AI Act: un passo avanti verso la regolamentazione dell’intelligenza artificiale in Europa

L’AI Act, la proposta di Regolamento europeo sull’intelligenza artificiale, ha conseguito una milestone fondamentale con il voto dell’Europarlamento del 14 giugno, registrando un margine schiacciante di voti a favore. Come ha sottolineato la presidente Roberta Metsola, si tratta senza esagerazioni di un passo avanti che avrà un impatto significativo sulla definizione degli standard globali nei prossimi anni.

Si entra ora in una fase critica del processo legislativo. I membri del Parlamento Europeo dovranno infatti affrontare trattative con il Consiglio e con la Commissione, attraverso i cosiddetti triloghi, round di discussioni trilaterali necessari per trovare un accordo politico sul testo della norma. Verosimilmente, la forma finale del Regolamento sarà un compromesso tra le diverse agende e priorità che caratterizzano le tre istituzioni. Nel frattempo la Spagna, che ha assunto la presidenza del Consiglio dell’UE il 1° luglio, ha dichiarato che è tra le sue priorità assolute il raggiungimento di un accordo sull’AI Act. Come riferisce EURACTIV, Madrid ha diffuso un documento programmatico, datato 29 giugno, su quattro punti critici del Regolamento da discutere il 5 luglio al Telecom Working Party (un organismo tecnico del Consiglio) in preparazione per il prossimo trilogo del 18 luglio: la definizione stessa di intelligenza artificiale, la classificazione dei sistemi ad alto rischio, l’elenco di casi di utilizzo ad alto rischio e la valutazione dell’impatto sui diritti fondamentali.

Un approccio risk-based

L’AI Act, così come il GDPR e il Digital Services Act, adotta un approccio basato sul rischio. Ciò significa che esso introduce restrizioni a seconda del grado di rischio che una determinata applicazione dell’intelligenza artificiale può presentare per i singoli e per la società, sulla base di una tassonomia individuata dal legislatore europeo. L’origine di questo approccio è probabilmente da ricercarsi nelle normative di carattere economico-finanziario (ad es. gli accordi di Basilea), il che per inciso ha portato diversi esperti a parlare di una “finanziarizzazione” della regolamentazione europea in materia di digitale.

Innanzitutto, sono proibite tout court le applicazioni dell’intelligenza artificiale ritenute dai legislatori portatrici di un rischio non accettabile. Si tratta in particolare di:

• Valutazione sociale: classificazione delle persone in base al comportamento, allo status socio-economico o alle caratteristiche personali. Un elemento chiave nel testo preliminare dell’AI Act approvato dal Parlamento Europeo è il divieto del cosiddetto social scoring. Questa pratica implica l’utilizzo di dati comportamentali a fini di profilazione, spesso con lo scopo di prevedere il comportamento futuro delle persone o di valutarne l’affidabilità. È importante notare che l’uso dei dati comportamentali per fare valutazioni è già una pratica comune in molti settori: ad esempio, nel settore finanziario, i dati comportamentali vengono usati per determinare l’idoneità di un individuo a ricevere un mutuo o per calcolare le tariffe assicurative; così come nel mondo del lavoro i dati comportamentali vengono correntemente utilizzati nel processo di assunzione per valutare la compatibilità di un candidato con una determinata posizione o cultura aziendale. Tuttavia, soprattutto se applicato su larga scala, il social scoring desta evidentemente preoccupazioni significative in termini di privacy, di discriminazione e di rapporto cittadino-Stato (oltre al rischio inerente all’impiego di tecnologie intrinsecamente soggette a bias).
• Sistemi di identificazione biometrica in tempo reale e a distanza, come il riconoscimento facciale. Il divieto ha suscitato reazioni contrastanti, in particolare da parte di alcune forze di polizia all’interno dell’Unione Europea, che ritengono queste tecnologie fondamentali per un’efficiente attività di applicazione della legge. La tecnologia di riconoscimento biometrico in tempo reale può consentire infatti l’identificazione immediata di individui attraverso caratteristiche uniche come l’aspetto del volto, l’iride o le impronte digitali. L’uso di queste tecnologie, combinato con tecniche di polizia predittiva basate sull’AI, sulla carta potrebbe quindi permettere di prevenire crimini prima che accadano, identificando potenziali minacce o persone sospette. In concreto però questo approccio solleva gravi questioni in termini di privacy, non discriminazione e rispetto dei diritti fondamentali. Inoltre, le tecnologie biometriche e di polizia predittiva sono soggette a possibili errori e bias, che possono portare a ingiustizie o abusi. La situazione è resa ancora più complessa dal fatto che diversi Stati membri, come la Francia, stanno effettivamente pianificando di incrementare il loro uso del riconoscimento facciale e di altre tecnologie biometriche.
• Divieto di riconoscimento delle emozioni. Questa disposizione è particolarmente rilevante per settori come le forze di polizia, il sistema educativo e i luoghi di lavoro, dove la tecnologia di riconoscimento delle emozioni potrebbe essere utilizzata in maniera invasiva o discriminante. Il riconoscimento delle emozioni attraverso l’AI, in particolare quando utilizza tecniche di rilevazione e analisi facciale, è stato oggetto di ampie critiche. Le preoccupazioni riguardano sia l’inesattezza, data la complessità di decodificare le emozioni umane, sia (di nuovo) la possibilità di bias e pregiudizi incorporati nei sistemi di AI, che possono condurre a decisioni automatizzate distorte o ingiuste. Il fatto che questo divieto non fosse presente nel testo preliminare proposto dalla Commissione apre la strada a ulteriori negoziati nel corso dei triloghi. Sarà infatti essenziale bilanciare le potenziali opportunità offerte dal riconoscimento delle emozioni basato sull’AI – ad esempio, per migliorare l’interazione umano-macchina o per fornire assistenza personalizzata – con i rischi connessi alla privacy, alla sicurezza e ai diritti fondamentali.

Le applicazioni di intelligenza artificiale che, invece, sono ritenute “ad alto rischio” saranno soggette a nuove limitazioni nell’uso e a più stringenti requisiti di trasparenza. Sono tali in particolare:

• Sistemi di intelligenza artificiale utilizzati in prodotti che rientrano nella legislazione dell’UE sulla sicurezza dei prodotti (giocattoli, aviazione, automobili, dispositivi medici e ascensori)
• Sistemi di intelligenza artificiale ricompresi in otto categorie specifiche che dovranno essere registrate in un database centralizzato:
  1. Identificazione e categorizzazione biometrica delle persone fisiche
  2. Gestione e funzionamento delle infrastrutture critiche
  3. Educazione e formazione professionale
  4. Occupazione, gestione dei lavoratori e accesso al lavoro autonomo
  5. Accesso e fruizione di servizi pubblici e privati essenziali
  6. Applicazione della legge
  7. Gestione del controllo delle migrazioni, dell’asilo e delle frontiere
  8. Assistenza nell’interpretazione legale e nell’applicazione della legge.

Tutti i sistemi di intelligenza artificiale ad alto rischio dovranno essere sottoposti ad assessment sia prima di essere immessi sul mercato sia durante tutto il loro ciclo di vita.

Previsioni speciali riguardano le intelligenze artificiali generative, che dovranno rispettare alcuni cruciali requisiti di trasparenza:

1. Divulgare che il contenuto è stato generato da AI
2. Progettare il modello in modo da impedire che esso generi contenuti illegali
3. Dare conto dei dati protetti da copyright utilizzati per l’addestramento

Infine, i sistemi di intelligenza artificiale considerati “a rischio limitato” dovranno rispettare requisiti di trasparenza minimi che permetterebbero agli utenti di prendere decisioni informate. In particolare, gli utenti dovrebbero essere sempre informati della circostanza che stanno interagendo con un sistema AI.

Quali impatti sulla sanità?

MedTech Europe, l’associazione europea che riunisce i produttori di tecnologia per la sanità pubblica e privata, aveva già mesi fa fatto notare che i dispositivi medici considerati non ad alto rischio dall’MDR (il Regolamento Europeo sui Dispositivi Medici) vengano invece riclassificati come sistemi ad alto rischio ai termini dell’AI Act, con conseguenti maggiori oneri sulle imprese senza che la nuova regolamentazione si traduca necessariamente in una maggiore sicurezza dei dispositivi stessi dal punto di vista sanitario.

È evidente la necessità di un vasto lavoro di armonizzazione dell’AI Act con gli altri tasselli del complesso puzzle normativo che disciplina la digitalizzazione in ambito sanitario: oltre al GDPR e all’MDR, la stessa MedTech Europe in un position paper richiama l’IVDR (In vitro Diagnostic Medical Devices Regulation) e la legislazione ancora in fase de iure condendo come l’AI Liability Directive, il Cyber Resilience Act, il Data Act, il Data Governance Act, lo European Health Data Space Regulation la nuova Product Liability Directive.

Ancora più profondo è potenzialmente l’impatto dell’AI Act sulle grandi piattaforme pubbliche, come quella prevista nella Missione 6, Componente 1, del PNRR con l’obiettivo di migliorare l’assistenza sanitaria territoriale, ottimizzando e integrando i processi di presa in carico dei pazienti su tutto il territorio nazionale. La Piattaforma nazionale di Intelligenza Artificiale a supporto dell’Assistenza sanitaria primaria vedrà la luce grazie ad un bando dell’Agenas, l’Agenzia Nazionale per i Servizi Sanitari Regionali, bando ai cui lavori preparatori chi scrive ha avuto l’opportunità di partecipare relativamente agli aspetti di innovation procurement e di sanità digitale.

L’AI Act considera infatti ad alto rischio tutte le applicazioni dell’AI volte a governare accesso e fruizione di servizi pubblici privati essenziali, quindi in particolare quelle gestite da servizi sanitari nazionali e regionali. Tutto questo senza contare i complessi risvolti in termini di responsabilità professionale, laddove sistemi basati su intelligenza artificiale affianchino il professionista sanitario in attività diagnostiche e cliniche.

Quali prospettive per l’Europa?

È importante sottolineare come nel 2023 non sia più concepibile una regolamentazione che non si accompagni a uno sforzo concreto da parte del soggetto pubblico per incentivare e guidare l’innovazione, anche (o meglio soprattutto) attraverso lo stanziamento di risorse adeguate. La regolamentazione infatti non deve agire solamente come un freno o una limitazione rispetto all’iniziativa d’impresa, ma deve svolgere un ruolo di stimolo e guida all’innovazione responsabile e sostenibile: il rischio, altrimenti, è di ritrovarsi a esportare norme mentre i nostri competitor globali esportano idee e tecnologie.

Lo sforzo regolatorio, quindi, deve essere accompagnato, se non bilanciato, da un impegno finanziario, strategico e operativo che faccia perno sulle applicazioni dell’intelligenza artificiale per rafforzare il mercato unico e in ultima analisi il progetto europeo stesso attraverso una stretta collaborazione tra tutti i soggetti coinvolti (accademia, industria, policymaker, società civile, …) per il raggiungimento di scopi comuni: è l’innovazione mission-oriented di cui è stata araldo Mariana Mazzucato, e che non si limita a creare nuovi prodotti o servizi, ma si propone di risolvere problemi di grande rilevanza sociale ed economica, lavorando verso obiettivi chiari e misurabili.

Le istituzioni europee manifestano troppo spesso la tendenza a rincorrere i trend tecnologici nati oltreoceano, il che equivale a farsi dettare da altri l’agenda politica e imporre prodotti concepiti altrove. Dobbiamo invece imparare a governare l’innovazione anziché subirla. Non dimentichiamo che l’intelligenza artificiale, con Alan Turing, è nata in Europa.