L’AI ACT è legge: nuovi obblighi di compliance a carico delle imprese
di Anna Pampanin, dottoranda in Diritto Penale
1. INTRODUZIONE: LE PRINCIPALI CARATTERISTICHE DEL NUOVO REGOLAMENTO SULL’INTELLIGENZA ARTIFICIALE
Il 13 marzo 2024 il Parlamento europeo ha approvato in via definitiva il testo del Regolamento sull’Intelligenza artificiale (AI Act), sul quale in data 9 dicembre 2023 era stato raggiunto – in esito ai c.d. triloghi – un accordo politico provvisorio tra gli Stati membri.
L’introduzione dell’AI Act rappresenta uno storico passo avanti per l’Europa, trattandosi del primo testo legislativo organico del mondo in materia di intelligenza artificiale.
Emerge così la volontà dell’Unione europea di occupare una posizione di leadership mondiale nella regolamentazione della materia, con lo scopo di influenzare le dinamiche non solo ‘interne’, ma anche su una scala globale, attraverso un approccio che si ponga quale ‘alternativa’ rispetto al modello auto-regolatorio statunitense e a quello dirigistico cinese.
Il nuovo quadro legislativo mira a fornire una regolamentazione innovativa al fine di proteggere la sicurezza e i diritti fondamentali delle persone che interagiscono con i sistemi di intelligenza artificiale. Il Regolamento ha infatti l’obiettivo di migliorare il funzionamento del mercato e promuovere l’adozione di un’intelligenza artificiale affidabile e incentrata sull’uomo, garantendo, nel contempo, un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dell’UE, compresa la democrazia, lo Stato di diritto e la tutela dell’ambiente dagli effetti dannosi dei sistemi artificiali, nonché sostenendo l’innovazione.
Prima di procedere ad una analisi più dettagliata delle disposizioni contenute nell’AI Act, con particolare focus – per quanto interessa in questa sede – sugli obblighi di compliance a carico delle imprese, è necessario dar conto delle principali caratteristiche del Regolamento.
In primo luogo, come si è già anticipato, la disciplina ha carattere generale, e non settoriale.
Le norme comunitarie si riferiscono infatti ai sistemi di Intelligenza artificiale genericamente considerati, nell’intento di assicurare un’adeguata tutela dei diritti fondamentali nelle loro possibili applicazioni. Invero l’obiettivo del Legislatore europeo è quello di garantire equilibrio tra innovazione e protezione, alla cui base vi è il principio di responsabilizzazione e di autovalutazione.
Da tali ultime considerazioni si possono agevolmente ricavare ulteriori peculiarità della normativa in esame.
Innanzitutto, la ratio della disciplina deve essere ravvisata proprio nel bilanciamento tra l’interesse allo sviluppo e alla diffusione di una tecnologia rivoluzionaria (e quindi, più in generale, l’interesse al progresso scientifico-tecnologico) e la tutela di interessi primari e diritti fondamentali così come sanciti dalla Carta europea dei diritti dell’uomo.
Da qui il carattere strettamente antropocentrico dell’approccio delineato dal Legislatore europeo.
Similmente a quanto sancito dal GDPR, il Regolamento ambisce anzitutto a evitare violazioni del diritto alla dignità umana, nonché al rispetto della vita privata e alla protezione dei dati di carattere personale, alla non discriminazione e alla parità tra uomini e donne.
In secondo luogo, strettamente connesso al carattere orizzontale della disciplina è il rischio che una normativa così delineata fatichi ad adeguarsi alla repentina e costante evoluzione della materia, ed anzi, si esponga ad una precoce inattualità. Ancor più allarmante, ma non irreale, il pericolo che un testo legislativo così ‘rigido’ finisca per ‘ingabbiare’ lo stesso sviluppo tecnologico che ambisce a promuovere.
Il problema si pone soprattutto dal punto di vista definitorio. In tal senso è bene ricordare che il concetto di Artificial Intelligence, sebbene ad oggi comunemente utilizzato, ha conosciuto e conosce plurime definizioninel dibattito specialistico. La difficoltà aumenta esponenzialmente nel caso in cui si cerchi di circoscrivere il fenomeno ai soli fini giuridici.
Lo stesso AI Act ha dimostrato con quale velocità tale tecnologia evolva, e quanto sia di conseguenza complicato perimetrarla. A quest’ultimo riguardo sia sufficiente notare come la definizione di ‘sistema di IA’sia stata investita dagli emendamenti in sede di approvazione del Parlamento, il quale ad oggi, nella versione ‘definitiva’, si riferisce a «un sistema automatizzato [machine-based] progettato per operare con livelli di autonomia variabili e che, per obiettivi espliciti o impliciti, può generare output quali previsioni, raccomandazioni o decisioni che influenzano gli ambienti fisici o virtuali».
L’Intelligenza Artificiale ad oggi viene considerata come l’abilità di una macchina di mostrare capacità umane quale l’apprendimento, il ragionamento, la creatività e la pianificazione: si tratta, quindi, di sistemi ‘ausiliari’, in grado di adattare il loro comportamento sulla base degli effetti delle azioni precedentemente inoculate, tramite la ricezione di dati preparati e raccolti mediante sensori da parte di una macchina che, una volta processati, risponde lavorando in autonomia.
Proprio partendo da tale definizione è fin d’ora utile precisare che l’influenza dell’IA Act si caratterizzerà per un’applicazione extraterritoriale, dal momento che vincolerà sia coloro i quali, pur operando al di fuori di uno Stato membro, vedranno il proprio prodotto commercializzato anche in questo mercato, sia coloro che intendono destinarlo verso Stati terzi, ma avendo la propria sede in Europa.
Tale scelta, d’altronde, risulta essere coerente con le caratteristiche proprie dell’intelligenza artificiale, per sua natura non definibile all’interno di uno spazio ‘fisico’ circoscritto e, di conseguenza, destinata a mutare i concetti tradizionali di territorialità e di ambito applicativo territoriale.
L’ultimo rilievo da effettuare ai fini della presente analisi riguarda in senso stretto la scelta operata dal Legislatore europeo nella regolamentazione dell’Intelligenza Artificiale.
Nell’ambito della sua strategia digitale, l’Unione europea ha deciso di regolamentare l’AI, al fine di garantire migliori condizioni per lo sviluppo e l’utilizzo di questa tecnologia innovativa, attraverso un approccio risk-based, in base al quale tanto maggiore è il rischio, quanto più rigorose sono le regole.
2. IL RISK-BASED APPROACH E I SISTEMI C.D. AD ALTO RISCHIO
Come si è anticipato in premessa, il nuovo quadro legislativo mira a fornire una regolamentazione innovativamediante un approccio basato sul rischio.
Coerentemente con il carattere antropocentrico dell’AI Act, il concetto di ‘rischio’ è qui inteso come la probabilità e la gravità dell’impatto negativo che un’applicazione AI potrebbe avere sui diritti individuali e della società.
In tal senso il regolamento prevede regole diverse, nonché differenti obblighi per fornitori e utenti, a seconda che il livello di rischio derivante dal sistema AI sia: limitato, inaccettabile, ad alto rischio o a rischio minimo.
Mentre per quest’ ultima categoria il Regolamento non trova applicazione, per gli ulteriori livelli sono previsti regimi giuridici differenti, delineati secondo uno schema gradualistico d’intervento.
I sistemi che comportano un rischio ritenuto inaccettabile sono vietati, salvo eccezioni espressamente previste dalla legge; i sistemi c.d. ad alto rischio sono vincolati al rispetto di stringenti requisiti, nonché ad una valutazione di conformità di tali requisiti prima della messa in commercio e, in seguito, a un costante monitoraggio; infine, nel caso dei sistemi associati a rischio limitato il legislatore prevede il rispetto di requisiti minimi di trasparenza, cosicché gli utilizzatori possano prendere decisioni basate su informazioni chiare, completi e trasparente e decidere, di conseguenza, se continuare ad utilizzare determinate applicazione.
Il provvedimento dedica particolare attenzione ai sistemi ad alto rischio. I sistemi AI sono riconducibili a quest’ultima categoria qualora risultino capaci di incidere in modo sensibile sulla salute e sui diritti fondamentali delle persone fisiche. Una tale definizione non è espressamente prevista dal regolamento, ma è ricavabile dal testo dello stesso.
L’art. 6, infatti, afferma che un sistema AI rientri nella categoria c.d. ad alto rischio allorquando sia destinato a essere utilizzato come componente di sicurezza di un prodotto o sia esso stesso un prodotto, disciplinato dalla normativa di armonizzazione dell’Unione Europea per come individuata dall’Allegato II e sottoposto a una valutazione di conformità ex ante da parte di terzi o, ancora, in casi di sistemi AI indipendenti, utilizzati in ambiti strategici e con potenziali ripercussioni sui diritti fondamentali, per come individuati dall’Allegato III.
Tra questi ultimi si ritrovano sistemi utilizzati come componenti di sicurezza nella gestione del traffico stradale e nella fornitura di acqua, gas, riscaldamento ed elettricità, nonché sistemi adoperati in settori quali l’istruzione, il lavoro, l’accesso a prestazioni e servizi pubblici e privati essenziali, tutte le volte in cui il ricorso ai sistemi di IA sia in qualche modo strumentale a operare una valutazione o selezione delle persone nell’esercizio di diritti o nel godimento di determinate prestazioni in tali settori.
Tale categoria costituisce forse il fulcro del Regolamento, perché ne esplica gli intenti e ne esplicita l’approccio, ma soprattutto costituisce il centro d’interesse del presente contributo. E questo in ragione dei nuovi adempimenti che graveranno sui fornitori (e quindi sull’impresa), aggiungendosi ai già numerosi obblighi esistenti in capo a questi ultimi. Per le pratiche di IA più rischiose – ma comunque ammesse – il legislatore europeo ha infatti disegnato un sistema diretto a gestire tale rischio, articolandolo «sul rispetto di particolari standard di sicurezza, nonché di procedure dirette tanto a far ottenere al sistema una validazione preventivaquanto a garantire il rispetto costante dei requisiti richiesti nel momento in cui è immesso sul mercato».
Dopo averli individuati, l’AI Act detta una serie di requisiti stringenti per l’utilizzo dei sistemi di AI ad alto rischio, sottoposti ad una procedura di valutazione prima di essere immessi sul mercato e a costante monitoraggio durante il ciclo di vita. In particolare, la conformità ai requisiti richiesti dalla legge sarà valutata in relazione alla finalità prevista dal sistema IA e al sistema di gestione del rischio.
In altre parole, un sistema proattivo, che si regge su una serie di obblighi differenziati in capo ai soggetti coinvolti nell’immissione sul mercato o nella messa in servizio dei sistemi rientranti nella categoria.
3. IL SISTEMA DI GESTIONE DEL RISCHIO E GLI SPECIFICI OBBLIGHI DI COMPLIANCE GRAVANTI SULLE IMPRESE
Effettuate tali necessarie premesse è ora giunto il momento di descrivere nel dettaglio in cosa consista, o meglio, in quali termini l’AI Act abbia strutturato il sistema di gestione del rischio in relazione ai sistemi più rischiosi.
Il sistema di gestione del rischio, ai sensi dell’art. 9, par. 2, del Regolamento, viene definito come «un processo iterativo continuo eseguito nel corso dell’intero ciclo di vita di un sistema di IA ad alto rischio, che richiede un aggiornamento costante e sistematico». Esso comporta la realizzazione di una serie di attività volte all’identificazione, alla stima e alla valutazione dei rischi (noti e prevedibili) che possono derivare dall’utilizzo del sistema, sia quando usato conformemente alla sua finalità, sia quando utilizzato in maniera impropria ma ragionevolmente prevedibile. Inoltre, sempre secondo quanto sancito dalla normativa, devono essere valutati anche gli altri eventuali rischi derivanti dall’analisi dei dati raccolti dal sistema di monitoraggio successivo all’immissione.
Una volta conclusa l’analisi dei suddetti rischi, è necessario che vengano adottate le adeguate misure di gestione. Queste devono essere tali che il rischio residuo significativo associato a ciascun pericolo, nonché il rischio residuo complessivo, siano considerati accettabili in relazione ad un utilizzo del sistema IA ad alto rischio conforme alla sua finalità prevista o ad un uso improprio ragionevolmente prevedibile (art 9, par. 4).
Si prevedono, inoltre, ulteriori requisiti, che attengono: alla qualità dei set di dati utilizzati per lo sviluppo dei sistemi di IA ad alto rischio (art. 10); alla redazione, prima dell’immissione sul mercato o della messa in servizio, della documentazione tecnica che attesti la conformità del sistema ai requisiti prescritti e che trasmetta alle autorità competenti le informazioni utili a un simile controllo (art. 11); alla dotazione di meccanismi automatici di registrazione degli eventi per tutta la vita del sistema di IA, così da assicurare la tracciabilità delle operazioni (art. 12); alla trasparenza del sistema, tale da garantire agli utenti di «interpretare l’output del sistema e utilizzarlo adeguatamente» (art. 13); alla progettazione e sviluppo del sistema anche mediante strumenti di interfaccia uomo-macchina adeguati, in modo tale che possano essere efficacemente supervisionati da persone fisiche durante il loro utilizzo (art. 14); alla progettazione e sviluppo in modo tale da conseguire, alla luce della loro finalità prevista, un adeguato livello di accuratezza, robustezza e cyber-sicurezza e da operare in modo coerente con tali aspetti durante tutto il loro ciclo di vita (art. 15).
Il Regolamento definisce una ampia serie di oneri e responsabilità in capo a tutti i soggetti a vario titolo coinvolti nel ‘processo di vita’ del sistema AI. È utile dar conto del fatto che la versione definitiva del Regolamento, così come emendata dal Parlamento europeo nel giugno 2023, ha sostituito la nozione di utenticon quella di operatori, categoria più ampia che ricomprende anche i fornitori, gli importatori, i distributori e rappresentanti organizzati.
- I produttori e i fornitori di IA sono responsabili della conformità dei loro prodotti ai criteri stabiliti dall’AI Act, soprattutto in termini di sicurezza, affidabilità e trasparenza, con un’enfasi particolare sui sistemi classificati come ad alto rischio. Questo comporta l’adozione e l’implementazione dei (già citati) processi di valutazione e gestione del rischio, la garanzia dell’etica nell’uso dei dati, la fornitura di documentazione dettagliata sul funzionamento dei sistemi di IA, nonché l’adempimento di ulteriori obblighi di monitoraggio, correzione e informazione sul funzionamento del sistema (artt. 16-23).
- I rappresentanti autorizzati, importatori e distributori hanno il compito di assicurare che i sistemi IA che entrano nel mercato europeo rispettino le norme dell’AI Act. Qualora ritenga che il sistema Ai non rispetti i requisiti prescritti dalla legge, l’importatore dovrà astenersi dall’immetterlo sul mercato e potrà essere sentito dall’autorità per fornire le informazioni sul sistema.
- Le aziende che utilizzano sistemi di IA devono assicurarsi di impiegarli in maniera responsabile e conforme alle normative. Ciò comporta la necessità di monitorare l’uso dell’IA per prevenire rischi, formare il personale su aspetti etici e di sicurezza legati all’IA, e valutare attentamente le decisioni relative all’acquisto o allo sviluppo di nuove tecnologie di intelligenza artificiale.
- Gli utenti devono utilizzare questi sistemi in maniera conforme, tenendo conto di sicurezza ed etica.
4. LA VALUTAZIONE DI IMPATTO SUI DIRITTI FONDAMENTALI (F.R.I.A) PREVISTA DALL’AI ACT
In conclusione alla presente analisi si ritiene necessario soffermarsi su una delle novità più significative introdotte dalla normativa in esame. Si tratta dell’obbligo di «valutazione d’impatto sui diritti» (fundamental rights impact assessment – FRIA), che riveste un ruolo centrale nella struttura del Regolamento, ponendosi quale nuovo strumento nella messa in servizio dei sistemi IA ad alto rischio e aggiungendosi alla già ingente quantità di obblighi gravanti sull’utente.
Esso consiste in una valutazione che tenga conto dell’impatto sui diritti fondamentali e che sia strumentale all’adozione di un piano dettagliato sulle strategie da adottare per eliminare o ridurre i rischi derivanti dall’utilizzo del sistema, e più in generale, al sistema di governance che sarà attuato dall’operatore. La sua funzione principale è infatti quella di identificare preventivamente i potenziali rischi legali derivanti dall’utilizzo di sistemi AI, con l’obiettivo di mitigarli prima che possano manifestarsi.
Il processo è disciplinato dall’art. 29a del Regolamento, il quale identifica con precisione chi è tenuto a svolgere tale valutazione e in quali contesti essa divenga necessaria. Nello specifico, la norma impone ai ‘distributori’ (deployers) di sistemi di AI ad alto rischio – siano essi enti di diritto pubblico o operatori privati che offrono servizi alla collettività – di calcolare gli effetti che un sistema AI può avere sui diritti fondamentali delle persone potenzialmente impattate dal sistema stesso. La scelta di imporre tale obbligo in capo alla figura del distributore deriva dalla necessità di identificare i rischi più rilevanti che potrebbero non essere stati ‘mappati’ durante la fase di sviluppo del sistema.
Secondo quanto espressamente stabilito dal Regolamento, il distributore ha il compito di descrivere il processo in cui verrà utilizzato il sistema AI, specificandone la durata e la frequenza. La valutazione deve inoltre identificare le categorie di persone fisiche e i gruppi che potrebbero essere direttamente coinvolte dall’uso del sistema nel contesto specifico.
L’obiettivo centrale è quello di individuare i rischi specifici di danno che potrebbero avere un impatto rilevante sulle categorie di persone identificate, per poter così delineare idonee misure di mitigazione e rimedio.
Una volta effettuata tale valutazione, ai sensi dell’art. 29a, par. 3, il distributore ha l’obbligo di notificarla alle autorità di sorveglianza del mercato.
Lo strumento della valutazione d’impatto esprime dunque, ancora una volta e in maniera chiara, la ratio della disciplina, che è sempre incentrata sul bilanciamento tra sviluppo della tecnologia e rispetto dei diritti fondamentali.
5. CONCLUSIONI
Da questa breve disamina – per la cui analisi più approfondita rinvia a contributi maggiormente specifici – emerge con chiarezza l’effetto che l’AI Act avrà sulle imprese, e in particolare sui profili di responsabilità da reato eventualmente configurabili in capo a queste.
Si è visto a quali obblighi ed oneri saranno sottoposte le imprese coinvolte nell’immissione del sistema AI sul mercato.
L’AI ACT ha, in altre parole, strutturato un sistema di gestione fondato sulla compliance. Un approccio tipico nel contesto della regolamentazione dell’attività d’impresa, dove è necessario contemperare interessi contrapposti e dove la valutazione e l’analisi del rischio assumono un ruolo centrale nella corretta gestione del rischio.
Attraverso questo meccanismo il Regolamento, pur non spiegando efficacia diretta in materia penale, sembra però ritagliare aree di ‘rischio consentito’ secondo una logica di precauzione, legata ad una ‘presunzione di conformità’ del sistema in caso di prodotto conforme alle norme, su cui le imprese dovranno basarsi per produrre e immettersi sul mercato.
Un modello così strutturato, imponendo numerosi obblighi e attività di gestione del rischio in capo ai soggetti coinvolti – i quali, tuttavia, assumeranno spesso la veste dell’impresa – delinea contemporaneamente un complesso sistema di responsabilità, con ricadute anche in ambito penale. La mancata adozione di determinate cautele preventive potrebbe dar vita a specifiche forme di responsabilità a carico dei soggetti deputati ad occuparsene, nonché dell’ente.
Infatti, non manca chi sostiene la necessità di valorizzare l’apparato organizzativo dei soggetti preposti allo sviluppo e all’utilizzo dell’IA in funzione preventiva, guardando eventualmente anche alla colpa di organizzazione quale istituto utile ad anticipare la rilevanza del rischio da cattivo utilizzo dell’IA alla dinamica organizzativo-produttiva interna dell’impresa.
È chiaramente troppo presto per sviluppare delle considerazioni circa la ‘buona’ o ‘cattiva’ riuscita dell’intento del Legislatore europeo.
Di certo se ne deve sottolineare in termini positivi la volontà di predisporre un testo organico, che non si limiti a disciplinarne meri ambiti settoriali.
Dall’altro lato, si rileva ancora il rischio che una normativa ‘rigida’, imposta dall’alto, non sia in grado di stare dietro alla velocità di evoluzione di una tecnologia così dirompente. Il pericolo è che il Regolamento finisca per ‘correre dietro senza sosta’ alla realtà empirica, con annessa scarsa efficacia.
In attesa di esplorare adeguatamente i profili di reciproca integrazione tra le disposizioni del Regolamento e il quadro normativo nazionale e sovranazionale che eventualmente verrà in considerazione, si sottolinea l’inversione di tendenza rispetto all’approccio finora seguito nella (non) regolamentazione dell’intelligenza artificiale, contrassegnata da una preponderanza di strumenti di soft law.
In conclusione, la scelta effettuata dal legislatore europeo, oltre agli effetti in termini di oneri e connessa responsabilità già illustrati, spinge verso una compliance sempre più integrata, al rafforzamento della cultura del rischio e alla conseguente prevenzione dello stesso.