Dopo alcuni giorni di “pre-lettura” della bozza dovuto a un “leak” di metà aprile scorso, il 21 dello stesso mese la Commissione Europea ha ufficialmente pubblicato le sue “audaci proposte” per una compiuta regolamentazione dell’intelligenza artificiale a livello europeo[1]. Con sanzioni “suggerite” fino al 6% del fatturato globale annuo – così come nuove regole e divieti che regolano i sistemi di intelligenza artificiale ad alto rischio –, l’annuncio ha generato molto interesse e diverse critiche intra ed extra UE, con alcune speculazioni su come tale normativa impatterà sulle aziende tecnologiche che sviluppano tali sistemi e sul mondo industriale e dei servizi che dovrà utilizzarli. A causa del ruolo critico che i dati giocano nello sviluppo delle tecnologie di apprendimento automatico (Machine Learning), il futuro regolamento europeo entrerà a gamba tesa nel mondo della protezione dei dati, andando a “collaborare” con l’azione del GDPR (Regolamento UE 2016/679) a un triennio dalla sua piena applicazione. Anche se siamo agli albori del nuovo corso, ci sono alcune importanti conclusioni che possono essere tratte sul tema in oggetto.
Regolamento europeo: sistemi ad “alto rischio” e governance dei dati
Ciò che a colpo d’occhio appare evidente è che questa proposta si pone come un tentativo innovativo di regolare il futuro del mondo digitale (e non) europeo. Con il suo annuncio di questa settimana, l’istituzione di Palazzo Berlaymont ha presentato un testo inedito che, prendendo “spunto e spinta” dal White Paper[2] di un anno fa, intende porre questioni etiche sull’intelligenza artificiale, come la mitigazione dei pregiudizi (bias), la trasparenza algoritmica e la supervisione umana (e giuridicamente vincolante) sui sistemi automatizzati. Il quadro, quindi, promette di avere lo stesso profondo impatto sull’utilizzo dell’intelligenza artificiale che il GDPR ebbe sui dati personali sin dal momento della sua applicazione, il 25 maggio 2018.
La governance dei dati è parte integrante degli obblighi che si intendono applicare ai fornitori di sistemi di intelligenza artificiale ad alto rischio. Il futuro regolamento europeo richiederà ai fornitori di impiegare una serie di tecniche per i dataset che vengono utilizzati nell’addestramento (training data), nella convalida e nei test che vengono effettuati su queste tecnologie. Alla base vi sarà l’identificazione di potenziali distorsioni, il controllo delle imprecisioni e la valutazione dell’idoneità dei dati impiegati. Il massimo edittale suggerito dalla Commissione Europea per le sanzioni è, come accennato, fino al 6% del fatturato globale annuale; va da sé però che, come per il binomio “20 milioni di Euro / 4% fatturato mondiale annuo” del GDPR, l’applicazione della sanzione massima per il Regolamento sull’intelligenza artificiale sarà applicata solo in una gamma limitata di circostanze.
Indicativamente, queste circostanze includono una violazione da parte di un fornitore dei requisiti di governance dei dati, dimostrando l’importanza attribuita a questo tema dalla Commissione Europea. Inoltre, mentre l’introduzione del principio di accountability (o responsabilizzazione) da parte del GDPR è stato un significativo cambio di passo nel settore della protezione dei dati personali, richiedendo alle organizzazioni di mettere in atto misure pratiche per dimostrare la conformità alla normativa europea privacy, il futuro Regolamento sull’intelligenza artificiale si mostra ab origine ancora più ambizioso.
I fornitori di sistemi di intelligenza artificiale ad alto rischio sono tenuti a implementare una governance completa, con diversi controlli di gestione del rischio. Tutto ciò comporta la necessità di creare una strategia che miri alla conformità normativa, nonché alla conformità di procedure e tecniche per la progettazione e lo sviluppo dei sistemi di intelligenza artificiale, compreso un processo per valutare e mitigare i rischi che possono sorgere durante l’intero ciclo di vita delle macchine. Tutte le valutazioni di conformità dovranno essere intraprese per dimostrare l’aderenza ai requisiti del futuro regolamento europeo.
Un robot della Boston Dynamics
Le regole per le aziende acquirenti di sistemi di intelligenza artificiale
“Lato aziende”, l’acquisto di sistemi di intelligenza artificiale ad alto rischio da fornitori terzi comporta la soggiacenza al rispetto delle nuove regole europee. Queste regole sono sostenute dall’aspettativa che l’utente aderisca e controlli le prestazioni operative in conformità a una serie di istruzioni tecniche che saranno sviluppate dal fornitore. Tuttavia, dato che (sembra che) il contenuto di queste istruzioni sarà determinato caso per caso nel futuro regolamento, vi è il potenziale di creare una significativa incertezza per gli utenti sulla natura dei loro obblighi circa la conformità alla nuova normativa. Per i sistemi di intelligenza artificiale che non sono “proibiti” o considerati ad alto rischio, invece, la Commissione Europea ha adottato un approccio più “soft”. I fornitori di tali sistemi da un lato saranno tenuti a informare gli interessati al momento dell’interazione con i sistemi di intelligenza artificiale; dall’altro, non vi sarà necessità di fornire spiegazioni dettagliate sulla natura degli algoritmi o su come essi operano.
È probabile che sorgano preoccupazioni in relazione all’ampia portata extraterritoriale che il futuro regolamento cercherà di applicare. I fornitori con sede in paesi terzi, come gli Stati Uniti, saranno soggetti ai requisiti del futuro regolamento al momento che renderanno i loro sistemi di intelligenza artificiale disponibili sul mercato europeo. Allo stesso modo, e forse più significativamente, la nuova normativa si applicherà sia ai fornitori che agli utenti se l’output dei sistemi di intelligenza artificiale verrà utilizzato nell’Unione Europea. Questa condizione ha il potenziale di catturare un numero significativo di ulteriori aziende che non hanno presenza commerciale in Unione Europea.
È interessante notare che la Commissione ha scelto di non includere un meccanismo di sportello unico (come, ad esempio, lo “One stop shop” del GDPR). Il meccanismo avrebbe potuto potenzialmente permettere a un’unica autorità principale (una sorta di “garante dell’intelligenza artificiale”) di supervisionare la conformità delle aziende che operano in più stati membri dell’Unione Europea. Invece, il futuro regolamento prevede che ogni Stato membro dovrà costituire una o più autorità nazionali con i relativi poteri previsti dal regolamento. Questo approccio potrebbe portare alla frammentazione della supervisione dei sistemi di intelligenza artificiale che sono commercializzati e utilizzati su base transfrontaliera. Sarà quindi interessante vedere se verranno forniti ulteriori chiarimenti sui meccanismi che assicureranno un’adeguata cooperazione e coerenza tra le autorità nazionali, al di là dell’istituzione di un Comitato Europeo per l’intelligenza artificiale.
Per quanto attiene ai danni che possono colpire gli individui, la Commissione Europea ritiene che il nocumento può sorgere sia fisicamente – attraverso sistemi di intelligenza artificiale non sicuri –, sia in relazione ai rischi causati ai diritti fondamentali degli individui, come la protezione dei dati personali. Questo principio può essere visto come la base della logica dell’autorità di Bruxelles sul perché alcuni tipi di intelligenza artificiale siano stati identificati come ad alto rischio e, quindi, soggetti a nuove regole e divieti.
Parlamento europeo
Il dibattito sull’AI è appena agli inizi
L’annuncio da parte della Commissione Europea è solo l’inizio di un dibattito vitale che dovrà avvenire tra politici, governi e mondo industriale su come l’intelligenza artificiale dovrebbe essere regolata in futuro. Il prossimo passo è che la proposta sia rivista e discussa dal Consiglio e dal Parlamento Europeo. Nel frattempo, è importante che le aziende che sviluppano o utilizzano l’intelligenza artificiale si adeguino prima che il regolamento diventi applicabile (si pensi che nella proposta della Commissione manca quel periodo “di grazia” tra l’entrata in vigore e l’applicazione, come il biennio previsto al suo tempo dal GDPR).
L’intelligenza artificiale sta diventando un argomento sempre più importante per i legislatori europei, statunitensi e britannici. Le aziende dovrebbero considerare se stanno attualmente prendendo misure appropriate per gestire i rischi di distorsioni, imprecisioni e altre forme di danno nei loro sistemi di intelligenza artificiale e assicurarsi di avere controlli adeguati in atto per rispettare le normative esistenti, tra cui la protezione dei dati personali e la tutela dei consumatori.[3]
Note
- Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). European Commission. https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down-harmonised-rules-artificial-intelligence ↑
- White Paper On Artificial Intelligence – A European approach to excellence and trust. European Commission. https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_en.pdf ↑
- Why the EU’s AI regulation is a groundbreaking proposal. IAPP. https://iapp.org/news/a/why-the-eus-ai-regulation-is-a-ground-breaking-proposal/ ↑
