Lo scorso 14 giugno è arrivato dal Parlamento europeo l’atteso voto di approvazione della proposta di regolamento della Commissione sul Regolamento in materia di Intelligenza Artificiale (Artificial Intelligence Act), primo storico provvedimento con l’obiettivo di dettare una disciplina generale in materia.
Il Parlamento ha dunque formalizzato gli emendamenti alla proposta frutto del lavoro delle Commissioni competenti, con importanti novità di rilievo sostanziale che pure si inseriscono nel mantenuto impianto risk based, fondato su una classificazione piramidale dei vari usi dell’IA in base al rischio che dagli stessi deriva: pratiche vietate, sistemi IA ad alto rischio e basso/minimo rischio.
Tra le modifiche di maggior rilievo rispetto alla proposta del 2021 si segnala, innanzitutto, l’estensione dell’elenco delle pratiche vietate e dei sistemi ad alto rischio. Quanto alle prime, i deputati europei, rispetto alle bozze precedenti, hanno esteso i divieti a:
- sistemi di identificazione biometrica in tempo reale e a posteriori in aree pubbliche;
- sistemi di categorizzazione biometrica basati su genere, etnia, cittadinanza, religione, credo politico;
- sistemi di polizia predittiva;
- sistemi di riconoscimento delle emozioni nelle forze dell’ordine, nella gestione delle frontiere, nei luoghi di lavoro e nelle istituzioni educative;
- “estrazione non mirata” di dati biometrici da internet o da telecamere a circuito chiuso.
Similmente, l’elenco dei sistemi ad alto rischio di cui all’allegato III dell’AI Act è stato modificato per includere sistemi:
- utilizzati per influenzare l’esito di un’elezione o, in ogni caso, il comportamento degli elettori; e
- utilizzati dalle piattaforme di social media “di grandi dimensioni” ai sensi del Digital Services Act (very large online platforms “VLOP”) nei rispettivi sistemi di raccomandazione di contenuti generati dagli utenti.
Tra le novità di maggior interesse, la nuova versione include, nell’ambito di applicazione del Regolamento, i c.d. “Modelli Foundation” e i sistemi di “IA generativa” che li utilizzano, dopo averne fornito una definizione in sede di considerando nella quale spicca il riferimento a sistemi di intelligenza artificiale con “general purpose”. Trattasi, appunto, di sistemi in grado di generare output sulla base dell’elaborazione di ampi database ed utilizzabili dall’utenza senza una specifica destinazione funzionale. Le definizioni accolte dal Parlamento risultano allineate a quelle elaborate in seno all’OCSE e nel dibattito USA, scelta figlia dell’obiettivo di guidare il percorso globale di regolamentazione del settore evitando equivoci definitori.
L’esigenza di dettare una disciplina per i sistemi di IA Generativa, particolarmente sentita anche in virtù della diffusione negli ultimi mesi di ChatGPT, è sfociata nell’introduzione per gli stessi di specifici obblighi di compliance in tema di:
- trasparenza (con l’obbligo di rivelare che il singolo contenuto è stato generato dall’AI);
- garanzie contro la generazione di contenuti illegali; e
- in materia di diritto d’autore, con l’obbligo di rendere pubblici riepiloghi sufficientemente dettagliati dei dati protetti da copyright utilizzati per lo sviluppo dei contenuti.
Anche per quanto riguarda il profilo sanzionatorio, il testo licenziato dal Parlamento vede una stretta ulteriore, con un aumento delle sanzioni massime per violazione dei divieti, elevate fino a 40 milioni di euro o fino al 7% del fatturato globale annuo in caso di società. Se invece non sono rispettate le norme relative alla data governance (art. 10) e alla trasparenza e fornitura di informative agli utenti (art. 13), la sanzione può arrivare fino a 20 milioni di euro o al 4% del fatturato globale annuo.
Il tentativo del legislatore è stato quello di bilanciare un generalizzato maggior rigore della disciplina con l’esigenza di non frenare l’innovazione, come dimostra il fatto che il testo “promuove i cosiddetti spazi di sperimentazione normativa, o ambienti di vita reale, creati dalle autorità pubbliche per testare l’AI prima che venga implementata” e garantisce esenzioni alle attività di ricerca, fondamentali per sostenere la crescita, specie di piccole e medie imprese in ambito di intelligenza artificiale.
Manca dunque adesso l’ultimo chilometro prima dell’approvazione definitiva e dell’entrata in vigore del Regolamento. A questo voto del Parlamento segue l’inizio del trilogo con il Consiglio e la Commissione, che cercheranno di raggiungere un accordo possibilmente entro la fine del 2023.
In attesa dell’entrata in vigore del provvedimento, la vicepresidente della Commissione Ue Margrethe Vestager e il Segretario di Stato americano Antony Blinken, nella conferenza stampa al termine del Consiglio Ue-Usa su Commercio e Tecnologica, hanno annunciato la volontà di presentare una prima bozza per un codice di condotta comune sull’Intelligenza Artificiale, cui le aziende potranno aderire su base volontaria