Inquadramento generale
È giusto innanzitutto ricordare che la ratio del Regolamento è quella di disciplinare l’immissione all’interno del mercato europeo dei sistemi di intelligenza artificiale da parte di soggetti pubblici e privati, anche extraeuropei.
Il provvedimento trova applicazione nei confronti di tutti coloro che fanno uso della tecnologia di I.A., i quali saranno tenuti al rispetto di determinati obblighi di controllo, documentazione e garanzia della qualità dei sistemi utilizzati.
Non rientrano nell’ambito di applicazione dell’A.I. Act i sistemi di I.A. il cui utilizzo:
- sia esclusivamente volto a soddisfare scopi militari, di difesa o di sicurezza nazionale (di competenza degli Stati membri);
- siano necessari per attività di ricerca e sviluppo scientifico relative a sistemi di I.A.;
- avvenga ad opera di persone fisiche che utilizzano l’I.A. per motivi non professionali.
L’A.I. Act adotta un approccio “basato sul rischio”, procedendo alla classificazione dei sistemi a seconda del rischio che sono in grado di generare:
- sistemi che generano un rischio inaccettabileperché in grado di manipolare i comportamenti umani, ricorrendo alla categorizzazione biometrica o identificazione biometrica in tempo reale, ovvero sistemi di rilevazione dello stato d’animo in luoghi di lavori o istituti pubblici.
- sistemi ad alto rischioi quali possono arrecare danno ai diritti fondamentali; rispetto a questi sistemi i fornitori e gli utilizzatori sono tenuti a garantire la conformità degli stessi agli standard previsti dalla normativa europea, la loro robustezza tecnica, l’adeguatezza dei set di dati utilizzati, la tracciabilità e verificabilità dei processi. Tra i sistemi di I.A. ad alto rischio rientrano quelli finalizzati a determinare l’accesso o l’assegnazione a istituti di formazione e quelli utilizzati per l’erogazione di servizi pubblici o per valutare l’affidabilità creditizia.
- i sistemi a rischio minimosono quelli esenti da obblighi, sebbene i fornitori possano comunque decidere di aderire spontaneamente ai codici di condotta. La maggior parte dei sistemi di I.A. immessi nel mercato europeo appartengono a questa categoria.
I modelli di I.A. generativa sono sistemi capaci di generare un’informazione nuova e originale partendo da una serie di input che vengono loro forniti; il Regolamento prende in considerazione tanto questi modelli quanto quelli di I.A. per scopi generali, entrambi assai diffusi sul territorio europeo.
Si tratta di sistemi che possono essere utilizzati per una vasta gamma di compiti ed alcuni di essi potrebbero creare dei “rischi sistemici” se diffusamente utilizzati.
Il “rischio sistemico” consiste in una minaccia per il regolare funzionamento del mercato europeo e nella possibilità che siano pregiudicati valori come salute, sicurezza pubblica e diritti fondamentali.
Per questi sistemi sono previsti specifici adempimenti come:
- la redazione della documentazione tecnica della macchina, del suo processo di addestramento e della valutazione dei suoi risultati;
- il rispetto della normativa in materia di tutela del diritto di autore;
- la redazione e messa a disposizione del pubblico dell’insieme di dati utilizzati per l’addestramento della macchina.
La Commissione Europea ritiene che, allo stato attuale della tecnologia, i modelli di I.A. per finalità generali che siano stati addestrati utilizzando una potenza di calcolo totale superiore a 10^25 FLOPS comportino “rischi sistemici” anche se tale soglia potrà essere modificata a seconda dello sviluppo tecnologico in materia.
La Governance dell’I.A.
L’attuazione del Regolamento sarà garantita da un sistema costruito su due livelli, uno europeo e uno nazionale:
- le Autorità nazionali della concorrenza di ogni Stato membro verificheranno l’attuazione della disciplina contenuta nel Regolamento,
- in seno alla Commissione Europea sarà costituito un Ufficio Europeo per I.A. con un ruolo, da un lato, di raccordo e, dall’altro, di centro propulsore per lo sviluppo di nuove competenze all’interno dell’U.E. in materia di I.A.
Un Comitato europeo per l’I.A., costituito da rappresentanti di ogni Stato, avrà un ruolo consultivo per la Commissione.
Si prevede, infine, l’istituzione di un forum consultivo per i portatori di interessi, come i rappresentanti dell’industria, le PMI, le start-up, la società civile e il mondo accademico.
Le norme a favore delle imprese
L’A.I. Act ha previsto alcune norme a sostegno delle imprese che sono state potenziate nella versione finale del testo.
Ritengo che il provvedimento normativo più importante per le imprese sia l’introduzione della sandbox per la sperimentazione normativa.
Le regulatory sandbox sono ambienti, fisici o virtuali, in cui le imprese possono sperimentare nuovi prodotti o servizi tecnologici sotto la supervisione delle autorità di settore, per un periodo limitato, e con la possibilità di beneficiare di deroghe alle norme vigenti.
Il termine “sandbox” richiama i box di sabbia dove i più piccoli si divertono con paletta e secchiello: esattamente come i bambini, autorizzati dai genitori a sperimentare nuove forme di creatività in uno spazio isolato e controllato e per un tempo determinato, godendo di regole fisiche del tutto eccezionali, i produttori che partecipano a una sandbox possono testare nuovi modelli di business in sicurezza e con una maggiore libertà d’azione.
A livello procedurale, lo schema tradizionale prevede l’istituzione di questi spazi tramite leggi che ne disciplinano ogni aspetto.
Schematizzando gli articoli del Regolamento in commento la materia oggetto del presente commento si può suddividere in due ambiti:
- le sandbox normative (regulatory sandbox) ex artt. 57, 58 e 59.
- gli spazi di prova in condizioni reali ex artt. 60 e 61.
Le sandbox normative, come si diceva, sono ambienti, fisici o virtuali, in cui le imprese possono sperimentare nuove tecnologie, sotto la supervisione delle Autorità Vigilanti del settore, per un periodo di tempo limitato e in deroga alle norme vigenti.
La definizione di sandbox normativa la rinveniamo nell’art. 3, n. 54, dove è qualificata come uno “spazio di sperimentazione normativa per l’IA” (che sarebbe la versione italiana di sandbox), in particolare l’articolo recita:
“spazio di sperimentazione normativa per l’IA”: un quadro controllato istituito da un’autorità competente che offre ai fornitori o potenziali fornitori di sistemi di IA la possibilità di sviluppare, addestrare, convalidare e provare, se del caso in condizioni reali, un sistema di IA innovativo, conformemente a un piano dello spazio di sperimentazione per un periodo di tempo limitato sotto supervisione regolamentare”
Quindi la sandbox normativa fornisce un ambiente sicuro “recintato” in cui sperimentare l’I.A. generativa, mitigando molti rischi per la sicurezza e la privacy e garantendo che i dati inseriti non verranno utilizzati per addestrare alcuno strumento pubblico di I.A.
Le prove in condizioni reali, ex artt. 60 e 61, avranno una durata di sei mesi prorogabili, e prima di essere espletate dovranno essere precedute dalla presentazione all’Autorità di Vigilanza sul mercato di un piano suscettibile di approvazione o meno.
La definizione di “prove in condizioni reali” è data all’art. 3 n. 53
“piano di prova in condizioni reali”: un documento che descrive gli obiettivi, la metodologia, l’ambito geografico, della popolazione e temporale, il monitoraggio, l’organizzazione e lo svolgimento della prova in condizioni reali”.
Sarà altresì necessario che gli utenti che si sottoporranno alla prova rilascino il loro consenso e non subiscano ripercussioni negative di alcun tipo e che i loro dati vengano subito cancellati – diritto all’Oblio.