Per comprendere l’approdo alla proposta approvata di regolamento europeo sull’intelligenza artificiale, è necessario riassumere brevemente quale percorso è stato intrapreso dalle autorità dell’Unione Europea nel corso dei pochi ultimi anni.
Nell’autunno del 2020, la transizione digitale è stata oggetto di un attento dibattito da parte del Consiglio Europeo. La Commissione è stata esortata a trovare soluzioni per stimolare investimenti pubblici e privati, a livello europeo e nazionale, nella ricerca e nell’innovazione dell’Ia e nella sua diffusione, coinvolgendo i centri europei di ricerca al fine di coordinarli e renderli cooperativi, individuando e definendo in modo chiaro e obiettivo i sistemi di intelligenza artificiale ad alto rischio e accrescere la fiducia nell’Ia.
D’altro canto, il Consiglio che nell’ottobre 2021 ha trattato la proposta, si è preoccupato di evidenziare non solo i benefici economici e sociali derivanti dall’Ia bensì anche la necessità di proteggere privacy e diritti fondamentali, come pure di garantire la sicurezza. Di chi? Degli utenti per i quali ci si preoccupa, quando le tecnologie di Ia vengono inserite in prodotti e servizi.
La priorità per il Parlamento europeo è assicurarsi che i sistemi di intelligenza artificiale utilizzati nell’Ue siano sicuri, trasparenti, tracciabili, non discriminatori e rispettosi dell’ambiente, evitando conseguenze dannose. Quali? Violazioni in materia di protezione dei dati e dei diritti fondamentali (diritto alla non discriminazione, alla libertà di espressione, alla dignità umana) mancata tutela dei consumatori, minaccia a danno dell’occupazione e della sicurezza dei prodotti. L’Ue formula un approccio globale all’Ia “lecita” e fondato su tre parole chiave: eticità, sicurezza, affidabilità. L’armonizzazione auspicata dal Regolamento in materia di sistemi di Ia va a sua volta sposata con testi fondamentali come la Carta dei diritti fondamentali dell’Ue e il Gdpr (di particolare rilievo in questo caso, l’art. 22).
Strumenti concreti di protezione consistono nel mantenere pienamente applicabili e impregiudicati tutti i diritti e i mezzi di ricorso concessi, dalla normativa dell’Unione, ai consumatori e ad altre persone passibili di subire l’impatto negativo dei sistemi di Ia, incluso il risarcimento di eventuali danni a norma della direttiva 85/374/Cee del Consiglio in materia di responsabilità per danno da prodotti difettosi. Rafforzare l’efficacia di queste misure già esistenti definendo requisiti e obblighi specifici, anche per quanto riguarda la trasparenza, la documentazione tecnica e la conservazione delle registrazioni dei sistemi di Ia. Senza escludere l’applicabilità di sanzioni a fronte di violazioni del Regolamento.
A un anno dall’approvazione del Consiglio nel dicembre del 2022, il 9 dicembre 2023 è stata la volta del raggiunto consenso tra Parlamento e Consiglio stesso. Nell’ambito di quella che è stata definita ‘strategia digitale’ dell’Ue, sono stati posti traguardi e obiettivi concreti in settori rilevanti quali competenze, infrastrutture digitali sicure e sostenibili, trasformazione digitale delle imprese e digitalizzazione dei servizi pubblici, sanità e lavoro. Si intende lavorare a favore, soprattutto, della transizione verde, della neutralità carbonica entro il 2050, a preparare l’Europa a un vero e proprio futuro digitale, creando impatti positivi nel settore sanitario, agricolo ed energetico, per un approvvigionamento sostenibile e più conveniente.
Il Regolamento europeo, innanzitutto, si prefigge l’istituzione di un quadro giuridico uniforme in particolare per quanto riguarda lo sviluppo, la commercializzazione e l’uso dell’intelligenza artificiale in conformità dei valori dell’Unione. Per garantire condizioni di parità e una protezione adeguata dei diritti e delle libertà delle persone in tutta l’Unione, è opportuno che le regole stabilite dal regolamento si applichino ai fornitori di sistemi di Ia in modo non discriminatorio, a prescindere dal fatto che siano stabiliti nell’Unione o in un paese terzo, e agli utenti dei sistemi di Ia stabiliti nell’Unione. Questa opportunità riguarda naturalmente anche la Svizzera.
La complessa struttura del Regolamento risolve l’oggetto della sua stessa disciplina (dall’entrata in vigore sono concessi due anni affinché diventi attuabile) nonché il suo ambito di applicazione (art. 2). Seguono fondamentali definizioni che anticipano considerevoli ricadute della normativa sulla classificazione dei rischi prodotti dai sistemi di Ia, sui doveri a cui saranno soggetti gli operatori, sui requisiti a cui si dovrà rigorosamente rispondere e ai quali conformarsi, evitando usi impropri e ragionevolmente prevedibili.
Seguono i divieti. Le pratiche di intelligenza artificiale non sono ammesse – in estrema sintesi – quando risultano nocive e pregiudizievoli per categorie vulnerabili, quando consistono in ‘tecniche subliminali’ e in altri casi ben delineati.
A differenza dei punti di vista americano e cinese, il Regolamento classifica i sistemi di Ia in base al livello di rischio che essi possono provocare, irrigidendone così il campo di azione. Si parla di sistema di Ia ad alto rischio se esso è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della normativa.
Trattasi – a titolo esemplificativo e non esaustivo – di biometria; infrastrutture critiche (componenti di sicurezza nella gestione e nel funzionamento delle infrastrutture digitali critiche, del traffico stradale e della fornitura di acqua, gas, riscaldamento ed elettricità); accesso a servizi privati essenziali e a prestazioni e servizi pubblici essenziali e fruizione degli stessi; gestione della migrazione, dell’asilo e del controllo delle frontiere.
Gli Stati Uniti, invece, cercano di disciplinare le innovazioni tecnologiche con forme di autoregolamentazione privata, principalmente basate sulla tutela della libera concorrenza (v. Maintaining American Leadership in Artificial Intelligence, Executive Order 13859 2019). Essi attribuiscono priorità alla crescita dell’Ia, affidabile e sicura tecnicamente e limitano gli interventi regolatori alla salvaguardia di privacy, libertà civili, sicurezza e interessi economici del Paese.
La Cina fa leva sullo sfruttamento del potenziale offerto dall’Ia, ad opera dello Stato, per fini di espansione politica e militare e uno stretto controllo sociale (per cui, peraltro, la Cina ha già avuto modo di distinguersi sulla scena internazionale).
A differenza dei punti di vista americano e cinese, il Regolamento europeo classifica i sistemi di Ia in base al livello di rischio che essi possono provocare, irrigidendone così il campo di azione. Si parla di sistema di Ia ad alto rischio se esso è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della normativa.
La valutazione di conformità e i certificati, le dichiarazioni di conformità Ue e la marcatura Ce (visibile, leggibile, indelebile), i codici di condotta, la creazione di un’autorità di notifica e di vigilanza, come pure l’istituzione di un Comitato europeo per l’Ia, manifestano le intenzioni europee: familiarizzare con una corretta prospettiva dell’Ia. Uno strumento al servizio dell’uomo ma che si possa arrestare se crea rischi a danno delle persone.
Riservatezza e disciplina delle sanzioni sono contenute all’altezza degli artt. 70 e ss, dove si dispone che gli Stati membri stabiliscono le regole relative alle sanzioni comprese le sanzioni amministrative pecuniarie a fronte delle violazioni dell’atto normativo in esame. Le sanzioni sono e saranno dichiaratamente attente a dimensioni e interessi delle Pmi fornitrici, start up incluse, e della loro ‘sostenibilità economica’, secondo una filosofia già introdotta dal Gdpr, al fine di non ostacolare il benessere aziendale e la sopravvivenza di unità economiche di dimensioni ridotte. Altro discrimine applicativo della sanzione tiene conto del fatto che l’uso del sistema di Ia avviene nel contesto di un’attività personale non professionale o meno. Ad ogni modo, le sanzioni sono e saranno ‘effettive, proporzionate e dissuasive’, con importi che potranno raggiungere il picco di 30 milioni di euro.
L’approccio europeo, in conclusione ma in estrema sintesi, pone al centro i diritti fondamentali e limita l’applicazione dell’Ia, assoggettandola a rigidi requisiti di compliance, primi tra tutti l’explainability o interpretabilità (ovvero l’attitudine di un modello di apprendimento automatico e dei suoi risultati a essere spiegati all’uomo in modo da avere senso) e il nutrirsi di dati che non contengano bias.
La documentazione prodotta è già corposa e gli obiettivi davvero ambiziosi. Si dovrà studiare bene il materiale a disposizione e che verrà prodotto. Soprattutto si dovranno analizzare e approntare metodologie e protocolli concreti affinché il binomio Ia-impatto sull’uomo avvenga realmente nel rispetto dei diritti fondamentali scardinando i rischi contro l’individuo, come apertamente dichiarato dall’Unione Europea.
© Riproduzione riservata