E’ in itinere, tra gli organi dell’Unione Europea preposti alla formazione delle norme giuridiche di cui all’art. 288 TFUE, il regolamento, denominato “Artificial Intelligence Act” , che introdurrà nell’ordinamento giuridico dell’Unione e, quindi, di tutti gli Stati membri, un corpo di norme inerenti ai software di Intelligenza Artificiale. Si tratta del primo insieme di norme al mondo per la disciplina di tale fattispecie.
Lo scorso Giugno il Parlamento Europeo, con ampia maggioranza, ha approvato il testo che, adesso, attende la decisione del Consiglio dell’Unione Europea. Con molta probabilità, il regolamento entrerà in vigore tra il 2024 ed il 2025. La scelta di tale fonte normativa consente una diretta applicabilità in tutti gli Stati membri, delle stesse norme, consentendo una disciplina uniforme, che non sarebbe possibile in caso di adozione di direttive, in quanto queste richiedono provvedimenti normativi interni di attuazione.
Sarà necessario, tuttavia, armonizzare la nuova disciplina con le fonti già esistenti in materie che toccano più ambiti: un esempio su tutti, la disciplina della protezione dei dati personali, che è oggetto di regolamentazione da parte del Reg. U.E. 2016/679 (GDPR) e della Dir. U.E. 2016/680 e che riguarderà inevitabilmente l’utilizzo dell’intelligenza artificiale.
L’intelligenza artificiale è un nodo centrale nel rilancio dell’economia europea dopo il Covid19 ed ha un ruolo fondamentale nella digitalizzazione della società: il suo utilizzo è ormai avviato in vari ambiti, dalla finanza alla sanità, alla sicurezza, alla scuola, all’agricoltura, ai processi industriali e altro.
Tuttavia, essa presenta dei rischi, quali “meccanismi decisionali opachi, discriminazioni basate sul genere o di altro tipo, intrusioni nelle nostre vite private o utilizzi per scopi criminali” (Libro bianco sull’intelligenza artificiale).
Il principio fondamentale della normativa in parola è la promozione di un’intelligenza artificiale incentrata sull’essere umano, che garantisca un elevato livello di protezione dai possibili effetti negativi dei sistemi d’intelligenza artificiale sulla salute, la sicurezza, la privacy ed i diritti fondamentali in genere, assicurando trasparenza e non sollevando gli esseri umani dalle loro responsabilità. Anzi, è fondamentale che i controlli sui sistemi di intelligenza artificiale siano proprio svolti dalle persone e non solo dall’automazione.
In che modo la finalità antropocentrica della disciplina sarà raggiunta? Mediante l’individuazione di tre livelli di rischio (rischio minimo, alto rischio, rischio inaccettabile) cui verranno correlati limiti e sanzioni diversi e proporzionali.
Le attività assolutamente proibite
Le attività inaccettabili e, pertanto, assolutamente proibite sono:
- Manipolazione comportamentale
- Polizia predittiva basata su profilazione, ubicazione o comportamenti illeciti passati
- Categorizzazione biometrica basata su caratteristiche sensibili
- Riconoscimento delle emozioni sui luoghi di lavoro, alle frontiere o nelle scuole
- Estrazione di dati biometrici dal web o da telecamere a circuito chiuso per creare data base di riconoscimento facciale
- Identificazione biometrica remota.
Quest’ultima è, però, consentita solo se avviene in tempo reale (cioè, se la ricezione dei dati ed il confronto avvengono simultaneamente) e se serve a ricercare potenziali vittime di reato, a prevenire minacce imminenti per la vita e l’incolumità fisica, per individuare un reo sottoponibile a mandato d’arresto europeo. L’identificazione a posteriori è ammessa solo per perseguire gravi reati, già commessi, e con l’autorizzazione di un giudice.
I sistemi ad alto rischio
I sistemi ad alto rischio sono soggetti a valutazione d’impatto sui diritti fondamentali, che si affiancherà alla valutazione d’impatto sulla privacy (DPIA) di cui all’art. 35 GDPR. Essi sono sistemi utilizzati in prodotti quali giocattoli, automobili, ascensori, dispositivi medici (Dir. 2001/95/CE) e sistemi che rientrano in aree specifiche e che dovranno essere registrati presso la banca dati dell’Unione Europea.
I fornitori di sistemi che presentano un rischio minore, invece, richiedono l’informazione dell’utente, il quale, poi, prenderà le sue decisioni sull’utilizzo o meno. Tra questi, ricordiamo i software che manipolano audio o video in modo da farli sembrare autentici (senza esserlo).
Viene da domandarsi se il regolamento prossimo venturo sarà in grado di regolare un fenomeno ancora incipiente, di cui non è possibile immaginare gli sviluppi futuri e il loro impatto su aspetti attualmente disciplinati in maniera tradizionale, che rischiano di non essere sufficientemente delimitati. Non possiamo che attendere, osservare e valutare.
