Il 1º agosto 2024 è entrato in vigore il regolamento europeo sull’intelligenza artificiale (legge sull’IA), il Regolamento 1689/2024 sull’intelligenza artificiale (c.d. AI Act), che introduce regole armonizzate per lo sviluppo e la messa in commercio di sistemi di intelligenza artificiale (i.a.) sul territorio dell’Unione europea.
di Fabrizio Salmi e Federico Saporiti
Il regolamento europeo sull’intelligenza artificiale (legge sull’IA), il Regolamento 1689/2024 sull’intelligenza artificiale (c.d. AI Act), entrato in vigore il Il 1º agosto 2024, ha l’obiettivo di contemperare l’innovazione e la competitività dei mercati europei con la necessità di garantire «un elevato livello di protezione degli interessi pubblici, quali la salute e la sicurezza e la protezione dei diritti fondamentali, compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente» (considerando 8).
Approccio risk-based
In particolare, il provvedimento adotta un approccio risk-based, suddividendo i sistemi di intelligenza artificiale in tre categorie, a seconda del rischio che questi pongono per la sicurezza degli utenti e per il rispetto dei diritti fondamentali dei cittadini, e individuando per ciascuna categoria gli obblighi gravanti sui fornitori e sugli utilizzatori “professionali” (c.d. deployer):
La normativa sull’IA introduce un quadro uniforme in tutti i paesi dell’UE, con un approccio basato sul rischio.
Rischio minimo: la maggior parte dei sistemi di IA, come i filtri spam e i videogiochi che sfruttano l’IA, non sono soggetti ad alcun obbligo ai sensi del regolamento, ma le imprese possono adottare volontariamente codici di condotta aggiuntivi.
Rischio specifico per la trasparenza: i sistemi come i chatbot devono informare chiaramente gli utenti che stanno interagendo con una macchina, mentre alcuni contenuti generati dall’IA devono essere etichettati come tali.
Rischio alto: i sistemi di IA ad alto rischio, come i software medici basati sull’IA o i sistemi di IA utilizzati per la selezione e l’assunzione di personale, devono rispettare requisiti rigorosi, comprese misure di attenuazione dei rischi, elevata qualità delle serie di dati, informazioni chiare per gli utenti, sorveglianza umana, ecc.
Rischio inaccettabile: ad esempio, i sistemi di IA che permettono l’attribuzione di un “punteggio sociale” da parte di governi o imprese sono considerati una chiara minaccia per i diritti fondamentali delle persone e sono pertanto vietati.
Il regolamento utilizza una definizione di “sistema di intelligenza artificiale” contenuta nel Regolamento AI Act mira ad essere il più possibile neutrale dal punto di vista tecnologico e adeguata alle esigenze future, tenendo conto dei rapidi sviluppi tecnologici e di mercato relativi all’IA.
Con l’obiettivo di garantire che la definizione fornisca criteri sufficientemente chiari per distinguere l’IA dai sistemi software più semplici il sistema di IA è definito come “un sistema basato macchine progettato per funzionare con diversi livelli di autonomia, che può mostrare capacità di adattamento dopo l’implementazione e che, per obiettivi espliciti o impliciti, deduce dagli input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici”.
Regolamento Europeo: i soggetti interessati
Il nuovo regolamento all’articolo 2 definisce e circoscrive l’ambito di applicazione del regolamento, identificando con ciò anche i diversi soggetti interessati all’adeguamento.
Le nuove regole – tese a governare l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA nell’UE – si applicheranno innanzitutto ai «fornitori» dei sistemi di intelligenza artificiale (sia pubblici che privati) che immettono sul mercato o mettono in servizio sistemi di IA nell’UE, indipendentemente da dove i fornitori stessi siano stabiliti, e a quelli situati in un paese terzo, laddove l’output prodotto dal sistema di IA sia utilizzato in Europa. Dovranno inoltre rispettare le norme dell’AI Act gli «operatori» che hanno sede o sono situati nell’UE e quelli situati in un paese terzo, sempre ove l’output prodotto dal sistema di intelligenza artificiale venga utilizzato in Europa. È questa una previsione analoga rispetto a quella del GDPR.
Questi soggetti sono definiti all’interno dell’articolo 3, ad esempio, viene qualificato come «fornitore» ogni persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che sviluppa un sistema di IA o che lo fa sviluppare al fine di immetterlo sul mercato o metterlo in servizio con il proprio nome o marchio, a titolo oneroso o gratuito, mentre sarà considerato un «operatore» qualsiasi soggetto tra quelli elencati sopra che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di intelligenza artificiale sia utilizzato nel corso di un’attività personale non professionale.
Regolamento Europeo: obblighi per fornitori e utenti
Tenendo conto della classificazione dei rischi sopra riportata il regolamento introduce obblighi per fornitori e utenti di intelligenza artificiale.
Il Regolamento introduce al Capo IV una serie di obblighi per i fornitori e gli utenti di sistemi di intelligenza artificiale, tra cui:
Obbligo di trasparenza: i fornitori di sistemi di intelligenza artificiale dovranno fornire informazioni chiare e comprensibili sui loro sistemi, comprese le loro capacità, limitazioni e potenziali rischi.
Obbligo di valutazione della conformità: i fornitori di sistemi di intelligenza artificiale ad alto rischio dovranno far valutare i propri sistemi da organismi di valutazione indipendenti conformi ai requisiti stabiliti nel Regolamento.
Obbligo di vigilanza del mercato: le autorità nazionali dovranno sorvegliare il mercato per garantire che i sistemi di intelligenza artificiale siano conformi al Regolamento e adottare le necessarie misure di esecuzione.
Sanzioni per chi non rispetta i divieti
La non conformità al divieto delle pratiche di IA di cui all’articolo 5 è soggetta a sanzioni amministrative pecuniarie fino a 35.000.000 EUR o, se l’autore del reato è un’impresa, fino al 7% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Lo prevede l’articolo 99 dell’Ai-Act che dettaglia le ulteriori sanzioni per queste violazioni.
Gli Autori
Specializzati in diritto penale dell’impresa, gli avvocati si occupano con continuità di reati societari, fiscali, reati contro la PA e della responsabilità amministrativa dell’impresa. Svolgendo funzione di OdV, ricoprendo incarichi di R.S.P.P., di responsable privacy e D.P.O. e sono formatori in ambito di Salute e sicurezza sul lavoro. Sono, inoltre, autori di diversi articoli e pubblicazioni tra cui il volume “ESG e Compliance”, una guida operativa sugli elementi principali della sostenibilità aziendale nonché sui vantaggi che le imprese possono conseguire o implementare mettendo in luce l’utilità di un’efficace Compliance, l’adozione dei Modelli di Organizzazione e Gestione ai sensi del D. Lgs. 231/01 e le certificazioni UNI ISO.e. Tra i servizi offerti da SLS, Studio Legale Salmi, infatti, è compresa la consulenza giudiziale e stragiudiziale per quanto riguarda la compliance aziendale all’impiego delle nuove tecnologie e le responsabilità penali a esse collegate.
