Dopo mesi di trattative, il Parlamento europeo ha finalmente trovato un accordo sul testo del primo regolamento al mondo che aspira a disciplinare in maniera completa le applicazioni di IA. Il voto in sessione plenaria è atteso per metà giugno, poi il draft, ove approvato, passerà alla fase finale dei c.d. trilogues.
Lo scorso giovedì 11 maggio, la Commissione parlamentare per le Libertà civili, la giustizia e gli affari interni (Libe) e quella per il Mercato interno e la protezione dei consumatori (Imco) hanno approvato, a larga maggioranza, il testo dell’AI Act, sul quale a fine aprile il Parlamento europeo ha finalmente trovato accordo politico.
La Proposta di regolamento presentata nell’aprile 2021 dalla Commissione europea, nell’ambito della strategia europea in materia di intelligenza artificiale, è stata modificata dal Parlamento in esito a lunghe negoziazioni, in particolare su alcuni temi “caldi”. Nel prosieguo, si analizzeranno brevemente alcune delle principali modifiche apportate dagli europarlamentari al testo presentato dalla Commissione, quali l’introduzione di un articolo dedicato ai principi generali applicabili a tutti i sistemi di IA, le aggiunte effettuate al novero dei sistemi di IA vietati, le modifiche ai criteri per l’individuazione dei sistemi di IA ad alto rischio e agli obblighi dei loro fornitori e la creazione della categoria dei c.d. foundation model.
Innanzitutto, il Parlamento si è mosso con l’obiettivo di assicurare che le applicazioni di IA siano soggette al controllo umano, sicure, trasparenti, tracciabili, non discriminatorie e sostenibili. Questa impostazione emerge con chiarezza dall’introduzione dell’art. 4(a) “General principles applicable to all AI systems”, che elenca una serie di principi generali che ogni operatore deve impegnarsi a rispettare nello sviluppo e utilizzo di sistemi di IA, con lo scopo di costituire un “high level framework that promotes a coherent human centric European approach to ethical and trustworthy Artificial Intelligence”. In particolare, si tratta dei principi di human agency and oversight; technical robustness and safety; privacy and data governance; transparency; diversity, non discrimination and fairness; social and environmental well being.
Altre modifiche di fondamentale importanza coinvolgono, come anticipato, i sistemi di IA vietati e i sistemi ad alto rischio.
Per quanto riguarda i sistemi vietati, in quanto comportanti un rischio inaccettabile, sono stati aggiunti alla lista di cui all’art. 5: i software di identificazione biometrica non soltanto in real time ma anche ex post[1]; i software di riconoscimento delle emozioni nei settori di law enforcement, gestione delle frontiere, lavoro e istruzione; i sistemi di polizia predittiva basati su profilazione, localizzazione o precedenti giudiziari; i sistemi di categorizzazione biometrica che sfruttino qualità o caratteristiche sensibili o protette.
Anche la categoria dei sistemi ad alto rischio è stata oggetto di modifica da parte del Parlamento. Se la proposta originale prevedeva che i sistemi cosiddetti high risk fossero quelli elencati nell’Allegato III, gli europarlamentari hanno proposto l’aggiunta di un ulteriore requisito, ossia che il sistema coinvolto presenti effettivamente un rischio significativo di danno alla salute, alla sicurezza o ai diritti fondamentali. Il rischio significativo è definito come “risultato della combinazione della sua gravità, intensità, probabilità di accadimento e durata dei suoi effetti, e della capacità di colpire un individuo, una pluralità di persone o di colpire un particolare gruppo di persone”. La norma introduce così un nuovo “filtro” per l’accesso alla categoria dei sistemi ad alto rischio subordinandolo, di fatto, ad una verifica della pericolosità del sistema in concreto.
Sempre nell’ambito dei sistemi ad alto rischio, si segnala inoltre l’introduzione di nuovi obblighi per i fornitori, come quello di svolgere una valutazione dell’impatto del sistema sui diritti fondamentali, considerando elementi quali il potenziale impatto negativo su minoranze e ambiente.
Infine, il Parlamento ha introdotto nella Proposta di regolamento una nuova categoria di sistemi di IA: i foundation model. L’art. 3 li definisce come “an AI model that is trained on broad data at scale, is designed for generality of output and can be adapted to a wide range of distinctive tasks”. Il nuovo considerando 60(e) specifica ulteriormente il concetto e aggiunge che “AI systems with specific intended purpose or general purpose AI systems can be an implementation of a foundation model, which means that each foundation model can be reused in countless downstream AI or general purpose AI systems”. Per quanto riguarda questa nuova categoria il Parlamento ha previsto obblighi stringenti, nell’ottica, ancora una volta, di una maggiore protezione per i diritti fondamentali, la salute, la sicurezza, l’ambiente e la democrazia. Ad esempio, i fornitori di foundation model dovranno effettuare delle valutazioni di rischio e adottare misure per mitigarlo, dovranno rispondere a requisiti di design e ambientali e dovranno registrarsi in database europei. Inoltre, i fornitori di foundation model usati in sistemi di IA che generano, con vari livelli di autonomia, contenuti come testi compositi, immagini, audio o video (definiti “generative AI”), sono soggetti ad ulteriori obblighi di trasparenza, quali, ad esempio, di divulgare qualsiasi materiale protetto dal diritto d’autore utilizzato per sviluppare i loro sistemi e dichiarare sempre che un determinato contenuto proviene da un’IA. Queste ultime previsioni sono risultate particolarmente controverse. Sebbene definite come una soluzione di compromesso, qualcuno le ha ritenute disposizioni, in concreto, piuttosto generiche e idonee, potenzialmente, a ridurre la competitività sul mercato. Comunque, al fine di promuovere l’innovazione, gli europarlamentari hanno previsto un’eccezione a queste regole per chi svolge attività di ricerca e per le componenti di IA che utilizzano codici open source.
Vedremo come e quando il testo dell’AI Act verrà approvato definitivamente, quello che è certo è che non potremo prescindere da intervento pubblico nel settore dell’IA.
[1] Salvo che per il caso di reati gravi e previa autorizzazione giudiziale.