Intelligenza artificiale: le nuove regole europee che disciplinano l’uso della tecnologia - Cyber Security 360

REGOLAMENTO UE

Intelligenza artificiale: le nuove regole europee che disciplinano l’uso della tecnologia

Il nuovo Regolamento europeo sull’intelligenza artificiale stabilisce norme armonizzate con l’obiettivo di disciplinare tematiche complesse e trovare un punto di equilibrio tra valori a volte contrapposti. Ecco i punti chiave

22 Apr 2021
C
Marta Cagnoli

Legal Consultant presso P4I - Partners4Innovation

C
Anna Cataleta

Senior Partner P4I – Partners4Innovation

Già nel 2019 Ursula Von Der Leyen aveva dichiarato il proprio impegno a promuovere un approccio normativo europeo per la disciplina dell’intelligenza artificiale, senza sottovalutare le implicazioni etiche e umane che l’utilizzo di questa tecnologia avrebbe avuto sulla vita delle persone e sui loro diritti fondamentali.

Negli ultimi anni abbiamo assistito allo sviluppo di sistemi intelligenza artificiale sempre più sofisticati e in grado di trovare applicazione in molteplici settori (dalla sanità, all’agricoltura, all’istruzione, alla gestione delle infrastrutture, all’energia, alla pubblica sicurezza) permettendo a chi li utilizza di godere di enormi vantaggi competitivi, anche con riguardo a fini di utilità sociale.

Ecco il Regolamento UE sull’intelligenza artificiale, sul percorso del GDPR

Intelligenza artificiale: la necessità di un quadro legislativo

A febbraio 2020 la Commissione aveva pubblicato il white paper sull’intelligenza artificiale (“A European approach to excellence and trust) e aperto una pubblica consultazione con l’obiettivo di raccogliere pareri e opinioni da parte di stakeholder attivi nel settore, governi, accademici e privati cittadini.

WHITEPAPER
Come implementare nel digital workspace una piattaforma di lavoro sicura e intelligente?
Istruzione
Networking

Più voci hanno sollevato la necessità di un nuovo quadro legislativo proporzionato e tecnologicamente neutro in grado di colmare i gap di tutela al momento esistenti in relazione all’utilizzo di sistemi che si basano su tecnologie di IA.

Infatti, nonostante i benefici immensi – attuali e potenziali – derivanti dal ricorso alla tecnologia IA, è emerso sempre più chiaramente come alcuni usi di questi sistemi possano generare bias, limitare le libertà individuali, cagionare danni (materiali o immateriali), fino anche a minare la sicurezza e la vita delle persone.

La Commissione ha ritenuto quindi essere quanto mai urgente adottare un nuovo framework normativo finalizzato alla promozione e allo sviluppo di sistemi intelligenti sicuri, affidabili e in grado di soddisfare un livello di sicurezza adeguato agli standard europei, contribuendo a generare le condizioni per un nuovo ecosistema europeo per lo sviluppo e l’utilizzo dei sistemi IA a vantaggio del mercato interno.

Con questo obiettivo il 21 aprile la Commissione Europea ha presentato il testo del nuovo Regolamento Europeo che stabilisce norme armonizzate in materia di intelligenza artificiale, destinato a rafforzare la leadership dell’Europa nel panorama mondiale e a evidenziare l’ineguagliabile capacità – tutta europea – di disciplinare tematiche complesse e trovare un punto di equilibrio tra valori a volte contrapposti, come l’esigenza di promuovere l’innovazione e quella di apprestare un’adeguata tutela ai diritti fondamentali degli individui.

Con questa nuova proposta di Regolamento la Commissione mostra la volontà di definire una cornice normativa equilibrata, robusta e flessibile, adattabile alle dinamiche dello sviluppo tecnologico in continua evoluzione.

Regolamento UE sull’intelligenza artificiale: struttura del testo

Il nuovo Regolamento UE sull’intelligenza artificiale si articola in XII Titoli, strutturati come segue:

  • Titolo I: ambito e definizioni
  • Titolo II: pratiche IA vietate
  • Titolo III: sistemi IA ad alto rischio
  • Titolo IV: obblighi di trasparenza per certi sistemi IA
  • Titolo V: misure a supporto dell’innovazione
  • Titolo VI, VII, VIII: governance e implementazione
  • Titolo IX: codici di condotta
  • Titoli X, XI, XII: disposizioni finali

Regolamento UE sull’intelligenza artificiale: i punti chiave

Lo studio del nuovo Regolamento europeo sull’intelligenza artificiale consente, quindi, di evidenziare quelli che sono i punti chiave su cui concentrare la nostra attenzione. Analizziamoli nel dettaglio.

Ambito di applicazione

Per “sistema di intelligenza artificiale o sistema di IA” il legislatore europeo ha inteso definire un software sviluppato con l’utilizzo di tecniche specifiche che, sulla base di una serie di indicazioni fornite dall’uomo, è in grado di generare output quali contenuti, previsioni raccomandazioni o decisioni in grado di influenzare l’ambiente esterno con cui questo interagisce.

Tra le tecniche di sviluppo dei sistemi di IA, all’allegato I, vengono espressamente menzionati il machine learning (sia supervisionato che non supervisionato), il deep learning, gli approcci basati sulla logica, i sistemi di programmazione induttiva, gli approcci statistici, i metodi di ricerca e di ottimizzazione.

Secondo quanto previsto dall’articolo 2 il regolamento troverebbe applicazione nei confronti di:

  1. fornitori che immettono nel mercato EU sistemi di IA, indipendentemente dal fatto che questi siano stabiliti nell’Unione o in un paese terzo;
  2. utenti dei sistemi di IA stabiliti nell’Unione;
  3. fornitori e utenti di IA che si trovano in un paese terzo, quando l’output prodotto dal sistema è utilizzato all’interno dell’Unione.

Il Regolamento UE sull’intelligenza artificiale sembrerebbe quindi ricalcare lo stesso approccio del GDPR destinato ad applicarsi anche ai big player extra EU che svolgono un ruolo attivo nel mercato interno.

L’articolo 2 precisa, inoltre, che il Regolamento non si applica:

  1. alle autorità pubbliche di un paese terzo e alle organizzazioni internazionali qualora tali soggetti utilizzino sistemi di IA nell’ambito di accordi internazionali di cooperazione giudiziaria e di polizia con l’Unione o con uno o più Stati membri;
  2. ai sistemi IA sviluppati e usati unicamente in ambito militare.

Pratiche di IA vietate

Al Titolo II, articolo 5, il Regolamento prevede un elenco di pratiche di IA non ammesse all’interno dell’Unione, poiché in netto contrasto con i principi e i valori europei.

Nello specifico risulterebbero essere vietati:

  • i sistemi di IA che utilizzano tecniche subliminali in grado di manipolare il comportamento di un soggetto con probabili conseguenze fisiche o psicologiche a danno di quel soggetto o di altri soggetti;
  • i sistemi di IA che sfruttano le debolezze di un gruppo specifico di soggetti vulnerabili come l’età, la disabilità fisica o mentale al fine di manipolare il comportamento di un soggetto appartenente a tale gruppo, con probabili conseguenze fisiche o psicologiche a danno di quel soggetto o di altri soggetti;
  • i sistemi di IA utilizzati da parte delle pubbliche autorità (o per conto di pubbliche autorità) al fine di valutare e classificare l’affidabilità delle persone fisiche sulla base del loro comportamento sociale – conosciuto o prevedibile – e che può determinare:
  1. un trattamento negativo o sfavorevole di certe persone fisiche o di interi gruppi di persone fisiche in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti;
  2. un trattamento pregiudizievole o sfavorevole di talune persone fisiche o di interi gruppi di persone fisiche che risulti ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla gravità;
  • i sistemi AI che consentono l’identificazione biometrica a distanza “in tempo reale” a meno che l’uso di questi sistemi non sia strettamente necessario al perseguimento di uno dei seguenti obiettivi:
  1. la ricerca mirata di specifiche vittime di potenziali di reati, compresi bambini scomparsi;
  2. la prevenzione di una minaccia specifica, sostanziale e imminente alla vita o all’incolumità fisica delle persone fisiche o di un attentato terroristico;
  3. l’individuazione, la localizzazione, l’identificazione o il perseguimento dell’autore o del sospettato di un reato di cui all’articolo 2, paragrafo 2, della decisione quadro 2002/584/GAI del Consiglio e punibile nello Stato membro interessato con una pena detentiva di almeno tre anni.

L’uso di sistemi di identificazione biometrica a distanza “in tempo reale” ai fini dell’applicazione della legge in spazi pubblicamente accessibili dovrebbe tener conto della natura della situazione che dà luogo al possibile uso e della probabilità e gravità del danno causato in assenza dell’uso del sistema, delle conseguenze relative all’uso del sistema per i diritti e le libertà di tutte le persone fisiche e, in particolare la gravità, la probabilità e l’entità di tali conseguenze.

L’uso di tali sistemi per finalità di enforcement è comunque soggetto a specifiche autorizzazioni da parte dell’autorità giudiziaria o dell’autorità amministrativa dello Stato Membro in cui il sistema deve essere utilizzato e che verrà concessa solo qualora determinate condizioni verranno soddisfatte.

Sistemi di intelligenza artificiale ad alto rischio

Il titolo III del Regolamento prevede regole specifiche per i sistemi IA che creano un rischio elevato per la salute e la sicurezza o i diritti fondamentali delle persone fisiche. In linea con un approccio basato sul rischio, questi sistemi IA ad alto rischio sono permessi sul mercato europeo solo qualora rispettino alcuni requisiti obbligatori e siano sottoposti ad una valutazione di conformità ex-ante. Il fatto che un sistema di intelligenza artificiale sia definito ad alto rischio dipende non solo dalla funzione svolta dal sistema di IA, ma anche dallo scopo specifico e dalle modalità per cui tale sistema viene utilizzato.

L’art. 6 del Regolamento identifica due categorie principali di sistemi AI ad alto rischio. Nello specifico, è da considerarsi ad alto rischio:

  1. il sistema IA destinato a essere utilizzato come componente di sicurezza di un prodotto, o è esso stesso un prodotto, coperto dalla normativa di armonizzazione dell’Unione elencata nell’allegato II (tra le normative richiamate nell’allegato II rientrano ad esempio: la Direttiva 2006/42/CE relativa alle macchine, la Direttiva 2009/48 CE relativa alla sicurezza dei giocattoli, la Direttiva 2014/33/CE relativa agli ascensori e ai componenti per la sicurezza degli ascensori, Direttiva 2014/53/CE relativa alla messa a disposizione sul mercato di apparecchiature radio, il Regolamento n. 2017/745 relativo ai dispositivi medici);
  2. il prodotto la cui componente di sicurezza è il sistema di intelligenza artificiale, o il sistema di intelligenza artificiale stesso in quanto prodotto, deve essere sottoposto ad una valutazione di conformità da parte di un soggetto terzo (notified body) in vista della sua immissione sul mercato o della messa in servizio ai sensi della normativa di armonizzazione dell’Unione elencata nell’allegato II (vedi sopra).

Sono considerati ad alto rischio anche i sistemi IA che agiscono nei contesti indicati all’allegato III. I settori indicati all’allegato III sono quelli relativi a:

  • identificazione biometrica e categorizzazione delle persone fisiche (sia per quanto riguarda il monitoraggio in real time che quello successivo);
  • gestione e funzionamento delle infrastrutture critiche (ad esempio in ambito di sicurezza nella gestione del traffico stradale, fornitura di risorse energetiche);
  • istruzione e formazione professionale (per determinare l’accesso delle persone fisiche agli istituti d’istruzione e di formazione professionale);
  • occupazione, gestione dei lavoratori e accesso al lavoro autonomo (per il reclutamento o la selezione di persone fisiche, per filtrare i CV e valutare i candidati);
  • accesso a servizi essenziali pubblici e privati (per la valutazione dell’accesso delle persone fisiche a specifiche prestazioni);
  • applicazione della legge (ad esempio per valutare il rischio che una persona fisica commetta un reato o una recidiva);
  • gestione della migrazione e controllo delle frontiere (per valutare il rischio rappresentato da una persona fisica che intende entrare o è entrata nel territorio di uno Stato Membro o ha presentato richiesta per il visto o per l’asilo);
  • amministrazione della giustizia (per assistere un’autorità giudiziaria nell’interpretazione dei fatti e nell’applicazione della legge ad un evento concreto).

Alla Commissione è conferito il potere di adottare atti delegati per aggiornare l’elenco indicato nell’allegato III e, con la collaborazione degli Stati Membri, la Commissione si occuperà di tenere e aggiornare un data base europeo dei sistemi di IA ad alto rischio (art.60).

In relazione a questo tipo di sistemi il Regolamento richiede una gestione del rischio costante da svolgersi durante tutto il ciclo di vita del sistema di IA. Nello specifico, all’articolo 9, il regolamento indica la necessità di svolgere un’analisi dei rischi noti e prevedibili associati al sistema, una valutazione dei rischi che possono scaturire dal sistema qualora questo sia utilizzato conformemente alla sua destinazione d’uso, una valutazione dei rischi emersi in relazione ai dati raccolti successivamente alla sua immissione sul mercato e l’adozione delle adeguate misure in conformità alle precedenti valutazioni. I sistemi di IA ad alto rischio dovrebbero inoltre essere sviluppati in modo da consentire l’automatico tracciamento dei logs mentre il sistema è in funzione.

Il fornitore del sistema di IA ad alto rischio è tenuto alla redazione della documentazione tecnica (indicata all’allegato IV) relativa al sistema prima che questo sia immesso sul mercato e a tenerla costantemente aggiornata.

Inoltre, i sistemi di IA ad alto rischio che fanno uso di tecniche di training sulla base di data set devono adottare modelli di governance dei dati conformi a quanto previsto al paragrafo 2 dell’art. 10 in relazione, ad esempio, alla raccolta dei dati da utilizzare per l’addestramento del sistema di IA, allo svolgimento di trattamenti preliminari al training, alla valutazione preliminare della quantità e dell’adeguatezza dei data set necessari, alla valutazione di possibili distorsioni.

Nella misura in cui ciò sia strettamente necessario per garantire il monitoraggio, l’individuazione e la correzione delle distorsioni in relazione ai sistemi di IA ad alto rischio, i fornitori di tali sistemi possono trattare anche le categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, GDPR a condizione che siano però implementati sufficienti strumenti di garanzie per la tutela dei diritti e delle libertà delle persone fisiche, comprese limitazioni tecniche per il riutilizzo dei dati, la pseudonimizzazione e la crittografia.

Obblighi di trasparenza e sorveglianza umana

Il Regolamento dispone che i sistemi di IA ad alto rischio siano accompagnati da istruzioni per l’uso che includano informazioni concise, complete, corrette che siano pertinenti, accessibili e comprensibili per gli utenti.

Tra le varie informazioni che il fornitore è tenuto ad indicare rientrano: il contatto del fornitore del sistema di IA, le caratteristiche, le capacità, lo scopo di utilizzo, le misure di cybersecurity implementate, qualsiasi circostanza nota o prevedibile relativa all’uso del sistema di IA che possa comportare limiti alla tutela dei diritti fondamentali, gli eventuali dati utilizzati per il training del sistema, le misure di supervisione umana.

L’art. 14 prevede infatti che i sistemi di IA ad alto rischio siano sviluppati in modo tale essere sempre efficacemente sorvegliati da persone fisiche durante il periodo in cui il sono in funzione (il c.d. human in the loop) al fine di prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali che possono emergere quando il sistema è utilizzato conformemente alla sua destinazione o in condizioni di uso scorretto ragionevolmente prevedibili.

Specifici obblighi di trasparenza sussistono anche a carico degli utenti. Nello specifico i soggetti che ricorrono ad un sistema di IA per generare o manipolare il contenuto di immagini, audio o video in modo da renderli sensibilmente associabili ad altre persone, oggetti, luoghi o altre entità esistenti (deep fake) sono tenuti a rivelare che un determinato contenuto è stato generato mediante l’utilizzo di sistemi IA (art.52).

Conformity Assessment

I fornitori di sistemi AI ad alto rischio sono tenuti a garantire che i loro sistemi siano sottoposti alla procedura di valutazione della conformità, prima della loro immissione sul mercato o messa in servizio. Il Capitolo 5 del Regolamento disciplina le procedure di valutazione della conformità che devono essere svolte per ogni tipo di sistema ad alto rischio di IA.

In alcuni casi, tali procedure di valutazione possono basarsi su un controllo interno (in conformità a quanto indicato nell’allegato VI), in altre situazioni è invece richiesto che l’assessment sia svolto da un organismo terzo, imparziale ed accreditato (notified body).

Secondo quanto previsto dal comma 4 dell’art. 43, un conformity assessment può essere effettuato senza il coinvolgimento di un notified body qualora il sistema di IA operi negli ambiti indicati dal punto 2 al punto 8 dell’Allegato III, vale a dire in relazione alla gestione delle infrastrutture critiche, all’educazione e alla formazione professionale, all’occupazione e alla gestione dei lavoratori, all’accesso a servizi essenziali pubblici e privati, all’applicazione della legge, alla gestione della migrazione e controllo delle frontiere, all’amministrazione della giustizia.

Per i sistemi IA che permettono l’identificazione biometrica delle persone fisiche e la loro categorizzazione, in talune circostanze, potrebbe essere invece necessario l’intervento del notified body perché provveda allo svolgimento del conformity assessment.

I sistemi AI ad alto rischio devono essere sottoposti a una nuova procedura di valutazione della conformità ogni qualvolta siano apportate modifiche sostanziali, indipendentemente dal fatto che il sistema modificato sia destinato a essere ulteriormente distribuito o continui a essere utilizzato dagli utenti che già lo avevano in utilizzo.

Per l’espletamento degli oneri legati all’immissione di sistemi di IA ad alto rischio nel mercato europeo, gli artt. dal 30 al 39 (Capitolo 4) indicano la procedura che deve essere seguita da ciascuno Stato Membro per la designazione dell’autorità di accreditamento responsabile dell’istituzione e dell’esecuzione delle procedure necessarie per la valutazione e la designazione dei notified body incaricati dello svolgimento dei conformity assessment.

Misure a supporto dell’innovazione

Le autorità nazionali competenti e l’European Data Protection Supervisor dovranno istituire delle “regulatory sandbox” intese come degli ambienti di controllo per facilitare lo sviluppo e il collaudo di sistemi di IA prima della loro immissione nel mercato o messa in servizio.

Gli Stati Membri sono tenuti inoltre ad assicurare che, nella misura in cui i sistemi innovativi di IA comportino trattamenti di dati personali, le DPA competenti siano coinvolte nel funzionamento delle regulatory sandbox. In questo contesto, i dati personali legalmente raccolti per altri scopi possono trattati ai fini della sperimentazione di alcuni sistemi IA solo qualora vengano soddisfatte specifiche condizioni.

Al fine di agevolare le PMI e le startup che intendono sfruttare le opportunità legate allo sviluppo dei sistemi di IA, il Regolamento ha previsto che gli Stati Membri:

  1. debbano prevedere un accesso prioritario ai regulatory sandbox dell’IA per le startup e le PMI che soddisfano i requisiti di ammissibilità;
  2. vengano svolte specifiche attività di sensibilizzazione relative all’applicazione del Regolamento adatte alle esigenze di startup e PMI;
  3. (se del caso) venga istituito canale dedicato per la comunicazione con i fornitori e gli utenti su piccola scala. Inoltre, nella definizione delle tariffe per lo svolgimento dei conformity assessment (ex art. 43) saranno tenute in considerazione le esigenze dei piccoli imprenditori.

European Artificial Intelligence Board e altre autorità competenti

Il Regolamento istituisce un Comitato europeo per l’intelligenza artificiale”, composto dalle autorità nazionali competenti e dall’EDPS, con il compito di fornire assistenza e consulenza alla Commissione e contribuire ad una efficace cooperazione tra le autorità degli Stati Membri in relazione all’ambito di applicazione del Regolamento (e alle nuove questioni emergenti).

Ogni Stato Membro è inoltre tenuto a designare un’autorità nazionale competente e a garantire l’applicazione e l’attuazione del Regolamento. Le autorità nazionali competenti sono istituite o designate da ciascuno Stato membro al fine di garantire l’applicazione e l’attuazione del presente regolamento.

Conclusioni

Il documento pubblicato ieri risulta essere estremamente complesso. Ad un primo sguardo appare evidente l’esistenza di un fil rouge che lega tale nuova proposta normativa al GDPR e alle altre recenti proposte legislative nate sotto impulso della Commissione.

L’obiettivo perseguito sembra essere chiaro: permettere ai cittadini europei di beneficiare dei vantaggi derivanti dall’utilizzo della tecnologia IA senza temere per la propria sicurezza o dover rinunciare alla salvaguardia dei propri diritti.

Con la definizione di questo nuovo quadro giuridico l’Europea sembra voler confermare il suo ruolo di guida a livello mondiale nel proporre soluzioni normative proporzionali, basate sul rischio e in grado di adattarsi alle sfide del futuro.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5