Il 12 luglio 2024 è stato pubblicato in Gazzetta Ufficiale UE il regolamento europeo n. 2024/1689 sull’Intelligenza Artificiale (AI Act), il primo intervento del legislatore europeo per l’introduzione di una normativa vincolante che promuove un’intelligenza artificiale antropocentrica, volta a stabilire un quadro di riferimento affidabile, in grado di attuare standard etici, di sostenere i posti di lavoro, di contribuire a costruire un’intelligenza artificiale competitiva “made in Europe” e di influenzare gli standard globali.
Si tratta del primo obiettivo della “strategia digitale UE”, diretta a rafforzare la sovranità digitale dell’Unione europea e stabilire standard applicabili a tutti gli operatori all’interno del mercato unico.
L’AI Act disciplina la fase di elaborazione del sistema di intelligenza artificiale e di successiva immissione nel mercato UE, senza affrontare il tema della responsabilità dell’intelligenza artificiale, questione ancora in fase di discussione a livello europeo. L’AI Act prevede pertanto tutta una serie di obblighi rivolti non solo ai produttori e ai distributori di tali sistemi, ma anche ai c.d. deployers, ovvero gli utilizzatori in ambito professionale.
Vengono innanzitutto definiti i “sistemi di intelligenza artificiale”, per tali intendendosi sistemi automatizzati, progettati «… per funzionare con livelli di autonomia variabili…», che possono«…presentare adattabilità dopo la diffusione» e che, per obiettivi impliciti o espliciti, deducono, a partire da input ricevuti, il modo di «… generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali». Rientrano quindi nella definizione sia i sistemi di IA generativa sia i sistemi basati su big data e algoritmi.
L’AI Act è impostato su un’architettura di rischi connessi all’uso dell’intelligenza artificiale per i diritti e le libertà fondamentali, parametrando gli obblighi cui tali sistemi dovranno sottostare in relazione al loro grado di pericolosità (cd. “risk based approach”). Sulla base di tale approccio, il rischio può essere:
- inaccettabile, se si tratta di sistemi di intelligenza artificiale volutamente manipolativi e ingannevoli e che hanno l’obiettivo di distorcere materialmente il comportamento degli utilizzatori, pregiudicando la loro capacità di prendere decisioni informate;
- alto, quando si tratta di sistemi di intelligenza artificiale che influiscono negativamente sulla sicurezza o sui diritti fondamentali; sono suddivisi in sistemi (i) utilizzati in prodotti che rientrano nella legislazione UE sulla sicurezza dei prodotti (es: giocattoli, aviazione, automobili, dispositivi medici) e (ii) che trovano applicazione nell’ambito di settori determinati, quali infrastrutture critiche, istruzione e formazione professionale, occupazione, gestione della immigrazione;
- basso, se si tratta di sistemi di intelligenza artificiale che interagiscono con persone fisiche, ma non presentano particolari rischi sulla sicurezza o sui diritti fondamentali degli utenti;
- minimo, quando non pongono alcun tipo di rischio per le libertà o i diritti fondamentali.
Mentre i sistemi di intelligenza artificiale che pongono un rischio “inaccettabile” non sono ammessi, quelli di rischio “alto” sono soggetti al rispetto di una serie di requisiti relativi, tra gli altri, alla cybersicurezza, alla trasparenza, all’allenamento del sistema, all’uso dei dati. Il rispetto degli standard imposti dall’AI Act consentirà a tali sistemi di beneficiare di una presunzione di conformità a tutti gli obblighi previsti dal Regolamento. I sistemi di intelligenza artificiale che pongono un rischio “basso”, invece, sono soggetti soltanto al rispetto delle regole di trasparenza previste nell’AI Act, mentre i produttori e distributori di sistemi IA che pongono un rischio “minimo” non hanno particolari obblighi, salvo poter comunque aderire ai codici di condotta di volta in volta elaborati.
Per garantire la corretta applicazione del Regolamento, l’AI Act prevede che ogni Stato Membro designi un’autorità nazionale responsabile, che possa operare di concerto con il Comitato Europeo per l’Intelligenza Artificiale, composto da rappresentanti degli Stati Membri e dalla Commissione UE. In Italia le autorità che potrebbero essere incaricate quali “Autorità nazionali per l’intelligenza artificiale” ai sensi dell’AI Act sono l’Agenzia per l’Italia digitale (AgID) e all’Agenzia per la cybersicurezza nazionale (ACN).
L’AI Act entrerà in vigore il 1° agosto 2024 (decorsi 20 giorni dalla pubblicazione) ma per l’attuazione sono previste tempistiche differenti. In estrema sintesi, entreranno in vigore:
- decorsi sei mesi (1° febbraio 2024), le disposizioni relative ai principi generali e ai divieti di utilizzo di sistemi di intelligenza artificiale (Capi I e II);
- decorsi dodici mesi (1° agosto 2025), le disposizioni relative alla nomina delle autorità di notifica e all’istituzione degli organismi notificati, ai modelli di intelligenza artificiale per finalità generali e alle sanzioni applicabili (Capi III, sezione 4, Capo V e Capo XII, ad eccezione dell’art. 101, che disciplina le sanzioni pecuniarie per i fornitori di modelli di intelligenza artificiale per finalità generali);
- decorsi trentasei mesi (1° agosto 2027), le disposizioni relative alle regole di classificazione per i sistemi di intelligenza artificiale ad alto rischio (art. 6, par. 1 ed i corrispondenti obblighi previsti dall’AI Act).
Nel frattempo, è attesa la legge italiana sulla base del disegno approvato dal Consiglio dei Ministri il 23 aprile 2024 per l’introduzione di disposizioni e delega al Governo in materia di intelligenza artificiale. Tale norma è finalizzata a completare, e non a sovrapporsi al, quadro regolatorio dell’AI Act all’interno dell’ordinamento italiano, intervenendo nei seguenti ambiti: definizione della strategia nazionale, designazione delle autorità nazionali, azione di promozione e introduzione di norme per specifici settori (ad esempio, in materia di diritto d’autore e di diritto del lavoro).
