info@msclex.it
071 969 7023 - 071 969 6969

SOVRANITÀ DIGITALE EUROPEA: L’AI ACT E IL C.D. BRUXELLES EFFECT

SOVRANITÀ DIGITALE EUROPEA: L’AI ACT E IL C.D. BRUXELLES EFFECT

27 Lug 2023
,

La rivoluzione realizzata nel settore digitale dalle nuove abilità delle piattaforme di Intelligenza Artificiale ha suscitato l’interesse dei principali attori del mercato, ma anche del mondo giuridico.

Il relazionarsi delle nuove infrastrutture digitali con i continui sviluppi della coscienza sociale ha condotto il Parlamento europeo a delineare il 14 giugno 2023 una prima e coesa regolamentazione pubblica dell’utilizzo dei sistemi informatici di Intelligenza Artificiale, in conformità ai principi e valori culturali dell’Unione Europea (per i quali si rinvia senz’altro ai diritti sanciti dall’art. 2 TUE e in generale dalla Carta dei diritti fondamentali dell’Unione Europea).

L’Artificial Intelligence Act, anche denominato Regulation on a European approach for Artificial intelligence, (d’ora in avanti AI Act), che salvo imprevisti dovrebbe essere approvato in via definitiva entro la fine dell’anno ed entrare in vigore tra il 2024 e il 2025, rappresenta il passaggio pionieristico verso una eteroregolazione generale e pubblica del funzionamento dei sistemi algoritmici, posto che, fino alla definizione dello stesso, il ricorso agli strumenti informatici AI è sempre stato  prevalentemente disciplinato da linee guida etiche, calibrate sulla tutela dei diritti fondamentali e configuranti una policypreparatoria della regolazione in questione o comunque tendenzialmente autoregolato secondo i canoni dell’antitrust.

Agevolare il processo di transizione verso una disciplina organica della materia, in specie nell’ultimo decennio, ha assunto un ruolo indispensabile in virtù del contesto geopolitico ed economico che le interazioni fra diversi ordinamenti stanno  progressivamente costruendo. La trasformazione delle originarie start up in imprese sempre più strutturate, che operano all’interno del mercato con un elevato grado di autonomia e indipendenza, ha reso più pressanti le istanze di tutela di plurimi interessi e di bilanciamento di libertà antagoniste.

E in questo panorama, l’implementazione dell’utilizzo dei sistemi di intelligenza artificiale e del loro commercio su scala globale ha sollevato il problema dell’adozione di un nuovo approccio normativo volto a coniugare l’utilizzo consapevole delle nuove tecnologie con i diritti e le libertà fondamentali, in un’ottica per lo più antropocentrica.

In tale contesto, il ruolo del nuovo AI Act è  quello di integrare un pacchetto di regolamenti, creato a partire dal 2014 dal legislatore europeo, allo scopo di istituire un c.d. mercato unico digitale, articolato in quattro testi che trovano tutti base legale nell’art. 114 TFUE, il quale promuove l’adozione di misure volte ad assicurare la realizzazione e il funzionamento del mercato interno: 1) il regolamento UE 679/2016, meglio noto come GDPR in tema di protezione dei dati personali; 2) i cc.dd. Data Act e Governance Act per la valorizzazione dei dati; 3) i Digital Services Act  e il Digital Markets Act e, infine, 4) il regolamento E-IDAS del 2014 in tema di identità digitale.

L’obiettivo della nuova disciplina, che non a caso è stata adottata anch’essa mediante la forma del regolamento, e dunque direttamente applicabile all’interno degli Stati membri dell’Unione, è quella di armonizzare, anche tramite il riconoscimento di uno spazio di produzione normativa ai singoli Stati (c.d. Sandbox regolatorio), obblighi e requisiti della produzione, dell’uso e della messa in opera dei sistemi di Intelligenza Artificiale presenti e futuri, che siano sicuri, etici e imparziali, nonché, in virtù di ciò, tentare di ridurre gli oneri amministrativi e finanziari delle piccole-medie imprese (PMI) tenute ad adottare specifiche precauzioni (redazione di piani, certificazioni, produzione di documentazione etc.) sulla base degli esiti di un procedimento di analisi del rischio (o risk assessment) delle piattaforme progressivamente introdotte all’interno del mercato europeo, in relazione ai diritti fondamentali e ai valori europei.

I singoli obiettivi si prevede che rientrino, poi, in un progetto strategico più ampio volto ad elevare l’Unione a leader della produzione normativa in materia di Intelligenza Artificiale allo scopo di costituire un riferimento globale di regolamentazione anche nelle altre aree del mondo (all’uopo si parla di c.d. effetto Bruxelles) e incentivare investimenti nel settore per poter rappresentare un polo mondiale di Intelligenza Artificiale affidabile.

La proposta di regolamento si compone in concreto di XII Titoli, nei quali vengono definiti e classificati i sistemi di Intelligenza Artificiale secondo un’operazione di gestione del rischio da questi prodotto su fattori di vulnerabilità sociale, seguendo un modello a geometria variabile.

L’art. 3 definisce il meccanismo algoritmico come «un software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I (al regolamento), che può, per una determinata serie di obiettivi definiti dall’uomo, generare outputquali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono».

Le caratteristiche elencate concorrono, pertanto, a delineare l’ambito, in parte flessibile, di applicazione della normativa, che sarà efficace nei confronti di tutti i fornitori che immetteranno nel mercato i software indicati, indipendentemente da che siano stabiliti all’interno dell’Unione o in un Paese terzo e nei confronti di tutti gli utenti che utilizzeranno l’outputprodotto all’interno del territorio dell’Unione (art. 2).

Per quanto concerne la loro classificazione, il Titolo II del regolamento provvede a distinguere i sistemi di IA in tre categorie: 1) sistemi a rischio inaccettabile (ad es. sistemi in grado di provocare alla persona un danno fisico o psicologico; sistemi che sfruttano le vulnerabilità di soggetti deboli come i minori; sistemi di social scoring etc.) 2) sistemi a rischio elevato e 3) sistemi a rischio minimo.

Tralasciando i primi pressocché in via assoluta vietati, mentre i sistemi a rischio minimo richiedono l’assolvimento di determinati obblighi di trasparenza per limitare il grado di opacità e imprevedibilità degli algoritmi, a richiedere un’attività più articolata di valutazione coinvolgendo anche l’opera degli Stati membri, sono i sistemi ad alto rischio.

Per questi ultimi, elencati nell’Allegato I del regolamento (fra i quali sistemi di gestione e funzionamento delle infrastrutture critiche, di gestione dei lavoratori e accesso al lavoro, di forze dell’ordine o di amministrazione della giustizia e dei processi democratici), sono previste forme di controllo e supervisione costanti ex ante guidati dai principi di prevenzione e precauzione e forme di monitoraggio ex post alla loro immissione nel mercato.

L’attività di controllo ex ante consiste in una valutazione di conformità del prodotto (derogabile a specifiche condizioni dagli Stati membri per ragioni preminenti di salvaguardia della pubblica sicurezza, della vita o della salute o, ad oggi in special modo, anche dell’ambiente) strettamente legata alla tipologia dei dati di addestramento del meccanismo, i quali devono risultare pertinenti, rappresentativi, quanto più possibile privi di errori e completi, nonché rilevanti in termini comportamentali e funzionali.

La valutazione, che si conclude con l’apposizione della marcatura CE, deve essere senz’altro condotta dai fornitori e da soggetti terzi con riferimento ai possibili utilizzi del sistema di IA, ipotizzando sia utilizzi prevedibili, ma anche impropri e in questo caso adottando adeguate misure di contenimento atte a neutralizzare o ridurre al minimo i rischi per la salute e la sicurezza collettive e individuali.

In merito all’attività di monitoraggio ed eventualmente sanzionatoria, l’AI Act attribuisce un ruolo di primo piano alle autorità statali interne e agli organismi di valutazione, prevedendo che questi conducano azioni di coordinamento, cooperazione e scambio di informazioni con le autorità sovranazionali e adottino sanzioni effettive e dissuasive.

A tale scopo prescrive, altresì, l’istituzione di un Comitato europeo per l’intelligenza artificiale, composto da rappresentanti degli Stati membri e della Commissione, competente nel gestire la diffusione delle migliori pratiche collaborative a diversi livelli di governance.

Nonostante le nobili intenzioni del legislatore europeo, non si può fare a meno di notare come il testo regolamentare presenti qualche lacuna sotto diversi profili.

Oltre all’assenza dell’indicazione di nuovi strumenti di tutela attivabili dai singoli, individualmente e collettivamente organizzati, la questione principale attiene all’assenza di qualsiasi riferimento da parte del testo normativo al tema della responsabilità per i danni cagionati dalle applicazioni di intelligenza artificiale.

Un timido tentativo di far fronte a tale questione era stato prospettato con la proposta di direttiva relativa all’adeguamento delle norme in materia di responsabilità civile extracontrattuale all’intelligenza artificiale (c.d. AiLiability Directive) nel settembre 2022, tuttavia, la debole opera di armonizzazione delle norme in materia di responsabilità per colpa, che addossano l’onere della prova in capo a coloro che lamentano un danno causato dai sistemi di IA, richiede ad oggi un impegno più incisivo in tema, che sia in grado di individuare in capo agli utenti soluzioni giuridiche di protezione maggiormente rapide ed efficaci e garantire così una tutela sostanziale etica e non discriminatoria.

Dott.ssa Alessia Lucesoli

,

HAI DOMANDE? SCRIVICI

    Dichiaro di aver letto e accettato l'Informativa sulla Privacy ai sensi dell'Art.13 D.lgs. 196/2003 e dell'Art.13 del Regolamento UE 2016/679 "GDPR"*

    Accetto la privacy policy

    *Campi obbligatori