x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Il nuovo Regolamento sull’Intelligenza Artificiale: perché, com’è e quanto costa

ambienti
Ph. Cinzia Falcinelli / ambienti

Altri articoli dell'autore

Diritto /

Galeotto fu Google Street View

Diritto /

Geolocalizzazione dei dipendenti: il ruolo della DPIA va valorizzato

Diritto /

Chiamate tra operatori e consumatori: per il Garante francese sono registrabili senza consenso

Il 21 aprile 2021 la Commissione Europe ha presentato la propria proposta di Regolamento europeo sull’Intelligenza Artificiale, volto ad introdurre una disciplina unanime e condivisa tra gli Stati Membri nell’ottica di garantire i diritti e le libertà fondamentali di tutti i cittadini europei.

Se approvato, il Regolamento introdurrà un set di obblighi particolarmente significativi relativamente ai sistemi AI, che ricalcheranno l’approccio del Regolamento europeo sulla protezione dei dati.

Vediamo i principali punti della proposta.

 

Ambito di applicazione

Nel progetto della Commissione, il Regolamento dovrebbe applicarsi praticamente a ogni soggetto appartenente alla filiera, dunque:

  1. Provider dei sistemi AI;
  2. Chiunque utilizzi i sistemi;
  3. Produttori, importatori e distributori dei sistemi.

Al pari del GDPR, l’ambito di applicazione territoriale del Regolamento non si esaurirà ai soli soggetti stabiliti in UE, estendendosi anche a tutti coloro che, pur non essendo radicati sul territorio europeo:

  • Mettono in commercio il sistema AI nell’Unione; o
  • Implementano un sistema AI i cui effetti si producono sul territorio dell’Ue.

 

Approccio based-risk

Il progetto disciplina i sistemi AI raggruppandoli in vere e proprie categorie based-risk:

  1. Rischio inaccettabile;
  2. Rischio alto;
  3. Rischio limitato;
  4. Rischio minimo.

A seconda dell’appartenenza a una di queste classi, il sistema dovrà rispettare i relativi obblighi.

 

Rischio inaccettabile

I sistemi AI a rischio inaccettabile per i diritti e le libertà dei cittadini UE saranno sostanzialmente banditi.

Rientrano in questa classe:

  • Sistemi AI che circonvengono il comportamento dell’utilizzatore manipolandone il comportamento. La Commissione fa l’esempio dei giocattoli con assistente vocale che incoraggiano i bambini a comportamenti pericolosi. 
  • Sistemi AI utilizzati per individuare le vulnerabilità di uno specifico gruppo ai fini di danneggiarlo;
  • Sistemi AI di social scoring “in senso stretto”, ovverosia che utilizzano i dati raccolti correlati a un determinato ambito per categorizzare l’individuo in relazione a servizi riferibili ad ambito diverso rispetto al primo. Si pensi all’utilizzo dei dati di videosorveglianza raccolti su un treno per attribuire un punteggio sociale al cittadino a cui possa poi farsi riferimento per consentire o inibirne l’accesso a manifestazioni sportive.

 

Rischio alto

I sistemi rientranti in questa classe verranno definiti sulla base dell’utilizzo che potrebbe esserne fatto.

Così, sono considerati sistemi AI ad alto rischio quanti verranno utilizzati in riferimento alle seguenti aree:

  1. Infrastrutture critiche (ad es. trasporti) che potrebbero mettere a rischio la vita dei cittadini;
  2. Sistema scolastico, che potrebbero inibire o limitare l’accesso all’istruzione (ad es. sistemi di scoring degli esami);
  3. Componentistica di sicurezza dei prodotti (ad es. applicazioni per i robot di chirurgia plastica);
  4. Recruiting dei candidati (ad es. sistemi AI per la scrematura dei curriculum);
  5. Amministrazione della giustizia (ad es. sistemi per la valutazione delle prove);
  6. Accesso a servizi essenziali (ad es. Sistemi AI per il credit rating).

L’allegato III della proposta individua aree ed utilizzi a rischio alto a cui fare riferimento e verrà aggiornato su base annuale dalla Commissione.

Tutti questi sistemi dovranno rispettare precisi obblighi e limiti, fra i quali si individuano:

  • Risk assessment adeguato e adozione di misure di sicurezza;
  • Garantire la correttezza dei data-sets e minimizzare il rischio di risultati discriminatori;
  • Garantire la tracciabilità dei risultati mediante sistemi di logging;
  • Set documentale che illustri chiaramente tutte le caratteristiche del sistema, nell’ottica di favorire la verifica delle autorità di controllo in ordine alla compliance del sistema;
  • Informativa chiara e trasparente agli utenti;
  • Misure robuste di cybersecurity.

Per i sistemi AI di riconoscimento facciale biometrico utilizzati dalle forze dell’ordine per ragioni di law enforcement, pur rientrando in questa classe, i limiti saranno molto più stringenti. Il loro utilizzo da parte della pubblica autorità sarà consentito solo in casi eccezionali, quali la ricerca di un soggetto smarrito o ai fini di prevenzione di una specifica ed imminente minaccia terroristica.

A riguardo, il Garante Europeo ha manifestato un po’ di malumore verso la scelta della Commissione di non inibire completamente l’utilizzo di questi strumenti, ritenendoli misure di sorveglianza di massa che avrebbero meritato limiti ulteriori rispetto a quelli correlati al solo utilizzo per ragioni di law enforcement.

 

Rischio limitato

Per questi sistemi viene introdotto solo un generale obbligo di informazione trasparente e chiara a vantaggio degli utenti, i quali dovranno essere facilmente messi a conoscenza di stare interagendo con un sistema artificiale. Rientrano in questa categoria i chatbot.

Oltre a questa imposizione generale, potrebbero poi accompagnarsi obblighi più specifici. Ad esempio, in riferimento ai sistemi di deep fake, dovrà essere specificato che il contenuto creato è artificiale e deriva da una manipolazione di altro contenuto.

 

Rischio minimo

Sarà libero e privo particolari obblighi l’utilizzo dei sistemi AI a rischio minimo, quali i sistemi di filtraggio spam o l’AI implementata nei videogames.

 

Controlli e sanzioni

Anche qui, le similitudini col GDPR sono lampanti.

Ogni Stato designerà la propria Autorità di controllo mentre a livello centrale sarà creato il European Artificial Intelligence Board, autorità che dovrebbe ricalcare il modello dell’EDPB.

Lo stesso vale per il sistema sanzionatorio, che si articolerà su tre fasce:

  1. Per l’utilizzo dei sistemi proibiti o per la mancata implementazione dei sistemi di data governance previsti per i sistemi ad alto rischio, la sanzione potrà arrivare a 30 milioni di euro o al 6% del fatturato globale medio annuo;
  2. per la violazione degli altri obblighi, l’ammontare arriva fino a 20 milioni o il 4% del fatturato globale medio annuo;
  3. Per la violazione degli obblighi informativi o di notificazione degli eventuali incidenti di sicurezza verso le autorità di controllo, è prevista una fascia sanzionatoria ad hoc che può arrivare a 10 milioni o al 2% del fatturato globale medio annuo.

 

Tempi e costi

Dato che l’iter legislativo europeo potrebbe avere una durata massima di 18 mesi, il Regolamento definitivo potrebbe arrivare nel 2022. A ciò si aggiunga che, data la sua portata, il legislatore europeo potrebbe ragionevolmente prevedere un periodo di adeguamento a vantaggio dei consociati, durante il quale il Regolamento sarebbe sospeso nella sua efficacia. Se questo periodo fosse di 2 anni, come è stato per il GDPR, gli effetti del Regolamento potrebbero dover attendere il 2024 inoltrato prima di iniziare a dispiegarsi.

Inutile dire che per un settore come quello dell’intelligenza artificiale, il Regolamento rischierebbe quindi di nascere già obsoleto.

Che costi potrebbe avere per le imprese europee? Secondo uno studio ufficiale realizzato per la Commissione, il costo potrebbe essere pari al 17% del valore degli investimenti totali effettuati in intelligenza artificiale.

Articoli più letti su questo argomento

Diritto /

Attacco hacker ai sistemi informatici della regione Lazio: arrivano le sanzioni del Garante Privacy

Diritto /

Videosorveglianza e servitù: legittima anche senza il permesso di chi ha la servitù di passaggio

Diritto /

La tecnica del bilanciamento nel difficile equilibrio tra accesso agli atti amministrativi e tutela della privacy

Newsletter Abbonamenti