30 Aprile 2021
Intelligenza Artificiale, il nuovo regolamento dell'Unione Europea
Lo scorso 20 aprile la Commissione Europea ha approvato la bozza ufficiale del “Regolamento sull’approccio europeo per l’intelligenza artificiale”, normativa che istituisce numerose novità nella gestione e nella verifica dei sistemi di AI, in particolar modo per quanto riguarda i settori della video-sorveglianza e del riconoscimento facciale.
Una normativa umano-centrica, rispettosa dei valori fondamentali su cui si basa l’UE, lontana da forme di autoritarismo digitale, ma anche dalla totale libertà digitale. Il nuovo regolamento ha numerosi punti di contatto il GDPR, regolamento cardine della strategia europea, e sembra porsi come sua evoluzione anche dal punto di vista delle sanzioni: per chi viola il regolamento su AI sono previste sanzioni fino al 6 per cento del fatturato globale (contro il 4% previsto del GDPR).
Ambiti di applicazione
Il Regolamento si applica all’immissione sul mercato, alla messa in servizio e all’uso di “sistemi di IA”, definiti come “software sviluppati con tecniche specificamente elencate dal Regolamento stesso, che siano in grado di generare contenuti, previsioni, decisioni o raccomandazioni in grado di influenzare l’ambiente con cui interagiscono”. Nel regolamento i sistemi di AI sono divisi in base al rischio, basso, medio o elevato, ma la gran parte dei requisiti riguarda i sistemi di IA considerati “ad alto rischio”. Sono esclusi dalla regolamentazione i sistemi di IA utilizzati unicamente per scopi militari.
Dal punto di vista territoriale, il Regolamento si applica agli operatori europei, ma anche a fornitori o utenti stabiliti al di fuori dell’UE i cui sistemi di AI vengano utilizzati all’interno dei territori dell’Ue.
Valori, protezione e fiducia
Nonostante sia ormai chiaro che “l’uso dell’intelligenza artificiale può fornire vantaggi competitivi chiave alle aziende e supportare il raggiungimento di risultati socialmente e ambientalmente vantaggiosi”, l’obiettivo del regolamento Europeo è quello di contrastare gli svantaggi o i possibili danni materiali o immateriali che questa tecnologia può causare ai singoli individui, alla loro salute e sicurezza, ma anche nei confronti di beni o di altri diritti fondamentali individuati dall’UE. Si tratta di un regolamento che vuole creare le condizioni per lo sviluppo di un ecosistema di fiducia in grado di coprire l’intero processo di produzione, commercializzazione, vendita e utilizzo dell’intelligenza artificiale all’interno dell’UE.
Saranno quindi vietate alcune pratiche di Intelligenza Artificiale, come ad esempio quella che introduce tecniche subliminali manipolative con l’obiettivo di distorcere un comportamento, causare dipendenze o indurre una persona ad arrecare danno fisico o psicologico ad un’altra. Sarà inoltre vietato l’utilizzo da parte di autorità pubbliche di sistemi di social scoring (assegnazione di un punteggio sociale) che, sulla base dei comportamenti delle persone nella vita reale o in rete, stilano delle classifiche o valutazioni di affidabilità per prendere decisioni sul singolo individuo.
Il regolamento vieta inoltre l’utilizzo del sistema di riconoscimento biometrico facciale indiscriminato nei luoghi pubblici, riservando questa pratica solo per casi estremi, in periodi ed estensione geografica limitata, come nel caso di ricerca mirata di specifiche potenziali vittime di azioni criminose (ad esempio bambini scomparsi) o la per la prevenzione di una minaccia specifica, come nel caso di un attentato terroristico.
Conformity assessment e valutazione del rischio
Come già previsto dal GDPR, prima di commercializzare un prodotto, il produttore avrò l’obbligo di svolgere un conformity assessment per dimostrare che i requisiti del Regolamento sono rispettati. Per quanto riguarda la valutazione del rischio, contrariamente a quanto avviene nel GDPR, il nuovo Regolamento richiede sia determinato sulla base di una serie di criteri ben precisi (artt. 6 e seguenti del testo normativo). Dovrà inoltre essere implementato un sistema di gestione del rischio anch’esso documentale e periodicamente monitorato e implementato (art. 9 del nuovo Regolamento).
Trasparenza
Il regolamento prevede una serie di obblighi di trasparenza sul funzionamento del sistema da presentare agli utenti che lo utilizzano o chi lo impiega all’interno dei propri servizi, per garantire il rispetto dei requisiti del regolamento e far comprendere il funzionamento del tool attraverso “informazioni concise, complete, corrette e chiare, pertinenti, accessibili e comprensibili per gli utenti.”
Regulatory sandboxes
Con il nuovo Regolamento viene espressamente introdotta la possibilità di creare regulatory sandboxes a livello sovrastatale (a cui avranno accesso preferenziale le startup): sotto la guida delle autorità competenti sarà possibile sviluppare dei servizi di IA che siano legal by design anche per progetti paneuropei.
Comitato europeo e sanzioni
Dal punto di vista istituzionale, il Regolamento prevede la creazione di un Comitato europeo per l’intelligenza artificiale, con l’incarico di sorvegliare la corretta applicazione del Regolamento nei vari Stati Membri e di elaborare linee guida in materia. Le sanzioni per il mancato rispetto del Regolamento saranno materia delle autorità competenti di ciascuno stato membro con sanzioni amministrative fino a 30.000.000 Euro o pari al 6% del fatturato annuo mondiale aziendale.
La bozza ufficiale del “Regolamento sull’approccio europeo per l’intelligenza artificiale” passerà ora il vaglio di Parlamento e Consiglio Europeo: ci vorranno pertanto alcuni anni prima di vederla attuata.
Fonti e approfondimenti:
Regolamento sull’approccio europeo per l’Intelligenza Artificiale – testo completo
EU Parliament
Camera dei deputati
Cybersecurity 30
Altalex
Agenda Digitale