In partnership con lo Studio Legale Improda – avvocati associati
Il Parlamento Europeo, lo scorso 14 giugno 2023, ha dato il via libera al c.d. AI ACT. Si tratta di una presa di posizione richiesta da molti al fine di disciplinare l’utilizzo dell’Intelligenza Artificiale e probabilmente anche sollecitata dalle controverse (soprattutto in Italia) vicende di Chat GPT.
Gli obiettivi del legislatore europeo erano quelli, anzitutto, di assicurare che i sistemi di IA immessi nel mercato UE fossero sicuri e conformi alla normativa vigente in tema di diritti fondamentali e valori UE e ciò anche nell’ottica di facilitare gli investimenti e l’innovazione nell’IA. In aggiunta a ciò, vi era l’esigenza di migliorare la governance e l’applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi IA oltre che di facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato.
Con l’approvazione dell’AI ACT il Parlamento ha vietato la categorizzazione biometrica sulla base di caratteristiche sensibili come la sessualità percepita, il genere, la razza o l’etnia ed il riconoscimento delle emozioni nei contesti educativi, nei luoghi di lavoro, da parte della polizia e alle frontiere.
Proprio in ragione della difficoltà di individuare un elenco esaustivo di divieti, la normativa ha scelto un approccio basato sul calcolo del rischio relativo all’utilizzo dell’IA e stabilisce obblighi crescenti e/o decrescenti sulla scorta del grado di rischio sia per i fornitori dei sistemi di intelligenza artificiale che per coloro che li utilizzano.
Sono stati definiti, in linea di massima, quattro livelli di rischio nell’Intelligenza Artificiale a partire da quello inaccettabile, in cui persiste una chiara minaccia per la sicurezza ed i diritti delle persone fino a quello minimo o totalmente assente in cui non è ravvisabile alcuna minaccia per la sicurezza o per i diritti fondamentali dei soggetti fruitori (es. videogame o filtri antispam). Nel mezzo vi sono le situazioni ibride in cui si possono riscontrare alti rischi (non vi è una certezza facilmente riscontrabile, ma una potenziale lesività alquanto alta – es. infrastrutture critiche, formazione, componenti di sicurezza dei prodotti) e rischi limitati in cui il livello di trasparenza è molto alto e l’esposizione al rischio per i fruitori è alquanto ridotto.
Obiettivo finale della graduazione del rischio è quello di collocare una serie di vincoli capaci di garantire un sistema di controllo sulle risorse tecnologiche adeguato alla sua potenziale pericolosità che permetta, da un lato, di analizzare i dati che saranno utilizzati dagli algoritmi così mantenendo attivo un sistema di valutazione e gestione del rischio. Dall’altro, la supervisione dei sistemi di IA da parte di persone fisiche insieme alle garanzie di trasparenza sul sistema adoperato, sui rischi e sul livello di sicurezza e, soprattutto, le modalità ed i dati con cui gli algoritmi elaborano i dati.
È interessante ora capire come si adegueranno i vari operatori del settore per arrivare pronti al termine del c.d. grace period di due anni entro cui gli stessi dovranno adeguare le proprie modalità operative e costruire i processi di compliance. Si tratta di una sfida nella sfida, per plasmare un’Intelligenza che è sì artificiale ma molto concreta. Un’Innovazione dalle capacità inesplorate e forse incommensurabili e che proprio per questo va idoneamente gestita e normata.
