Opinioni
AI Act: via libera dal Parlamento Europeo
Il voto del Parlamento Europeo
Strasburgo, mercoledì 14 giugno 2023. Con 499 voti a favore, 28 contrari (chissà perché?!) e 93 astensioni, il Parlamento Europeo approva l’AI Act, prima (e, al momento, unica) legge sull’Intelligenza Artificiale al mondo. Adesso, al via i negoziati – i cosiddetti “triloghi” – con i governi UE per varare il testo definitivo che – auspicabilmente – entrerà in vigore entro il 2024 (prima delle prossime elezioni europee) e sarà applicabile (effettivamente) solo 24 mesi dopo.
Periodo di grazia di 2 anni
Dunque, gli adepti del settore dell’intelligenza artificiale – che viaggia a velocità supersonica, con continui mutamenti, innovazioni e nuove implicazioni di varia natura – potranno godere – così come è stato per il GDPR – di un grace period di ben 2 anni per adeguarsi ai dettami di una legge che avrà già quasi 3 anni di vita …
Il tentativo, così come lo spirito, del legislatore europeo, sono certamente pregevoli e condivisibili; probabilmente, però, le procedure “tradizionali” poco e male si attagliano ai ritmi, alle velocità e, quindi, alle necessità dell’ecosistema dell’AI che richiede, ora più che mai, certezza del diritto al fine della massimizzazione degli sforzi profusi e degli investimenti.
Obiettivo
Creare uno standard – intanto europeo ma che, probabilmente, fungerà da base per altri ordinamenti – per lo sviluppo e la governance dell’AI, imponendo misure volte ad assicurare che si evolva e venga utilizzata nel rispetto dei valori della democrazia, dei diritti fondamentali e dello stato di diritto.
Corsa alla compliance
Pare sia già partita la “corsa alla compliance” da parte degli operatori del settore che riecheggia, in qualche modo, quella recentemente scatenata dal GDPR che ha visto fioccare esperti, consulenti, tools di compliance, al fine di evitare (rectius: tentare di evitare) le famigerate, enormi (e potenziali) sanzioni che – ai sensi dell’AI Act, potranno arrivare fino al 7% del fatturato del soggetto che commette la violazione.
Risk based thinking
Confermato l’approccio “risk based” dell’AI Act voluto dalla Commissione, con obblighi diversificati per fornitori ed utenti a seconda del livello di rischio – dei sistemi di AI utilizzati – che potrà essere classificato come “inaccettabile”, “alto”, oppure “limitato”. Anche i sistemi di intelligenza artificiale che comportino un rischio minimo, dovranno essere valutati.
Le modifiche del Parlamento
Il Parlamento Europeo ha, tuttavia, apportato alcune modifiche al testo proposto dalla Commissione, anzitutto ampliando l’elenco dei sistemi di AI considerati a rischio inaccettabile.
I sistemi di intelligenza artificiale sono considerati a rischio inaccettabile, e pertanto vietati, quando costituiscono una minaccia per le persone.
Il Parlamento ha incluso in tale categoria i sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili (quali genere, razza, etnia, cittadinanza, religione, orientamento politico), sistemi di polizia predittiva (basati su profilazione, posizione o precedenti penali), o sistemi di riconoscimento delle emozioni nelle forze dell’ordine, alle frontiere, sul posto di lavoro e nelle scuole.
Bannato dal parlamento anche ogni sistema di identificazione biometrica remota in tempo reale ed ex post in spazi pubblici, con un’eccezione per le forze dell’ordine nell’utilizzo dell’identificazione biometrica ex post per il perseguimento di reati gravi, ma solo previa autorizzazione giudiziaria.
Vedremo, però, come evolverà questo ban dell’identificazione biometrica, nell’ambito dei negoziati con i governi nazionali, soprattutto a fronte delle spinte che certamente verranno (e si sono già manifestate) da parte di molti corpi di polizia degli Stati membri, soprattutto al fine di contrastare più efficacemente la criminalità.
Secondo il Parlamento europeo, dovranno poi essere classificati ad alto rischio anche i sistemi di AI che potrebbero influenzare gli elettori e l’esito delle elezioni, e quelli utilizzati dagli algoritmi di raccomandazione dei social media o altre piattaforme digitali. Inoltre, il testo approvato dal Parlamento prevede la possibilità di presentare reclami e ricevere spiegazioni per le decisioni prese tramite sistemi di AI ad alto rischio.
Pertanto, escludendo i casi di proibizione assoluta, le imprese dovranno svolgere assesment preliminari per verificare se la componente AI dei propri prodotti sia contenuta nella lista delle applicazioni ad alto rischio o meno, operando delle valutazioni di conformità.
AI a scopo generale
Il testo dell’AI Act approvato dal Parlamento europeo apporta anche obblighi per i providers di sistemi di AI generativa e di modelli base dell’AI che possono essere considerati sistemi di AI a scopo generale, in quanto in grado di eseguire diverse attività e non sono limitati a un singolo compito. La distinzione tra i due sta nell’output finale.
L’AI generativa – quali, ad esempio, l’ormai nota Chat GPT o Google’s Bard- che utilizza reti neurali per generare contenuti (testi, immagini, suoni) nuovi, atteggiandosi da essere umano, dovrà rispettare requisiti di trasparenza e in particolare:
- rivelare che il contenuto è stato generato da un’intelligenza artificiale;
- progettare il modello in modo da impedire la generazione di contenuti illegali;
- pubblicare riepiloghi dei dati con diritti d’autore utilizzati per l’addestramento.
I providers dei c.d. “modelli base” di IA – ossia quelli che non ‘creano’, come fa Chat GPT, ma che “imparano” da grandi quantità di dati utilizzandoli per svolgere una vasta gamma di compiti – dovranno invece valutare e mitigare i possibili rischi ad essi collegati (per la salute, la sicurezza, i diritti fondamentali, l’ambiente, la democrazia, lo stato di diritto) e registrare i propri modelli nella Banca dati dell’Ue prima della loro immissione sul mercato.
AI Act e altre leggi
I sistemi di AI, a prescindere dalle tempistiche di formalizzazione dell’AI Act, in ogni caso dovranno fare i conti con le ulteriori normative già applicabili a vari settori in cui l’AI si è insinuata, che mirano a tutelare specifiche categorie di diritti quali privacy, diritto d’autore, sicurezza da prodotto.
Sarà quindi affascinante osservare l’interazione dell’AI Act con le altre normative chiave dell’UE come il Digital Services Act, il Digital Markets Act, la direttiva Copyright e, ovviamente, il GDPR: tutti insieme, andranno a delineare il panorama giuridico dell’ecosistema digitale Europeo.
Quindi, se è vero che per l’effettiva entrata in vigore dell’AI Act si dovrà attendere, ci sono già delle norme che gli operatori del settore dovranno rispettare.
Scenari paralleli all’AI Act: Codice di condotta e AI Pact
Unione europea e Stati Uniti presenteranno a breve una prima bozza di Codice di condotta comune sull’intelligenza artificiale.
Lo hanno annunciato la vicepresidente della Commissione Ue, Margrethe Vestager, e il segretario di Stato americano Antony Blinken, in conferenza stampa al termine del Consiglio Ue-Usa su commercio e tech in Svezia (fonte ANSA).
Il Codice sarà aperto alle aziende del settore “su base volontaria” e “a tutti i Paesi che condividono le stesse idee“.
Nella stessa direzione va l’AI Pact (e non è un errore di battitura) che consiste nell’impegno delle imprese a rispettare volontariamente le previsioni dell’AI Act prima che diventi vincolante. In tal senso si è espressa Google, che ha incontrato la Commissione Europea per definire i prossimi step al riguardo. Nella definizione dell’AI Pact, saranno coinvolte “tutte le principali” società operanti nel campo dell’AI, sia europee che estere.
Il Commissario Europeo Breton, sul punto, ha recentemente dichiarato “We can’t afford to wait” (non ci possiamo permettere di aspettare). “Sundar (CEO di Google, ndr) ed io siamo concordi sul fatto che non possiamo permetterci di aspettare che le regolamentazioni sull’intelligenza artificiale diventino effettivamente applicabili, e lavorare insieme a tutti gli sviluppatori di intelligenza artificiale per sviluppare già un patto sull’IA su base volontaria prima della scadenza legale“.
Dunque, l’obiettivo è avere regole che possano essere immediatamente applicate e che abbiano una portata transnazionale.
Conclusioni
In questo contesto, ancora instabile dal punto di vista normativo, le aziende stanno spingendo sempre più verso l’adozione di soluzioni di AI, considerati i grandi benefici operativi che ne possono derivare. Tuttavia, non possono non conformarsi con il testo dell’AI Act (seppur non ancora in vigore) votato dal Parlamento UE, insieme alle ulteriori normative – già applicabili – in materia, tra l’altro, di copyright, privacy e sicurezza.
Il voto del Parlamento europeo va certamente accolto con grande favore e positività, ma i prossimi mesi saranno decisivi per comprendere con chiarezza lo scenario normativo e le sue ricadute sull’ecosistema digitale.
Non serviva certo il processo di approvazione dell’AI Act per ricordarci che l’innovazione sia più veloce della burocrazia, e che l’AI sia già dentro le nostre vite pur in assenza di una regolamentazione completa ed applicabile.
Ma d’altronde, come ha giustamente ricordato il commissario Breton con una bella metafora, “è un po’ come quando arrivarono le auto all’inizio del secolo scorso. Prima abbiamo scoperto che l’auto era una meravigliosa fonte di libertà, poi gli incidenti hanno spinto la società a regolamentare e creare regole di sicurezza stradale”.
E questa è, sicuramente, la direzione in cui siamo diretti, nella speranza però che, nel frattempo, gli incidenti siano limitati al minimo.
Il presente articolo ha il solo scopo di fornire aggiornamenti e informazioni di carattere generale. Non costituisce pertanto un parere legale né può in alcun modo considerarsi come sostitutiva di una consulenza legale specifica.
Per chiarimenti o informazioni potete contattare gli autori oppure il Vostro Professionista di riferimento all’interno dello Studio.
Roberto Mazzeo, Counsel
E: r.mazzeo@nmlex.it
T.: +39 06 695181
Pubblicato il: