A distanza di più di 50 anni da quando fu coniato il termine “Intelligenza Artificiale”, soltanto il 21 aprile 2021 la Commissione europea ha iniziato a normare il fenomeno che da mezzo secolo pervade la tecnologia e il suo incessante sviluppo, emanando il Regolamento sull’Intelligenza Artificiale attualmente ancora in bozza. Si tratta di una proposta normativa senza dubbio virtuosa, tanto ambiziosa quanto controversa e che non ha ancora trovato una sua pubblicazione definitiva.
La Commissione, non volendosi limitare a colmare le lacune di alcuni quadri giuridici esistenti (come, ad esempio, in materia di protezione dati personali o dei consumatori), ha voluto assicurarsi che i sistemi di AI contribuiscano alla crescita del mercato unico adottando un approccio proporzionato e orientato al rischio. Talché i diritti fondamentali vengano salvaguardati.
Da qui è sorta la necessità di fornire, all’art. 3, una definizione ampia di “Sistema di IA”. Ciò a vantaggio sia delle tecnologie più obsolete, che di quelle più avanzate. Il tutto, evidentemente, già determina problematiche applicative circa l’ambito materiale di applicazione decisamente estesa, ma andiamo con ordine.
Prassi applicativa
La bozza del Regolamento afferma che «l’ecosistema IA italiano soffre di un basso numero di brevetti e di un lento processo di trasferimento tecnologico». Non a caso, il mercato italiano dell’AI è di dimensioni ancora modeste, rispetto all’avanzamento tecnologico, e la situazione pandemica ha dato, in questo senso, una forte spinta.
Per affrontare queste nuove sfide, prosegue la bozza di Regolamento, la strategia europea «…propone una serie di politiche volte ad ampliare l’applicazione dell’IA nelle industrie e nella società, nonché misure per favorire la nascita e la crescita di imprese innovative in ambito IA». In pratica, incrementare l’adozione di soluzioni di AI nelle aziende vorrebbe dire aumentare la loro competitività.
Risk Based Approach e sistemi di certificazione
Esistono già realtà aziendali che, concretamente, fanno uso di sistemi di intelligenza artificiale. Non sono molte, ma alcune quelle forse più all’avanguardia devono già preventivare l’implementazione o meglio l’adeguamento a un nuovo regime di conformità, per quanto questo sia ancora in fase embrionale. In concreto, queste realtà virtuose devono iniziare a pensare di regolare l’uso dei sistemi di AI in base a un triplice approccio orientato al rischio, il cosiddetto risk-based approach.
Il fatto che il Regolamento (in bozza) sia fondato su un approccio basato sul rischio imponendo degli obblighi solo per i sistemi di intelligenza artificiale ad alto rischio ovvero proibite, fa si che sia necessaria una definizione ampia.
Altrimenti il rischio sarebbe quello che sistemi ad alto rischio di software più semplici sfuggano agli obblighi; il tutto in potenziale danno agli individui vulnerabili nei loro diritti fondamentali.
Peraltro, una definizione più ampia di sistemi di intelligenza artificiale sarebbe sì giustificata alla luce delle pratiche di intelligenza artificiale proibite di cui all’art. 5 del Regolamento concepito per compensare le minacce poste dai diversi tipi di software ai diritti fondamentali degli individui.
Circa invece i sistemi ad alto rischio, lo stesso ragionamento parrebbe non trovare applicazione. Vediamone il perché: se i requisiti obbligatori (titolo III, cap. 2) in teoria dovrebbero fondarsi sulla constatazione che un certo numero di diritti fondamentali possono essere influenzati negativamente, in particolare, dalle caratteristiche del machine learning (quali opacità, complessità, dipendenza dai dati, comportamento autonomo), non essendo queste presenti negli algoritmi semplici, l’ampia definizione di AI potrebbe portare a una regolamentazione eccessiva.
I criteri di un “alto rischio”
Ora, occorre chiedersi quando sarà presumibile di essere in presenza di un alto rischio AI e sulla base di che cosa.
Al momento sono stati individuati due criteri cumulativi quando:
- in presenza di un’applicazione di AI utilizzata in un settore merceologico nel quale, per le peculiarità, si possa prevedere l’insorgenza di rischi significativi;
- l’applicazione di intelligenza artificiale venga utilizzata in un modo tale da far presumere l’insorgenza di rischi significativi.
Al netto di ciò, per il vero, la Commissione UE considera di per sé ad alto rischio i casi in cui l’intelligenza artificiale venga adoperata, ad esempio, in processi di selezione del personale o in ogni situazione da cui possa derivare un impatto per i diritti di lavoratori e consumatori.
Al riguardo, i fattori rilevanti per la valutazione di un “rischio alto” di un applicativo di intelligenza artificiale sono, conformemente alle Linee guida dal Gruppo di Esperti di Alto Livello, in particolare:
- i dati di allineamento;
- la tenuta dei dati e delle registrazioni;
- le informazioni da fornire;
- la robustezza e precisione;
- la supervisione umana;
- gli ulteriori requisiti aggiuntivi (come, per esempio, quelli utili all’identificazione biometrica da remoto)
Per tali applicativi “ad alto rischio”, la Commissione UE vorrà disporre l’introduzione di procedure di valutazione obbligatoria della conformità ai requisiti di legge, oltre che procedure di collaudo, validazione e certificazione necessarie. Tali procedure saranno, per l’effetto, vincolanti per tutti gli operatori economici destinatari dei requisiti normativamente imposti a livello UE.
Mentre con riferimento ai diversi applicativi non aprioristicamente qualificabili “ad alto rischio”, la Commissione UE sta valutando uno “schema di etichettatura su base volontaria”. In pratica, uno schema di certificazione volontario che consentirà alle imprese interessate di ottenere il bollino o, detto meglio, il marchio di qualità per essere sul mercato.
Il tutto per dimostrare l’affidabilità da un lato a vantaggio degli operatori economici coinvolti, e dall’altro in favore degli utilizzatori finali rassicurati nella conformità agli standard di sicurezza in forza di una specifica normativa europea.
