Il regolamento Ue per l’Intelligenza Artificiale: un primato complicato


Raggiunto l’accordo politico fra Parlamento e Consiglio europeo sul regolamento dell’Intelligenza Artificiale, l’Ue  si conferma first global regulator, suscitando, tuttavia, non poche perplessità. Quali i poteri e le conseguenze?


A cura di Maria Nicola Buonocore

Introduzione

Il 9 dicembre 2023, funzionari e negoziatori del Parlamento e del Consiglio europeo hanno raggiunto un accordo provvisorio sull’Artificial Intelligence Act, regolamento che mira al disciplinamento dell’Intelligenza Artificiale (IA) secondo i principi e i valori dell’Unione europea (Ue), affinché tali sistemi rispettino i diritti umani fondamentali.
Attraverso tale regolamento, l’Ue intende creare un quadro legale comprensivo ed armonico per tutti i sistemi legati all’Intelligenza Artificiale all’interno dell’Unione e, contemporaneamente, incoraggiare lo sviluppo e gli investimenti in innovazione per tali sistemi.
L’accordo politico è stato raggiunto dopo lunghe ed intense negoziazioni sulla proposta del Parlamento e del Consiglio alla Commissione europea, presentata nel 2021. Il dibattito prolungatosi nel corso degli ultimi mesi ha visto protagonisti non solo i legislatori e funzionari europei, ma anche esperti e stakeholders internazionali, i cui interessi sono direttamente in gioco con tale disciplinamento da parte dell’Ue.
In effetti, mentre l’Unione consolida la propria posizione mondiale quale first global regulator, investitori, sviluppatori, e numerosi politici ed esperti hanno espresso preoccupazioni per le possibili esternalità negative di una regolamentazione troppo stringente in materia digitale e di innovazione.
L’IA, tecnologia performante all’avanguardia, basa la propria innovatività sulla generatività dei processi. Secondo la definizione propria dell’OECD – sulla quale anche l’Ue basa la propria concettualizzazione – un sistema Intelligenza Artificiale è un sistema machine-based che, attraverso gli input ricevuti, deduce come e quali output specifici generare, quali ad esempio previsioni, raccomandazioni o finanche decisioni che possono influenzare ambienti fisici e/o virtuali.
Un’eccessiva regolamentazione potrebbe, in linea teorica, bloccare gli input di cui l’IA si ciba e compromettere investimenti espansivi.

Cos’è l’Artificial Intelligence Act?

L’Artificial Intelligence Act nasce quale proposta di regolamento del Parlamento e del Consiglio europeo per garantire la sicurezza e l’adeguamento dei sistemi di IA alle regole e i principi dell’Ue sull’intero mercato europeo e stabilire, in tal modo, certezze legali per investimenti ed innovazioni nell’ambito specifico dell’IA.
Il regolamento, così come proposto nel 20211, segue un approccio basato sul rischio potenziale per gli individui, i consumatori e i fruitori dei sistemi e, conseguentemente, pone limiti e costi di conformità per coloro che forniscono tali prodotti e/o servizi.
Il regolamento identifica diverse classi di rischio, ciascuna delle quali copre vari casi d’uso dei sistemi IA.
I sistemi che rientrano nella sfera del rischio limitato, ovvero quelli che generano o manipolano immagini o altre tipologie di contenuto multimediale, sono chiamati ad ottemperare gli obblighi minimi di trasparenza che permettano agli utenti di optare per decisioni informate.
Altre tipologie di sistemi vengono classificati come ad alto rischio per i potenziali danni alla sicurezza e ai diritti fondamentali. Le due categorie riguardano, sostanzialmente, sistemi integrati in prodotti regolati dalla EU’s product safety legislation, includendo dispositivi semplici; vi sono poi sistemi che ricadono in aree specifiche (come la sicurezza, l’educazione, le infrastrutture critiche, assistenza all’interpretazione e all’applicazione della legge, controllo e gestione dei flussi migratori, etc.) che saranno invece tenuti a registrarsi su un database europeo dedicato che ne valuterà l’opportuna immissione all’interno del mercato. La valutazione si baserà su norme legate all’impatto sui Diritti Fondamentali e la Conformità alla legislazione europea in quanto tale. Sistemi di questo tipo sono, dunque, sottoposti a regole più stringenti per la riduzione del rischio, la governance dei dati, la supervisione e la trasparenza, oltre che la sicurezza informatica.
Inoltre, il regolamento vieta esplicitamente quattro determinati sistemi di IA per cui il rischio è valutato come inaccettabile. Essi comprendono sistemi che possono manipolare i comportamenti cognitivi delle persone o di specifici gruppi, o sistemi che promuovono social scoring – che classificano, cioè, gli individui in base a comportamento, status sociale o caratteristiche personali -, sistemi che categorizzano le persone in base all’identificazione biometrica o sistemi di identificazione biometrica da remoto e “in tempo reale”.
L’accordo prevede anche l’istituzione di nuove agenzie amministrative, come un Ufficio per l’IA che, all’interno della Commissione europea, dovrà supervisionare i modelli di IA più avanzati e il rispetto delle norme comuni da parte di tutti gli Stati membri. A tale Ufficio si accompagnerà il panel scientifico di esperti che aiuterà il continuo sviluppo di modelli di sicurezza legale. Il Consiglio per l’IA, che contiene al suo interno rappresentanti degli Stati membri, rimarrà come piattaforma di coordinamento e organo consultivo per la Commissione. Organo consultivo per tale Consiglio sarà il forum degli stakeholder esterni, tecnici e privati.
Internamente ad ogni Stato membro, poi, si prevede l’istituzionalizzazione di autorità o agenzie di controllo del rispetto delle norme europee. Tuttavia, non è ancora chiaro se i Paesi formeranno nuovi organi o attribuiranno maggiori poteri alle autorità esistenti.

Regolamentazione: pro e contro

Dopo il raggiungimento dell’accordo politico fra le parti, il regolamento dovrebbe entrare in vigore non prima di 24 mesi dalla sua adozione – con tutta probabilità, dunque, non prima del 2025.
Con ciò, tutti i providers, siano essi primi sviluppatori o applicatori/utilizzatori d’IA, dovranno adattarsi alle nuove regole europee, indipendentemente dalla loro geolocalizzazione.
In tal modo, l’Ue si riafferma first global regulator, un primato che alcuni commissari, fra i quali lo stesso Thierry Breton, commissario per il mercato interno e responsabile per la sovranità digitale europea, rivendicano con spiccato senso d’orgoglio. In effetti, non godendo l’Unione di superiorità tecnologica rispetto a Stati Uniti e Cina, ciò che può avanzare a livello internazionale è la forza di regolare il digitale secondo norme specifiche, ponendo al centro i valori e i principi europei.
Una strategia di questo tipo compenserebbe, in qualche maniera, l’assenza di giganti tecnologici europei, e contribuirebbe ad attirare vantaggi commerciali in mercati in cui i consumatori preferiscono applicazioni d’IA di cui ci si può fidare maggiormente perché regolati da standard etici. Ciò aumenterebbe anche i guadagni reputazionali delle imprese digitali che si conformano alle regole europee. Inoltre, per l’effetto extra-territoriale2 che i regolamenti di questo tipo impongono sulle aziende del settore, la Commissione si aspetta una graduale armonizzazione degli standard globali circa temi così cruciali come l’Intelligenza Artificiale – e l’Ue diverrebbe dunque pioniera nel campo della regolamentazione.
Tuttavia, permangono alcune preoccupazioni generali circa i costi di regolamenti così stringenti e, per certi versi, incapaci di intercettare le ragioni del libero mercato in campo tecnologico. I costi sembrano pesare maggiormente sulle piccole e medie imprese di settore che non hanno le medesime capacità di adattabilità e progettazione dei propri prodotti e servizi delle grandi multinazionali. Un’altra critica, forse più afferente alla teoria tecno-libertaria, è che i regolamenti molto spesso non seguono i ritmi evolutivi della tecnologia, essendo più lenti e monotoni. Il campo dell’IA è rapidamente in evoluzione, il che rende vulnerabile, e talvolta obsolete, norme e regole pensate ed implementate per opportunità e sfide superate nel tempo. In questo caso, il regolamento non solo rischia di diventare obsoleto, ma altresì d’essere oggetto continuo di cambiamenti e modifiche sostanziali e politiche. Un ulteriore rischio fondamentale è che una regolamentazione eccessivamente stringente e inflessibile strangoli l’evoluzione naturale del settore tecnologico piuttosto che guidarlo, limitando opportunità di crescita ed innovazione in un campo così cruciale e critico per l’Ue. Un pericolo richiamato recentemente da Emmanuel Macron3, preoccupato per lo sviluppo del settore nel proprio paese – pioniere a livello continentale4. La Francia di Macron spera di poter rettificare alcuni termini del regolamento europeo nelle prossime settimane. Già Cédric O, ex segretario di stato francese per il digitale ed oggi in carica per le relazioni con l’Ue, era riuscito a disinnescare regole più severe che avrebbero altrimenti disciplinato i modelli fondamentali dell’IA5.
Seppur ciò, esperti come Anu Bradford6, affermano che molte delle critiche al modello europeo si muovano non solo contro l’eccessivo rigore, ma finanche la permissività con cui alcune norme vengono implementate o fatte rispettare7. Ciò rende evidente il peso politico assunto dai giganti della tecnologia e come, nell’equilibrio dei vari poteri, i regolamenti e la loro effettiva esecuzione dipendano proprio dalle capacità negoziali e contrattuali delle parti. E senza una potenza europea concorrente a livello globale, o uno spazio in cui possano fiorire e prosperare nuove aziende ed imprese del settore, sarà difficile per l’Unione far in modo che tutti – soprattutto i Giants – rispettino le regole europee.

Leggi anche:

Conclusioni

Come precedentemente accennato, con molta probabilità il regolamento verrà adottato nel 2025 – o comunque non prima dell’ultimo trimestre del 2024. Il testo dell’accordo, e con esso il testo del regolamento, non sono ancora pubblici.
Per le prossime nove settimane, dal momento in cui si scrive, si prevedono incontri tecnici fra funzionari governativi e assistenti dei legislatori per dettagliare maggiormente lo scopo e il funzionamento del regolamento, attraverso la definizione dei “considerando”.
Il documento a quattro colonne, ovvero il testo provvisorio di confronto fra le varie proposte, dovrebbe essere disponibile entro febbraio 2024.
Il testo finale dovrà essere concordato e votato dal Comitato dei rappresentanti permanenti dell’Unione, in cui ogni Stato membro ha un delegato. Ed è in questa sede che la Francia potrebbe richiedere ulteriori valutazioni per riformulare l’accordo. Tuttavia, già nelle fasi precedenti i governi potranno far leva per eventuali modifiche.
Al contempo, le grandi aziende tecnologiche, pur essendosi pubblicamente esposte per la regolamentazione dei sistemi d’IA, potrebbero continuare la già intensa attività di lobbying. Gli amministratori delegati di aziende quali Google, Microsoft ed OpenAI hanno incontrato funzionari europei, capi di stato e di governo, col fine di raggiungere intese e compromessi. Fra tali Stati spiccano Francia, Germania e Italia che, durante il secondo incontro triangolare svoltosi ad ottobre 2023 con i rappresentanti delle industrie ed imprese tecnologiche, hanno rilanciato la cooperazione industriale per l’IA.
V’è dunque un incrocio di interessi, sia essi privati e pubblici, che i funzionari europei saranno chiamati ad equilibrare nei prossimi mesi. E andrà altresì compresa la necessità eventuale di attenzionare maggiormente i giganti del digitale, come già stato per il Digital Markets Act8, o di escluderli da qualsiasi attività di lobbying – opzione non preferibile. Da non sottovalutare è anche l’aspetto temporale, che renderebbe vane e vuote normative pensate in un periodo ed applicate in un arco temporale in cui la tecnologia, invece, può – quasi certamente – aver superato la fantasia.


Note

1 Il testo integrale dell’accordo non è ancora stato pubblicato. Ciò che possiamo commentare sono dunque le proposte avanzate nel 2021 e gli sviluppi susseguitisi.
2 Per effetto extra-territoriale si intende la capacità della legislazione e delle politiche europee di applicarsi ad aziende straniere anche al di fuori del territorio europeo. Un esempio è il General Data Protection Regulation (GDPR), la cui applicazione avviene anche al di fuori dei confini dell’Unione. Da ciò deriva anche la loro capacità di influenzare i comportamenti e le scelte di tali aziende.
3Cfr. “EU’s new AI Act risks hampering innovation, warns Emmanuel Macron”, Javier Espinoza e Leila Abboud, Financial Times, 11 dicembre 2023 (ultimo accesso 26 dicembre 2023).
4 Non è da sottovalutare, infatti, il ruolo della start-up Mistral AI, che ad oggi gode dell’appoggio governativo ed anche di una intensa attività di lobbying a Bruxelles.
5 Cédric O è anche uno degli iniziatori della lettera aperta ai rappresentanti della Commissione, del Consiglio e del Parlamento europeo, firmata da più di 150 imprese tech europee.
6 Cfr. BRADFORD A., Digital Empires. The Global Battle to Regulate Technology, Oxford University Press, 2023.
7 Sono d’esempio i casi legali inviati alle Commissioni per la Protezione dei Dati, organi preposti la vigilanza del rispetto e l’esecuzione del General Data Protection Regulation (GDPR). Nel caso della Commissione irlandese, solo il 2% dei casi risultava, al 2021, effettivamente risolto. Il Parlamento europeo aveva, in quel tempo, espresso rimostranze nei confronti dell’abilità della Commissione irlandese di rispondere efficacemente contro le infrazioni dei giganti della tecnologia quali Apple, Google o Meta, che hanno i propri quartier generali europei proprio su suolo irlandese.
8 Il Digital Markets Act regolamenta le grandi aziende digitali e le piattaforme online, anche chiamati gatekeepers, al fine di tutelare la libera concorrenza e i diritti dei consumatori nel “mondo digitale”. È il primo strumento normativo direttamente indirizzato a regolare il potere delle grandi aziende digitali.


Foto copertina: Il regolamento Ue per l’Intelligenza Artificiale: un primato complicato