La proposta di Regolamento EU su un approccio europeo all’intelligenza artificiale
Avv. Mariaelena Giorcelli
Redattore
Il 21 aprile 2021 la Commissione Europea ha pubblicato una proposta di Regolamento sull’Intelligenza Artificiale.
Finalità
La Proposta di Regolamento si propone come fine quello di garantire che i sistemi di intelligenza artificiale (nel seguito: “sistemi di IA”) siano sicuri, trasparenti, etici, imparziali e sotto il controllo umano.
Le parole chiave della Proposta di Regolamento sono dunque la sicurezza e il rispetto dei diritti fondamentali dell’uomo. In particolare la Proposta di Regolamento dichiara espressamente di voler rispettare la Risoluzione del Parlamento EU, adottata il 20 Ottobre 2020, con la quale il Parlamento EU chiedeva, nel delineare il quadro normativo delle questioni legate alla intelligenza artificiale, il rispetto di principi etici sotto il profilo dell’etica della progettazione del sistema di IA.
Definizione:
Il sistema di IA è definito dall’articolo 3 della Proposta di Regolamento come: “un software sviluppato con una o più delle tecniche e degli approcci elencati nell'allegato I, che può, per una determinata serie di obiettivi definiti dall'uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono”.
L’Allegato I elenca i seguenti approcci:
a) “approcci di apprendimento automatico, compresi l'apprendimento supervisionato, l'apprendimento non supervisionato e l'apprendimento per rinforzo, con utilizzo di un'ampia gamma di metodi, tra cui l'apprendimento profondo (deep learning);
b) approcci basati sulla logica e approcci basati sulla conoscenza, compresi la rappresentazione della conoscenza, la programmazione induttiva (logica), le basi di conoscenze, i motori inferenziali e deduttivi, il ragionamento (simbolico) e i sistemi esperti;
c) approcci statistici, stima bayesiana, metodi di ricerca e ottimizzazione”.
Si tratta di una definizione molto ampia, che dunque estende l’applicazione del Regolamento non soltanto agli approcci di apprendimento automatico, ma anche solo ad approcci basati sulla logica o approcci statistici.
Destinatari
La Proposta di Regolamento si rivolge ai diversi soggetti che sono coinvolti nello sviluppo, messa in commercio, distribuzione e utilizzazione di un sistema di IA.
Gli obblighi principali riguardano i fornitori di sistemi di IA, la cui nozione comprende non solo i soggetti che hanno sviluppato il sistema di IA, ma anche coloro che (i) intendono mettere sul mercato e/o in servizio un sistema di IA con il proprio nome e/o marchio, sia che tali soggetti siano stabiliti nell’UE o in paesi terzi, (ii) modificano la destinazione d'uso di un sistema di IA ad alto rischio già immesso sul mercato o messo in servizio o che (iii) apportino una modifica sostanziale al sistema di IA ad alto rischio.
Nel caso in cui il fornitore non sia stabilito nel territorio dell’Unione dovrà nominare un rappresentante autorizzato (cfr. articolo 25).
Precisi obblighi e responsabilità vengono anche previste per gli importatori (cfr. articolo 26) e i distributori di sistemi di IA (articolo 27).
Infine, la Proposta di Regolamento coinvolge e responsabilizza anche gli stessi utenti di sistemi di IA (salvo che il sistema di IA sia utilizzato per un'attività personale non professionale) soprattutto laddove tali sistemi siano considerati ad alto rischio.
Disciplina
La Proposta di Regolamento introduce una serie di regole per lo sviluppo messa sul mercato ed uso dei sistemi di IA che seguono un approccio basato sul rischio alla salute, alla sicurezza e ai diritti fondamentali dell’uomo. Si fa riferimento in particolare a vari livelli di rischio (rischio inaccettabile, rischio alto, rischio limitato) che possono presentare i sistemi di IA.
A. Rischio inaccettabile
L’articolo 5 della Proposta di Regolamento elenca alcuni sistemi di IA particolarmente lesivi dei diritti fondamentali dell’uomo, che conseguentemente sono vietati. Rientrano in questa categoria ad esempio sistemi di IA che si servono di tecniche subliminali per distorcere il comportamento di una persona causando a tale persona o a un terzo un danno fisico o psicologico. Rientra in tale categoria anche l’uso di sistemi di identificazione biometrica a distanza "in tempo reale" in spazi accessibili al pubblico ai fini dell'applicazione della legge, salvo che ricorrano ipotesi eccezionali, ad esempio se necessario la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l'incolumità fisica delle persone fisiche o di un attentato terroristico.
B. Rischio alto
I sistemi di IA ad alto rischio, previsti all’articolo 6 della Proposta di Regolamento ed elencati nell’Allegato III sono consentiti solo a condizione che rispettino determinati requisiti.
Si tratta in particolare di sistemi di IA destinati a essere utilizzati come componenti di sicurezza di un prodotto o che sono essi stessi dei prodotti tra quelli specificatamente individuati dal regolamento (ad es. veicoli a motore) o di sistemi di IA che siano destinati ad essere utilizzati in settori particolarmente sensibili (ad es. nel settore dell’occupazione, dell’istruzione o nel caso i sistemi di IA siano destinati ad essere utilizzati per attività di contrasto, ecc.).
Tali sistemi devono essere sottoposti ad una procedura di analisi e gestione del rischio che deve essere attuata per tutto il ciclo di vita del sistema dalla fase di progettazione e sviluppo sino alla fase successiva all’immissione del sistema di IA sul mercato.
Fase di progettazione e sviluppo
In fase di progettazione, creazione e sviluppo di un sistema di IA a rischio alto devono essere adottate misure di gestione del rischio, di controllo ed informazione.
Al fine di assicurare la tracciabilità del funzionamento del sistema AI durante il suo ciclo di vita i sistemi di IA ad alto rischio devono essere progettati e sviluppati in modo da consentire la registrazione automatica degli eventi ("log") mentre i sistemi sono in funzione.
I sistemi di IA ad alto rischio sono progettati in modo da conseguire un elevato livello di cybersicurezza e devono essere resilienti contro i rischi connessi a errori, guasti o incongruenze che possono verificarsi all'interno del sistema o nell'ambiente in cui esso opera, in particolare a causa della loro interazione con persone fisiche.
Si prevede inoltre che lo sviluppo di un sistema di IA ad alto rischio debba consentire a una persona umana di supervisionare il suo funzionamento. In particolare, se del caso, tali misure dovrebbero garantire che il sistema sia soggetto a vincoli operativi incorporati che non possono essere superati dal sistema stesso e che risponda all'operatore umano, e che le persone fisiche a cui è stata assegnata la supervisione umana abbiano la competenza, la formazione e l'autorità necessarie per svolgere tale ruolo.
Prima di immettere sul mercato il sistema di IA ad alto rischio deve essere sottoposto ad una prova al fine di valutare la conformità ai requisiti dalla Proposta di Regolamento e di individuare le misure correttive e di gestione dei rischi più appropriate. Il Fornitore deve quindi firmare una dichiarazione di conformità e tenerla a disposizione delle autorità per un periodo di 10 anni dall’immissione del sistema sul mercato. Deve inoltre essere predisposta la documentazione tecnica che consenta di dimostrare che il sistema di IA ad alto rischio sia conforme ai requisiti stabiliti nel Regolamento e che sia idonea a fornire alle autorità nazionali competenti e agli organismi notificati tutte le informazioni necessarie per valutare la conformità del sistema di IA. Anche tale documentazione dovrà essere tenuta a disposizione delle autorità per un periodo di 10 anni.
Il sistema di IA dovrebbe avere la marcatura CE che indica la conformità del sistema al Regolamento in modo da poter muoversi liberamente nel mercato interno. Questo requisito presenta non pochi problemi soprattutto quando il sistema IA è inserito in un macchinario che è già tenuto ad avere un marchio CE; in questo caso si avrebbe una duplicazione di marcatura. Questo è senz’altro un aspetto che si spera venga chiarito prima dell’adozione del Regolamento definitivo.
E’ inoltre prevista l’istituzione di un’apposita banca della Commissione UE dati ove il sistema di IA ad alto rischio dovrà essere registrato.
A seguito dell’immissione sul mercato di un sistema di IA ad alto rischio, è previsto il monitoraggio da parte di più soggetti: i fornitori, in primis, che devono disporre di un sistema di monitoraggio successivo all’immissione sul mercato; ma anche gli utenti che devono assicurare la sorveglianza e il monitoraggio umani. Fornitori e utenti sono inoltre tenuti a segnalare gli incidenti gravi e i malfunzionamenti del sistema di IA.
Infine, le autorità sono responsabili della vigilanza del mercato.
Se si verificano cambiamenti sostanziali nel ciclo di vita del sistema di IA occorre procedere ad una nuova valutazione di conformità ed informare le autorità competenti.
E’ previsto che un sistema di intelligenza artificiale sia sottoposto a una nuova valutazione di conformità ogni volta che si verifica una modifica c.d. “sostanziale” che può influire sulla conformità del sistema al presente regolamento o quando cambia la destinazione d'uso del sistema. Non dovrebbero tuttavia comportare una modifica sostanziale quei sistemi di IA che continuano a “imparare” (cioè adattano automaticamente le modalità di esecuzione delle funzioni) una volta messi sul mercato e/o messi in funzione, laddove le modifiche all'algoritmo e alle sue prestazioni sono state predeterminate dal fornitore e valutate al momento della valutazione della conformità.
Importate è la previsione secondo cui, quando il sistema di IA ad alto rischio è relativo ad un prodotto, un componente di un prodotto/macchinario che viene messo sul mercato con il prodotto finale, il fabbricante del prodotto finale, si assume la responsabilità per il rispetto dei requisiti e gli obblighi imposti dalla Proposta di Regolamento ai fornitori.
C. Sistemi di IA a rischio limitato
Infine, i fornitori di sistemi di IA che non ricadono nei sistemi ad alto rischio sono tenuti a fornire informazioni sul sistema di IA in maniera trasparente. Gli utenti devono essere informati del fatto che stanno interagendo con una macchina, in modo da poter decidere con cognizione di causa se continuarne l’utilizzo oppure no, salvo che ciò non risulti evidente dalle circostanze del caso.
In ogni caso, fornitori di sistemi di IA non ad alto rischio dovrebbero essere incoraggiati a creare codici di condotta volti a promuovere l'applicazione volontaria dei requisiti obbligatori applicabili ai sistemi di IA ad alto rischio nonché ad applicare su base volontaria ulteriori requisiti relativi, ad esempio, alla sostenibilità ambientale, all'accessibilità alle persone con disabilità, alla partecipazione delle parti interessate alla progettazione e allo sviluppo dei sistemi di IA, e alla diversità dei team di sviluppo.
Sanzioni
L’inosservanza delle condizioni previste dalla Proposta di Regolamento comporta l’applicazione di sanzioni estremamente elevate (ad esempio in caso di inosservanza del divieto di sistemi di IA con rischio inaccettabile, è prevista una sanzione pecuniaria fino a 30 000 000 di EUR o fino al 6 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore; oppure in caso di comunicazione di informazioni inesatte agli organismi notificati e alle autorità nazionali competenti è prevista una sanzione pecuniaria fino a 10 000 000 di EUR o fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore), che saranno concretamente applicate dagli Stati Membri nel rispetto dei principi di effettività, proporzionalità e dissuasività e dei parametri dettati dalla Proposta di Regolamento.
Anche se per ora si tratta solo di una Proposta di Regolamento, è importante, per gli operatori del settore, seguirne l’iter evolutivo onde predisporre gli adeguamenti necessari in tempo utile, evitando il rischio di sanzioni.
Avv. Mariaelena Giorcelli