In data 13 marzo 2024 il Parlamento Europeo ha approvato, a larga maggioranza, il testo definitivo del Regolamento Europeo sull’intelligenza artificiale (cd. AI Act), la prima normativa al mondo che mira a disciplinare in modo organico il settore degli agenti intelligenti. Il Regolamento – che attende ora l’approvazione finale del Consiglio e la revisione dei giuristi-linguisti – dovrebbe essere pubblicato nella Gazzetta Ufficiale dell’Unione Europea entro la fine dell’attuale legislatura, per entrare in vigore nel 2026, eccezion fatta per i divieti relativi alle pratiche vietate che si applicheranno a partire da sei mesi successivi, ai codici di buone pratiche (nove mesi dopo) e alle norme sui sistemi di IA per finalità generali, compresa la governance (dodici mesi dopo) e gli obblighi per i sistemi ad alto rischio (trentasei mesi dopo).
In generale, il Regolamento si fonda sul cd. risk based approach ossia sull’individuazione di diversi profili di rischio a seconda delle differenti tipologie di sistemi di A.I., si pone l’obiettivo di realizzare un bilanciamento tra innovazione e protezione, concentrandosi sulle applicazioni con il maggior potenziale di danno per l’essere umano, individuando specifiche misure a seconda dei casi e mantenendo quali capisaldi trasparenza, affidabilità e human accountability.
A questo scopo, i criteri di classificazione del rischio – inteso come eventualità di un danno arrecato a un determinato settore o interesse tutelato dalla legislazione – prevedono tre possibili impatti nei diritti fondamentali: basso o minimo, alto ed inaccettabile. In particolare, i sistemi di A.I. che determinano un rischio inaccettabile sulla sicurezza, i mezzi di sussistenza ed i diritti delle persone sono assolutamente vietati, così come parimenti vietata è l’immissione sul mercato, la messa in servizio di sistemi atti ad operare la manipolazione comportamentale cognitiva (mediante tecniche subliminali e comunque ingannevoli) o lo sfruttamento delle vulnerabilità; la categorizzazione o l’identificazione biometrica da remoto ed «in tempo reale», in spazi accessibili al pubblico (con cui l’algoritmo è uno strumento di rilevazione a distanza delle persone fisiche mediante il confronto di dati biometrici detenuti all’interno di dataset mondiali, con l’unica eccezione delle situazioni di minaccia di attacco terroristico, ricerca di vittime di reati gravi o prosecuzione di seri crimini associativi); lo scraping non mirato delle immagini facciali da internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale; il riconoscimento delle emozioni sul luogo di lavoro e negli istituti scolastici (eccetto per motivi medici o di sicurezza, come il monitoraggio dei livelli di stanchezza di un pilota); il social scoring (per attribuire l’affidabilità di un gruppo di persone), la categorizzazione biometrica per dedurre dati sensibili (come ad esempio, quelli sanitari, l’orientamento sessuale o religioso). Al contrario, i sistemi ad alto rischio sono sistemi che possono potenzialmente avere ripercussioni negative sulla sicurezza delle persone o sui loro diritti fondamentali (così come disciplinati nella Carta dei diritti fondamentali dell’UE), ma che superano un attento vaglio di conformità ai requisiti obbligatori dell’affidabilità, determinata in termini di accuratezza, robustezza, trasparenza e tracciabilità. tra i sistemi ad alto rischio rientrano quelli di identificazione biometrica remota (al di fuori delle categorie vietate); quelli utilizzati come componenti di sicurezza nella gestione e nel funzionamento delle infrastrutture critiche digitali, nel traffico stradale delle nuove smart roads, nonchè quelli relativi alla valutazione dell’occupazione, la gestione dei lavoratori e l’accesso al lavoro autonomo. Infine, troviamo i sistemi di A.I. a rischio minimo (come videogiochi o filtri spam) saranno esenti da obblighi, ferma restando il dovere di rispetto dei diritti fondamentali.
Al contempo, consapevole dell’impossibilità di fermare il progresso, l’AI Act subordina la distribuzione e l’utilizzo dei sistemi IA ad alto rischio a una serie di controlli ex ante aventi ad oggetto il rispetto dei requisiti stabiliti dalla legge per ottenere l’accesso al mercato dell’Unione Europea.
Il controllo sulla regolamentazione di questi sistemi sarà attribuito all’Ufficio per l’Intelligenza artificiale, presso la Commissione, il cui personale sarà supportato da un gruppo di ricerca scientifico composto dai più alti esperti indipendenti. Accanto all’Ufficio per l’IA., verranno costituiti un Comitato composto dai rappresentanti degli Stati membri che fungerà da raccordo e coordinamento con l’Unione in qualità di organo consultivo della Commissione, e un forum consultivo formato da stakeholders come, ad esempio, grandi aziende europee del settore, PMI, Startup, mondo accademico, studiosi ed esperti della materia.
Per rendere cogente la normativa prevista nel Regolamento, è altresì previsto uno specifico apparato sanzionatorio, con sanzioni pecuniarie quantificate anche sul fatturato annuo globale nell’esercizio finanziario precedente: 35 milioni di euro, o il 7%, per le violazioni relative ad applicazioni di A.I. vietate, 15 milioni di euro o il 3% per violazioni degli obblighi del regolamento sull’A.I. e 7,5 milioni di euro o l’1,5% per la fornitura di informazioni inesatte, somme non certo irrisorie, anche per le più virtuose e floride società europee. (S.T. e A.B.)
Il comunicato stampa è disponibile al seguente link, mentre il testo approvato nella versione italiana – in attesa della pubblicazione in Gazzetta Ufficiale – è reperibile qui
