“L'AI Act rappresenta una pietra miliare, poiché segna le prime regole per l'intelligenza artificiale nel mondo, con l'obiettivo di renderla sicura e rispettosa dei diritti fondamentali dell'Ue”. Queste le parole pronunciate dalla presidenza semestrale di turno belga del Consiglio Ue, per annunciare il raggiungimento dell’accordo sull'AI Act.
Avviato nell’aprile 2018, con l’accordo raggiunto da Commissione UE e stati membri, il processo di adozione ha raggiunto il suo attesissimo traguardo. La redazione del testo ha aperto, sin dalle prime fasi, una serie vastissima di scenari, da quelli tecnologici e giuridici fino a quelli di natura etica e sociale. Ragione per cui la creazione di un quadro di riferimento comune agli stati europei è stata lunga e complessa.
Ripercorrendo le principali tappe di questo articolato iter ricordiamo nel 2021 la presentazione della prima proposta di regolamento, seguita, nel dicembre 2023 dal raggiungimento dell’accordo politico sul testo, fino allo scorso 13 marzo con l’approvazione del contenuto definitivo, il quale vedrà l’entrata in vigore venti giorni successivi alla pubblicazione su Gazzetta Ufficiale dell’U.E., e quindi presumibilmente a maggio.
Ventiquattro sono i mesi stabiliti per la piena applicabilità di tutte le disposizioni previste dal Regolamento. Sul piano pratico il processo di adozione sarà scandito da diversi step, definiti anche in virtù del livello di impatto generato: stabilire cosa non è possibile fare attraverso le soluzioni di AI, ovvero i divieti, è senza dubbio la prima indicazione necessaria per orientare operatori e sviluppatori. Non a caso rappresenta la prima disposizione a diventare operativa a distanza di appena sei mesi dall’entrata in vigore.
L’impianto sanzionatorio, ereditando la logica adottata già da altre normative quali GDPR e NIS2, applicherà il meccanismo della percentuale con sanzioni che potrebbero raggiungere picchi del 7% del fatturato annuo mondiale o 35 milioni di euro.
Come spesso accade per le normative connesse all’impiego di tecnologie digitali, l’iter normativo e le varie fasi del percorso di approvazione mal si conciliano con l’inarrestabile evoluzione tecnologica e con la necessità delle organizzazioni di utilizzarla nel contesto aziendale e di sviluppare soluzioni sempre più avanzate. Il legislatore, non potendo “rincorrere” uno sviluppo tanto accelerato, nel testo prossimo alla pubblicazione in Gazzetta Ufficiale ha voluto delineare delle linee guida generali, in grado di rispondere anche alle prossime evoluzioni, senza rischiare di doversi considerare superato prima della stessa entrata in vigore.
Verso una normativa a maglie larghe
A testimonianza della volontà di rimanere “alti” rispetto alle specifiche questioni, uno dei primi argomenti che ha sollevato un ampio dibattito politico, causa di notevoli rallentamenti, riguarda proprio la stessa definizione di “intelligenza artificiale”. Trattandosi di una tecnologia incontrollabile sotto molti aspetti, l’intento è stato quello di non stabilire formule eccessivamente restrittive non conoscendo di fatto i risvolti concreti che potrebbe assumere. È stata quindi elaborata una definizione generale di “machine based system” concepita per includere anche futuri sviluppi, ad oggi inediti, e una principale macro-differenziazione tra intelligenza artificiale generativa (GenAI) finalizzata alla creazione di nuovi contenuti complessi frutto dell’elaborazione di un’ingente mole di dati, e intelligenza artificiale restrittiva che, basandosi su un algoritmo, è progettata per svolgere precise attività o compiti.
Non dimentichiamo che l’impiego di soluzioni di intelligenza artificiale è già ampiamente diffuso in ambito aziendale e investe ambiti molto diversi. Un utilizzo che, nonostante la mancanza di un AI Act vigente, è stato disciplinato dalle disposizioni previste da altri impianti normativi legal-tech: dal GDPR alla NIS2, fino alle norme in materia di tutela della proprietà intellettuale.
L’AI Act non mette infatti in discussione le normative preesistenti e vigenti che disciplinano attività e aspetti comuni anche alle tecnologie basate sull’AI, ma le rafforza, integrandole con indicazioni specifiche rispetto alla progettazione, allo sviluppo e all’impiego, soprattutto per quanto riguarda i sistemi di AI ad alto rischio.
Qual è l’approccio seguito nel regolamento sull’intelligenza artificiale
Dal marketing alla comunicazione, dalle chatbot all’ambito HR, dalla progettazione, alla domotica e alla ricerca, passando per la logistica e il comparto IT fino all’industria 4.0 e alla valutazione e scoring, i campi di applicazione dell’AI sono vastissimi e potenzialmente infiniti. Ragione in più per evitare di formulare definizioni eccessivamente rigide e per lasciare ampio margine a sviluppi futuri del settore mantenendo dei punti di riferimento normativo sempre validi indipendentemente dalle evoluzioni, concepiti per responsabilizzare degli utenti e spingerli verso un approccio risk based. È proprio questa logica basata sul rischio il perno intorno al quale ruota l’intero testo normativo che adotta una vera e propria classificazione, articolata in quattro categorie (inaccettabile, elevato, limitato, minimo o nullo) sulla base dei potenziali rischi ed impatti sui diritti fondamentali.
Laddove il rischio sia da considerare inaccettabile il legislatore vieta categoricamente l’utilizzo di AI: è questo il caso delle tecniche di manipolazione cognitivo-comportamentale, della categorizzazione biometrica riferita ai dati personali sensibili, compresi il riconoscimento delle emozioni nei luoghi lavoro o a scuola, della polizia predittiva e del punteggio sociale (social scoring) o dei messaggi pubblicitari rivolti ai bambini.
Nei casi di rischio elevato o limitato, l’utilizzo è permesso nel rispetto di specifici obblighi e requisiti (esempio: credit scoring, chirurgia assistita, selezione del personale o chatbot). Fino ad arrivare agli impatti considerati a rischio limitato o nullo (esempio: videogiochi o sistemi antispam) per cui produzione, vendita ed utilizzo sono consentiti laddove siano rispettati minimi obblighi di trasparenza, informando l’utente che sta interagendo con un sistema di intelligenza artificiale o del fatto che un particolare contenuto è stato creato attraverso l’intelligenza artificiale, ed auspicando il legislatore l’adozione di codici di condotta, che saranno valutati dalla Commissione entro due anni dall’entrata in vigore dell’AI ACT e successivamente ogni tre anni.
Quali sono le altre normative chiamate in causa?
A ben vedere le analisi e le valutazioni che l’AI Act traccia in maniera definita nel testo di legge, indipendentemente dalla sua pubblicazione in Gazzetta e successiva entrata in vigore, dovrebbero essere, ed esserlo state anche in passato, un punto di partenza imprescindibile per orientare le organizzazioni nelle applicazioni, negli utilizzi, nelle valutazioni, negli investimenti. Lungi dal considerarsi dunque in assenza di norme guida per disciplinare gli utilizzi delle nuove tecnologie nei ragionamenti e nelle implementazioni, le aziende sono chiamate a una presa di coscienza rispetto ad una normativa a maglie larghe e ad una maggiore responsabilizzazione rispetto alle soluzioni adottate o sviluppate. Gli addetti del settore non dovranno limitarsi alla unica valutazione dei rischi, ma dovranno produrre un’opportuna documentazione che dovrà essere resa disponibile agli utilizzatori nel rispetto del principio di trasparenza ed informazione. Tale obbligo di messa a disposizione dovrà essere uno dei punti fermi degli accordi contrattuali tra produttori ed utilizzatori e dovrà essere protratto nel tempo, ai sensi dell’obbligo di aggiornamento e condivisione delle eventuali evoluzioni.
Il tema della data protection rappresenterà sempre il faro guida di ogni scelta o azione: non dimentichiamo che gli algoritmi si nutrono di dati e la diffusione sempre più pervasiva di AI dipende soprattutto dalla disponibilità di enormi moli di data. Ne discende pertanto l’evidente necessità di un approccio alla questione che sia estremamente attento alla regolazione dei trattamenti. Ovvio il richiamo al GDPR i cui pilastri sono richiamati nell’AI Act, a partire dal concetto di accountability e di compliance by design degli applicativi. La considerazione dei principi enunciati dal GDPR mostra tutta la sua centralità anche nell’AI Act. Non solo in riferimento alla progettazione dei sistemi, ma anche rispetto alla documentazione (informative, data protection impact assessment, registro del trattamento, data processment agreement, contrattualistica, etc.).
La visione di una tecnologia etica e responsabile sostenuta dall’AI Act si traduce nondimeno anche nell’introduzione di nuovi concetti che rappresentano un punto di avanguardia in materia come quello della supervisione umana per i sistemi ad alto rischio, quale ulteriore misura per garantire che le decisioni/azioni automatizzate non provochino danni involontari. Di qui la necessità di formazione specializzata di figure professionali in grado di svolgere tali attività di verifica e supervisione.
Strettamente connesso alla prevenzione e gestione dei rischi vi è il grande tema della robustezza e della sicurezza informatica degli strumenti, delle infrastrutture dell’ecosistema e di tutte le componenti abilitanti. Aspetti essenziali per garantire il corretto funzionamento dei sistemi di AI che impone alle organizzazioni una solida strategia di cyber security basata sulla resilienza. Come per i concetti precedentemente citati, la questione non è solo tecnologica, ma riguarda anche l’aspetto umano, spaziando dal divario di competenze alla resistenza interna, dai processi alla sfera organizzativa.
Copyright e diritto d’autore
Per completare questa breve overview su un tema vasto a tal punto da poter essere difficilmente affrontato in maniera esaustiva in ogni suo aspetto, merita fare un cenno alla questione ampiamente dibattuta sulla tutela del copyright e del diritto d’autore. Non esistendo un quadro normativo condiviso a livello globale, tale disciplina trova varie interpretazioni in base alla legislazione del paese di riferimento, riconoscendo come principio generale universale quello che identifica come meritevoli di tutela le opere dotate di originalità e creatività umana. Sul punto stiamo assistendo al momento all’adozione di soluzioni diverse, in base alla legislazione applicata che spazia dall’esempio statunitense a quello cinese.
Vasto è il dibattito anche sul tema della violazione di privative autoriali di terzi rispetto a quelle opere utilizzate per “istruire” ed “educare” l’AI. Come già detto, i sistemi di AI sono alimentati da enormi quantità di dati che, nella maggior parte dei casi, vengono “rastrellati” (cosiddetto “web scraping”) da internet in maniera massiva. Tale raccolta indistinta coinvolge anche opere rilasciate con condizioni di licenza che non riconosce agli utilizzatori tale diritto di uso. I tribunali, non a caso, brulicano di cause intentate da artisti nei confronti di soggetti non autorizzati, che utilizzano le loro opere per l’istruzione di sistemi di AI. Quanto detto si verifica in larga misura in U.S.A. dove la normativa in materia di copyright viene applicata dall’autorità secondo la logica del cosiddetto “fair use” che consente un approccio flessibile e valuta le specifiche esigenze in base alla fattispecie.
Merita ricordare che, in Italia, in assenza di una posizione specifica sul tema, l’utilizzo di
opere tutelate dal
diritto d’autore per l’addestramento di sistemi di IA potrebbe essere compreso negli atti di riproduzione disciplinato dall’art. 13 della legge su diritto d’autore (
legge n. 633/1941), secondo cui l’autore gode del diritto esclusivo di autorizzare o meno tali usi della propria opera.
L’approccio migliore, in attesa della definizione di norme specifiche, suggerisce un criterio cautelativo rispetto alla questione “istruzione dei sistemi di AI” attraverso l’uso di opere di terze parti, esortando all’acquisizione preventiva di una licenza d’uso dagli autori delle opere, al fine da essere legittimati rispetto a tali utilizzi.
Copyright © - Riproduzione riservata
