Normative europee

Regolamento europeo sull’intelligenza artificiale: standardizzazione e sandbox regolamentari

L’idea dell’Unione è quella di far divenire questo testo un benchmark internazionale, così come è stato il GDPR per la privacy. Ma le complicate negoziazioni su aspetti fondamentali alimentano l’incertezza sulla sua adozione in tempi brevi

Pubblicato il 23 Set 2022

Andrea Michinelli

avvocato, FIP (IAPP), LA ISO/IEC 27001

AI ACT

Pare ancora lontano il traguardo per l’ambiziosa normativa europea sull’intelligenza artificiale, viste le accese e complicate negoziazioni su aspetti fondamentali e di un certo tecnicismo, come la standardizzazione e l’uso di sandbox normative.

Il testo del Regolamento europeo, detto anche “AI Act”, è stato presentato in bozza nel 2021, è tuttora controverso e in forte discussione. Viene da chiedersi su quali frangenti si stiano concentrando le discussioni, considerato che sono stati presentanti migliaia di emendamenti alla bozza di testo iniziale da parte di tutti i gruppi parlamenti. Pare tutta in salita la ricerca di un consenso unanime sul testo finale, alimentando l’incertezza sulla sua adozione perlomeno in tempi brevi.

Facciamo il punto su alcuni aspetti oggetto di numerosi confronti, dai risvolti non certo di facile comprensione per il pubblico. È invece importante conoscerli, almeno per sommi capi, perché incideranno in maniera significativa sull’applicazione di un testo innovativo e tra i più “multiformi” della normativa internazionale sul digitale. Nondimeno l’idea dell’Unione è quella di far divenire questo testo un benchmark internazionale, così come è stato il GDPR per la privacy, portando il resto del mondo a confrontarvisi.

AI Act: il parere di ETSI

Durante le consultazioni tecniche tra soggetti ed enti coinvolti nella normazione, si fa notare il trapelato parere dell’Istituto europeo per le norme di telecomunicazione (European Telecommunications Standards Institute – “ETSI”). L’ente in questione, con sede in Francia, è uno dei principali, a livello europeo e internazionale quanto a membri iscritti, circa la standardizzazione tecnica nel settore delle telecomunicazioni (si pensi alle reti UTMS, fisse o per la convergenza di Internet). Si tratta di un organismo individuato dalla Commissione Europea per lo sviluppo di standard riconosciuti e diretti all’armonizzazione regolamentare dell’Unione. Si sa quanto nel settore tecnico-informatico sia vitale la maggiore e più condivisa standardizzazione possibile, ancor più se si pensa ai rapporti internazionali tra prodotti che potrebbero seguire differenti specifiche tecniche e rendere ardua l’interoperabilità, il dialogo tecnico tra macchine, ecc. Ne va della stessa attuabilità di determinate scelte normative.

Ebbene, è comprensibile sia stato coinvolto l’ETSI nelle consultazioni sul proposto Regolamento, assieme agli altri due enti di normazione europea pertinenti, lo European Committee for Standardisation (CEN) e l’European Committee for Electrotechnical Standardisation (CENELEC). L’obiettivo della Commissione sarebbe di delegare loro la definizione degli standard tecnici implementativi dell’AI Act.

AI Act

Il testo normativo in discussione

Per capire meglio, partiamo dalla struttura del testo normativo in discussione: oltre a circa una cinquantina di considerando, nella versione da ultimo nota si compone di circa un’ottantina di articoli. Non solo, si aggiungono ben nove allegati focalizzati su vari aspetti critici: dalle tecniche implicate nelle definizioni di AI, ai sistemi considerati “ad alto rischio”, alle normative intersecate e da armonizzare, alle dichiarazioni di conformità, ecc. Vi è previsto un meccanismo di riesame e valutazione periodica di alcuni allegati, a cura della Commissione Europea ad es. circa le definizioni e la classificazione dei sistemi, allo scopo di mantenerli il più possibile aggiornati con la rapidissima evoluzione delle prassi e tecnologie dell’AI.

Si rimanda ad altri contributi per approfondimenti generali sul testo e ultimi aggiornamenti.

Standard tecnici AI: definizioni e sistemi ad alto rischio

Si badi qui soprattutto (vedi l’allegato I all’Act) alle indicazioni tecniche collegate alle definizioni (di cui all’art. 3 della proposta), ove troviamo una ripartizione concettuale dell’AI tra machine learning, approcci knowledge-based e logic-based, approcci statistici, ecc. Ebbene, si comprende facilmente come il punto delle definizioni sia cruciale: includere o escludere determinate categorie avrà un chiaro effetto sui rischi conseguenti e sul possibile sviluppo del mercato dell’AI in Europa. Soprattutto se oltre a esservi incluse le categorie sono anche rubricate come “ad alto rischio” e, pertanto, soggette a maggiori restrizioni.

Sarebbe stata la stessa ETSI, interpellata dalla Commissione Europea con una richiesta di standardizzazione di tali elementi, a far presente la delicatezza di questa operazione: difatti ne scaturiscono importanti risvolti sia sulla sicurezza che sui diritti umani. E proprio per questo l’ETSI rimarca la necessità di un c.d. “feedback loop”, cioè un coinvolgimento degli stakeholder interessati dell’intera società, quali interlocutori primari nella ricerca di un testo condiviso su questi aspetti. Da più parti gli enti di normazione sono stati invece criticati per opacità, per una propria composizione e disciplina non certo legata a principi rappresentativi e, perciò, risulterebbero inadatti a intervenire nel contesto in parola. In sostanza, si tratta di effettuare scelte politiche (anche di tipo etico) che non possono affatto considerarsi “neutrali”: vanno vagliate anzitutto dai destinatari stessi degli effetti della normativa, dai loro rappresentanti. Soprattutto da parte degli utilizzatori dell’AI che potrebbero subirne gli effetti negativi e subire danni.

È anche vero che la normativa in parola si presenta come “orizzontale”, non effettua dei distinguo settoriali, bensì disciplina l’AI “genericamente” e non in via applicata ad aree, ambiti, settori. In tal caso, subentra il ruolo dell’ente di normazione che può aiutare, tecnicamente, circa la coerenza e l’armonizzazione dei testi tecnici tra i vari ambiti di possibile applicazione. L’ETSI considera che ogni tre mesi le definizioni dell’AI Act dovrebbero essere verificate per garantire tale coerenza: non scordiamo che nell’allegato II del testo dell’Act è presente una corposa lista delle norme oggetto di tale armonizzazione.

L’altro punto su cui è stata interpellata ETSI è l’allegato III al testo, ovvero l’elencazione dei sistemi di AI definiti “ad alto rischio”, soggetti a una disciplina più restrittiva. Ancora una volta, si fa presente che non vi sono criteri oggettivi per questa classificazione, si tratta di una scelta politica esattamente come quella definitoria. Basandosi su scelte dei valori da tutelare, le implicazioni etiche sono evidenti (basti pensare a eventuali scelte e gerarchie sui beni da proteggere di fronte ai rischi scaturenti dall’uso di AI), non certo ricavabili da qualche protocollo tecnico con pretesa, fredda oggettività. Come è noto, anche l’etica è tutt’altro che una disciplina “scientifica” o uniforme, è condizionata da fattori culturali che ne rende arduo il disegno di una matrice comune. Trovare accordo in tutta Europa sui valori comuni non è impossibile (basti pensare alla Carta dei diritti fondamentali dell’UE), va praticato un assiduo confronto politico. Ricordiamo qui che il testo stesso del Regolamento fa riferimento al lavoro del Gruppo di esperti di alto livello sull’IA istituito dalla Commissione Europea, il quale ha proposto – tra l’altro – i principi di base per un sistema di AI affidabile, oltre a un testo definitorio dell’AI (di tale contributo però resta solo parziale traccia nel testo corrente dell’Act).

ETSI sottolinea tuttavia che, in tutto questo, gli enti tecnici di normazione possono supportare nel decidere come effettuare la categorizzazione di tali valori. Non si tratta in ogni caso di una valutazione banale: alcuni sistemi potrebbero risultare conformi a standard tecnici, reputabili come relativamente sicuri per il basso rischio identificato, per poi interagire con altri sistemi di AI e ritrovarsi così a generare rischi elevati perché complessivamente combinati.

Circa la governance e la qualità dei dati, oltre alla trasparenza – tutti fattori disciplinati ad hoc nel testo dell’Act – ETSI invita il legislatore ad allineare/integrare la normativa con gli standard già esistenti e frutto di enti di normazione, come quelli ISO e IEC (basti pensare ad es. all’ISO 25012 proprio sulla qualità dei dati informatici). Per le segnalazioni di incidenti e malfunzionamenti, altrettanto si raccomanda di prescrivere formati standardizzati e leggibili con dispositivi automatici, sì da favorirne l’utilizzo da parte degli enti di sorveglianza. Circa la sorveglianza da parte dell’uomo (c.d. “human in the loop”), l’ETSI propone per ora – trattandosi di area di attuale ricerca e sviluppo – di limitarla ai log di sistema dell’AI, per poi estenderla in futuro ad altre aree di controllo.

Standard di valutazione della conformità AI e standardizzazione

La valutazione dei sistemi AI in circolazione, ai sensi del Regolamento, dovrà garantirne la conformità alla normativa e dunque la loro liceità. In questo ambito, ETSI segnala l’importanza di un meccanismo per tenere traccia di quanto emergerà nel mercato dall’utilizzo dei sistemi di AI, quanto agli incidenti (inclusi quelli sospetti) dovuti alla violazione dei requisiti di conformità. In tal senso, dovrebbe essere messo in atto “uno strumento per pubblicare aggiornamenti destinati a correggere i difetti rilevati tramite la segnalazione degli incidenti”.

Altresì vi dovrebbe essere un costante flusso informativo: le decisioni di conformità, adottate dagli organismi di valutazione, dovrebbero essere raccolte a uso di ricerca, analisi e valutazione, oltre a essere condivise con gli enti di normazione per una valutazione e così arrivare a un aggiornamento tempestivo (se richiesto dalla situazione).

Infine, si dovrebbero riesaminare periodicamente le tecniche per determinare il rischio e la loro conformità: tali concetti potrebbero evolversi nel tempo (pensiamo alle tante metodologie esistenti e possibili per valutare un rischio, ad es. la ISO 31000), dovendosi adattare a una realtà estremamente mutevole. ETSI osserva che – basandosi l’AI su metodi e sistemi statistici – allora la conformità dovrebbe essere valutata utilizzando metodi statistici, come ad es. gli intervalli di confidenza (ovvero un range di possibili valori che un parametro può esprimere).

sandbox AI

AI e sandbox regolamentari

sandbox AI
Brando Benifei, Deputato Parlamento Europeo

Un ulteriore e interessante punto di discussione politica sul testo regolamentare è certamente quello delle sandbox regolamentari. Diversi esponenti politici (in particolare i co-relatori dell’AI Act, Brando Benifei e Dragoș Tudorache) stanno cercando di costruire un sufficiente consenso politico attorno a questa integrazione del progetto originale. Si cerca di rendere più prescrittivo il testo rispetto alla versione originaria, la quale lasciava più spazio ai singoli Stati.

In breve, per sandbox regolamentare si intende “un ambiente controllato dove intermediari vigilati e operatori del settore possono testare, per un periodo di tempo limitato, prodotti e servizi tecnologicamente innovativi”, “garantendo, al contempo, adeguati livelli di tutela dei consumatori e di concorrenza” come recita Banca d’Italia circa quelle già sperimentate in alcuni settori come quello del Fintech. Si tratta di ottenere, per progetti ad hoc, l’inclusione nel regime di sandbox e così mantenere un costante dialogo e confronto con le autorità, “anche richiedendo eventuali deroghe normative nella fase di sperimentazione”. Insomma, uno strumento utilissimo per l’innovazione controllata che nel resto d’Europa (soprattutto di common law) ha trovato in genere maggiore fortuna, rispetto al ristretto impiego italiano.

Tale strumento, applicato al nostro discorso, permetterebbe di testare certi utilizzi dell’AI in un ambiente controllato e, qualora non si possano contrastare certi rischi, arrivare a interromperne lo sviluppo e la sperimentazione. Oppure di far comprendere come si possa rivedere la normativa vigente per migliorare l’innovazione o ridurre i costi per la conformità. O, ancora, di ottenere dati e prove che giustifichino modifiche normative.

Nel settore AI, l’idea delle sandbox mira a obiettivi come la promozione dell’innovazione, l’agevolazione e l’accelerazione dell’accesso all’IA da parte delle PMI e delle start-up, il miglioramento della certezza del diritto vista la collaborazione con le autorità, il contributo all’attuazione del regolamento e allo sviluppo di norme armonizzate comuni, il testare le misure di mitigazione dei rischi. Rischi che, ricordiamolo, possono riguardare i diritti e le libertà fondamentali delle persone, il funzionamento della democrazia, lo stato di diritto, l’ambiente, ecc.

In alcuni emendamenti al testo normativo presentati in settembre si menziona la doverosità, per gli Stati membri, di costituire una sandbox normativa per l’AI, di pari passo con l’entrata in vigore dell’AI Act. Le autorità nazionali coinvolte dovrebbero essere adeguatamente supportate, anzitutto a livello finanziario e di risorse.

Oltre al livello nazionale, le proposte presentano la possibilità di costituirne anche a livello sovranazionale, tra più Paesi e istituzioni. Ad es. la Commissione Europea potrebbe costituirne in sinergia con l’EDPS o alcuni Stati. Che si tratti di questione sovranazionale si evidenzia nella proposta di presentare tutti risultati delle varie sandbox attivate all’EDPB e alla Commissione Europea. Pari regime vigerebbe per i report annuali, per capire i rischi concreti in corso e alimentando il confronto pubblico sugli stessi.

Nel progetto si attribuisce alla Commissione Europea il compito – entro un anno dall’entra in vigore dell’Act – di adottare gli atti implementativi delle sandbox. Per partecipare a una sandbox si dovranno rispettare requisiti minimi e passare una selezione e le autorità dovrebbero facilitare la partecipazione di ricercatori, PMI, enti di normazione. Tra gli atti di implementazione figureranno le linee guida per il corretto funzionamento e l’istituzione di un AI Regulatory Sandboxing Programme (secondo elementi tratti soprattutto da un parere dell’ITRE, il comitato UE per l’industria). Gli esempi non mancano, se consideriamo che la Spagna ha già avviato un suo progetto di sandbox legato all’AI.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2