La proposta di Regolamento sull’AI della Commissione Europea

di Marco Soffientini - Esperto di Privacy e Diritto delle Nuove Tecnologie e docente Ethos Academy

Ad Aprile 2021 la Commissione Europea ha rilasciato la proposta di Regolamento del Parlamento Europeo e del Consiglio, che stabilisce regole armonizzate sull’intelligenza artificiale.

Il 2021 si conferma l’anno delle novità in tema di intelligenza artificiale in quanto, a distanza di pochi mesi dalle Linee Guida del Comitato per la protezione dei dati della Convenzione 108 in tema di riconoscimento facciale, la Commissione predispone un regolamento in tema di intelligenza artificiale (IA) destinato ad avere valore di legge in tutti gli Stati membri dell’Unione. Le ragioni che hanno spinto la Commissione a questa decisione sono chiarite nella relazione di accompagnamento, dove si legge che: L’utilizzo dell’IA con le sue caratteristiche specifiche (ad esempio opacità, complessità, dipendenza dai dati, comportamento autonomo) può incidere negativamente su una serie di diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea (“la Carta”). La presente proposta mira ad assicurare un livello elevato di protezione di tali diritti fondamentali e ad affrontare varie fonti di rischio attraverso un approccio basato sul rischio chiaramente definito.

Perché un Regolamento 

La scelta di un regolamento come atto giuridico, si legge nella relazione alla proposta di regolamento, è giustificata dalla necessità di un’applicazione uniforme delle nuove regole, come la definizione di IA, il divieto di talune pratiche dannose consentite dall’IA e la classificazione di taluni sistemi di IA. L’applicabilità diretta di un regolamento, conformemente all’articolo 288 TFUE, ridurrà la frammentazione giuridica e faciliterà lo sviluppo di un mercato unico per sistemi di IA leciti, sicuri e affidabili.Tale obiettivo sarà conseguito in particolare introducendo una serie armonizzata di requisiti di base per quanto concerne i sistemi di IA classificati come ad alto rischio e di obblighi riguardanti fornitori e utenti di tali sistemi, migliorando la tutela dei diritti fondamentali e garantendo certezza del diritto tanto per gli operatori quanto per i consumatori.

La base giuridica della proposta 

La base giuridica della proposta è costituita dall’articolo 114 del trattato sul funzionamento dell’Unione europea (TFUE), che prevede l’adozione di misure destinate ad assicurare l’instaurazione ed il funzionamento del mercato interno. Con questa proposta di regolamento vengono definiti dei requisiti obbligatori comuni applicabili alla progettazione e allo sviluppo di alcuni sistemi di IA prima della loro immissione sul mercato, che saranno resi ulteriormente operativi attraverso norme tecniche armonizzate.  

Il contenuto della proposta 

La proposta di Regolamento definisce regole armonizzate per lo sviluppo, l’immissione sul mercato e l’utilizzo di sistemi di IA nell’Unione seguendo un approccio proporzionato basato sul rischio, differenziando tra gli usi dell’IA che creano:

1) un rischio inaccettabile; 

2) un rischio alto;

3) un rischio basso o minimo. 

Rischio inaccettabile

Nella prima categoria, contenuta nel titolo II, rientrano tutti i sistemi di IA il cui uso è considerato inaccettabile in quanto contrario ai valori dell’Unione, ad esempio perché viola i diritti fondamentali. Tra gli usi vietati (rischio inaccettabile) rientrano: 

a) le pratiche che presentano un elevato potenziale in termini di manipolazione delle persone attraverso tecniche subliminali, senza che tali persone ne siano consapevoli; 

b) l’uso di sistemi di IA che sfruttano le vulnerabilità di specifiche categorie di interessati, quali i minori o le persone con disabilità, al fine di distorcerne materialmente il comportamento in maniera tale da provocare, a loro o ad un’altra persona, un danno psicologico o fisico; 

c) l’uso di sistemi di attribuzione di punteggi sociali (c.d. di social scoring come ad esempio quelli utilizzati in Cina) da parte delle autorità pubbliche; 

d) l’uso di sistemi di identificazione biometrica remota “in tempo reale” (come i sistemi di riconoscimento facciale) in spazi accessibili al pubblico a fini di attività di contrasto, fatta salva l’applicazione di talune limitate eccezioni.

Rischio alto

Nella categoria “ad alto rischio”, relativa ad utilizzi dell’IA che pongono rischi significativi per la salute e la sicurezza o per i diritti fondamentali delle persone, rientrano: 

a) L’uso di sistemi di IA utilizzati come componenti di sicurezza di prodotti sottoposti a controlli di conformità come ad esempio i componenti di presidi medici o dei giocattoli.

b) L’uso di specifici sistemi IA elencati in un allegato del regolamento, come ad esempio i sistemi finalizzati a valutare la solvibilità delle persone.

Rischio basso o minimo

Nella categoria “a basso rischio o minimo” rientrano infine tutti quei sistemi sottoposti ad obblighi minimi di trasparenza, come ad esempio i sistemi di IA che manipolano contenuti (c.d. deep fake) o i software che consentono di parlare con le persone (c.d. chatbot).

Come verranno applicate le regole 

Si legge nella relazione di accompagnamento che: Le regole proposte saranno applicate tramite un sistema di governance a livello di Stati membri, sulla base di strutture già esistenti, e un meccanismo di cooperazione a livello dell’Unione con l’istituzione di un comitato europeo per l’intelligenza artificiale. Vengono inoltre proposte misure aggiuntive per sostenere l’innovazione, in particolare attraverso spazi di sperimentazione normativa per l’IA, e altre misure per ridurre gli oneri normativi e sostenere le piccole e medie imprese (“PMI”) e le start-up.

Le sanzioni

L’articolo 71 della proposta di Regolamento prevede tre diversi scaglioni di sanzioni:

1) [Art. 71 par. 3] Le seguenti violazioni sono soggette a sanzioni amministrative pecuniarie fino a 30 000 000 di Euro, se l’autore del reato è una società, fino al 6% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore: a) inosservanza del divieto delle pratiche di intelligenza artificiale di cui all’articolo 5 (Pratiche di intelligenza artificiale vietate); b) non conformità del sistema di IA ai requisiti di cui all’articolo 10 (Governance dei dati).

2) [Art. 71 par. 4] La non conformità del sistema di IA ai requisiti o agli obblighi previsti dal presente regolamento, diversi da quelli di cui agli articoli 5 e 10, è soggetta a sanzioni amministrative pecuniarie fino a 20.000.000 di euro, se l’autore del reato è una società, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

3) [Art. 71 par. 5]La fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti è soggetta a sanzioni amministrative pecuniarie fino a 10.000.000 di euro, se l’autore del reato è una società, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.