Supervisione e sicurezza dell’intelligenza artificiale: Il possibile ruolo dell'ACN nell’attuazione del Regolamento europeo sull’intelligenza artificiale

In vista dello svolgimento del concorso per l’assunzione di 45 giuristi indetto dall’Agenzia per la Cybersicurezza Nazionale (ACN), può risultare interessante esplorare il ruolo che questo ente potrà avere nell'attuazione del Regolamento europeo sull'intelligenza artificiale (AI Act) in Italia.

L'AI Act, infatti, rappresenta il primo tentativo a livello europeo di definire un quadro normativo omogeneo per regolare il mercato dell'intelligenza artificiale (AI) in modo da tutelare i diritti fondamentali degli individui. Il Regolamento crea una struttura istituzionale, elegantemente chiamata «governance», per garantire un'applicazione uniforme delle norme, in particolare sui sistemi di AI vietati e sui sistemi qualificati ad alto rischio, in ciascuno Stato membro.

L’art. 70 dell’AI Act, combinato con i considerando 153 e 154, stabilisce che ogni Stato debba nominare almeno due autorità nazionali con ruoli specifici: un’autorità di notifica, incaricata della designazione degli organismi di valutazione della conformità; un’autorità di vigilanza, responsabile della supervisione e del controllo dopo l’immissione sul mercato di tutti quei sistemi di AI che presentino un rischio per i diritti fondamentali degli individui.

Il 20 maggio 2024 il Consiglio dei Ministri ha approvato il disegno di legge (d.d.l.) n. 1146, ad oggi ancora in discussione al Parlamento, con il quale ha scelto le autorità competenti per l’applicazione dell’AI Act. Nello specifico, il d.d.l. istituisce l’Agenzia per l’Italia Digitale (AGID) come autorità di notifica nazionale e l'ACN come autorità di vigilanza del mercato. Soffermandoci soltanto su quest’ultima, l’art. 18 del d.d.l. ne identifica le varie funzioni.

• Responsabile per la vigilanza dei sistemi, incluse le attività ispettive e sanzionatorie. Sotto questo profilo, la funzione dell’Agenzia si dividerebbe in due diversi compiti.

In primo luogo, L'Agenzia potrà svolgere una valutazione del sistema di AI in tre situazioni: con riferimento ai sistemi di AI per finalità generali, qualora l’autorità abbia motivo di ritenere che il sistema sia utilizzato per finalità considerate ad alto rischio; qualora l’autorità ritenga che un sistema di AI possa essere qualificato come prodotto che presenta un rischio ai sensi del Regolamento 2019/1020; qualora abbia motivo di ritenere che un sistema di AI classificato inizialmente dal fornitore come non ad alto rischio, in realtà presenti degli elementi per essere considerato ad alto rischio ai sensi dell’art. 6. Nel compimento di tale valutazione, l’ACN potrà avvalersi della documentazione tecnica concessa dal fornitore, dei dati di addestramento e di prova del sistema, delle informazioni derivanti dalle procedure interne di prova e di audit, oltre a poter accedere in limitati casi addirittura al codice sorgente del sistema. Laddove l’Agenzia dovesse valutare il sistema come non conforme alle norme dell’AI Act, potrebbe richiedere al fornitore di adottare delle misure correttive, compreso in casi estremi il ritiro dal mercato del sistema stesso. A ciò si aggiungono le possibili sanzioni erogabili nei confronti dei soggetti responsabili delle violazioni, la cui entità è rimessa ad una valutazione discrezionale dell’ente, basata su una serie di elementi (ad es. la natura, la gravità o la durata della violazione).

Il secondo grande compito dell’ACN riguarderà il ricevere e gestire le segnalazioni dei vari fornitori sui gravi incidenti avvenuti nel sistema di AI, esercitando quindi una funzione molto simile a quella svolta come autorità di gestione delle notifiche degli incidenti cibernetici ai sensi della direttiva NIS 2.

• Responsabile per lo sviluppo dell’AI sotto il profilo della cybersicurezza. 

In tale campo, l’Agenzia probabilmente implementerà dei documenti di indirizzo a favore delle varie aziende con l’indicazione delle migliori misure di sicurezza informatica adottabili in ciascuna fase del ciclo di vita del sistema di AI, dall’addestramento all’utilizzo sul mercato. Recentemente, infatti, l’ACN ha aderito al documento «Linee guida per uno sviluppo sicuro dell’Intelligenza Artificiale» creato dall’Agenzia per la Cybersicurezza del Regno Unito per individuare le misure di sicurezza più appropriate in ciascuna delle quattro aree di intervento sul sistema di AI: progettazione, sviluppo, implementazione, manutenzione.

• Ruolo di creazione, coordinata con l’autorità di notifica, di spazi di sperimentazione normativa dell’AI in Italia.

Il Regolamento facoltizza L'ACN e l'AGID a creare spazi di sperimentazione normativa, c.d. «sandboxes», per testare nuove tecnologie di AI in ambienti controllati. Svolgere tali sperimentazioni richiederà uno sforzo economico e tecnologico non indifferente, che difficilmente potrà essere messo in campo a livello nazionale. Sarà quindi molto più probabile che le nostre autorità aderiranno a progetti di sperimentazione, sovvenzionati con fondi appositi dell’UE, in collaborazione con le autorità degli altri Stati membri.

È chiaro che si tratta di un quadro istituzionale ancora tutto in divenire. Di certo non sono mancate critiche alla scelta di «governance» dell’Italia, in particolare dal Garante per la Protezione dei Dati Personali (Garante per la Privacy), che, con il parere del 2 agosto 2024, ha richiesto chiarimenti sulle funzioni dell’ACN e dell’AGID per evitare sovrapposizioni con i compiti di protezione dei dati personali da lui svolti, che spesso hanno ad oggetto il non corretto utilizzo di sistemi di AI.

A prescindere comunque da quello che sarà il ruolo effettivo dell’Agenzia nell’applicazione dell’AI Act, è indubbio che il particolare carattere di expertise dell’ente nella cybersicurezza lo rende una pedina essenziale per il nostro paese nel gestire l’evoluzione e lo sviluppo di tale tecnologia, essendo noti i rischi di sicurezza che la accompagnano.