L’intelligenza artificiale rappresenta un fenomeno dirompente, di portata e rilevanza mondiale e la sua comprensione richiede un’analisi approfondita relativa a differenti discipline che si intersecano tra loro. Scopriamo come Il regolamento europeo 2024/1689 sull’Intelligenza Artificiale “AI Act” cerchi garantirne una diffusione su larga scala nel rispetto di diritti e libertà fondamentali

di Fabrizio Salmi e Federico Saporiti

Il crescente sviluppo e la crescita del fenomeno hanno spinto l’Unione Europea nella produzione di una fonte giuridica unitaria in materia di Intelligenza artificiale. Il regolamento europeo 2024/1689 sull’Intelligenza Artificiale “AI Act” è un testo normativo ambizioso che cerca garantire una diffusione su larga scala di questi modelli rispettosa di diritti e libertà fondamentali. Esso si inserisce nella più ampia strategia europea sui dati.

Come definito dal regolamento europeo 2024/1689: un sistema di intelligenza artificiale indica un sistema basato su macchine, progettato per operare con diversi livelli di autonomia e che può manifestare capacità di adattamento dopo la messa in funzione, e che, per obiettivi espliciti o impliciti, deduce, a partire dagli input ricevuti, come generare output quali previsioni, contenuti, raccomandazioni o decisioni in grado di influenzare ambienti fisici o virtuali.

La struttura del regolamento segue la suddivisione dei sistemi in 4 modelli di rischio, ogni livello di rischio comporta una serie di disposizioni normative e restrizioni proporzionali alla tipologia di rischio.

Categorie di rischio dei sistemi di IA

  • Rischio inaccettabile: comprende tutti i sistemi progettati per causare danni fisici o psicologici alle persone.
  • Rischio alto: riguarda i sistemi che possono causare danni significativi alla salute, sicurezza e ai diritti fondamentali, e che spesso vengono utilizzati in contesti critici (es. sanità, giustizia, sicurezza).
  • Rischio limitato: questi sistemi presentano un rischio minore per la salute, la sicurezza e i diritti fondamentali e sono spesso utilizzati in contesti non critici (es. marketing, intrattenimento).
  • Rischio minimo: sono i sistemi considerati intrinsecamente sicuri, che non presentano rischi per la salute, la sicurezza o i diritti fondamentali. Non sono soggetti ad alcun genere di restrizione specifica.

La classificazione del rischio è un processo complesso e in continua evoluzione. L’AI Act fornisce un quadro generale per la classificazione dei sistemi di IA, ma la valutazione del rischio specifico di un sistema deve essere effettuata caso per caso, tenendo conto di diversi fattori, tra cui:

  • Lo scopo e la funzione del sistema di IA.
  • Il contesto in cui il sistema di IA viene utilizzato.
  • Le potenziali conseguenze negative che il sistema di IA potrebbe causare.

I soggetti centrali e sui quali ricadono la maggior parte delle prescrizioni normative sono il soggetto Provider e il soggetto Deployer. Provider è la persona fisica o giuridica, autorità, organismo o agenzia responsabile per lo sviluppo e l’immissione sul mercato di un sistema di IA. Il deployer è il soggetto persona fisica o giuridica che utilizza un sistema di IA all’interno di un contesto professionale.

Gli oneri per i soggetti coinvolti

Proviamo ora a comprendere quali sono gli oneri principali di queste figure, nello specifico con riferimento ai sistemi di IA appartenenti all’alto rischio:

I soggetti provider sono tenuti a costruire un sistema di gestione del rischio durevole per tutto il processo di vita del sistema. Il processo include la valutazione del rischio relativa a un uso conforme del sistema, insieme a una valutazione sui rischi rilevati mediante l’analisi e il monitoraggio relativo all’immissione sul mercato. I provider sono tenuti a svolgere una fase di addestramento mediante un dataset nel rispetto di standard qualitativi. I dati adoperati devono essere rilevanti, rappresentativi, corretti completi e appropriati. Ancora, i provider sono tenuti a tracciare i processi di compliance del sistema mediante documentazione apposita, da poter mostrare alle autorità garanti prima della immissione sul mercato. I sistemi devono essere progettati in modo da registrare incidenti o errori potenzialmente dannosi durante il loro utilizzo. Tali errori devono essere comunicati dal sistema ai soggetti utilizzatori in modo comprensibile, per poter intervenire a riguardo.

I provider sono tenuti a comunicare le modalità di utilizzo e supervisione conformi ai soggetti deployers. I sistemi devono prevedere un elevato grado di robustezza informatica, stabilire. La conformità deve essere verificata in un processo di valutazione che anticipa l’immissione sul mercato. Una volta superata, potrà essere apposto il marchio di certificazione CE.

Il deployer è tenuto ad attuare le modalità di utilizzo e le misure di sorveglianza che sono oggetto di indicazione da parte del provider. Il regolamento prevede inoltre la produzione di un documento di valutazione di impatto sul sistema nei confronti di diritti e libertà fondamentali degli interessati. Sussiste l’onere di supervisione e segnalazione alle predisposte autorità di quegli eventi che rappresentano un rischio per suddetti diritti e libertà fondamentali. Nell’utilizzo del sistema deve essere predisposte una raccolta e utilizzo dati rispettosa di fonti normative connesse, quali ad esempio il Regolamento Europeo sulla Protezione dei Dati Personali (GDPR).

Possibili sanzioni previste dal AI Act

Con riferimento alle sanzioni previste in caso di violazioni della normativa:

Le sanzioni più gravi rilevano rispetto ai sistemi di IA dal rischio inaccettabile, esse ammontano fino a 35.000.000 euro o fino al 7% del fatturato annuo mondiale dell’impresa, a seconda di quale importo sia maggiore.

Il secondo livello di sanzione riguarda la mancata osservanza degli obblighi previsti per fornitori, rappresentanti autorizzati, importatori, distributori, utilizzatori, organismi notificati e altri operatori. Tali violazioni sono punite con sanzioni fino a 15.000.000 euro o fino al 3% del fatturato annuo mondiale, a seconda del valore maggiore.

Il terzo livello riguarda la fornitura informazioni scorrette, incomplete o fuorvianti alle autorità competenti costituisce violazione dell’articolo 21 del Regolamento. In questi casi, le sanzioni previste possono arrivare fino a 7.500.000 euro o all’1% del fatturato mondiale annuo, a seconda dell’importo maggiore.

I fornitori di modelli di IA di uso generale possono essere sanzionati fino al 3% del fatturato mondiale annuo o fino a 15 milioni di euro, a seconda dell’importo maggiore.

 

Gli Autori

Specializzati in diritto penale dell’impresa, gli avvocati si occupano con continuità di reati societari, fiscali, reati contro la PA e della responsabilità amministrativa dell’impresa. Svolgendo funzione di OdV, ricoprendo incarichi di R.S.P.P., di responsable privacy e D.P.O. e sono formatori in ambito di Salute e sicurezza sul lavoro. Sono, inoltre, autori di diversi articoli e pubblicazioni tra cui il volume “ESG e Compliance”, una guida operativa sugli elementi principali della sostenibilità aziendale nonché sui vantaggi che le imprese possono conseguire o implementare mettendo in luce l’utilità di un’efficace Compliance, l’adozione dei Modelli di Organizzazione e Gestione ai sensi del D. Lgs. 231/01 e le certificazioni UNI ISO.e. Tra i servizi offerti da SLS, Studio Legale Salmi, infatti, è compresa la consulenza giudiziale e stragiudiziale per quanto riguarda la compliance aziendale all’impiego delle nuove tecnologie e le responsabilità penali a esse collegate.

Potrebbe interessarti anche il loro precedente articolo sull’Intelligenza Artificiale