Intelligenza artificiale, il regolamento dell'Ue e gli impatti sul business
L’AI Act è una normativa che ha l’ambizione di fornire un framework normativo sia per chi realizza intelligenza artificiale sia per chi la utilizza
Ai, valutazione di impatto sulla lesione dei diritti umani
Le novità introdotte dal Regolamento Europeo sull’intelligenza artificiale e i suoi impatti sul business. L'analisi di Giuseppe Vaciago, partner dello studio legale milanese 42 Law Firm e avvocato cassazionista esperto di diritto delle nuove tecnologie.
Che cosa prevede l’AI Act?
L’AI Act è una normativa che ha l’ambizione di fornire un framework normativo sia per chi realizza intelligenza artificiale sia per chi la utilizza. La Proposta normativa si basa su un sistema di classificazione volto a determinare il livello di rischio che una tecnologia di AI potrebbe rappresentare per la salute, la sicurezza e i diritti fondamentali delle persone. Se volessimo sintetizzarla in cinque punti potremmo dire che:
1. Come la normativa a tutela dei dati personali (GDPR), questa è una normativa risk based dove i vari player (fornitori di AI e utilizzatori di AI) dovranno fare una valutazione di impatto per determinare la legittimità dello strumento di intelligenza artificiale usato. La valutazione di impatto non sarà solo sui profili privacy e cybersecurity, ma anche e soprattutto sulla possibile lesione dei diritti umani.
2. Il regolamento divide tra intelligenze artificiale che creano: (i) un rischio inaccettabile; (ii) un rischio medio-basso; (iii) un rischio alto. A seconda del livello di rischio si prevedono più o meno elevati obblighi di conformità.
3. Il regolamento lascia aperta la porta a nuove applicazioni di intelligenza artificiale attraverso una normazione che rimanda all’allegato III per definire cosa rientri nel concetto di alto rischio per i diritti dei cittadini europei.
4. L’intelligenza artificiale generativa e quindi CHATGPT è stata inserita all’ultimo grazie all’ottimo lavoro del nostro Europarlamentare Brando Benifei, perché sostanzialmente prima non era stata normata. Sotto questo profilo, il Regolamento è molto severo sui dati che un sistema di AI generativa utilizza per rispondere ai quesiti (dataset). Ne consegue che se la normativa fosse già in vigore, CHATGPT avrebbe seri problemi ad essere uno strumento legittimo in Europa.
5. I tempi per l’approvazione definitiva, dopo la consultazione con Consiglio d’Europa e Commissione, dovrebbero essere approvati per la fine dell’anno. I tempi l’entrata in vigore, tuttavia, sono 24 mesi dall’approvazione e quindi, qualora non ci fossero intoppi, dovrebbe entrare in vigore a fine 2025.
Che cosa cambierà per le imprese che usano l’AI?
L’AI avrà degli impatti molto significativi, perché gli obblighi non riguardano solo chi la realizza, ma anche chi la utilizza. Quindi le imprese che utilizzeranno AI ad alto rischio, dovranno valutare con molta attenzione gli strumenti di intelligenza artificiale di cui vogliono dotarsi. A seguito di un'analisi dell’AI Act sono emerse, nello specifico, sette macrocategorie di obblighi: (i) obblighi relativi alla gestione del rischio, (ii) obblighi relativi alla gestione dei dati, (iii) obblighi di trasparenza, (iv) obblighi di supervisione, (v) obblighi di conformità ai requisiti europei, (vi) obblighi di collaborazione con le Autorità e (vii) obblighi di accuratezza, cybersicurezza e resilienza.
Questa normativa comporterà dei costi per le imprese?
Una normativa del genere avrà come inevitabile effetto un aumento dei costi per le imprese sia perché dovranno sostenere il costo dei sistemi di intelligenza artificiale in sé, sia perché gli adempimenti che vengono richiesti sono molto complessi e hanno natura tecnica, legale ed etica. Il dubbio che si pone è se, soprattutto le PMI, saranno in grado di sostenere le spese dei consulenti per questo tipo di attività.
Siamo già verso una prima riduzione del potere dell’AI o stiamo solo prendendo atto della sua esistenza e, dunque, della necessità di regolarla?
La necessità di regolarla non è nata oggi perché la proposta normativa è dell’aprile del 2021. Il problema è che la rapidità con cui si sono evoluti alcuni sistemi intelligenti (primo fra tutti, l’intelligenza artificiale generativa di Open AI) ha accelerato i passaggi e creato una certa enfasi mediatica. Non penso però che si possa parlare di riduzione del potere dell’AI, ma solo della presa di coscienza della necessità di avere un sistema normativo che regoli questo fenomeno. Il 2025 non è per niente vicino, ma almeno è una data certa. Inoltre, va detto che, come era successo con il GDPR, molte società lungimiranti si stanno già attrezzando, prima della sua approvazione, per poter lavorare a delle soluzioni in linea con l’AI Act. Altre invece sono piuttosto “sorde” al tema della compliance e sarà interessante vedere quanto potranno rimanere sul mercato senza alcun “bollino” che certifichi il rispetto della normativa.
Detto questo, saranno da valutare due fattori rilevanti: il primo è la posizione che terranno Cina e Stati Uniti nel rispetto di questa normativa che può parzialmente limitare alcuni dei progetti di espansione dell’intelligenza artificiale a livello globale. Il secondo è che dobbiamo evitare di cadere in una fase di entropia normativa. È in discussione a Bruxelles la direttiva sulla responsabilità da prodotto o servizio realizzato attraverso un’intelligenza artificiale esattamente come il Data Act. Queste e altre normative di settore potrebbero avere un impatto “balcanizzante” per l’Europa che potrebbe venire vista come un luogo in grado solo di regolamentare prodotti che vengono realizzati in giurisdizioni diverse dalla nostra. In definitiva, la strada percorsa dall’Europa è sicuramente giusta a patto che venga seguita dal resto del mondo.
*Avvocato cassazionista esperto di diritto delle nuove tecnologie