News & Media

Opinioni

La risposta europea ai rischi derivanti dall’utilizzo dell’Intelligenza Artificiale: l’AI Act. Prevedibile anche l’intervento del diritto penale?

L’approvazione odierna da parte del Parlamento Europeo del Regolamento sull’Intelligenza Artificiale (c.d. AI Act, primo intervento normativo in materia), da un lato, evidenzia l’importanza strategica di tale tecnologia per il futuro, dall’altro, lascia trapelare una cronica inadeguatezza dei sistemi normativi tradizionali a prevenire abusi o tentativi di applicazione contra ius di questo nuovo strumento, ormai parte della quotidianità.

Il contenuto

Il testo pioneristico fornisce una definizione puntuale del concetto di sistema di intelligenza artificiale, considerando tale quel “software […] che può, per una serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono”.

È bene chiarire che in tale definizione ricadono sia i sistemi programmati per svolgere un compito ed una funzione specifica – incapaci di svolgere attività diverse da quelle per cui sono stati ideati –, sia i General-purpose AI models (GPAI), ovvero sistemi avanzati di portata generale che possono essere utilizzati per molteplici scopi distinti, quali la creazione di testi, video ed immagini. La vera sfida per il legislatore europeo è stata proprio quella di individuare specifiche modalità di utilizzo per i sistemi di GPAI, dal momento che, operando su input impliciti volti a replicare capacità simili a quelle umane, non risulta certamente agevole prevedere tutte le possibili scelte che l’intelligenza artificiale effettuerà una volta interpellata dall’utilizzatore.

Il Regolamento ha, quindi, l’obiettivo di incentivare lo sviluppo e l’utilizzo dell’IA nel pieno rispetto dei diritti fondamentali dell’individuo e della trasparenza. In essa vengono individuati limiti e modalità di utilizzo dei software, in base al livello di rischio che i sistemi di AI presentano, e delineate con chiarezza le responsabilità nel caso in cui dette coordinate non vengano rispettate.

L’approccio è di tipo precauzionale, cioè basato sul livello di rischio, e distingue i sistemi di AI in quattro categorie:

  1. Rischio inaccettabile (art. 5): in tale categoria rientrano tutti i sistemi il cui utilizzo determina un rischio inaccettabile per l’utente, in quanto comportano una minaccia considerevole per la persona, e che, pertanto, sono vietati. Tra queste, le AI che utilizzano tecniche di manipolazione comportamentale o volte a creare un social scoring, cioè utilizzate da o per conto di autorità pubbliche (si pensi a quanto accade in  Cina) dirette a operare un valutazione di affidabilità degli individui sulla base dei loro comportamenti sociali o caratteristiche personali; nonché i sistemi di identificazione biometrica remota e in tempo reale, cioè in grado di operare un riconoscimento facciale sulla base delle immagini raccolte da internet o da filmati di telecamere a circuito chiuso (fa eccezione, in quest’ultimo caso, l’impiego con  finalità di law enforcement, per la ricerca da parte delle forze di polizia di autori o vittime di specifici reati o per prevenire  minacce terroristiche, previa, in ogni caso, autorizzazione dell’autorità giudiziaria);
  2. Rischio alto (art. 6 e ss): in questo livello di rischio vengono ricondotte le AI che impattano direttamente con la salute, la sicurezza e i diritti fondamentali delle persone; si pensi alle AI utilizzate per consentire l’accesso ad un servizio pubblico, quelle per calcolare il merito creditizio, nonché quelle usate in fase di recruiting per selezionare i curricula dei candidati, ai nuovi dispositivi utilizzati in ambito sanitario, o, infine, ai sistemi di guida autonoma utilizzati in veicoli di varia natura. Il commercio e l’utilizzo di questi sistemi è consentito a patto che, sia garantito, mediante apposita verifica di conformità ex ante, il rispetto di specifici obblighi e requisiti in termini di tutela dei diritti fondamentali e delle regole di trasparenza, di analisi e di gestione dei rischi concreti che si potrebbero riscontrare durante il loro utilizzo e di data governance. È richiesto, altresì, che tali sistemi vengano registrati in un’apposita banca dati UE e che sia conservata tutta la documentazione tecnica utile a dimostrare la conformità dell’AI a quanto previsto dal regolamento;
  3. Rischio limitato (art. 52): qui rientrano i sistemi di AI – come le chatbots – per i quali, sono previsti semplici obblighi informativi e di trasparenza verso l’utilizzatore finale tali da permettergli di sapere che il contenuto è stato generato dall’AI, non essendo previsti particolari rischi;
  4. Rischio minimo (art. 69): la proposta non prevede alcun obbligo per i sistemi che rientrano in tale categoria salva l’autonoma scelta delle imprese di aderire a codici di condotta. Tali codici possono contenere impegni volontari relativi, a titolo di esempio, al divieto di discriminazione di genere, alla sostenibilità ambientale o all’accessibilità da parte delle persone con disabilità.

Per garantire un’attuazione armonizzata del Regolamento, oltre all’istituzione di un apposito Comitato europeo per l’AI, spetterà ai singoli Stati membri nominare Autorità di controllo nazionali con il preciso compito di vigilare sull’effettiva applicazione, da parte degli operatori economici, delle prescrizioni e degli obblighi stabiliti dall’AI Act. Inoltre, verrà costituita un’apposita banca dati europea nella quale confluiranno, assieme ai dati rilasciati dai fornitori dell’AI in fase di immissione nel mercato, anche le indicazioni fornite da un’apposita commissione di esperti indipendente.

A presidio del Regolamento sono previste significative sanzioni pecuniarie:

  • per la violazione delle norme in materia di pratiche vietate (art. 5) o di non conformità ai requisiti di qualità dei dati (art. 10) è prevista la sanzione pecuniaria fino a 30 milioni di euro o al 7% del fatturato;
  • per la violazione delle prescrizioni diverse da quelle sopra riportate è prevista la sanzione pecuniaria fino a 20 milioni di € o al 4% del fatturato;
  • per la violazione degli obblighi di trasparenza (informazioni inesatte, incomplete o forvianti alle autorità competenti o all’utente finale) è prevista la sanzione pecuniaria fino a 10 milioni di € o al 2% del fatturato.

L’entrata in vigore delle regole contenute nell’AI Act avverrà in più fasi. Dapprima, entro sei mesi, sarà richiesto uno sforzo di adeguamento ai soggetti, pubblici e privati, ai divieti previsti dal regolamento mediante verifica dei sistemi intelligenza artificiale in uso o in fase di sviluppo. Fra un anno saranno operative le norme in materia di standard di trasparenza e condivisione della documentazione tecnica relative all’intelligenza artificiale generativa (GPAI). Infine, la piena operatività del Regolamento si avrà fra due anni con la concreta applicabilità delle sanzioni in caso di violazione dello stesso.

Come comportarsi?

Per migliorare le performance aziendali e prevenire le complesse implicazioni legati all’utilizzo di sistemi di AI, gli operatori economici interessati da tale proposta sembrano essere chiamati fin d’ora a svolgere un primo passo in un’ottica di adeguamento interno. Intraprendere un percorso di compliance prima dell’effettiva operatività dell’AI Act, sfruttandone l’entrata in vigore scadenzata, fornisce la concreta possibilità di implementare la propria competitività sul mercato: gli stakeholders, rassicurati dal fatto che la società si è adeguata per tempo alla nuova disciplina, saranno maggiormente determinati ad intrattenere rapporti commerciali con quella società preferendola ad altre.

Nel concreto, si dovrà svolgere una mappatura del rischio delle AI oggetto di sviluppo da parte della società o di cui la stessa fa uso, al fine di cogliere in quale categoria – tra quelle individuate dalla proposta di regolamento – ricadano. Alla luce dei risultati ottenuti, appare opportuno, da un lato, escludere quelle applicazioni il cui rischio è inaccettabile; dall’altro, aggiornare il modello di compliance, predisponendo apposita policy in grado di costruire specifici presidi di controllo laddove le AI risultano essere ad alto rischio.

In quest’ottica, anche il modello organizzativo ex D.lgs. n. 231/01, declinato quale componente essenziale di un sistema di gestione integrata del rischio, potrebbe arricchirsi di un’apposita procedura operativa nella quale saranno individuate le figure di vertice, su cui ricadono i poteri decisionali, nonché le misure di intervento da percorrere quando di un sistema di intelligenza artificiale ne venga fatto un utilizzo finalizzato alla commissione di uno dei reati già tipizzati come presupposto della responsabilità amministrativa degli enti.

L’intervento del diritto penale: potenziale o effettivo?

Come si è detto, la normativa europea promuove un intervento proattivo degli operatori economici, imponendo loro di adoperarsi per la valutazione e la prevenzione dei rischi, e preannuncia sanzioni che, per livello di afflittività, potrebbero essere considerate sostanzialmente penali.

Di contro, non si spinge a prospettare un intervento della sanzione penale in ottica reattiva a fronte di eventuali eventi dannosi indotti dall’AI. Tuttavia, il crescente utilizzo dell’AI da parte di privati e aziende presenta profili di rischio, tra i quali va annoverata anche la possibile commissione di illeciti attraverso l’impiego di tali tecnologie. Ciò potrebbe condurre ad attingere al presidio penalistico.

Le disposizioni contenute nel Regolamento europeo appena ripercorse rendono evidente la centralità attribuita alla “sorveglianza umana” (art. 14 del Regolamento UE); leggendo il testo, in particolare nella parte in cui si occupa dei sistemi ad alto rischio, si notano una serie di prescrizioni tecnico-organizzative che garantiscono – perlomeno in teoria – un livello di controllo e intervento umano (da parte del fornitore, sia prima che dopo la messa in commercio, e dell’utilizzatore finale) adeguato al fine di prevenire o ridurre al minimo la distorsione dell’automazione, sia nel caso in cui l’AI venga utilizzata conformemente alle sue finalità, sia nel caso di utilizzo improprio.

Il sistema di responsabilità che il legislatore europeo sembra aver immaginato è, quindi, una sorta di mis-compliance, incentrata su un soggetto umano responsabile del controllo di una specifica fonte di rischio e titolare di puntuali obblighi di sorveglianza. In chiave penalistica, potrebbe essere plasmata una responsabilità a titolo di omesso impedimento degli eventi lesivi indotti dall’agire della macchina.

Per il momento non sembra essere affrontato a livello regolamentare lo scenario più complesso: ovvero, quello connesso all’operatività di sistemi di intelligenza artificiale dotati di una capacità di auto-apprendimento. Nel prossimo futuro, potremmo trovarci a dover affrontare anche il non semplice quesito su chi è responsabile dell’illecito commesso da macchine che, sulla base del proprio algoritmo, sono in grado di apprendere dal contesto in cui operano e compiere scelte frutto di una loro “personale” elaborazione, indipendentemente dalle istruzioni fornite in sede di programmazione. Rispetto al diverso scenario, però, non sembra plausibile la costruzione di una responsabilità penale strutturata secondo i principi della personalità e della colpevolezza.

Il presente articolo ha il solo scopo di fornire aggiornamenti e informazioni di carattere generale. Non costituisce pertanto un parere legale né può in alcun modo considerarsi come sostitutiva di una consulenza legale specifica.
Per chiarimenti o informazioni potete contattare gli autori oppure il Vostro Professionista di riferimento all’interno dello Studio.

Massimiliano Belli, Of Counsel
E: m.belli@nmlex.it
T.: +39 02 6575181

Filippo Ragaiolo, Associate
E: f.ragaiolo@nmlex.it
T.: +39 02 6575181

Eleonora Borroni, Associate
E: e.borroni@nmlex.it
T.: +39 02 6575181

Pubblicato il:

Iscriviti alla newsletter

Copyright Nunziante Magrone Studio Legale Associato | P.IVA 06080161000 | Privacy policy | Cookie policy | Note legali | Politica per la parità di genere |