Artificial Intelligence Act e valutazione del rischio tra compliance e responsabilità sociale dell'impresa
Con la regolamentazione dell'Intelligenza Artificiale (IA), il cd. AI Act, l'Unione Europea vuole acquisire il primato di aver introdotto nel proprio ordinamento una disciplina di tipo orizzontale di tale tecnologia.
(Nella foto: l'Avv. Massimiliano Nicotra, speaker al Privacy Day Forum 2024)
La proposta regolamentare, infatti, mira a stabilire un quadro normativo completo per lo sviluppo, la diffusione e l'utilizzo dell'IA in Unione Europea, bilanciando l’innovazione con la protezione dei diritti fondamentali e la sicurezza dei cittadini europei. Un aspetto cruciale dell'AI Act è che esso si pone nel solco del nuovo framework normativo che disciplina in generale l’introduzione di prodotti in Unione Europea, in particolare quei prodotti per i quali il legislatore, o per caratteristiche intrinseche o per il pubblico a cui sono destinati, ritiene debbano essere rispettati determinati requisiti ai fini della loro immissione nel mercato UE.
In tale ottica, viene adottato un approccio basato sul rischio, che modula gli obblighi di produttori, distributori ed utilizzi dei sistemi di intelligenza artificiale a seconda del loro impatto sulla società.
L'approccio basato sul rischio nell'AI Act - L’AI Act propone una classificazione dei sistemi di IA in tre categorie principali (rectius, tre più una) a seconda del livello di rischio che essi presentano: 1) rischio inaccettabile; 2) rischio elevato e 3) rischio limitato. A tali tre categorie se n’è aggiunta, in seguito alle modifiche introdotte a giugno 2023 dal Parlamento Europeo nella proposta presentata della Commissione Europea, una quarta relativa ai sistemi di GenAI (ossia ai sistemi di intelligenza artificiale a uso generale) che presentino un rischio sistemico per l’Unione Europea, i produttori e distributori dei quali vengono assoggettati ad ulteriori obblighi rispetto a quelli previsti in generale per i sistemi di IA a rischio limitato.
I sistemi il cui rischio è inaccettabile non possono essere utilizzati in Unione Europea, salvo espresse eccezioni sottoposte a rigide tutele nell’AI Act, mentre quelli ad alto rischio sono soggetti a requisiti rigorosi, tra cui la valutazione della conformità, la supervisione umana, la trasparenza, la qualità dei dataset di addestramento, la tracciabilità, la cybersecurity e l’obbligo di condurre una valutazione di impatto sui diritti fondamentali. Questa categorizzazione evidentemente è stata sviluppata al fine di equilibrare efficientemente le risorse di risorse di vigilanza ed enforcement, concentrandosi sui sistemi che presentano i maggiori rischi anche al fine di non far gravare eccessivi oneri sulle PMI che vogliono implementare sistemi di intelligenza artificiale a rischio limitato.
L'AI Act stabilisce specifici criteri per la valutazione del rischio dei sistemi di IA rinviando a quanto stabilito negli Allegati II e III del Regolamento: il primo riferito ai prodotti in cui potrebbe essere incorporato un sistema di IA, il secondo che invece prende in considerazione diversi fattori, come lo scopo e il contesto di utilizzo e le caratteristiche tecniche, evidentemente sulla base di una pre-valutazione di impatto potenziale sui diritti fondamentali condotta dalla Commissione Europea.
Tale approccio basato sul rischio dell'AI Act appare progettato per essere adattabile e flessibile, consentendo aggiornamenti periodici della classificazione dei sistemi di IA in base all'evoluzione tecnologica e alle nuove conoscenze sui rischi., al fine di garantire che il quadro normativo rimanga al passo con il progresso dell'IA.
Implicazioni per la compliance - L'AI Act impone requisiti stringenti per i sistemi di IA classificati come ad alto rischio, mentre, come anticipato, i sistemi il cui uso è considerato inaccettabile possono essere autorizzati solamente in circostanze eccezionali e solo previa autorizzazione dalle Autorità di controllo o dalla magistratura. Le imprese che sviluppano o utilizzano sistemi ad alto rischio devono far sì che i medesimi rispondano ai requisiti stabiliti nella proposta di Regolamento e i produttori e distributori a loro volta sono tenuti ad implementare una serie di misure organizzative di conformità.
In particolare, l’AI Act prevede che i produttori dei sistemi di IA ad alto rischio debbano: implementare un sistema di gestione del rischio (art. 9); stabilire dei requisiti per l’addestramento, la validazione ed il test dei dataset (art. 10), produrre la documentazione tecnica del sistema prima della sua immissione sul mercato (art. 11), mantenere un log delle operazioni effettuate (art. 12), fornire informazioni trasparenti agli installatori (art. 13), prevedere la supervisione umana del sistema (art. 14), garantire l’accuratezza, robustezza e sicurezza cyber del sistema (art. 14), svolgere la valutazione di impatto sui diritti fondamentali del sistema (art. 27).
Tali numerosi adempimenti, che portano all’ottenimento del marchio “CE”, saranno poi maggiormente specificati una volta che verranno adottati gli standard tecnici dalle autorità di regolazione europee.
È evidente che un insieme così complesso di requisiti richiede alle imprese che produrranno sistemi di IA di stabilire una governance interna solida per l’implementazione di tali sistemi, i cui requisiti devono essere mantenuti per tutto il loro ciclo di vita, con chiare linee di responsabilità e meccanismi di supervisione. Ciò potrà includere la nomina di un responsabile della conformità IA, l'istituzione di processi di segnalazione e la formazione del personale.
Responsabilità sociale d'impresa e IA - L'approccio basato sul rischio dell'AI Act incoraggia le imprese ad allineare lo sviluppo e l'uso dell’IA con i valori etici e i diritti fondamentali. Le imprese devono considerare l'impatto potenziale dei loro sistemi di IA sulla società, inclusi aspetti come la privacy, la non discriminazione ed il fondamentale principio di autodeterminazione nelle scelte. In tal senso si può affermare che la proposta di regolamento costringe i produttori ad integrare requisiti i requisiti etici nella progettazione e nell'implementazione dell’IA.
D’altra parte, tale scelta è connaturale alla decisione del legislatore europeo di collocare la disciplina dell’intelligenza artificiale nell’ambito della più generale disciplina della sicurezza dei prodotti. Ogni impresa che introduce dei beni o prodotti nell’Unione Europea assume verso la società delle precise responsabilità in termini di sicurezza di ciò che immette sul mercato: la particolarità dell’AI Act è di aver graduato tale responsabilità in funzione del rischio a cui i sistemi IA espongono i diritti fondamentali.
In tale contesto ci sia permesso di evidenziare che i concetti di pericolo e di rischio sono in realtà differenti: si ha pericolo quando non c’è incertezza circa la possibilità del verificarsi di un danno, mentre il rischio si pone in una fase antecedente al verificarsi del pericolo. Tale distinzione si rispecchia anche nella legislazione europea: il principio di precauzione, maturato in seno al diritto ambientale, obbliga di astenersi dal condurre quelle attività che sono considerate pericolose, mentre l’approccio risk-based permea le norme che considerano attività la cui pericolosità non è certa.
E tale distinzione è in verità presente anche nell’AI Act: per i sistemi a “rischio inaccettabile” sostanzialmente il legislatore europeo applica il principio di precauzione, ritenendoli di per sé pericolosi.
In un’ottica di responsabilità sociale di impresa molta rilevanza possono assumere i Codici di condotta, previsti dalla proposta europea. L’AI Act, infatti, promuove l’adozione di tali strumenti, con il coinvolgimento degli stakeholder e rafforzando la trasparenza nello sviluppo e nell’uso dell'IA. Anche la governance istituzionale introdotta dall’AI Act, con la costituzione dell’AI Office in sede alla Commissione Europea, del Board, del Comitato Scientifico e del Forum, rende evidente la volontà del legislatore europeo di voler coinvolgere attivamente le parti interessate, comprese le comunità potenzialmente interessate, le organizzazioni della società civile e gli esperti di settore. Tale coinvolgimento dovrebbe garantire che le diverse prospettive e preoccupazioni siano prese in considerazione e che i sistemi di IA siano sviluppati in modo socialmente responsabile.
Sfide e opportunità - L’adesione ai requisiti dell'AI Act può comportare costi significativi per le imprese, in particolare per le piccole e medie imprese (PMI). L’implementazione dei requisiti richiesti dalla proposta regolamentare richiede risorse finanziarie e competenze specialistiche. Tuttavia, sulla base delle valutazioni della Commissione Europea tali costi potrebbero essere compensati dai benefici a lungo termine in quanto un quadro regolatorio certo e di protezione per le persone potrebbe portare ad un incremento della fiducia dei consumatori invogliandoli ad utilizzare i sistemi di intelligenza artificiale sviluppati in conformità alla regolamentazione europea, nonché benefici in termini di reputazione aziendale e riduzione dei rischi legali.
Anche il timore circa la possibilità che l’introduzione di regole così stringenti possa soffocare l’innovazione deve in realtà essere smentito. Nel contesto economico attuale, soprattutto nel campo delle nuove tecnologie, appare oramai evidente che lo stimolo all’innovazione non deriva principalmente dall’assenza di norme, ma dall’approccio degli Stati che intervengono dal punto di vista economica nel settore di interesse, elargendo finanziamenti, assumendo partecipazioni, istituendo benefici fiscali o impegnandosi ad acquistare determinate tecnologie (come gli Stati Uniti d’America con il Chip Act o con gli Executive Orders sull’AI con cui l’amministrazione pianifica di investire in maniera rilevante su tale tecnologia.
Sicuramente l'AI Act offre opportunità di collaborazione e condivisione delle conoscenze tra le imprese, le autorità di regolamentazione e le altre parti interessate. Le imprese possono lavorare insieme per sviluppare best practice, standard tecnici e meccanismi di governance per i sistemi di IA, favorendo così un’innovazione responsabile, riducendo i costi di conformità e promuovendo la fiducia del pubblico nell’IA.