L'AI Act e la relativa base giuridica
- Elena Faglioni
- 27 mag 2024
- Tempo di lettura: 4 min
1. Cos’è l’AI Act
Il Consiglio dell’Unione europea ha approvato in via definitiva, il 21 maggio 2024, il c.d. Artificial Intelligence Act (meglio noto come AI Act), un regolamento rivoluzionario volto ad armonizzare le norme sull’intelligenza artificiale (IA). I correlatori dell’atto normativo sono Brando Benifei (S&D, Italia) e Dragoş Tudorache (Renew, Romania). La proposta di regolamento presentata dalla Commissione europea nell'aprile 2021 rappresenta un pilastro fondamentale della strategia dell'Unione europea per favorire lo sviluppo e l'adozione di un'intelligenza artificiale sicura all'interno del mercato unico.
L’AI Act categorizza i sistemi di intelligenza artificiale in varie fasce di rischio, applicando regole più stringenti e requisiti più severi per quelli considerati ad alto rischio. I rischi proposti sono quattro: rischio inaccettabile, alto, limitato, minimo. Inoltre, il Regolamento introduce disposizioni riguardanti la trasparenza, la supervisione umana, l'accuratezza, la sicurezza e la privacy. L'obiettivo è quello di promuovere l'innovazione nel campo dell'IA, assicurando allo stesso tempo un utilizzo responsabile di queste tecnologie che non violi i diritti umani.
Il Regolamento ha portata extraterritoriale e si applica agli importatori, fornitori e distributori, ma anche a coloro che utilizzano l’IA in modo autonomo. La proposta trova fondamento legale nell'articolo 114 del Trattato sul funzionamento dell'Unione europea (TFUE), il quale autorizza l'adozione di misure volte a garantire l'istituzione e il corretto funzionamento del mercato interno.
2. Sistemi di intelligenza artificiali vietati
All’interno del capo II del Regolamento è presente l’articolo 5, il quale si occupa di alcune pratiche realizzate attraverso sistemi di intelligenza artificiale che possono generare o generano effetti inaccettabili in quanto sono in contrasto con i valori e i diritti fondamentali dell’Unione. Si tratta quindi dei sistemi utilizzati per scopi di manipolazione cognitivo-comportamentale, dei sistemi cc.dd. di social scoring o punteggio sociale e dei sistemi di categorizzazione biometrica.
3. Sistemi di intelligenza artificiale ad alto rischio
Per i sistemi ad alto rischio vi sono due parti. Innanzitutto, le norme di riferimento sono elencate nell'allegato II e includono, tra le altre, la direttiva sulla sicurezza dei giocattoli (direttiva 48/2009) e il regolamento sui dispositivi medici (regolamento 745/2017). Per la seconda parte della definizione di alto rischio è stato formulato un elenco dettagliato nell'allegato III, che comprende otto aree principali in cui i sistemi di intelligenza artificiale utilizzati sono presumibilmente a rischio elevato. Queste aree includono l'identificazione biometrica, l'accesso a servizi pubblici e privati, le attività di contrasto e l'amministrazione della giustizia.
La sezione 3 del capo III impone obblighi ai fornitori, agli utenti e ad altri soggetti coinvolti nel ciclo di vita di tali sistemi. Le sezioni 4 e 5 del predetto capo regolano gli organismi e le procedure per la valutazione anticipata di conformità dei sistemi in questione, basata su un modello di controllo interno e completata da meccanismi di verifica esterna successivi.
4. Sistemi di intelligenza artificiale a rischio basso e minimo
Oltre che per i sistemi vietati e quelli ad alto rischio, è prevista una disciplina per i sistemi a basso o minimo rischio. Tale categoria di sistemi di intelligenza artificiale è residuale e si identifica per esclusione: sono considerati sistemi a basso o minimo rischio tutti quelli che non ricadono né nella categoria dei sistemi vietati né in quella dei sistemi ad alto rischio. Questi sistemi costituiscono la maggior parte delle applicazioni di IA nel mercato comune europeo.
Il rischio limitato si collega a determinati obblighi di trasparenza di alcuni sistemi di IA. In particolare, quando l’utente utilizza sistemi come i chatbot, è necessario che egli sia consapevole di interagire con una macchina. Inoltre, gli utenti di sistemi di IA che generano i cc.dd. deepfake sono tenuti a rendere noto che i contenuti sono stati generati o manipolati artificialmente.
Una volta che i sistemi IA vengono immessi sul mercato, vi è un obbligo di vigilanza da parte delle autorità responsabili. Inoltre, i fornitori debbono disporre di un sistema di monitoraggio dopo la commercializzazione, mentre gli utenti garantiscono la sorveglianza umana e il monitoraggio.
5. Gestione del rischio
Per immettere nel mercato dell'Unione europea sistemi di IA ad alto rischio, è necessario rispettare i requisiti delineati nella sezione 2 del capo III del Regolamento. La Commissione ha scelto di utilizzare il modello della procedura di marchio di conformità europea (marchiatura CE) per verificare la conformità di tali prodotti, permettendone la circolazione nell'UE. Ogni Stato dell’UE è tenuto, dunque, a designare un'autorità responsabile per coordinare e gestire le procedure relative alla valutazione e alla notifica degli organismi di certificazione; gli enti certificatori devono collaborare pienamente con le autorità di controllo durante tutto il loro mandato. Gli Stati membri devono garantire che chiunque abbia un interesse legittimo possa richiedere una revisione delle decisioni prese dagli enti certificatori.
Infine, l’AI Act specifica che la gestione del rischio monitorata e interattiva è necessaria durante tutto il ciclo di vita del sistema di IA: la gestione deve essere aggiornata nel caso in cui emergano nuovi rischi. Sono quindi state stabilite le procedure per una corretta gestione del rischio da parte dei competenti organi organizzativi. Le organizzazioni possono così iniziare classificando le proprie applicazioni di IA come proibite, ad alto rischio o a rischio limitato, come specificato dall'AI Act.
Bibliografia
Casonato C. – Marchetti B., Prime osservazioni sulla proposta di regolamento dell’Unione Europea in materia di intelligenza artificiale, in BioLaw Journal – Rivista di BioDiritto, 3/2021, p. 90.
Chiappini D., Intelligenza artificiale e responsabilità civile: nuovi orizzonti di regolamentazione alla luce dell’Artificial Intelligence Act dell’Unione europea, in Rivista italiana di informatica e diritto, 2/2022, p. 90 ss.
Commissioni Parlamento europeo, Artificial Intelligence Act, https://www.europarl.europa.eu/committees/en/artificial-intelligence-act/product-details/20230417CDT11481.
Comunicazione della Commissione al Parlamento europeo, al Consiglio europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni, Piano coordinato sull'intelligenza artificiale, COM(2018) 795 final, 7 dicembre 2018.
De Feo I. – Afferni A., AI Act: il regolamento sull’IA adottato dal Parlamento europeo, Dirittobancario.it, 14 marzo 2024, https://www.dirittobancario.it/wp-content/uploads/2024/03/2024-De-Feo-Afferni-AI-Act.pdf.
European Commission, Shaping Europe’s digital future, pp. 3 s. https://digital-strategy.ec.europa.eu/en/node/9745/printable/pdf.
Franco G., Cosa prevede l’ultima versione dell’AI Act, in La Repubblica, 24 gennaio 2024, https://www.repubblica.it/tecnologia/2024/01/24/news/cosa_prevede_lultima_versione_dellai_act-421967649/.
Intesa, EU AI Act: cos’è e cosa prevede, 13 settembre 2023, https://www.intesa.it/eu-ai-act-cose-e-cosa-prevede/.
Mancini S., AI, come proteggere le aziende dai rischi, Agenda Digitale, 6 luglio 2023, https://www.agendadigitale.eu/cultura-digitale/ai-come-proteggere-le-aziende-dai-rischi-norme-e-standard/.
Martino B., Come l’Artificial Intelligence Act impatta sulle aziende che utilizzano l’AI, Legal for digital, 12 dicembre 2023, https://legalfordigital.it/intelligenza-artificiale/artificial-intelligence-act/.
Mokander J., Conformity assessments and post-market monitoring: a guide to the role of auditing in the proposed European AI Regulation, in Minds and Machines, 2021, pp. 1-28.
Comments