L’utilizzo dei sistemi di intelligenza artificiale (IA) è ormai alla portata di tutti – basti pensare alla rapida diffusione di ChatGPT – ed è parte integrante dei modelli di business delle aziende, per le quali le applicazioni sono innumerevoli e spaziano da macchinari automatizzati, ai chatbot del servizio clienti, all’utilizzo di algoritmi.
Queste tecnologie offrono un’enorme potenzialità, ma è necessario affrontare le numerose preoccupazioni che sorgono da un punto di vista della sicurezza, dell’etica e del rispetto dei diritti fondamentali. In questo scenario si colloca la strategia dell’Unione europea sull’intelligenza artificiale con l’obiettivo virtuoso di arginarne i potenziali rischi e danni che i sistemi informatici “intelligenti” potrebbero cagionare. Dopo anni di trattative, finalmente ad inizio dicembre dello scorso anno è stata raggiunta un’intesa sui principali nodi dell’accordo, e lo scorso 2 febbraio i 27 paesi dell’Unione europea hanno approvato l’ultimo testo (ancora provvisorio) sull’Artificial Intelligence Act (AI Act). L’approvazione definitiva, di quella che sarà la prima legislazione al mondo in materia di intelligenza artificiale, è prevista per questa primavera.
Punti chiave e obblighi
Il regolamento mira a tutelare l’IA fin dalla fase generativa, regolando, non solo, i prodotti finali ma la tecnologia in sé. Per raggiungere questo scopo, viene fornita una definizione il più possibile neutrale di IA, volta a conferirle un ampio campo di applicazione. Il principio cardine seguito dal regolamento è quello del “risk based approch”, che classifica i sistemi di IA secondo il loro livello di rischio. Tale classificazione influisce sul livello di regolamentazione e di conformità richiesto, imponendo alle aziende coinvolte nello sviluppo e nell’implementazione di queste tecnologie di adattarsi ai diversi standard. L’AI Act distingue tre categorie di sistemi di IA:
1. Sistemi di IA che comportano un rischio inaccettabile: Queste pratiche di IA includono i sistemi di manipolazione del comportamento, di sorveglianza massiva, di social scoring, o sistemi di identificazione biometrica in tempo reale, che sono vietati dal regolamento.
2. Sistemi di IA ad alto rischio: Questi sistemi di IA costituiscono un rischio elevato per la salute, la sicurezza e i diritti fondamentali delle persone. Essi sono ad esempio utilizzati nei settori relativi all’istruzione, al recruiting, ai servizi pubblici, alla giustizia e alla sicurezza pubblica. In particolare, sono considerati ad alto rischio i sistemi di IA che soddisfano entrambe le seguenti condizioni:
· Il sistema di IA è impiegato come un elemento di sicurezza di un prodotto o costituisce il prodotto stesso;
· Il prodotto è sottoposto a una valutazione di conformità da parte di terzi per l’immissione sul mercato.
L’immissione sul mercato di tali sistemi è, inoltre, subordinata al rispetto di determinati obblighi e ad una rigorosa valutazione preventiva della conformità, nel rispetto di cui i fornitori dovranno:
· Identificare, valutare e mitigare i rischi lungo l’intero ciclo di vita del prodotto;
· Effettuare prove per individuare le misure di gestione dei rischi più appropriate;
· Redigere la documentazione tecnica, prima dell’immissione sul mercato o della messa in servizio, a dimostrazione del fatto che il sistema di IA è conforme al regolamento, conservarla e mantenerla aggiornata;
· Informare le autorità nazionali e, su richiesta, cooperare con esse per dimostrare la conformità del sistema.
Infine, tali sistemi devono essere progettati e sviluppati in modo da:
· Assicurare agli utenti trasparenza sul loro funzionamento e fornire informazioni su come usare tali sistemi;
· Permettere una supervisione efficace da parte di persone fisiche;
· Garantire un livello adeguato di accuratezza, robustezza e cybersicurezza.
A questi obblighi di natura ex ante si affiancano quelli di natura ex post, i quali prevedono:
· La registrazione del sistema di IA presso una banca dati dell’Ue, gestita dalla Commissione, al fine di aumentare la trasparenza verso il pubblico e facilitare il controllo da parte delle autorità competenti;
· Un continuo monitoraggio della conformità del sistema da effettuare a seguito dell’immissione sul mercato.
3. Sistemi di IA che presentano un basso rischio, ma che sono comunque soggetti a requisiti minimi di trasparenza riguardo al loro funzionamento, sviluppo e alle specifiche tecniche.
Destinatari dell’AI Act
L’AI Act si applica a diversi soggetti, operanti lungo la catena del valore dell’IA, nonché destinatari di obblighi specifici:
· I fornitori, ovvero l’entità giuridica soggetta agli obblighi più rilevanti del regolamento, che sviluppano o fanno sviluppare un sistema di IA per immetterlo sul mercato e che ne sono responsabili per la sua conformità;
· I rappresentanti autorizzati, importatori e distributori, che immettono sul mercato o metto a disposizione un sistema di IA;
· Gli utenti di tali sistemi, ad esempio aziende che li utilizzano per la gestione di tali attività, che sono tenuti a conformarsi alle istruzioni per l’uso e a monitorare il funzionamento del sistema.
Sanzioni
Al fine di assicurare l’efficace attuazione del regolamento, sono previste tre fasce sanzionatorie per le imprese che non rispettano la normativa: (i) fino a 30 milioni o il 6% del fatturato mondiale totale annuo per inadempienza dei divieti o non conformità alla normativa; (ii) fino a 20 milioni o fino al 4% del fatturato mondiale totale annuo in caso di non conformità agli obblighi o ai requisiti; (iii) fino a 10 milioni o 2% del fatturato mondiale totale annuo per fornitura di informazioni inesatte, incomplete o false.
Conclusioni
L’AI Act costituisce un passo storico verso la regolamentazione dell’intelligenza artificiale, sebbene, come già sottolineato, manchi ancora l’approvazione definitiva. In ogni caso, una volta entrato in vigore, le aziende che usano o sviluppano sistema di IA avranno due anni di grace periodper essere compliant alla normativa. L’AI ACT rappresenta dunque un’opportunità di crescita, che consentirà alle imprese di acquisire un vantaggio competitivo e di rafforzare la propria reputazione, diffondendo fiducia tra i loro clienti nell’adozione di soluzioni basate sull’intelligenza artificiale.
Autrici: Consuelo Leonardi – Beatrice Olivo
Contatto: Avv. Eduardo Guarente e.guarente@bergsmore.com