Lo scorso 9 dicembre Parlamento europeo e Consiglio hanno raggiunto un accordo sulla proposta di regolamento sull’intelligenza artificiale (AI Act). L’intervento normativo in via di approvazione pone una serie di questioni che impattano sul mondo delle imprese: dalla politica di gestione del rischio, approccio non nuovo ma approfondito dal regolamento e che potrebbe comportare una certa burocratizzazione, ai costi di compliance, una soglia di accesso per l’adozione di sistemi AI probabilmente elevata per le PMI, specie in Italia. Tali fattori, da potenziali ostacoli, dovranno essere trasformati in catalizzatori di sviluppo, in modo che la loro adeguata gestione porti, anche in Europa, alla crescita di imprese tech in grado di competere con i colossi digitali e, dunque, alla crescita dell’influenza industriale europea.
La gestione del provvedimento si è rivelata assai complessa per la rapidità con cui si susseguono le innovazioni in materia di AI e per la necessità di integrare la disciplina con altre già in essere (es. GDPR in materia di data protection). In aggiunta, il tema è e continua ad essere sensibile pure sul piano, per così dire, “politico”. L’esigenza della tutela dei diritti e delle libertà fondamentali dei cittadini europei ha certo rappresentato il punto di partenza condiviso. Al contempo, si sono però evidenziate le criticità di un’eccessiva regolamentazione, tra cui il possibile ostacolo alla libertà di innovazione e, dunque, alla costituzione di imprese europee in grado di competere con i big del settore. Invero, questi sono localizzati in paesi, Stati Uniti e Cina in primis, che, oltre ad una maggiore capacità di attrarre investimenti, non contemplano regole altrettanto stringenti.
Nondimeno, è ragionevole ipotizzare che l’AI Act rappresenti esso stesso un potenziale fattore di innovazione, agevolando la costruzione di un mercato in grado di garantire sicurezza, fiducia e, dunque, sviluppo. Inoltre, va considerato che la normativa UE esplicherà i propri effetti anche al di fuori dei confini continentali, in quanto il nuovo regolamento troverà applicazione nei confronti di tutti i fornitori che metteranno in servizio sistemi AI nel territorio dell’Unione, anche se stabiliti in paesi terzi non membri. Si parla, a tal proposito, di “effetto Bruxelles”, ossia della teorizzata capacità dell’Unione di regolare unilateralmente i mercati globali. Invero, le imprese multinazionali che operano all’interno dei confini dell’UE – uno dei più grandi e influenti mercati di consumo – devono osservarne le regole, finendo spesso per estenderle volontariamente alle proprie attività in tutto il mondo, per razionalizzare i costi. È il caso, ad esempio, di Meta, Google e Microsoft, che hanno scelto di adottare un’unica privacy policy globale, conforme al GDPR europeo.
L’approccio adottato dal regolamento può definirsi, in estrema sintesi, multilivello, differenziato sulla base dei rischi (risk-based approach). Il principio alla base è quello della responsabilizzazione degli operatori – coerente con la logica della compliance che innerva ormai l’impresa contemporanea – in relazione alla classificazione dei sistemi AI in quattro categorie di rischio: minimo, elevato, specifico di trasparenza e inaccettabile.
La maggior parte dei sistemi AI presenta un rischio minimo per i diritti dei cittadini e la loro sicurezza (es. filtri anti-spam) e, perciò, è esentata da obblighi normativi specifici sebbene il regolamento, al fine di favorire la massima fiducia, preveda che i fornitori possano aderire volontariamente a codici di condotta conformi a quanto prescritto per le categorie a rischio elevato. È da quest’ultime, infatti, che può scaturire un impatto assai significativo, come i sistemi AI che troveranno ad esempio applicazione nell’ambito sanitario, dell’educazione o, ancora, del reclutamento di personale. A tal fine, il regolamento prescrive una serie di rigorose misure di sicurezza e trasparenza: sistemi di mitigazione del rischio, set di dati di alta qualità, registrazione dell’attività, documentazione dettagliata, informazioni chiare per l’utente, supervisione umana, elevato livello di robustezza e sicurezza informatica.
In taluni casi – come per i chatbot –, è altresì previsto uno specifico obbligo di trasparenza per prevenire la manipolazione degli utenti, affinché gli stessi siano consapevoli di interagire con l’AI: si pensi al fenomeno del deep-fake, immagini attraverso le quali sono riprodotti in modo realistico volto e movenze di un soggetto, con la creazione di false rappresentazioni difficili da riconoscere.
Infine, sono vietate tutte le applicazioni dal rischio inaccettabile, come quelle idonee a manipolare la libera volontà degli individui, la valutazione sociale (c.d. social scoring) o il riconoscimento delle emozioni sul posto di lavoro o nelle scuole. Il ricorso negli spazi pubblici a sistemi di identificazione biometrica (RBI) – in grado di individuare persone sulla base di caratteristiche fisiologiche o comportamentali – sarà da ritenersi eccezionale. Nella specie, il RBI “in tempo reale” dovrà essere utilizzato per l’individuazione di vittime di reati gravi (rapimento, sfruttamento sessuale, etc.), la prevenzione di una minaccia terroristica specifica e attuale, o la localizzazione di una persona sospettata di aver commesso specifici reati, mentre quello “a posteriori” solo per la ricerca mirata di persone condannate o sospettate per reati gravi.
Tra gli interrogativi maggiori lato imprese vi sono i costi della compliance, che potrebbero rappresentare una sfida notevole soprattutto per PMI e start-up. A tal proposito, uno studio pubblicato da Intellera Consulting stima che il lancio di un sistema AI conforme, per una PMI, potrebbe richiedere circa 300.000 euro, importo tale da poterne precludere l’accesso al settore. Sarà dunque importante sviluppare sinergie, anche nell’ottica dell’implementazione di sistemi di compliance integrata, oppure controbilanciando le spese con un apposito sostegno economico-finanziario. In ogni modo, l’AI Act dedica attenzione anche alle misure a sostegno dell’innovazione, promuovendo i cosiddetti sandbox regolatori per il real-world testing, ovverosia spazi di sperimentazione normativa. Ambienti controllati istituiti dalle competenti autorità per facilitare lo sviluppo, le prove e la convalida di sistemi di AI innovativi, prima della loro immissione sul mercato, con un accesso prioritario per fornitori di piccole dimensioni e start-up.
Le imprese dovranno dunque saper cogliere le nuove opportunità e coniugare oneri normativi e misure di supporto, giacché l’osservanza della normativa dell’Unione permetterà di sviluppare soluzioni conformi alle esigenze dei cittadini e consumatori europei: la migliore garanzia di affidabilità in un settore ancora percorso da incertezze e, spesso, irrazionali paure.
*Riccardo Borsari è avvocato e professore di diritto penale all’Università di Padova