interistituzionale informale che riunisce rappresentanti del Parlamento europeo, del Consiglio dell’Unione europea (Stati Membri) e della Commissione europea [2]. Lo scopo del trilogo è raggiungere un accordo provvisorio su una proposta legislativa che sia accettabile sia per il Parlamento che per il Consiglio (ossia i co-legislatori). Tale accordo provvisorio dovrà poi essere adottato mediante le procedure formali di ciascuna delle due istituzioni. Un passaggio che nel 99% è puramente formale, dato che al trilogo partecipano ampie delegazioni di Parlamento e Consiglio.
Nelle prossime settimane elaboreranno i dettagli che potrebbero modificare la legislazione finale, che dovrebbe entrare in vigore all’inizio del prossimo anno e applicarsi nel 2026, anno in cui l’Act entrerà a pieno regime. Per ora quindi esiste un accordo di natura politica che andrà integrato nelle sue componenti tecnici da gruppi di lavoro di tecnici che si occuperanno dei dettagli più complessi.
Fino ad allora, le aziende sono incoraggiate a firmare un patto volontario (AI Pact) sull’intelligenza artificiale per attuare gli obblighi chiave delle regole. Più specificamente, il Patto incoraggerà le aziende a comunicare volontariamente i processi e le pratiche che stanno mettendo in atto per prepararsi alla conformità dell’AI Act e garantire che la progettazione, lo sviluppo e l’uso dell’intelligenza artificiale siano affidabili. Anche alcuni dettagli del patto saranno integrati dai tecnici attualmente al lavoro sul testo [3].
L'AI Act stabilisce obblighi per fornitori e utenti a seconda del livello di rischio rappresentato dall'intelligenza artificiale [4]. Questa è la base pratica della legislazione. Il quadro normativo definisce 4 livelli di rischio associati all’intelligenza artificiale: Rischio inaccettabile, Alto rischio, Rischio limitato ed infine Rischio minimo o nullo.
Per il Rischio inaccettabile, si intendono tutti i sistemi di intelligenza artificiale considerati una chiara minaccia alla sicurezza e ai diritti delle persone, dai punteggi sociali da parte dei governi ai sistemi che utilizzano l'assistenza vocale per incoraggiare comportamenti pericolosi. Questo tipo di tecnologie saranno vietate dalla legislazione europea.
Nel caso dell'Alto rischio, i sistemi di AI identificati come ad alto rischio includono la tecnologia utilizzata in infrastrutture critiche (come i trasporti o le telecomunicazioni), che potrebbero mettere a rischio la vita e la salute dei cittadini, la formazione scolastica o professionale, o ad altri fattori che possono determinare l'accesso all'istruzione e al percorso professionale della vita di qualcuno (ad esempio il punteggio degli esami).
I sistemi di IA ad alto rischio saranno soggetti a obblighi rigorosi prima di poter essere immessi sul mercato, come ad esempio sistemi di valutazione e mitigazione del rischio (il cosiddetto risk assessment). In alcuni casi, le aziende saranno obbligate a registrare delle attività per garantire la tracciabilità dei risultati prodotti con intelligenza artificiale. Ad esempio, tutti i sistemi di identificazione biometrica remota sono considerati ad alto rischio e soggetti a requisiti rigorosi. In linea di principio, è vietato l'uso di identificazione biometrica remota in spazi accessibili al pubblico e, laddove necessari, saranno soggetti a restrizioni molto stringenti.
Per quanto riguarda il Rischio limitato, ci si riferisce ai sistemi di AI con specifici obblighi di trasparenza. Nei sistemi come i chatbot, gli utenti dovranno essere informati e consapevoli di stare interagendo con una macchina.
Infine, per il Rischio minimo o nullo, la proposta consente un uso libero dell'AI. Ciò include applicazioni come videogiochi abilitati all'intelligenza artificiale o filtri antispam. La stragrande maggioranza dei sistemi di AI attualmente utilizzati nell'UE rientra in questa categoria.
Eccezioni delle forze dell'ordine
L’AI consente l'uso di sistemi di identificazione biometrica remota in tempo reale (a volte riconoscimento denominato live facial) in spazi accessibili al pubblico solo se strettamente necessario a fini di applicazione della legge e solo da parte di forze dell’ordine. Ciò è tuttavia consentito solo in determinate circostanze eccezionali, come l'identificazione delle vittime di reati quali rapimento, traffico o sfruttamento sessuale, la prevenzione di una specifica minaccia terroristica…etc. In sostanza, la legislazione riconosce che le forze dell’ordine debbano comunque sottostare ad alcuni obblighi in modo da garantire i diritti fondamentali dei cittadini.
Sandbox o “test nel mondo reale” e deroghe per le PMI
Per facilitare l’innovazione, la legge sull’intelligenza artificiale prevederà sandbox normativi e “test nel mondo reale”, istituiti dalle autorità nazionali per sviluppare e formare un’intelligenza artificiale innovativa prima della sua immissione sul mercato.
In altre parole, i sandbox normativi contribuiranno a creare un ambiente controllato per lo sviluppo, il test e la convalida di sistemi innovativi. In modo simile, le disposizioni di “test nel mondo reale” riguarderanno la possibilità di testare i sistemi di intelligenza artificiale in condizioni simili a quelle del mondo reale, ma con garanzie specifiche. Nelle intenzioni del legislatore, questo potrebbe favorire soprattutto le startup e le piccole aziende interessate a sviluppare sistemi AI senza il rischio di incorrere in sanzioni. Del resto, l'accordo comprende anche un elenco di azioni a sostegno delle imprese più piccole e prevede alcune deroghe limitate e chiaramente specificate per la ricerca e lo sviluppo.
Sanzioni, applicazione e governance
Le sanzioni massime, in caso di infrazione della legislazione, saranno molto importanti. Arriveranno fino a un massimo di 35 milioni di euro o al 7% del fatturato globale per violazioni relative ad applicazioni di AI vietate in aggiunta a sanzioni di 15 milioni di euro o del 3% del fatturato per violazioni di altri obblighi della legge. Infine sono previste sanzioni di 7,5 milioni di euro o 1,5% del fatturato per violazioni nella fornitura di informazioni erronee agli organi europei. Tuttavia, verranno imposti limiti più proporzionati per le PMI e le start-up.
In precedenza, i colloqui si erano arenati su come regolamentare l’AI addestrata su grandi quantità di dati e in grado di svolgere un’ampia gamma di funzioni. Queste tecnologie sono state denominate, nel corso delle trattative, in vari modi tra cui ‘foundation models’ or ‘general purpose AI’. In particolare, gli Stati Membri volevano garantire un modello più permissivo a grandi aziende che elaborano foundations model. Per esempio, la Francia, con il sostegno di Germania e Italia, si opponeva a qualsiasi regola vincolante per questi modelli.
L'accordo di compromesso trovato aggiunge nuove disposizioni per tenere conto delle situazioni in cui i sistemi di AI possono essere utilizzati e svilupparsi in settori diversi rispetto ai quali erano stati originariamente pensati.
Per esempio, esistono delle eccezioni se una tecnologia per scopi generali viene successivamente integrata in un altro sistema ad alto rischio. Nelle comunicazioni europee a riguardo, viene spesso fatto l’esempio di Chat GBT e al fatto che alcune sue parti possano, in futuro, venire integrate in un modello ad alto rischio.
In queste ore, i dettagli tecnici stanno venendo discussi e approvati da incontri di personale tecnico, che chiariranno le basi giuridiche e le definizioni di questi sistemi. Per questo, ad oggi, è molto complicato fare previsioni su come questi modelli verranno impattati dalla legislazione.
I Problemi dell’AI Act
C’è una critica di natura politica. Alcuni, soprattutto osservatori dell’industria del Tech, ritengono che la Commissione Europea non sia stata all’altezza del suo compito, preferendo creare sistemi di standardizzazione locali (ossia a livello europeo), piuttosto che globali, magari in cooperazione con organi americani, britannici, cinesi.
Esiste poi una critica economica, tra l’altro riportata anche da esponenti politici europei. Per esempio, Emmanuel Macron ha evidenziato che la nuova legislazione europea rischia di ostacolare le aziende tecnologiche europee (che sarebbero obbligate a rispettare questi standard) rispetto ai rivali di Stati Uniti, Regno Unito e Cina, che invece hanno molta più libertà legislativa [5]. E questo avverrebbe, nuovamente, in un ambito estremamente complesso e ancora in divenire, come l’intelligenza artificiale. Del resto, delle 100 più grandi aziende del tech per market cup, solo una decina sono europee. E il confronto è impietoso non solo con Cina e USA. Ma anche con Giappone, Taiwan e Corea. Esiste quindi il timore che l’AI Act possa limitare ulteriormente le aziende europee mentre i competitor mondiali potranno operare, al di fuori dell’Unione, come maggiore libertà.
Infine esiste anche una considerazione pratica, che non ha a che fare con la legislazione in sé ma con il fatto che l’integrazione europea è ancora limitata. Del resto, l’UE non è uno stato. Ma un’unione di stati. E questo impatta sull’efficacia della legislazione.
Per esempio, per quanto riguarda il GDPR (General Data Protection Regulation)non esiste un organo europeo unico che sanziona il non rispetto dei dati. Ma, nella stragrande maggioranza dei casi, l’aspetto giuridico e sanzionatorio dipende dai paesi membri e dai loro organi nazionali mentre gli organi europei hanno funzione di coordinamento.
In concreto, nel caso del GDPR un numero elevatissimo di casi di infrazione è gestito in Irlanda dal Data Protection Commission (DPC), che è il corrispettivo garante della privacy irlandese, visto che quasi tutte le grandi tech hanno sede a Dublino. Ed è chiaro che non è semplice per un organo nazionale monitorare casi cosi’ complessi.
Appare possibile, quindi, che l’AI Act potrebbe incappare negli stessi problem. Anche l’Unione ne è consapevole, tanto che nell’AI Act è prevista la creazione di un nuovo organo europeo (AI Office), che servira’ a monitorare l’applicazione dell’AI Act a livello legislativo. Ma non ad imporre direttamente le sanzioni, gestire i ricorsi e le procedure legali. In altre parole, per il momento, a questo nuovo organo europeo verranno affidati compiti di coordinamento simili a quelli che ricopre l’European Data Protection Board [6] che è competente per il GDPR. In altre parole, esiste il rischio che siano ancora le autorità nazionali ad avere compiti di natura investigativa e sanzionatoria.
Insomma, se l’AI Act sarà o no un successo, è presto per dirlo. Anzi, ci vorranno mesi o anni per capire se e come l’Unione Europea sarà in grado di provare con i fatti le sue ambizioni, per il momento, solo legislative.
Per approfondimenti, vi invitiamo a seguire il nostro EuroTalks sull’argomento con ospite Luana Lo Piccolo, consulente legale indipendente in ambito IT e AI.
* Foto di ThisIsEngineering / Pexel