Proposal for a Regulation laying down harmonised rules on artificial intelligence
La proposta di Regolamento UE sull'Intelligenza Artificiale ("Regolamento IA") pubblicata dalla Commissione Europea il 21 aprile 2021 introduce un quadro normativo pionieristico e armonizzato in materia. L'intento, senz'altro ambizioso, è di gettare le basi per la necessaria certezza giuridica atta a stimolare gli investimenti e l'innovazione nel campo dell'IA e a stabilire, al contempo, un complesso di norme che salvaguardi i diritti fondamentali e la sicurezza.
di Giacomo Lusardi - Avvocato, Alessandro Ferrari - Partner – DLA Piper Studio Legale
Ambito di applicazione materiale e territoriale
L'ampio spettro normativo coperto dal Regolamento IA riguarda tutti gli aspetti del ciclo di vita dello sviluppo, della vendita e dell'uso dei sistemi di IA, ivi inclusi:
(i) l'immissione sul mercato dei sistemi di IA;
(ii) la messa in servizio dei sistemi di IA; e
(iii) l'uso dei sistemi di IA.
Tutti i soggetti coinvolti nello svolgimento di tali attività – in qualità di fornitori, utenti, distributori, importatori o rivenditori – saranno soggetti a un determinato livello di conformità normativa. Ciò vale anche per i fornitori o utenti di sistemi di intelligenza artificiale situati al di fuori dell'Unione Europea nel caso in cui mettano in servizio sistemi di IA nell'Unione Europea o utilizzino output derivanti da sistemi di IA operanti nell'Unione Europea. Al riguardo, risulta immediato il parallelismo con gli effetti extraterritoriali delle GDPR.
Sistema di IA - Definizione
Un sistema di IA, secondo la definizione data in base alla Raccomandazione OCSE del 2019 in materia di Intelligenza Artificiale, dovrebbe essere tecnologicamente neutrale, "a prova di futuro" e dovrebbe al contempo fornire certezza giuridica. Nell'ambito del Regolamento IA rientrano nella definizione di "sistema di IA" i software sviluppati con uno o più tecniche e approcci tra quelli specificati nel relativo Allegato I (che la Commissione potrà nel tempo modificare mediante atti delegati). Attualmente, tra queste tecniche rientrano gli approcci di apprendimento automatico (machine-learning), gli approcci basati sulla logica e sulla conoscenza e gli approcci statistici, in grado di generare, per una determinata serie di obiettivi definiti dall'uomo, output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono.
La classificazione dei rischi dell'IA
È inoltre previsto un sistema multilivello di requisiti normativi a seconda del rischio intrinseco associato al sistema e/o alle pratiche di Intelligenza Artificiale usate:
· Pratiche di Intelligenza Artificiale vietate Il Regolamento IA vieta specifiche pratiche (piuttosto che sistemi) di Intelligenza Artificiale che si ritiene possano generare un rischio inaccettabile. Ad esempio, in essi rientrano l'uso dell'Intelligenza Artificiale da parte delle autorità pubbliche ai fini di ottenere il cosiddetto "punteggio sociale" per la valutazione del comportamento degli individui (social scoring), l'uso di sistemi di identificazione biometrica a distanza in tempo reale in spazi accessibili al pubblico ai fini dell'applicazione della legge (salvo determinate eccezioni), e le tecniche subliminali finalizzate ad alterare significativamente il comportamento di una persona in modo dannoso.
· Sistemi di IA ad alto rischio. Il Regolamento stabilisce una specifica categoria per i sistemi di IA ad alto rischio. Si tratta di tecnologie che presentano un rischio significativo di provocare danni e il cui uso è pertanto consentito solo in presenza di specifici controlli di sicurezza. Questa parte della proposta di Regolamento IA fa proprio l'approccio adottato nella normativa UE già esistente in materia di sicurezza dei prodotti e di gestione del rischio. Tra di essi possono rientrare, ad esempio, il credit scoring, i sistemi di IA relativi a infrastrutture pubbliche essenziali, a giustizia e sicurezza sociale, ai dispositivi medici e ad altri dispositivi regolamentati, e ai sistemi di trasporto.
In particolare, i sistemi di IA ad alto rischio sono definiti mediante un modello di classificazione incentrato sul rischio associato al prodotto stesso.
In una prima categoria rientrano i sistemi di IA destinati a essere usati come componenti di sicurezza dei prodotti (o che sono essi stessi un prodotto). Questi sistemi sono elencati nell'Allegato II del Regolamento IA.
In una seconda categoria rientrano i sistemi di IA a sé stanti il cui uso può avere un impatto sui diritti fondamentali. Questi sistemi sono elencati all'Allegato III e riguardano, ad esempio, i sistemi di identificazione biometrica sia in tempo reale che a posteriori.
Il Regolamento IA prevede inoltre una serie di controlli da effettuare sui sistemi di IA ad alto rischio, da parte del fornitore.
Trasparenza: i sistemi di IA ad alto rischio devono essere progettati e sviluppati in modo da garantire che il loro funzionamento sia sufficientemente trasparente per consentire agli utenti di interpretare l'output del sistema e di utilizzarlo in modo appropriato. Le istruzioni e i manuali d'uso da fornire all'utente dovranno essere chiari e contenere informazioni riguardanti l'identità del fornitore, le caratteristiche, capacità e limitazioni del sistema di IA e le misure di supervisione umana.
Sicurezza: un elevato livello di accuratezza, robustezza e sicurezza deve essere costantemente garantito durante l'intero ciclo di vita del sistema di IA ad alto rischio. Gravi incidenti e malfunzionamenti del sistema ad alto rischio devono essere immediatamente segnalati alle autorità di controllo dello Stato Membro in cui si è verificato l'incidente.
Responsabilizzazione:
1. la documentazione tecnica, completa e aggiornata, dovrà essere mantenuta (e redatta dal fornitore prima dell'immissione sul mercato o della messa in servizio) per dimostrare la conformità al Regolamento IA. Gli output del sistema di IA ad alto rischio devono essere verificabili e tracciabili durante l'intero ciclo di vita, ivi inclusa la generazione automatica di log (che dovranno essere custoditi dai provider, se posti sotto il loro controllo);
2. il sistema deve essere registrato in una banca dati europea per i sistemi di IA ad alto rischio prima della relativa immissione sul mercato o messa in servizio;
3. laddove non sia possibile identificare un importatore, i provider stabiliti al di fuori dell'UE designeranno un rappresentante autorizzato.
Gestione del rischio: un apposito sistema di gestione del rischio dovrà essere istituito, implementato, documentato e mantenuto nell'ambito di un modello complessivo di gestione della qualità. La gestione del rischio deve includere un processo iterativo continuo per l'intero ciclo di vita del sistema.
Verifica: ogni insieme di dati usato a supporto della formazione, convalida e verifica deve essere soggetto ad adeguate pratiche di governance e gestione dei dati, deve essere rilevante, rappresentativo, privo di errori e completo e avere proprietà statistiche adeguate per supportare l'uso del sistema di IA.
Supervisione umana: i sistemi di IA devono essere progettati e sviluppati in modo da consentire un'efficace supervisione umana. Questo aspetto della supervisione umana è presente anche nell'articolo 22 del GDPR riguardante il processo decisionale automatizzato, rispetto al quale è previsto il diritto di ottenere l'intervento umano.
Oltre a quanto precede, i fornitori sono anche tenuti a:
a) istituire, implementare e mantenere un sistema di monitoraggio post immissione sul mercato (che sia proporzionato alla natura delle tecnologie di Intelligenza Artificiale e ai rischi del sistema IA ad alto rischio);
b) garantire che il sistema sia sottoposto alla relativa procedura di verifica di conformità (prima dell'immissione sul mercato o della messa in servizio) e redigere una dichiarazione di conformità UE;
c) adottare immediatamente azioni correttive in relazione ai sistemi di IA ad alto rischio risultati non conformi (e informare l'autorità nazionale competente di tale non conformità e delle azioni adottate);
d) apporre il marchio CE ai propri sistemi di IA ad alto rischio per indicarne la conformità;
e) su richiesta dell'autorità nazionale competente, dimostrare la conformità del sistema di IA ad alto rischio.
Anche gli importatori, i distributori e gli utenti di sistemi di IA ad alto rischio sono soggetti a requisiti stringenti. Tra i requisiti più importanti per gli utenti di sistemi di IA ad alto rischio si annoverano: (i) usare i sistemi in conformità alle istruzioni fornite dal fornitore; (ii) assicurarsi che tutti i dati di input siano pertinenti allo scopo per cui sono destinati; (iii) monitorare il funzionamento del sistema e informare il fornitore/distributore riguardo a rischi di gravi incidenti o malfunzionamenti e (iv) custodire i log generati automaticamente dal sistema IA ad alto rischio, se posti sotto il loro controllo.
Valutazione della conformità, enti notificati / autorità notificanti: il Regolamento IA include una procedura di valutazione di conformità che occorre seguire per i sistemi di IA ad alto rischio – con applicazione di due diversi livelli di valutazione.
i. se il sistema IA ad alto rischio è già disciplinato dalle norme sulla sicurezza dei prodotti, si applica un valutazione di conformità semplificata, consistente sostanzialmente in una estensione del regime esistente.
ii. per gli altri sistemi di IA ad alto rischio (quelli presenti nell'elenco di cui all'Allegato III) si applica il nuovo regime di conformità e il fornitore è tenuto ad auto-valutare la conformità, salvo in caso di sistemi di identificazione biometrica a distanza, che saranno soggetti alla valutazione della conformità da parte di un terzo.
Il regime di valutazione della conformità è supportato da una rete di organismi notificati da designarsi o istituirsi da parte degli Stati Membri come soggetti terzi indipendenti nel processo di conformità.
· Sistemi di IA a basso rischio. I sistemi di IA che non rientrano nell'ambito dei sistemi identificati come "ad alto rischio" e che non sono installati o utilizzati per pratiche vietate sono comunque soggetti a un regime di trasparenza e controllo. È auspicabile anche l'adozione di Codici di Condotta che spronino i fornitori e gli utenti dei sistemi di IA a basso rischio ad agire nel rispetto della lettera e dello spirito delle norme applicabili ai sistemi di IA ad Alto Rischio.
Governance e sanzioni
a) L' European Artificial Intelligence Board
Il Regolamento IA prevede l'istituzione di un Comitato europeo per l'intelligenza artificiale ("Comitato"), la cui funzione sarà quella di offrire consulenza e assistenza alla Commissione europea sui temi trattati dal Regolamento IA per (i) contribuire all'efficace cooperazione tra le autorità di controllo nazionali e la Commissione, (ii) coordinare e contribuire agli orientamenti e all'analisi di problematiche emergenti forniti dalla Commissione e dalle autorità di controllo nazionali e da altre autorità competentim, e (iii) assistere le autorità di controllo nazionali e la Commissione nel garantire un'applicazione coerente delle norme. La struttura dell'EAIB è modellata sulle competenze e responsabilità dell'European Data Protection Board (EDPB) previsti nel GDPR.
b) Autorità nazionali competenti
Gli Stati Membri sono tenuti a designare autorità nazionali competenti e un'autorità di controllo nazionale che abbia il compito di fornire orientamenti e consulenza sull'attuazione del Regolamento IA anche da parte dei soggetti meno strutturati.
c) Sanzioni amministrative
L'inosservanza del Regolamento IA è soggetta, a seconda dei casi, a sanzioni amministrative pecuniarie fino a 10 – 30 milioni di euro (a seconda della natura della violazione), o (se superiore) a una sanzione basata sul fatturato fino al 2% – 6% del fatturato globale annuo dell'anno finanziario precedente.
A differenza del GDPR, l'applicazione del Regolamento IA spetta alle autorità di controllo e non sono previsti né un sistema di reclamo, né specifici diritti da esercitarsi direttamente da parte delle persone fisiche.
Conclusioni
Il Regolamento IA è un atto legislativo innovativo che spiegherà i suoi effetti non solo all'interno dell'Unione Europea ma anche in molti altri Paesi che molto probabilmente ne seguiranno l'approccio. Il Regolamento IA, così come formulato, avrà impatti su un'ampia platea di soggetti, che vanno dagli utenti dell'IA, alle istituzioni e organi governativi, all'ecosistema delle imprese che faranno uso di sistemi di IA, agli sviluppatori della tecnologia sottostante, ecc., molti dei quali potranno essere situati al di fuori dell'UE. Data la novità della materia da un punto di vista di regolazione, e consideratane l'ampiezza e la complessità, così come gli interessi in gioco, ci attendiamo che nel corso della procedura legislativa di trilogo la bozza di Regolamento IA sarà oggetto di un attento esame, forti pressioni e lunghi dibattiti.
Proposal for a Regulation laying down harmonised rules on artificial intelligence