Counsel Rome
"In un quadro normativo tanto incerto ed in evoluzione come quello dell’AI, gli strumenti di soft law e autoregolamentazione risultano punti di riferimento essenziali, sia per la tutela delle aziende del settore che a salvaguardia della posizione degli organi gestori."
CapAI consiste nella definizione – affidata ad un report pubblicato lo scorso 25 marzo – di una innovativa metodologia di auditing che consente agli operatori del settore di misurare la conformità alla regolamentazione di matrice europea dei sistemi di intelligenza artificiale (“AI”) utilizzati, ed eventualmente di condividere con la clientela delle schede di valutazione in ottica di reliability.
Gli autori si rivolgono nello specifico a due categorie di destinatari, distinte sulla base dei diversi livelli di rischio individuati nella proposta (“Proposta”):
(a) produttori e fornitori di sistemi di AI ad alto rischio, al fine di verificare e dimostrare, ad esito di controlli interni, la compliance ai requisiti richiesti dall’AIA per l’immissione sul mercato;
(b) produttori e fornitori di sistemi a basso rischio, non soggetti a tali valutazioni di conformità, per accertare il rispetto degli impegni fissati dai propri codici di condotta.
Il tratto essenziale che domina il report è la scelta, coerente con la Proposta di Regolamento di un approccio ethic-based: obiettivo principe di capAI è tradurre principi etici (che hanno una rilevanza giuridica) in criteri che permettano concretamente di verificare se un sistema di AI possa essere considerato rispettoso dei valori e diritti fondamentali dell’UE e quindi affidabile.
Il criterio dell’affidabilità viene considerato nel report quale formula di sintesi omnicomprensiva, che si declina in tre profili di valutazione dei sistemi che dovranno risultare: “legally compliant, ethically sound, and technically robust”. Nell’indagare la conformità agli stessi, la procedura di auditing prende in considerazione l’intero ciclo di vita dei prodotti, suddivisibile nelle cinque fasi di design, development, evaluation, operation, e retirement.
La valutazione condotta su ognuna delle fasi risulta nella produzione di tre documenti, che gli operatori possono sfruttare per dimostrare l’aderenza dei propri prodotti all’AIA:
(i) Un protocollo di revisione interna (Internal Review Protocol, “IRP”), che consente di valutare gli strumenti di cui l’operatore dispone per prevenire eventuali guasti ed i processi di correzione degli stessi. Tale documento, pur concepito per rimanere riservato, può comunque assumere rilevanza esterna, ad esempio in sede di contrattazione B2B o contenzioso;
(ii) Un Summary Datasheet (“SDS”), nel quale sono sintetizzate le informazioni fondamentali sul sistema. Il documento è strettamente funzionale all’ottemperanza dell’adempimento di cui all’art. 60 della Proposta, che richiede la registrazione in apposito database istituito presso la Commissione di alcuni dati essenziali relativi ai sistemi di AI ad alto rischio;
(iii) Una scheda di valutazione esterna (External Scorecard, “ESC”). Si tratta di uno strumento opzionale che fornisce uno sguardo d’insieme sullo stato di salute del singolo sistema per quanto concerne l’adozione di good practice ed il rispetto di principi etici.
Gli output del sistema architettato nel report dimostrano come lo stesso sia nettamente improntato ad una logica di promozione delle good practice nel mercato dell’intelligenza artificiale ed alla prevenzione dei fallimenti etici (con conseguenti rischi giuridici) cui lo stesso necessariamente si espone.
L’obiettivo di capAI è quello di garantire agli operatori una procedura di valutazione tanto articolata quanto di agevole applicazione e, soprattutto, a costi limitati, se confrontati con le potenziali conseguenze in termini di sanzioni legali. I meriti del progetto sono legati anche alle tempistiche: un anticipo così netto sull’iter ancora claudicante della Proposta consente una lunga fase di sperimentazione, con possibile attenuazione delle conseguenze dirompenti sul settore che inevitabilmente seguiranno l’entrata in vigore della disciplina.
Inoltre, nell’attuale quadro di incertezza giuridica sulla responsabilità dei vari soggetti coinvolti nel ciclo di vita dei sistemi AI (es. progettista, produttore, fornitore, utilizzatore), l’adozione di un modello interno di valutazione e prevenzione del rischio, potrà configurare un elemento a dimostrazione della condotta prudente e diligente di un’azienda.
Gli operatori del settore AI dovranno, pertanto, continuare a muoversi tenendo conto delle norme esistenti, della regolamentazione in corso di elaborazione, ma anche degli strumenti di soft law e autoregolamentazione. Questi ultimi costituiscono al momento un importante punto di riferimento in un quadro normativo incerto e in corso di definizione, sia per la tutela dell’azienda ma anche per proteggere la posizione degli organi gestori delle imprese del settore.