La proposta della Commissione in oltre cento pagine
di Giorgio De Rossi
La Commissione Europea il 21 aprile u.s. ha presentato una nuova e corposa proposta di Regolamento di oltre 100 pagine, volta a “Fissare regole armonizzate sull’Intelligenza Artificiale (Artificial Intelligence Act)”. La nuova normativa mira a realizzare l’ambizioso obiettivo di rendere l’UE un polo di attrazione per lo sviluppo di un’intelligenza artificiale affidabile. Infatti, la stessa Ursula von der Leyen, Presidente della Commissione Europea, nell’illustrare la proposta di Regolamento – COM (2021) 206 – per introdurre in tutti gli Stati membri nuove regole e azioni per l’utilizzo o il divieto di sistemi di intelligenza artificiale, ha sottolineato che “i cittadini necessitano di tecnologie di cui potersi fidare e, proprio per questo motivo, le nuove regole stabiliscono standard di sicurezza elevati e proporzionali al livello di rischio”.
La proposta di “Regolamento sull’approccio europeo per l’Intelligenza Artificiale” (Regulation on a European approach for Artificial Intelligence”) rappresenta dunque un importante passo avanti nella gestione dei sistemi di “Intelligenza Artificiale” (AI) e “Riconoscimento Facciale”. Tale normativa istituisce numerose novità nella gestione e nella verifica dei sistemi di IA utilizzati, in particolar modo, nel settore della videosorveglianza e del riconoscimento facciale, con punti di contatto con i principi fondamentali che sono alla base del Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation – GDPR), quale strumento cardine dell’intera strategia europea. Il GDPR, infatti, è il Regolamento europeo che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. È il provvedimento più significativo degli ultimi 20 anni in materia di protezione dei dati ed ha implicazioni importanti per qualsiasi organizzazione al mondo che si rivolga ai cittadini dell’Unione Europea. La legislazione punta a dare ad ogni individuo il controllo sull’utilizzo dei propri dati, tutelando “i diritti e le libertà fondamentali delle persone fisiche”. Di seguito, una breve disamina di quelle che sono, da un lato, le similitudini e, dall’altro, le principali novità dei due Regolamenti, che sembrano più volte dialogare tra loro. Circa i punti di contatto, una significativa assonanza può riscontrarsi già nelle definizioni, atteso che sulla scorta di quanto stabilito dall’art. 4 del GDPR in merito alla definizione del “dato biometrico”, la nuova proposta di Regolamento definisce cosa, a sua volta, possa essere qualificato come un “sistema di identificazione biometrica da remoto”, specificando che trattasi di un sistema automatizzato il cui scopo è quello di identificare gli individui a distanza sulla base dei loro dati biometrici, ossia di tutti i dati “relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona”.
In aggiunta, il nuovo Regolamento, per i temi dell’Artificial Intelligence (AI), sembra porsi come naturale evoluzione del GDPR, prendendo atto della grande accelerazione che questa tecnologia ha avuto nel frattempo e sta avendo oggi con la pandemia.
Nelle prime considerazioni del documento la Commissione UE svolge un importante excursus sugli elementi storici che hanno reso necessaria l’adozione di un testo che potesse dettare degli “standard” nel processo di elaborazione dei dati da parte dei sistemi di intelligenza artificiale.
Lo scopo perseguito dalla proposta di Regolamento è quello di “migliorare il funzionamento del mercato interno stabilendo un quadro giuridico uniforme per lo sviluppo, la commercializzazione e l’uso dell’intelligenza artificiale conformemente ai valori dell’Unione”. Detto Regolamento persegue una serie di motivi imperativi di interesse pubblico, quali un elevato livello di tutela della salute, della sicurezza e dei diritti fondamentali e garantisce la libera circolazione di beni e servizi transfrontalieri impedendo agli Stati membri di imporre restrizioni allo sviluppo, alla commercializzazione e all’uso dei sistemi di intelligenza artificiale. L’avanzamento tecnologico, infatti, ha portato tali sistemi ad evolversi molto rapidamente, apportando numerosi benefici, sia nel panorama economico-industriale, che nelle attività sociali. Nel Considerando 1, si afferma che: “l’uso dell’intelligenza artificiale può fornire vantaggi competitivi chiave alle aziende e supportare il raggiungimento di risultati socialmente e ambientalmente vantaggiosi, ad esempio nel settore sanitario, agricolo, educativo, della gestione delle infrastrutture, dell’energia, dei trasporti e della logistica, dei servizi pubblici, della sicurezza, della mitigazione e dell’adattamento ai cambiamenti climatici”. Tuttavia, i sistemi di intelligenza artificiale possono portare con sé anche numerosi svantaggi, ove non correttamente impostati o nel caso in cui se ne faccia un cattivo uso: alcune applicazioni dell’intelligenza artificiale, infatti, possono addirittura causare ai singoli individui, danni materiali e/o immateriali, sia nei confronti della loro sicurezza e salute, che nei confronti dei loro beni o di altri diritti e interessi fondamentali individuali tutelati dal diritto dell’UE. Per quanto riguarda la struttura della proposta di Regolamento, l’impostazione generale è basata sulla valutazione del rischio.
Alcuni sistemi di IA comportano un rischio inaccettabile e, pertanto, saranno espressamente vietati. Ai sensi dell’art. 5 della proposta regolamentare, saranno vietate le pratiche di intelligenza artificiale che, sfruttando specifiche vulnerabilità di persone (per età, per disabilità fisica o mentale), utilizzano tecniche sublimali di persuasione occulta, che si attuano attraverso messaggi in grado di agire nel subconscio, al fine di distorcerne materialmente il comportamento; inoltre, viene categoricamente vietata l’immissione sul mercato o l’utilizzo di sistemi di IA, da parte di autorità pubbliche, per la valutazione dell’affidabilità di soggetti sulla base del loro comportamento sociale o di caratteristiche personali, con assegnazione di un “punteggio sociale”. Rientrano in questa categoria i sistemi di “social scoring” con “punteggi” attribuiti da governi, come quello cinese, per valutare l’affidabilità dei cittadini, nonché per manipolare opinioni o decisioni e determinare trattamenti pregiudizievoli o sfavorevoli di talune persone fisiche o di interi gruppi: “Non c’è spazio per la sorveglianza di massa nella nostra società” ha dichiarato la Vice presidente della Commissione UE Margrethe Vestager durante la conferenza stampa di presentazione del documento.
Ma quand’è che l’Intelligenza Artificiale viene considerata ad “alto rischio” ? La Commissione ha stabilito che i sistemi di IA saranno oggetto di rigorosi obblighi prima di essere immessi sul mercato se sono considerati a rischio alto. Rientra in questa classificazione la tecnologia di IA utilizzata: ● in infrastrutture critiche (ad esempio i trasporti), poiché potrebbe mettere a rischio la vita e la salute dei cittadini; ● nell’istruzione o nella formazione professionale, poiché può determinare l’accesso all’istruzione e il percorso professionale della vita di una persona (ad esempio l’attribuzione del punteggio degli esami); ● in componenti di sicurezza dei prodotti (ad esempio un’applicazione di IA utilizzata nella chirurgia assistita da robot); ● nell’ambito dell’occupazione, della gestione dei lavoratori e dell’accesso al lavoro autonomo (ad esempio il software di selezione dei CV per le procedure di assunzione); ● in servizi pubblici e privati essenziali (ad esempio lo scoring del credito che può negare ai cittadini la possibilità di ottenere un prestito); ● in attività di contrasto che possono interferire con i diritti fondamentali delle persone (ad esempio la valutazione dell’affidabilità delle prove); ● nella gestione della migrazione, dell’asilo e del controllo delle frontiere (ad esempio la verifica dell’autenticità dei documenti di viaggio); ● nell’amministrazione della giustizia e nei processi democratici (ad esempio, l’applicazione della legge ad una serie concreta di fatti).
Nella proposta di Regolamento, tutti i sistemi di “identificazione biometrica remota”, ossia i sistemi di riconoscimento facciale in tempo reale, sono considerati ad alto rischio e soggetti a requisiti rigorosi. “Il loro utilizzo in tempo reale ai fini di attività contrasto in spazi accessibili al pubblico è in linea di principio vietato”. Tuttavia, nella proposta regolamentare, sono previsti 32 casi in cui è possibile l’identificazione biometrica remota. Infatti, alla lettera d) dell’Articolo 5 del progetto, è consentito l’uso del riconoscimento facciale “in tempo reale” nella misura in cui tale utilizzo sia strettamente necessario per il perseguimento di uno dei seguenti obiettivi di sicurezza pubblica e di prevenzione della criminalità: ● ricerca mirata di specifiche potenziali vittime di azioni criminose, compresi i bambini scomparsi; ● prevenzione di una minaccia specifica, sostanziale e imminente, alla vita o alla all’incolumità fisica delle persone, ovvero di un attentato terroristico; ● localizzazione ed identificazione di un autore o sospettato di un reato, di cui all’articolo 2, paragrafo 2, della Decisione quadro 2002/584/GAI del Consiglio e punibile nello Stato membro interessato da una pena detentiva o da una misura di sicurezza per un periodo massimo di almeno tre anni, come stabilito dal diritto di tale Stato membro. In termini di Governance, la Commissione propone che le competenti autorità nazionali di vigilanza del mercato supervisionino le nuove regole, mentre l’istituzione di un comitato europeo per l’intelligenza artificiale ne faciliterà l’attuazione. S e – guendo l’approccio già adottato dal GDPR, sono previste delle sanzioni amministrative in caso di violazione o mancata osservanza delle norme contenute nel regolamento: in particolare, tali sanzioni possono arrivare fino a 30 milioni di euro o fino al 6% del fatturato globale annuo.
Non solo. Sono stati stanziati anche 150 miliardi di euro per favorire lo sviluppo dell’IA: “Investimenti utili per garantire la nostra posizione di leader in tutto il mondo sull’intelligenza artificiale”, ha sottolineato Ursula von der Leyen, presidente della Commissione. E’ infatti pienamente ipotizzabile ritenere che le regole europee avranno notevoli ricadute sulle principali aziende tecnologiche mondiali – tra cui Amazon, Google, Facebook e Microsoft – che hanno impiegato ingenti risorse nello sviluppo dell’intelligenza artificiale, ma anche in decine di altre aziende che utilizzano software per l’utilizzo di medicinali, per sottoscrivere polizze assicurative ed effettuare valutazioni di rischio in ambito creditizio. L’entrata in vigore della bozza di regolamento è comunque prevista per la seconda metà del 2022 e dopo un periodo di transizione volto a sviluppare gli standard e rendere operative le strutture di governance: tenendo ben presente che detta proposta dovrà passare al vaglio del Parlamento e del Consiglio, ci vorranno comunque tempi lunghi prima di poterla vedere attuata.