Il futuro è arrivato? Panoramica della bozza di regolamento UE sull'intelligenza artificiale

Il 21 aprile 2021, la Commissione europea ha pubblicato una proposta di regolamento sull'intelligenza artificiale (progetto di regolamento sull'IA, proposta di regolamento).^[1] Essendo parte della "strategia europea per i dati",^[2] il progetto di regolamento sull'IA intende stabilire uno standard di riferimento per la regolamentazione dell'IA nell'Unione.^[3] Sebbene al momento la proposta di regolamento sia in fase di discussione e vi siano diverse migliaia di proposte di modifica, la sua adozione è prevista per l'autunno del 2022.^[4] Una volta adottato, il regolamento sull'IA entrerà in vigore venti giorni dopo la sua pubblicazione e lascerà un periodo di transizione di 24 mesi a tutte le organizzazioni che forniscono o utilizzano sistemi di IA all'interno dell'UE per implementare le rispettive misure e obblighi.

Questo articolo fornisce una panoramica della bozza di Regolamento AI e delle sue implicazioni per le organizzazioni di tutto il mondo.

Ambito di applicazione

La bozza di Regolamento AI avrà una portata extraterritoriale in stile GDPR e si applicherà (art. 2):

• fornitori che commercializzano nell'UE o mettono in servizio sistemi di IA nell'UE;
• agli utenti di sistemi di IA nell'UE; e
• fornitori e utenti di sistemi di IA i cui risultati sono utilizzati all'interno dell'UE.

La bozza di regolamento sull'IA definisce il termine "fornitore" come una persona che sviluppa un sistema di IA o che lo fa sviluppare al fine di immetterlo sul mercato o metterlo in servizio con il proprio nome o marchio (art. 3). Si noti che qualsiasi distributore, importatore, utente o altro terzo sarà considerato un fornitore se (Art. 28):

1. immette sul mercato un sistema di IA con il proprio nome o marchio;
2. modifica lo scopo di un sistema di IA esistente; oppure
3. apporta modifiche sostanziali al sistema di IA.

Il termine "utente" è definito come una persona che utilizza un sistema di IA sotto la sua autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un'attività personale non professionale (art. 3).

In particolare, la proposta di regolamento sull'IA prevede un quadro normativo orizzontale.^[5] I regolamenti, le leggi, gli standard, le norme, ecc. esistenti sulle tecnologie nella maggior parte dei casi si applicano a settori specifici e non affrontano l'implementazione di queste tecnologie attraverso sistemi hardware e software. Il regolamento proposto cercherà di regolamentare l'IA in modo orizzontale e quindi indipendente dai casi d'uso.^[6]

Definizione di IA

La proposta di regolamento non contiene una definizione di IA. Fornisce invece una definizione di sistemi di IA (art. 3):

"Per "sistema di intelligenza artificiale" (sistema di IA) si intende un software sviluppato con una o più delle tecniche e degli approcci elencati nell'allegato I e in grado, per un determinato insieme di obiettivi definiti dall'uomo, di generare risultati quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono".

L'elenco delle tecniche e degli approcci di cui all'Allegato I comprende approcci di apprendimento automatico, approcci logici e basati sulla conoscenza, nonché approcci statistici.

La definizione troppo ampia di sistemi di IA contenuta nella bozza di regolamento sull'IA ha suscitato critiche da parte di diverse parti interessate. Anche se resta da vedere quale sarà la versione finale della bozza di regolamento sull'IA, alcuni Stati hanno proposto una definizione più ristretta di intelligenza artificiale, con due requisiti aggiuntivi: che il sistema sia in grado di "apprendere, ragionare o modellare con le tecniche e gli approcci" e che sia anche un "sistema generativo", che influenza direttamente il suo ambiente.^[7]

Tipi di sistemi di IA e relativi requisiti di conformità

La bozza di regolamento sull'IA divide i sistemi di IA in quattro categorie: sistemi di IA a rischio inaccettabile, sistemi di IA ad alto rischio, sistemi di IA con obblighi di trasparenza e sistemi di IA a rischio minimo.

Sistemi di IA a rischio inaccettabile (art. 5): Ad esempio, le pratiche di IA che contravvengono ai valori dell'UE e rappresentano una chiara minaccia per la sicurezza, i mezzi di sussistenza e i diritti fondamentali delle persone sono considerate sistemi a rischio inaccettabile. Tali sistemi non sono consentiti dalla proposta di regolamento sull'IA.

Sistemi di IA ad alto rischio (art. 6): Rientrano in questa categoria le seguenti categorie di sistemi di IA:

1. Sistemi di identificazione biometrica;
2. Infrastrutture critiche che potrebbero mettere a rischio la vita e la salute dei cittadini;
3. Formazione scolastica o professionale, che può determinare l'accesso all'istruzione e il corso professionale della vita di una persona;
4. Componenti di sicurezza dei prodotti;
5. Occupazione, gestione dei lavoratori e accesso al lavoro autonomo;
6. Servizi pubblici e privati essenziali;
7. Applicazione della legge, amministrazione della giustizia e processi democratici;
8. Gestione della migrazione, dell'asilo e del controllo delle frontiere.

I fornitori di sistemi di IA ad alto rischio sono soggetti ai seguenti obblighi sostanziali:

1. Creare e implementare un adeguato sistema di gestione e riduzione dei rischi (art. 9);
2. Gestire diligentemente i dati e la governance dei dati, compresa la formazione e la verifica dei sistemi di IA ad alto rischio che utilizzano i dati (art. 10);
3. Creare e fornire agli utenti la documentazione tecnica (art. 11);
4. Fornire una documentazione dettagliata alle autorità (artt. 12 e 20);
5. Fornire agli utenti informazioni chiare e adeguate (art. 13);
6. Fornire un livello adeguato di supervisione umana (art. 14);
7. curare l'accuratezza, la solidità e la sicurezza informatica (art. 15);
8. Mettere in atto un adeguato sistema di gestione della qualità (art. 17);
9. Effettuare un monitoraggio post-vendita delle prestazioni dei sistemi di intelligenza artificiale ad alto rischio (art. 61).

I fornitori di sistemi di IA ad alto rischio sono inoltre tenuti a rispettare i seguenti obblighi procedurali:

1. I fornitori devono garantire che i loro sistemi di IA ad alto rischio completino la cosiddetta "valutazione di conformità" prima di poter essere offerti sul mercato o messi in servizio (art. 19). La conformità dei sistemi di identificazione biometrica deve essere condotta dall'apposito "organismo notificato" (Allegato VII). Per tutti gli altri tipi di sistemi di IA ad alto rischio, i fornitori possono effettuare un'autovalutazione (Allegato VI);
2. Una volta che il sistema di IA ad alto rischio ha superato la valutazione di conformità, i fornitori devono redigere la dichiarazione scritta di conformità (art. 48), allegare la marcatura CE di conformità alla documentazione del sistema di IA ad alto rischio (art. 49) e registrare il sistema di IA ad alto rischio nella banca dati dell'UE (art. 51);
3. i fornitori devono segnalare all'autorità competente entro 15 giorni un "incidente grave" o un "malfunzionamento" del sistema di IA ad alto rischio (art. 62).

A differenza dei fornitori, gli utenti dei sistemi di IA ad alto rischio sono soggetti a requisiti limitati. Per estensione, essi devono garantire di utilizzare i sistemi di IA ad alto rischio in conformità alle istruzioni per il loro utilizzo, monitorare il funzionamento dei sistemi di IA ad alto rischio e tenere una registrazione dei log generati dai sistemi di IA ad alto rischio (art. 29).

Sistemi di IA con obblighi di trasparenza (art. 52): I chatbot o gli impersonator bot rientrano in questa categoria. I fornitori di tali sistemi devono garantire che siano progettati e sviluppati in modo tale che le persone fisiche siano informate del fatto che stanno interagendo con un sistema di IA.

Sistemi di IA a rischio minimo (art. 69): I videogiochi o i filtri antispam abilitati all'IA rientrano in questa categoria. Non sono previsti requisiti di conformità per tali sistemi di IA. La grande maggioranza dei sistemi di IA attualmente utilizzati nell'UE può essere definita a rischio minimo.

Sanzioni

La violazione degli obblighi previsti dalla proposta di regolamento sull'IA comporta sanzioni pecuniarie quantificate in base al tipo di violazione (art. 71).

Il trasgressore (fornitore e/o utente, se del caso) sarà soggetto a sanzioni amministrative pecuniarie fino a 30.000.000 di euro o, se il trasgressore è una società, fino al 6% del suo fatturato mondiale totale annuo per l'esercizio finanziario precedente, a seconda di quale sia il valore più alto, per i seguenti due tipi di violazioni:

• l'immissione sul mercato, la messa in servizio o l'utilizzo di pratiche di IA a rischio inaccettabile (articolo 5);
• il mancato rispetto dei requisiti di governance dei dati del sistema di IA ad alto rischio (articolo 10, paragrafo 4).

Per l'inosservanza di requisiti e obblighi diversi da quelli citati, il trasgressore è soggetto a sanzioni amministrative pecuniarie fino a 20.000.000 di euro o, se il trasgressore è una società, fino al 4% del suo fatturato mondiale totale annuo per l'esercizio finanziario precedente, se superiore.

La bozza di regolamento AI prevede anche sanzioni in caso di mancata fornitura di informazioni corrette, complete o accurate agli organismi notificati e alle autorità nazionali competenti in risposta a qualsiasi richiesta. In tal caso, i trasgressori saranno soggetti a sanzioni amministrative pecuniarie fino a 10.000.000 di euro o, se il trasgressore è una società, fino al 2% del suo fatturato mondiale totale annuo per l'esercizio finanziario precedente, se superiore.

Implicazioni per le imprese

La bozza di regolamento sull'IA fissa l'asticella degli obblighi di conformità delle industrie nel campo dell'IA in tutti i settori economici. Un'indagine globale condotta da McKinsey mostra che molte organizzazioni sono in ritardo nel soddisfare i potenziali requisiti di conformità del prossimo regolamento, poiché solo il 38% di esse sta affrontando attivamente i rischi di conformità normativa nel campo dell'IA.^[8] A questo proposito, le organizzazioni interessate dovrebbero prepararsi ai regolamenti che sicuramente seguiranno e adottare un programma strategico di conformità per i loro sistemi di IA. Ciò richiederà le competenze e le risorse necessarie, con conseguente aumento del ruolo dei professionisti della compliance. Le aziende potrebbero essere tenute ad ampliare i propri team di compliance e ad assumere un maggior numero di professionisti con questo specifico background. Aumenterà anche la necessità di ricorrere a consulenti legali esterni.