Internet, nuove tecnologie  -  Redazione P&D  -  28/11/2021

Proposta di regolamento del Parlamento europeo del consiglio sull'intelligenza artificiale - Gabriele Gentilini

Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO CHE STABILISCE REGOLE ARMONIZZATE SULL'INTELLIGENZA ARTIFICIALE (LEGGE SULL'INTELLIGENZA ARTIFICIALE) E MODIFICA ALCUNI ATTI LEGISLATIVI DELL'UNIONE

COM/2021/206 final

Come si ricava dai documenti ufficiali di carattere normativo dell’Unione europea   https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:52021PC0206  21 aprile 2021,  è stata pubblicata  la proposta di regolamento sull’intelligenza artificiale (Documento 52021PC0206).

La proposta fa seguito a un draft circolato la settimana precedente e rappresenta il primo vero tentativo di regolamentare l’IA in ambito europeo.

Si ambisce a determinare un margine di certezza in cui gli operatori, quali fornitori ed utenti sia Ue che extra Ue,  che esercitano attività aventi ad oggetto l’intelligenza artificiale, per i quali viene stabilità la necessità di una conformità normativa.

Tra le premesse della proposta si legge che “L'IA dovrebbe rappresentare uno strumento per le persone e un fattore positivo per la società, con il fine ultimo di migliorare il benessere degli esseri umani. Le regole per l'IA disponibili sul mercato dell'Unione o che comunque interessano le persone nell'Unione dovrebbero pertanto essere incentrate sulle persone, affinché queste ultime possano confidare nel fatto che la tecnologia sia usata in modo sicuro e conforme alla legge, anche in termini di rispetto dei diritti fondamentali.”.

Sempre si legge che “Le regole proposte saranno applicate tramite un sistema di governance a livello di Stati membri, sulla base di strutture già esistenti, e un meccanismo di cooperazione a livello dell'Unione con l'istituzione di un comitato europeo per l'intelligenza artificiale. Vengono inoltre proposte misure aggiuntive per sostenere l'innovazione, in particolare attraverso spazi di sperimentazione normativa per l'IA e altre misure per ridurre gli oneri normativi e sostenere le piccole e medie imprese ("PMI") e le start-up.”.

Già il Libro bianco sull'intelligenza artificiale Un approccio europeo all'eccellenza e alla fiducia                  https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_it.pdf  portava la sua opinione in merito

 L'intelligenza artificiale si sta sviluppando rapidamente. Cambierà le nostre vite migliorando l'assistenza sanitaria (ad esempio rendendo le diagnosi più precise e consentendo una migliore prevenzione delle malattie), aumentando l'efficienza dell'agricoltura, contribuendo alla mitigazione dei cambiamenti climatici e all'adattamento ai medesimi, migliorando l'efficienza dei sistemi di produzione mediante la manutenzione predittiva, aumentando la sicurezza dei cittadini europei e in molti altri modi che possiamo solo iniziare a immaginare. Al tempo stesso, l'intelligenza artificiale (IA) comporta una serie di rischi potenziali, quali meccanismi decisionali opachi, discriminazioni basate sul genere o di altro tipo, intrusioni nelle nostre vite private o utilizzi per scopi criminali. In un contesto di forte concorrenza globale, è necessario un solido approccio europeo, basato sulla strategia europea per l'IA presentata nell'aprile 20181 . Per sfruttare le opportunità e affrontare le sfide derivanti dall'IA, l'UE deve parlare con un'unica voce e definire il suo modo di promuovere lo sviluppo e la diffusione dell'IA basandosi sui valori europei. La Commissione si impegna a favorire i progressi scientifici, a preservare la leadership tecnologica dell'UE e a garantire che le nuove tecnologie siano al servizio di tutti gli europei e ne migliorino la vita rispettandone i diritti.

La Commissione sostiene pertanto un approccio normativo e orientato agli investimenti con il duplice obiettivo di promuovere l'adozione dell'IA e di affrontare i rischi associati a determinati utilizzi di questa nuova tecnologia. Lo scopo del presente libro bianco è definire le opzioni strategiche su come raggiungere tali obiettivi. Non vengono affrontate in questa sede le questioni dello sviluppo e dell'utilizzo dell'IA per scopi militari. La Commissione invita gli Stati membri, le altre istituzioni europee e tutti i portatori di interessi, compresi l'industria, le parti sociali, le organizzazioni della società civile, i ricercatori, il pubblico in generale e tutte le parti interessate, ad esprimersi in merito alle opzioni presentate di seguito e a contribuire al futuro processo decisionale della Commissione in questo settore.”

Trattasi ovviamente di materia ancora molto dibattuta con risvolti chiaramente benefici ma anche argomenti su cui non si può non riflettere.

Di seguito si riporta il testo della relazione e della proposta di regolamento di cui al titolo

RELAZIONE

1. CONTESTO DELLA PROPOSTA

1.1. Motivi e obiettivi della proposta

La presente relazione accompagna la proposta di regolamento che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale). Con il termine intelligenza artificiale (IA) si indica una famiglia di tecnologie in rapida evoluzione in grado di apportare una vasta gamma di benefici economici e sociali in tutto lo spettro delle attività industriali e sociali. L'uso dell'intelligenza artificiale, garantendo un miglioramento delle previsioni, l'ottimizzazione delle operazioni e dell'assegnazione delle risorse e la personalizzazione dell'erogazione di servizi, può contribuire al conseguimento di risultati vantaggiosi dal punto di vista sociale e ambientale nonché fornire vantaggi competitivi fondamentali alle imprese e all'economia europea. Tale azione è particolarmente necessaria in settori ad alto impatto, tra i quali figurano quelli dei cambiamenti climatici, dell'ambiente e della sanità, il settore pubblico, la finanza, la mobilità, gli affari interni e l'agricoltura. Tuttavia gli stessi elementi e le stesse tecniche che alimentano i benefici socio-economici dell'IA possono altresì comportare nuovi rischi o conseguenze negative per le persone fisiche o la società. In considerazione della velocità dei cambiamenti tecnologici e delle possibili sfide, l'UE si impegna a perseguire un approccio equilibrato. L'interesse dell'Unione è quello di preservare la leadership tecnologica dell'UE e assicurare che i cittadini europei possano beneficiare di nuove tecnologie sviluppate e operanti in conformità ai valori, ai diritti fondamentali e ai principi dell'Unione.

Con la presente proposta si tiene fede all'impegno politico della presidente von der Leyen che, nei suoi orientamenti politici per la Commissione 2019-2024 "Un'Unione più ambiziosa", ha annunciato che la Commissione avrebbe presentato una normativa per un approccio europeo coordinato alle implicazioni umane ed etiche dell'intelligenza artificiale. A seguito di tale annuncio la Commissione ha pubblicato il 19 febbraio 2020 il Libro bianco sull'intelligenza artificiale - Un approccio europeo all'eccellenza e alla fiducia. Il Libro bianco definisce le opzioni strategiche su come conseguire il duplice obiettivo di promuovere l'adozione dell'IA e affrontare i rischi associati a determinati utilizzi di tale tecnologia. La presente proposta mira ad attuare il secondo obiettivo al fine di sviluppare un ecosistema di fiducia proponendo un quadro giuridico per un'IA affidabile. La proposta si basa sui valori e sui diritti fondamentali dell'UE e si prefigge di dare alle persone e agli altri utenti la fiducia per adottare le soluzioni basate sull'IA, incoraggiando al contempo le imprese a svilupparle. L'IA dovrebbe rappresentare uno strumento per le persone e un fattore positivo per la società, con il fine ultimo di migliorare il benessere degli esseri umani. Le regole per l'IA disponibili sul mercato dell'Unione o che comunque interessano le persone nell'Unione dovrebbero pertanto essere incentrate sulle persone, affinché queste ultime possano confidare nel fatto che la tecnologia sia usata in modo sicuro e conforme alla legge, anche in termini di rispetto dei diritti fondamentali. In seguito alla pubblicazione del Libro bianco, la Commissione ha lanciato un'ampia consultazione dei portatori di interessi, accolta con grande attenzione da un gran numero di questi ultimi, che ha espresso il proprio favore a un intervento normativo volto ad affrontare le sfide e le preoccupazioni sollevate dal crescente utilizzo dell'IA. 

La presente proposta risponde altresì alle richieste esplicite del Parlamento europeo e del Consiglio europeo, che hanno ripetutamente chiesto un intervento legislativo che assicuri il buon funzionamento del mercato interno per i sistemi di intelligenza artificiale ("sistemi di IA"), nel contesto del quale tanto i benefici quanto i rischi legati all'intelligenza artificiale siano adeguatamente affrontati a livello dell'Unione. Essa contribuisce all'obiettivo dell'Unione di essere un leader mondiale nello sviluppo di un'intelligenza artificiale sicura, affidabile ed etica, come dichiarato dal Consiglio europeo, e garantisce la tutela dei principi etici, come richiesto specificamente dal Parlamento europeo. 

Nel 2017 il Consiglio europeo ha invitato a dimostrare la "consapevolezza dell'urgenza di far fronte alle tendenze emergenti", comprese "questioni quali l'intelligenza artificiale …, garantendo nel contempo un elevato livello di protezione dei dati, diritti digitali e norme etiche". Nelle sue conclusioni del 2019 sul piano coordinato sullo sviluppo e l'utilizzo dell'intelligenza artificiale "Made in Europe", il Consiglio ha inoltre posto l'accento sull'importanza di garantire il pieno rispetto dei diritti dei cittadini europei e ha esortato a rivedere la normativa pertinente in vigore con l'obiettivo di garantire che essa sia idonea allo scopo alla luce delle nuove opportunità e sfide poste dall'intelligenza artificiale. Il Consiglio europeo ha inoltre invitato a definire in maniera chiara le applicazioni di IA che dovrebbero essere considerate ad alto rischio. 

Nelle conclusioni più recenti del 21 ottobre 2020 si esortava inoltre ad affrontare l'opacità, la complessità, la faziosità, un certo grado di imprevedibilità e un comportamento parzialmente autonomo di taluni sistemi di IA, onde garantirne la compatibilità con i diritti fondamentali e agevolare l'applicazione delle norme giuridiche.

Anche il Parlamento europeo ha intrapreso una quantità considerevole di attività nel settore dell'IA. Nell'ottobre del 2020 ha adottato una serie di risoluzioni concernenti l'IA, anche in relazione ad etica, responsabilità e diritti d'autore. Nel 2021 tali risoluzioni sono state seguite da risoluzioni sull'IA in ambito penale nonché nell'istruzione, nella cultura e nel settore audiovisivo. La risoluzione del Parlamento europeo concernente un quadro relativo agli aspetti etici dell'intelligenza artificiale, della robotica e delle tecnologie correlate raccomanda specificamente alla Commissione di proporre una misura legislativa per sfruttare le opportunità e i benefici dell'IA, ma anche per assicurare la tutela dei principi etici. Tale risoluzione comprende il testo di una proposta legislativa di regolamento sui principi etici per lo sviluppo, la diffusione e l'utilizzo dell'IA, della robotica e delle tecnologie correlate. Conformemente all'impegno politico assunto dalla presidente von der Leyen nei suoi orientamenti politici per quanto concerne le risoluzioni adottate dal Parlamento europeo ai sensi dell'articolo 225 TFUE, la presente proposta tiene conto della summenzionata risoluzione del Parlamento europeo nel pieno rispetto dei principi di proporzionalità e sussidiarietà, nonché di quelli dell'accordo "Legiferare meglio". 

In tale contesto politico, la Commissione presenta il quadro normativo proposto sull'intelligenza artificiale con i seguenti obiettivi specifici:

assicurare che i sistemi di IA immessi sul mercato dell'Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell'Unione;

assicurare la certezza del diritto per facilitare gli investimenti e l'innovazione nell'intelligenza artificiale;

migliorare la governance e l'applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA;

facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato.

Al fine di conseguire tali obiettivi la presente proposta presenta un approccio normativo orizzontale all'IA equilibrato e proporzionato, che si limita ai requisiti minimi necessari per affrontare i rischi e i problemi ad essa collegati, senza limitare od ostacolare indebitamente lo sviluppo tecnologico o altrimenti aumentare in modo sproporzionato il costo dell'immissione sul mercato di soluzioni di IA. La proposta definisce un quadro giuridico solido e flessibile. Da un lato, è completa e adeguata alle esigenze future per quanto concerne le sue scelte normative fondamentali, compresi i requisiti basati sui principi che i sistemi di IA dovrebbero soddisfare. Dall'altro, mette in atto un sistema normativo proporzionato incentrato su un approccio normativo ben definito basato sul rischio che non crea restrizioni inutili al commercio, motivo per cui l'intervento legale è adattato alle situazioni concrete nelle quali sussiste un motivo di preoccupazione giustificato o nelle quali tale preoccupazione può essere ragionevolmente prevista nel prossimo futuro. Allo stesso tempo il quadro giuridico comprende meccanismi flessibili che fanno sì che esso possa essere adeguato dinamicamente all'evoluzione della tecnologia e all'emergere di nuove situazioni di preoccupazione.

La proposta fissa regole armonizzate per lo sviluppo, l'immissione sul mercato e l'utilizzo di sistemi di IA nell'Unione seguendo un approccio proporzionato basato sul rischio. Essa propone un'unica definizione di IA adeguata alle esigenze future. Talune pratiche di IA particolarmente dannose sono vietate in quanto in contrasto con i valori dell'Unione, mentre sono proposte restrizioni e tutele specifiche in relazione a determinati usi dei sistemi di identificazione biometrica remota a fini di attività di contrasto. La proposta stabilisce una solida metodologia per la gestione dei rischi impiegata per definire i sistemi di IA "ad alto rischio" che pongono rischi significativi per la salute e la sicurezza o per i diritti fondamentali delle persone. Tali sistemi di IA dovranno rispettare una serie di requisiti obbligatori orizzontali per un'IA affidabile nonché seguire le procedure di valutazione della conformità prima di poter essere immessi sul mercato dell'Unione. Obblighi prevedibili, proporzionati e chiari sono posti in capo anche a fornitori e utenti di tali sistemi con l'obiettivo di assicurare la sicurezza e il rispetto della normativa vigente che tutela i diritti fondamentali durante l'intero ciclo di vita dei sistemi di IA. Per taluni sistemi specifici di IA, vengono proposti soltanto obblighi minimi di trasparenza, in particolare quando vengono utilizzati chatbot o "deep fake". 

Le regole proposte saranno applicate tramite un sistema di governance a livello di Stati membri, sulla base di strutture già esistenti, e un meccanismo di cooperazione a livello dell'Unione con l'istituzione di un comitato europeo per l'intelligenza artificiale. Vengono inoltre proposte misure aggiuntive per sostenere l'innovazione, in particolare attraverso spazi di sperimentazione normativa per l'IA e altre misure per ridurre gli oneri normativi e sostenere le piccole e medie imprese ("PMI") e le start-up.

1.2. Coerenza con le disposizioni vigenti nel settore normativo interessato

La natura orizzontale della proposta richiede un'assoluta coerenza con la normativa vigente dell'Unione applicabile ai settori nei quali i sistemi di IA ad alto rischio sono già utilizzati o saranno probabilmente utilizzati in un prossimo futuro. 

È inoltre assicurata la coerenza con la Carta dei diritti fondamentali dell'Unione europea e il diritto derivato dell'UE in vigore in materia di protezione dei dati, tutela dei consumatori, non discriminazione e parità di genere. La proposta non pregiudica il regolamento generale sulla protezione dei dati (regolamento (UE) 2016/679) e la direttiva sulla protezione dei dati nelle attività di polizia e giudiziarie (direttiva (UE) 2016/680) e li integra con una serie di regole armonizzate applicabili alla progettazione, allo sviluppo e all'utilizzo di determinati sistemi di IA ad alto rischio nonché di restrizioni concernenti determinati usi dei sistemi di identificazione biometrica remota. La presente proposta integra inoltre il diritto dell'Unione in vigore in materia di non discriminazione con requisiti specifici che mirano a ridurre al minimo il rischio di discriminazione algoritmica, in particolare in relazione alla progettazione e alla qualità dei set di dati utilizzati per lo sviluppo dei sistemi di IA, integrati con obblighi relativi alle prove, alla gestione dei rischi, alla documentazione e alla sorveglianza umana durante l'intero ciclo di vita dei sistemi di IA. La presente proposta non pregiudica l'applicazione del diritto dell'Unione in materia di concorrenza.

Per quanto concerne i sistemi di IA ad alto rischio che sono componenti di sicurezza dei prodotti, la presente proposta sarà integrata nella normativa settoriale vigente in materia di sicurezza, al fine di assicurare la coerenza, evitare duplicazioni e ridurre al minimo gli oneri aggiuntivi. In particolare, per quanto concerne i sistemi di IA ad alto rischio collegati a prodotti soggetti al nuovo quadro normativo (ad esempio macchine, dispositivi medici, giocattoli), i requisiti per i sistemi di IA stabiliti nella presente proposta saranno verificati nel contesto delle procedure di valutazione della conformità esistenti ai sensi della legislazione pertinente di detto nuovo quadro normativo. Per quanto concerne l'interazione dei requisiti, mentre i rischi per la sicurezza specifici dei sistemi di IA sono destinati a essere soggetti ai requisiti della presente proposta, la legislazione del nuovo quadro normativo mira a garantire la sicurezza complessiva del prodotto finale e può pertanto contenere requisiti specifici concernenti l'integrazione sicura di un sistema di IA nel prodotto finale. La proposta di regolamento sulle macchine, adottata nella medesima data della presente proposta, riflette pienamente questo approccio. Per quanto concerne i sistemi di IA ad alto rischio collegati a prodotti soggetti all'applicazione della pertinente normativa del "vecchio approccio" (ad esempio aviazione, autovetture), la presente proposta non si applicherebbe direttamente. Tuttavia i requisiti essenziali ex ante per i sistemi di IA ad alto rischio stabiliti nella presente proposta dovranno essere presi in considerazione al momento dell'adozione della pertinente normativa di esecuzione o delegata ai sensi di tali atti.

Per quanto concerne i sistemi di IA forniti o utilizzati da enti creditizi regolamentati, le autorità competenti per il controllo sulla normativa dell'Unione in materia di servizi finanziari dovrebbero essere designate come autorità competenti per il controllo sui requisiti della presente proposta al fine di assicurare un'applicazione coerente degli obblighi previsti dalla presente proposta e dalla normativa dell'Unione in materia di servizi finanziari laddove i sistemi di IA siano in una certa misura implicitamente regolamentati in relazione al sistema di governance interna degli enti creditizi. Al fine di migliorare ulteriormente la coerenza, la procedura di valutazione della conformità e taluni degli obblighi procedurali dei fornitori a norma della presente proposta sono integrati nelle procedure ai sensi della direttiva 2013/36/UE sull'accesso all'attività degli enti creditizi e sulla vigilanza prudenziale. 

La presente proposta è altresì coerente con la legislazione dell'Unione applicabile ai servizi, compresi i servizi di intermediazione regolati dalla direttiva sul commercio elettronico (direttiva 2000/31/CE) e la recente proposta della Commissione per la legge sui servizi digitali.

In relazione ai sistemi di IA che sono componenti di sistemi informatici su larga scala nello spazio di libertà, sicurezza e giustizia gestiti dall'Agenzia dell'Unione europea per la gestione operativa dei sistemi IT su larga scala (eu-LISA), la proposta non si applicherà ai sistemi di IA immessi sul mercato o messi in servizio prima che sia trascorso un anno dalla data di applicazione del presente regolamento, fatto salvo il caso in cui la sostituzione o la modifica di tali atti giuridici comporti una modifica significativa della progettazione o della finalità prevista del sistema di IA o dei sistemi di IA interessati.

1.3. Coerenza con le altre normative dell'Unione

La proposta fa parte di un pacchetto più ampio di misure destinate ad affrontare i problemi posti dallo sviluppo e dall'utilizzo dell'IA, come esaminato nel Libro bianco sull'intelligenza artificiale. Sono pertanto garantite la coerenza e la complementarità rispetto ad altre iniziative in corso o previste della Commissione, volte anch'esse ad affrontare tali problemi, comprese la revisione della normativa settoriale sui prodotti (ad esempio la direttiva macchine, la direttiva sulla sicurezza generale dei prodotti) e le iniziative che affrontano le questioni connesse alla responsabilità in relazione alle nuove tecnologie, compresi i sistemi di IA. Tali iniziative si baseranno sulla presente proposta e la integreranno al fine di apportare chiarezza giuridica e favorire lo sviluppo di un ecosistema di fiducia nei confronti dell'IA in Europa. 

La proposta è inoltre coerente con la strategia digitale globale della Commissione nel contesto del suo contributo alla promozione della tecnologia al servizio delle persone, uno dei tre pilastri principali dell'orientamento politico e degli obiettivi annunciati nella comunicazione "Plasmare il futuro digitale dell'Europa". Stabilisce un quadro coerente, efficace e proporzionato per assicurare che l'IA si sviluppi secondo modalità che rispettano i diritti delle persone e ne guadagnano la fiducia, rendendo l'Europa adatta all'era digitale e trasformando i prossimi dieci anni nel decennio digitale.

Inoltre la promozione dell'innovazione basata sull'IA è strettamente legata all'Atto sulla governance dei dati, alla direttiva sull'apertura dei dati e ad altre iniziative nell'ambito della strategia dell'UE per i dati, che stabiliranno meccanismi e servizi affidabili per il riutilizzo, la condivisione e la messa in comune dei dati, essenziali per lo sviluppo di modelli di IA di alta qualità basati sui dati.

La proposta rafforza inoltre in maniera significativa il ruolo dell'Unione per quanto riguarda il contributo alla definizione di norme e standard globali e la promozione di un'IA affidabile che sia coerente con i valori e gli interessi dell'Unione. Essa fornisce all'Unione una base solida per impegnarsi ulteriormente con i suoi partner esterni, compresi i paesi terzi, e nei consessi internazionali in merito a questioni relative all'IA.

2. BASE GIURIDICA, SUSSIDIARIETÀ E PROPORZIONALITÀ

2.1. Base giuridica

La base giuridica della proposta è costituita innanzitutto dall'articolo 114 del trattato sul funzionamento dell'Unione europea (TFUE), che prevede l'adozione di misure destinate ad assicurare l'instaurazione ed il funzionamento del mercato interno. 

La presente proposta costituisce una parte fondamentale della strategia dell'Unione per il mercato unico digitale. L'obiettivo principale della presente proposta è assicurare il buon funzionamento del mercato interno fissando regole armonizzate, in particolare per quanto concerne lo sviluppo, l'immissione sul mercato dell'Unione e l'utilizzo di prodotti e servizi che ricorrono a tecnologie di intelligenza artificiale o forniti come sistemi di IA indipendenti ("stand-alone"). Taluni Stati membri stanno già prendendo in considerazione l'adozione di regole nazionali destinate ad assicurare che l'IA sia sicura e venga sviluppata e utilizzata nel rispetto dei diritti fondamentali. È probabile che ciò determini due problemi principali: i) una frammentazione del mercato interno su elementi essenziali concernenti in particolare i requisiti dei prodotti e dei servizi di IA, la loro commercializzazione, il loro utilizzo, la responsabilità e il controllo da parte delle autorità pubbliche; ii) la riduzione sostanziale della certezza del diritto tanto per i fornitori quanto per gli utenti dei sistemi di IA in merito alle modalità secondo cui le regole nuove e quelle esistenti si applicheranno a tali sistemi nell'Unione. Data l'ampia circolazione di prodotti e servizi a livello transfrontaliero, questi due problemi possono essere risolti al meglio attraverso l'armonizzazione della legislazione a livello UE. 

La presente proposta definisce infatti dei requisiti obbligatori comuni applicabili alla progettazione e allo sviluppo di alcuni sistemi di IA prima della loro immissione sul mercato, che saranno resi ulteriormente operativi attraverso norme tecniche armonizzate. La presente proposta contempla altresì la situazione successiva all'immissione sul mercato dei sistemi di IA armonizzando le modalità secondo cui sono eseguiti i controlli ex post.

Inoltre, considerando che la presente proposta contiene talune regole specifiche sulla protezione delle persone fisiche per quanto concerne il trattamento di dati personali, in particolare restrizioni sull'utilizzo di sistemi di IA per l'identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico a fini di attività di contrasto, è opportuno basare il presente regolamento, per quanto concerne tali regole specifiche, sull'articolo 16 TFUE.

2.2. Sussidiarietà (per la competenza non esclusiva) 

La natura dell'IA, che si basa spesso su set di dati di grandi dimensioni e varietà che possono essere integrati in qualsiasi prodotto o servizio che circola liberamente nel mercato interno, implica che gli obiettivi della presente proposta non possano essere conseguiti in maniera efficace dai singoli Stati membri. Il formarsi di un mosaico di regole nazionali potenzialmente divergenti potrebbe inoltre ostacolare la circolazione senza soluzione di continuità di prodotti e servizi collegati ai sistemi di IA in tutta l'UE e potrebbe dimostrarsi inefficace nel garantire la sicurezza e la protezione dei diritti fondamentali e dei valori dell'Unione nei diversi Stati membri. Gli approcci nazionali destinati ad affrontare tali problemi creerebbero soltanto incertezza e ostacoli ulteriori e rallenterebbero l'adozione dell'IA da parte del mercato. 

Gli obiettivi della presente proposta possono essere meglio conseguiti a livello dell'Unione per evitare un'ulteriore frammentazione del mercato unico in quadri nazionali potenzialmente contraddittori che impediscono la libera circolazione di beni e servizi in cui è integrata l'IA. Un solido quadro normativo europeo per un'IA affidabile assicurerà altresì parità di condizioni e tutelerà tutte le persone, rafforzando allo stesso tempo la competitività e la base industriale dell'Europa nel settore dell'IA. Soltanto un'azione comune a livello di Unione può altresì tutelare la sovranità digitale dell'Unione e sfruttare gli strumenti e i poteri di regolamentazione di quest'ultima per plasmare regole e norme di portata globale. 

2.3. Proporzionalità

La proposta si basa sui quadri giuridici esistenti ed è proporzionata e necessaria per il conseguimento dei suoi obiettivi dato che segue un approccio basato sul rischio e impone oneri normativi soltanto laddove un sistema di IA possa comportare rischi alti per i diritti fondamentali e la sicurezza. Per altri sistemi di IA non ad alto rischio sono imposti soltanto obblighi di trasparenza molto limitati, ad esempio in termini di fornitura di informazioni per segnalare l'utilizzo di un sistema di IA nelle interazioni con esseri umani. Per i sistemi di IA ad alto rischio i requisiti di qualità elevata dei dati, documentazione e tracciabilità, trasparenza, sorveglianza umana, precisione e robustezza sono strettamente necessari per attenuare i rischi per i diritti fondamentali e la sicurezza posti dall'IA e che non sono oggetto di altri quadri giuridici in vigore. Norme armonizzate e strumenti di sostegno per l'orientamento e la conformità forniranno assistenza a fornitori e utenti ai fini del rispetto dei requisiti stabiliti dalla presente proposta e della riduzione dei costi. I costi sostenuti dagli operatori sono proporzionati agli obiettivi conseguiti e ai benefici economici e reputazionali che gli operatori possono aspettarsi dalla presente proposta.

2.4. Scelta dell'atto giuridico

La scelta di un regolamento come atto giuridico è giustificata dalla necessità di un'applicazione uniforme delle nuove regole, come la definizione di IA, il divieto di talune pratiche dannose consentite dall'IA e la classificazione di taluni sistemi di IA. L'applicabilità diretta di un regolamento, conformemente all'articolo 288 TFUE, ridurrà la frammentazione giuridica e faciliterà lo sviluppo di un mercato unico per sistemi di IA leciti, sicuri e affidabili. Tale obiettivo sarà conseguito in particolare introducendo una serie armonizzata di requisiti di base per quanto concerne i sistemi di IA classificati come ad alto rischio e di obblighi riguardanti fornitori e utenti di tali sistemi, migliorando la tutela dei diritti fondamentali e garantendo certezza del diritto tanto per gli operatori quanto per i consumatori.

Allo stesso tempo, le disposizioni del regolamento non sono eccessivamente prescrittive e lasciano spazio a diversi livelli di azione da parte degli Stati membri in relazione ad aspetti che non pregiudicano il conseguimento degli obiettivi dell'iniziativa, in particolare l'organizzazione interna del sistema di vigilanza del mercato e l'adozione di misure destinate a promuovere l'innovazione.

3. RISULTATI DELLE VALUTAZIONI EX POST, DELLE CONSULTAZIONI DEI PORTATORI DI INTERESSI E DELLE VALUTAZIONI D'IMPATTO

3.1. Consultazione dei portatori di interessi

La presente proposta è il risultato di un'ampia consultazione di tutti i principali portatori di interessi, nel contesto della quale sono stati applicati i principi generali e le norme minime per la consultazione delle parti interessate da parte della Commissione. 

Una consultazione pubblica online è stata avviata il 19 febbraio 2020, unitamente alla pubblicazione del Libro bianco sull'intelligenza artificiale, ed è durata fino al 14 giugno 2020. L'obiettivo di tale consultazione era raccogliere opinioni e pareri sul Libro bianco. Tale consultazione è stata rivolta a tutti i portatori di interessi coinvolti del settore pubblico e di quello privato, compresi governi, autorità locali, organizzazioni commerciali e non, parti sociali, esperti, accademici e cittadini. Dopo aver analizzato tutte le risposte pervenute, la Commissione ha pubblicato una sintesi dei risultati, così come le singole risposte, sul proprio sito web.

Complessivamente sono pervenuti 1 215 contributi, di cui 352 da imprese od organizzazioni/associazioni di imprese, 406 da persone fisiche (92 % persone fisiche dell'UE), 152 a nome di istituzioni accademiche/di ricerca e 73 da autorità pubbliche. I pareri della società civile sono stati rappresentati da 160 partecipanti (tra cui 9 organizzazioni di consumatori, 129 organizzazioni non governative e 22 sindacati); 72 partecipanti hanno invece contribuito classificandosi come "altri". Dei 352 rappresentanti di imprese e dell'industria, 222 sono stati imprese e rappresentanti di imprese, il 41,5 % delle quali apparteneva alla categoria delle micro, piccole e medie imprese. Nel resto dei casi si è trattato di associazioni di imprese. Complessivamente l'84 % delle risposte ricevute da imprese e dall'industria è pervenuto dall'UE-27. A seconda della domanda, tra 81 e 598 partecipanti hanno utilizzato l'opzione di testo libero per inserire osservazioni. Oltre 450 documenti di sintesi sono stati presentati tramite il sito web EUSurvey, in aggiunta alle risposte al questionario (oltre 400) oppure sotto forma di contributi indipendenti (oltre 50).

Complessivamente è stato registrato un consenso generale tra i portatori di interessi in merito alla necessità di intervenire. Una grande maggioranza dei portatori di interessi si è detta concorde in merito al fatto che esistano lacune legislative o che sia necessaria una normativa nuova. Tuttavia diversi portatori di interessi hanno avvertito la Commissione di evitare duplicazioni, obblighi contrastanti e una regolamentazione eccessiva. Sono pervenute numerose osservazioni nelle quali è stata sottolineata l'importanza di un quadro normativo proporzionato e neutro dal punto di vista tecnologico.

I portatori di interessi hanno richiesto per lo più una definizione restrittiva, chiara e precisa del concetto di intelligenza artificiale. I portatori di interessi hanno altresì sottolineato che, oltre al chiarimento del termine "intelligenza artificiale", è importante definire anche "rischio", "alto rischio", "basso rischio", "identificazione biometrica remota" e "danno".

La maggior parte dei partecipanti si è detta esplicitamente a favore dell'approccio basato sul rischio. Il ricorso a un quadro basato sul rischio è stato considerato un'opzione migliore rispetto a una regolamentazione di natura generale applicabile a tutti i sistemi di IA. I tipi di rischi e minacce dovrebbero essere basati su un approccio per singolo settore e per singolo caso. I rischi dovrebbero inoltre essere calcolati tenendo conto del loro impatto su diritti e sicurezza.

Disporre di spazi di sperimentazione normativa potrebbe essere molto utile per promuovere l'IA e tale possibilità è stata accolta con favore da taluni portatori di interessi, in particolare le associazioni di imprese. 

Tra coloro che hanno formulato la loro opinione in merito ai modelli di applicazione, più del 50 %, in particolare appartenenti ad associazioni di imprese, si è detto a favore di una combinazione di un'autovalutazione ex-ante del rischio e un'applicazione ex post per i sistemi di IA ad alto rischio.

3.2. Assunzione e uso di perizie

La proposta si basa su due anni di analisi e uno stretto coinvolgimento dei portatori di interessi, tra i quali figurano accademici, imprese, parti sociali, organizzazioni non governative, Stati membri e cittadini. I lavori preparatori sono iniziati nel 2018 con la creazione di un gruppo di esperti ad alto livello sull'intelligenza artificiale (AI HLEG), avente una configurazione ampia e inclusiva, costituito da 52 esperti di chiara fama incaricati di fornire consulenza alla Commissione in merito all'attuazione della sua strategia sull'intelligenza artificiale. Nell'aprile del 2019 la Commissione ha sostenuto i requisiti fondamentali stabiliti negli orientamenti etici dell'AI HLEG per un'IA affidabile, che erano stati rivisti per tenere conto di più di 500 osservazioni formulate da portatori di interessi. I requisiti fondamentali riflettono un approccio diffuso e comune, come evidenziato da una pletora di codici etici e principi sviluppati da numerose organizzazioni private e pubbliche in Europa e al di fuori dei suoi confini, secondo il quale lo sviluppo e l'utilizzo di IA dovrebbero essere guidati da alcuni principi essenziali orientati ai valori. L'elenco di valutazione per un'intelligenza artificiale affidabile (ALTAI, dal titolo inglese della pubblicazione) ha reso operativi tali requisiti nel contesto di un processo pilota che ha coinvolto oltre 350 organizzazioni. 

È stata inoltre istituita l'Alleanza per l'IA, costituita da una piattaforma destinata a consentire a circa 4 000 portatori di interessi di discutere le implicazioni tecnologiche e sociali dell'IA, che culmina in un'assemblea annuale sull'IA. 

Il Libro bianco sull'intelligenza artificiale ha sviluppato ulteriormente tale approccio inclusivo, incoraggiando la presentazione di osservazioni da parte di oltre 1 250 portatori di interessi, comprese più di 450 prese di posizione aggiuntive. Di conseguenza la Commissione ha pubblicato una valutazione d'impatto iniziale, che ha a sua volta attirato più di 130 osservazioni. Sono stati organizzati anche seminari ed eventi supplementari dedicati ai portatori di interessi, i cui risultati hanno sostenuto l'analisi contenuta nella valutazione d'impatto e le scelte politiche effettuate nella presente proposta. È stato altresì commissionato uno studio esterno destinato ad alimentare la valutazione d'impatto.

3.3. Valutazione d'impatto

In linea con la sua politica "Legiferare meglio", la Commissione ha condotto una valutazione d'impatto in relazione alla presente proposta, esaminata dal comitato per il controllo normativo della Commissione. Il 16 dicembre 2020 si è tenuta una riunione con tale comitato, alla quale è seguita la formulazione di un parere negativo. Dopo una revisione sostanziale volta ad affrontare le osservazioni formulate e ripresentare la valutazione d'impatto, il 21 marzo 2021 il comitato per il controllo normativo ha emesso un parere positivo. I pareri del comitato per il controllo normativo, le raccomandazioni e una spiegazione di come queste ultime sono state prese in considerazione sono presentati nell'allegato 1 della valutazione d'impatto. 

La Commissione ha esaminato diverse opzioni strategiche destinate al conseguimento dell'obiettivo generale della presente proposta, ossia quello di assicurare il buon funzionamento del mercato unico creando le condizioni per lo sviluppo e l'utilizzo di un'IA affidabile nell'Unione.

Sono state valutate quattro opzioni strategiche che presentano gradi diversi di intervento normativo:

opzione 1: strumento legislativo dell'UE che istituisce un sistema di etichettatura volontario;

opzione 2: approccio settoriale "ad hoc";

opzione 3: strumento legislativo orizzontale dell'UE che segue un approccio proporzionato basato sul rischio;

Opzione 3+: strumento legislativo orizzontale dell'UE che segue un approccio proporzionato basato sul rischio + codici di condotta per i sistemi di IA non ad alto rischio;

opzione 4: strumento legislativo orizzontale dell'UE che stabilisce requisiti obbligatori per tutti i sistemi di IA, indipendentemente dal rischio che pongono.

Secondo la metodologia stabilita dalla Commissione, ciascuna opzione strategica è stata valutata rispetto agli impatti economici e sociali, prestando un'attenzione particolare all'impatto sui diritti fondamentali. L'opzione prescelta è l'opzione 3+ che prevede un quadro normativo soltanto per i sistemi di IA ad alto rischio, con la possibilità per tutti i fornitori di sistemi di IA non ad alto rischio di seguire un codice di condotta. I requisiti riguarderanno i dati, la documentazione e la tracciabilità, la fornitura di informazioni e la trasparenza, la sorveglianza umana nonché la robustezza e la precisione e saranno obbligatori per i sistemi di IA ad alto rischio. Le imprese che introducessero codici di condotta per altri sistemi di IA lo farebbero su base volontaria.

L'opzione prescelta è stata considerata adeguata per affrontare nel modo più efficace gli obiettivi della presente proposta. Richiedendo una serie limitata ma efficace di interventi da parte di sviluppatori e utenti dell'IA, l'opzione prescelta limita i rischi di violazione dei diritti fondamentali e della sicurezza delle persone e promuove attività efficaci di controllo e applicazione, concentrando i requisiti soltanto sui sistemi che presentano un rischio alto di occorrenza di tali violazioni. Di conseguenza tale opzione mantiene i costi di conformità al minimo, evitando così un inutile rallentamento dell'adozione dovuto a prezzi e costi di conformità più elevati. Al fine di affrontare i possibili svantaggi per le PMI, tale opzione comprende diverse disposizioni destinate a sostenere la loro conformità e ridurre i loro costi, tra le quali la creazione di spazi di sperimentazione normativa e l'obbligo di considerare gli interessi delle PMI quando si fissano le tariffe relative alla valutazione della conformità. 

L'opzione prescelta aumenterà la fiducia delle persone nei confronti dell'IA, le imprese otterranno vantaggi in termini di certezza del diritto e gli Stati membri non avranno motivo per intraprendere azioni unilaterali che potrebbero frammentare il mercato unico. L'incremento della domanda, in ragione di una fiducia maggiore, e delle offerte disponibili, grazie alla certezza del diritto, nonché l'assenza di ostacoli alla circolazione transfrontaliera dei sistemi di IA faranno probabilmente sì che il mercato unico per l'IA sia fiorente. L'Unione europea continuerà a sviluppare un ecosistema di servizi e prodotti innovativi di IA in rapida crescita che integrano la tecnologia dell'IA o sistemi di IA indipendenti, con conseguente aumento dell'autonomia digitale.

Imprese o autorità pubbliche che sviluppano o utilizzano applicazioni di IA che rappresentano un rischio alto per la sicurezza o i diritti fondamentali dei cittadini dovrebbero rispettare requisiti e obblighi specifici. Entro il 2025 il rispetto di tali requisiti comporterebbe costi compresi, circa, tra 6 000 EUR e 7 000 EUR per la fornitura di un sistema di IA medio ad alto rischio del valore di circa 170 000 EUR. Per gli utenti di IA andrebbe altresì considerato il costo annuale del tempo impiegato per assicurare la sorveglianza umana, ove opportuno, a seconda del caso d'uso. Secondo le stime, tale costo tale costo sarebbe compreso, circa, tra 5 000 EUR e 8 000 EUR l'anno. I costi di verifica potrebbero ammontare a ulteriori 3 000 EUR - 7 500 EUR per i fornitori di IA ad alto rischio. Le imprese o le autorità pubbliche che sviluppano o utilizzano una qualsiasi applicazione di IA non classificata come ad alto rischio sarebbero soggette soltanto ad obblighi minimi di informazione. Potrebbero tuttavia scegliere di riunirsi ad altri soggetti e adottare congiuntamente un codice di condotta per seguire requisiti adeguati e per assicurare che i loro sistemi di IA siano affidabili. In tal caso i costi sarebbero al massimo pari a quelli dei sistemi di IA ad alto rischio, ma molto probabilmente inferiori. 

Gli impatti delle opzioni strategiche su diverse categorie di portatori di interessi (operatori economici/imprese; organismi di valutazione della conformità, organismi di normazione e altri enti pubblici; persone fisiche/cittadini; ricercatori) sono spiegati in dettaglio nell'allegato 3 della valutazione d'impatto a sostegno della presente proposta.

3.4. Efficienza normativa e semplificazione

La presente proposta stabilisce gli obblighi che si applicheranno a fornitori e utenti di sistemi di IA ad alto rischio. Per i fornitori che sviluppano e immettono tali sistemi sul mercato dell'Unione, la presente proposta creerà certezza del diritto e assicurerà l'assenza di ostacoli alla fornitura transfrontaliera di servizi e prodotti collegati all'IA. Per le imprese che utilizzano l'IA, promuoverà la fiducia tra i loro clienti, mentre per le amministrazioni pubbliche nazionali la presente proposta promuoverà la fiducia del pubblico nell'utilizzo dell'IA e rafforzerà i meccanismi di applicazione (introducendo un meccanismo di coordinamento europeo, fornendo capacità adeguate e facilitando l'audit dei sistemi di IA con requisiti nuovi per quanto concerne la documentazione, la tracciabilità e la trasparenza). Inoltre il quadro prevedrà misure specifiche a sostegno dell'innovazione, tra le quali spazi di sperimentazione normativa e misure specifiche per sostenere utenti e fornitori di piccole dimensioni di sistemi di IA ad alto rischio affinché possano conformarsi alle nuove regole.

La presente proposta mira inoltre specificamente a rafforzare la competitività e la base industriale dell'Europa nel settore dell'IA. È assicurata la piena coerenza con la vigente normativa settoriale dell'Unione applicabile ai sistemi di IA (ad esempio su prodotti e servizi), il che apporterà ulteriore chiarezza e semplificherà l'applicazione delle nuove regole.

3.5. Diritti fondamentali

L'utilizzo dell'IA con le sue caratteristiche specifiche (ad esempio opacità, complessità, dipendenza dai dati, comportamento autonomo) può incidere negativamente su una serie di diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell'Unione europea ("la Carta"). La presente proposta mira ad assicurare un livello elevato di protezione di tali diritti fondamentali e ad affrontare varie fonti di rischio attraverso un approccio basato sul rischio chiaramente definito. Definendo una serie di requisiti per un'IA affidabile e di obblighi proporzionati per tutti i partecipanti alla catena del valore, la presente proposta migliorerà e promuoverà la protezione dei diritti tutelati dalla Carta: il diritto alla dignità umana (articolo 1), al rispetto della vita privata e alla protezione dei dati di carattere personale (articoli 7 e 8), alla non discriminazione (articolo 21) e alla parità tra donne e uomini (articolo 23). Essa mira a prevenire un effetto dissuasivo sui diritti alla libertà di espressione (articolo 11) e alla libertà di riunione (articolo 12), nonché ad assicurare la tutela del diritto a un ricorso effettivo e a un giudice imparziale, della presunzione di innocenza e dei diritti della difesa (articoli 47 e 48), così come il principio generale di buona amministrazione. La presente proposta inciderà inoltre positivamente, secondo quanto applicabile in determinati settori, sui diritti di una serie di gruppi speciali, quali i diritti dei lavoratori a condizioni di lavoro giuste ed eque (articolo 31), un livello elevato di protezione dei consumatori (articolo 38), i diritti del minore (articolo 24) e l'inserimento delle persone con disabilità (articolo 26). Rilevante è anche il diritto a un livello elevato di tutela dell'ambiente e al miglioramento della sua qualità (articolo 37), anche in relazione alla salute e alla sicurezza delle persone. Gli obblighi di prova ex ante, di gestione dei rischi e di sorveglianza umana faciliteranno altresì il rispetto di altri diritti fondamentali, riducendo al minimo il rischio di decisioni errate o distorte assistite dall'IA in settori critici quali l'istruzione e la formazione, l'occupazione, servizi importanti, le attività di contrasto e il sistema giudiziario. Nel caso in cui si verifichino comunque violazioni dei diritti fondamentali, un ricorso efficace a favore delle persone lese sarà reso possibile assicurando la trasparenza e la tracciabilità dei sistemi di IA unitamente a rigidi controlli ex post.

La presente proposta impone alcune restrizioni alla libertà d'impresa (articolo 16) e alla libertà delle arti e delle scienze (articolo 13) al fine di assicurare il rispetto di motivi imperativi d'interesse pubblico quali la salute, la sicurezza, la tutela dei consumatori e la protezione di altri diritti fondamentali ("innovazione responsabile") nel momento in cui si diffonde e si utilizza una tecnologia di IA. Tali restrizioni sono proporzionate e limitate al minimo necessario per prevenire e attenuare rischi gravi per la sicurezza e probabili violazioni dei diritti fondamentali.

Inoltre i maggiori obblighi di trasparenza non incideranno in maniera sproporzionata sul diritto alla protezione della proprietà intellettuale (articolo 17, paragrafo 2), dato che saranno limitati soltanto alle informazioni minime necessarie affinché le persone possano esercitare il loro diritto a un ricorso effettivo e alla necessaria trasparenza presso le autorità di controllo e di contrasto, in linea con i loro mandati. Qualsiasi divulgazione di informazioni sarà effettuata in conformità alla legislazione pertinente nel settore, compresa la direttiva (UE) 2016/943 sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l'acquisizione, l'utilizzo e la divulgazione illeciti. Le autorità pubbliche e gli organismi notificati, quando hanno necessità di accedere a informazioni riservate o al codice sorgente per esaminare il rispetto di obblighi sostanziali, sono sottoposti a obblighi di riservatezza vincolanti.

4. INCIDENZA SUL BILANCIO

Gli Stati membri dovranno designare autorità di controllo incaricate di attuare i requisiti legislativi. La loro funzione di controllo potrebbe basarsi su accordi esistenti, ad esempio per quanto riguarda gli organismi di valutazione della conformità o la vigilanza del mercato, ma richiederebbe competenze tecnologiche e risorse umane e finanziarie sufficienti. A seconda della struttura preesistente in ciascuno Stato membro, ciò potrebbe rappresentare da 1 a 25 equivalenti a tempo pieno per Stato membro.

Una panoramica dettagliata dei costi in questione è riportata nella "scheda finanziaria" collegata alla presente proposta.

5. ALTRI ELEMENTI

5.1. Piani attuativi e modalità di monitoraggio, valutazione e informazione

Prevedere un solido meccanismo di monitoraggio e valutazione è fondamentale per assicurare che la presente proposta sia efficace nel conseguire i suoi obiettivi specifici. La Commissione sarà incaricata di monitorare gli effetti della proposta. Stabilirà un sistema di registrazione delle applicazioni di IA ad alto rischio indipendenti in una banca dati pubblica a livello dell'UE. Tale registrazione consentirà altresì alle autorità competenti, agli utenti e ad altre persone interessate di verificare se il sistema di IA ad alto rischio è conforme ai requisiti stabiliti nella presente proposta nonché di esercitare una sorveglianza rafforzata sui sistemi di IA che presentano un alto rischio per i diritti fondamentali. Al fine di alimentare tale banca dati, i fornitori di IA saranno tenuti a fornire informazioni significative sui loro sistemi e sulla valutazione della conformità condotta su tali sistemi. 

I fornitori di IA saranno inoltre tenuti a informare le autorità nazionali competenti in merito a incidenti gravi o malfunzionamenti che costituiscono una violazione degli obblighi in materia di diritti fondamentali non appena ne vengono a conoscenza, nonché in merito a qualsiasi richiamo o ritiro di sistemi di IA dal mercato. Le autorità nazionali competenti indagheranno quindi sugli incidenti o sui malfunzionamenti, raccoglieranno tutte le informazioni necessarie e le trasmetteranno periodicamente alla Commissione con metadati adeguati. La Commissione integrerà tali informazioni sugli incidenti con un'analisi completa del mercato globale per l'IA.

La Commissione pubblicherà una relazione di valutazione e sul riesame del quadro proposto per l'IA cinque anni dopo la data in cui quest'ultimo diventa applicabile.

5.2. Illustrazione dettagliata delle singole disposizioni della proposta

5.2.1. AMBITO DI APPLICAZIONE E DEFINIZIONI (TITOLO I)

Il titolo I definisce l'oggetto del regolamento e l'ambito di applicazione delle nuove regole concernenti l'immissione sul mercato, la messa in servizio e l'utilizzo di sistemi di IA. Stabilisce inoltre le definizioni utilizzate in tutto l'atto. La definizione di sistema di IA nel quadro giuridico mira ad essere il più possibile neutrale dal punto di vista tecnologico e adeguata alle esigenze future, tenendo conto dei rapidi sviluppi tecnologici e di mercato relativi all'IA. Al fine di fornire la necessaria certezza del diritto, il titolo I è integrato dall'allegato I, contenente un elenco dettagliato di approcci e tecniche per lo sviluppo dell'IA che deve essere adattato dalla Commissione in linea con i nuovi sviluppi tecnologici. Anche i partecipanti chiave lungo l'intera catena del valore dell'IA sono chiaramente definiti, quali i fornitori e gli utenti di sistemi di IA, considerando tanto gli operatori pubblici quanto quelli privati in maniera da assicurare parità di condizioni.

5.2.2. PRATICHE DI INTELLIGENZA ARTIFICIALE VIETATE (TITOLO II) 

Il titolo II stabilisce un elenco di pratiche di IA vietate. Il regolamento segue un approccio basato sul rischio, differenziando tra gli usi dell'IA che creano: i) un rischio inaccettabile; ii) un rischio alto; iii) un rischio basso o minimo. L'elenco delle pratiche vietate di cui al titolo II comprende tutti i sistemi di IA il cui uso è considerato inaccettabile in quanto contrario ai valori dell'Unione, ad esempio perché viola i diritti fondamentali. I divieti riguardano pratiche che presentano un elevato potenziale in termini di manipolazione delle persone attraverso tecniche subliminali, senza che tali persone ne siano consapevoli, oppure di sfruttamento delle vulnerabilità di specifici gruppi vulnerabili, quali i minori o le persone con disabilità, al fine di distorcerne materialmente il comportamento in maniera tale da provocare loro o a un'altra persona un danno psicologico o fisico. Altre pratiche manipolative o di sfruttamento che interessano gli adulti che potrebbero essere facilitate dai sistemi di IA potrebbero essere soggette alla normativa vigente in materia di protezione dei dati, tutela dei consumatori e servizi digitali, che garantisce che le persone fisiche siano adeguatamente informate e dispongano della libera scelta di non essere soggette a profilazione o ad altre pratiche che potrebbero influire sul loro comportamento. La proposta vieta altresì l'attribuzione di un punteggio sociale basato sull'IA per finalità generali da parte di autorità pubbliche. È infine vietato anche il ricorso a sistemi di identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico a fini di attività di contrasto, fatta salva l'applicazione di talune eccezioni limitate.

5.2.3. SISTEMI DI IA AD ALTO RISCHIO (TITOLO III) 

Il titolo III contiene regole specifiche per i sistemi di IA che creano un rischio alto per la salute e la sicurezza o per i diritti fondamentali delle persone fisiche. In linea con un approccio basato sul rischio, tali sistemi di IA ad alto rischio sono consentiti sul mercato europeo subordinatamente al rispetto di determinati requisiti obbligatori e ad una valutazione della conformità ex ante. La classificazione di un sistema di IA come ad alto rischio si basa sulla sua finalità prevista, in linea con la normativa vigente dell'UE in materia di sicurezza dei prodotti. Di conseguenza la classificazione come ad alto rischio non dipende solo dalla funzione svolta dal sistema di IA, ma anche dalle finalità e modalità specifiche di utilizzo di tale sistema. 

Il capo 1 del titolo III fissa le regole di classificazione e individua due categorie principali di sistemi di IA ad alto rischio:

i sistemi di IA destinati ad essere utilizzati come componenti di sicurezza di prodotti soggetti a valutazione della conformità ex ante da parte di terzi;

altri sistemi di IA indipendenti che presentano implicazioni principalmente in relazione ai diritti fondamentali esplicitamente elencati nell'allegato III.

Tale elenco di sistemi di IA ad alto rischio di cui all'allegato III contiene un numero limitato di sistemi di IA i cui rischi si sono già concretizzati o potrebbero concretizzarsi nel prossimo futuro. Al fine di assicurare che il regolamento possa essere adattato agli usi e alle applicazioni emergenti dell'intelligenza artificiale, la Commissione può ampliare l'elenco dei sistemi di IA ad alto rischio utilizzati all'interno di alcuni settori predefiniti, applicando una serie di criteri e una metodologia di valutazione dei rischi. 

Il capo 2 definisce i requisiti giuridici per i sistemi di IA ad alto rischio in relazione a dati e governance dei dati, documentazione e conservazione delle registrazioni, trasparenza e fornitura di informazioni agli utenti, sorveglianza umana, robustezza, accuratezza e sicurezza. I requisiti minimi proposti costituiscono già lo stato dell'arte per numerosi operatori diligenti e rappresentano il risultato di due anni di lavoro preparatorio, derivato dagli orientamenti etici del gruppo di esperti ad alto livello sull'intelligenza artificiale, guidato da più di 350 organizzazioni. Tali requisiti sono altresì in gran parte coerenti con altre raccomandazioni e altri principi internazionali, circostanza questa che assicura che il quadro dell'IA proposto sia compatibile con quelli adottati dai partner commerciali internazionali dell'UE. Le soluzioni tecniche precise atte a conseguire la conformità a tali requisiti possono essere previste mediante norme o altre specifiche tecniche o altrimenti essere sviluppate in conformità alle conoscenze ingegneristiche o scientifiche generali, a discrezione del fornitore del sistema di IA. Tale flessibilità è particolarmente importante in quanto consente ai fornitori di sistemi di IA di scegliere il modo in cui soddisfare i requisiti che li riguardano, tenendo conto dello stato dell'arte e del progresso tecnologico e scientifico nel settore.

Il capo 3 definisce una serie chiara di obblighi orizzontali per i fornitori di sistemi di IA ad alto rischio. Obblighi proporzionati sono imposti anche a utenti e altri partecipanti lungo la catena del valore dell'IA (ad esempio importatori, distributori, rappresentanti autorizzati).

Il capo 4 definisce il quadro per gli organismi notificati che saranno coinvolti come terze parti indipendenti nelle procedure di valutazione della conformità, mentre il capo 5 spiega in dettaglio le procedure di valutazione della conformità da seguire per ciascun tipo di sistema di IA ad alto rischio. L'approccio di valutazione della conformità mira a ridurre al minimo l'onere per gli operatori economici e per gli organismi notificati, la cui capacità deve essere aumentata progressivamente nel corso del tempo. I sistemi di IA destinati a essere utilizzati come componenti di sicurezza di prodotti disciplinati conformemente al nuovo quadro normativo (ad esempio macchine, giocattoli, dispositivi medici, ecc.) saranno soggetti agli stessi meccanismi di conformità e applicazione ex ante ed ex post dei prodotti di cui sono un componente. La differenza fondamentale consiste nel fatto che i meccanismi ex ante ed ex post assicureranno la conformità non soltanto ai requisiti stabiliti dalla normativa settoriale, ma anche a quelli fissati dal presente regolamento. 

Per quanto riguarda i sistemi di IA ad alto rischio indipendenti di cui all'allegato III, sarà istituito un nuovo sistema di conformità e applicazione. Tale scelta segue il modello della legislazione del nuovo quadro normativo attuata mediante verifiche di controllo interno da parte di fornitori, fatta eccezione per i sistemi di identificazione biometrica remota che sarebbero soggetti a una valutazione della conformità da parte di terzi. Una valutazione completa della conformità ex ante attraverso controlli interni, combinata con una forte applicazione ex post, potrebbe costituire una soluzione efficace e ragionevole per tali sistemi, considerato che l'intervento normativo è in fase iniziale e che il settore dell'IA è molto innovativo e soltanto ora si stanno maturando le competenze di audit. Una valutazione attraverso controlli interni per sistemi di IA ad alto rischio indipendenti richiederebbe una conformità ex ante piena, effettiva e adeguatamente documentata a tutti i requisiti del regolamento e ai sistemi solidi di gestione della qualità e dei rischi e a un monitoraggio successivo all'immissione sul mercato. Dopo aver effettuato la pertinente valutazione della conformità, il fornitore dovrebbe registrare tali sistemi di IA ad alto rischio indipendenti in una banca dati dell'UE che sarà gestita dalla Commissione al fine di aumentare la trasparenza nei confronti del pubblico e la sorveglianza, nonché di rafforzare il controllo ex post da parte delle autorità competenti. Al contrario, per motivi di coerenza con la normativa vigente in materia di sicurezza dei prodotti, le valutazioni della conformità dei sistemi di IA che sono componenti di sicurezza di prodotti seguiranno un sistema che prevede procedure di valutazione della conformità ad opera di terzi già stabilito dalla normativa settoriale pertinente in materia di sicurezza dei prodotti. Saranno necessarie nuove rivalutazioni ex ante della conformità in caso di modifiche sostanziali ai sistemi di IA (e in particolare modifiche che vanno oltre quanto predeterminato dal fornitore nella sua documentazione tecnica e verificato al momento della valutazione della conformità ex ante).

5.2.4. OBBLIGHI DI TRASPARENZA PER DETERMINATI SISTEMI DI IA (TITOLO IV) 

Il titolo IV si concentra su determinati sistemi di IA al fine di tenere conto dei rischi specifici di manipolazione che essi comportano. Gli obblighi di trasparenza si applicheranno ai sistemi che: i) interagiscono con gli esseri umani; ii) sono utilizzati per rilevare emozioni o stabilire un'associazione con categorie (sociali) sulla base di dati biometrici; oppure iii) generano o manipolano contenuti ("deep fake"). Quando interagiscono con un sistema di IA o le loro emozioni o caratteristiche vengono riconosciute attraverso mezzi automatizzati, le persone devono esserne informate. Se un sistema di IA viene utilizzato per generare o manipolare immagini o contenuti audio o video che assomigliano notevolmente a contenuti autentici, dovrebbe essere previsto l'obbligo di rivelare che tali contenuti sono generati ricorrendo a mezzi automatizzati, fatte salve le eccezioni per finalità legittime (attività di contrasto, libertà di espressione). Ciò consente alle persone di compiere scelte informate o di compiere un passo indietro rispetto a una determinata situazione.

5.2.5. MISURE A SOSTEGNO DELL'INNOVAZIONE (TITOLO V) 

Il titolo V contribuisce all'obiettivo di creare un quadro giuridico favorevole all'innovazione, adeguato alle esigenze future e resiliente alle perturbazioni. Di conseguenza incoraggia le autorità nazionali competenti a creare spazi di sperimentazione normativa e definisce un quadro di base in termini di governance, controllo e responsabilità. Gli spazi di sperimentazione normativa per l'IA creano un ambiente controllato per sottoporre a prova tecnologie innovative per un periodo di tempo limitato sulla base di un piano di prova concordato con le autorità competenti. Il titolo V contiene altresì misure per ridurre gli oneri normativi per le PMI e le start-up. 

5.2.6. GOVERNANCE E ATTUAZIONE (TITOLI VI, VII E VII) 

Il titolo VI istituisce i sistemi di governance a livello di Unione e nazionale. A livello di Unione, la proposta istituisce un comitato europeo per l'intelligenza artificiale (il "comitato"), costituito da rappresentanti degli Stati membri e della Commissione. Tale comitato faciliterà un'attuazione agevole, efficace e armonizzata del presente regolamento contribuendo all'efficacia della cooperazione tra le autorità nazionali di controllo e la Commissione nonché fornendo consulenza e competenze alla Commissione. Raccoglierà e condividerà inoltre le migliori pratiche tra gli Stati membri. 

A livello nazionale, gli Stati membri dovranno designare una o più autorità nazionali competenti e, tra queste, l'autorità nazionale di controllo, al fine di controllare l'applicazione e l'attuazione del regolamento. Il Garante europeo della protezione dei dati agirà in qualità di autorità competente per la vigilanza delle istituzioni, delle agenzie e degli organismi dell'Unione nei casi in cui essi rientrano nell'ambito di applicazione del presente regolamento.

Il titolo VII mira a facilitare il lavoro di monitoraggio della Commissione e delle autorità nazionali attraverso la creazione di una banca dati a livello dell'UE per sistemi di IA ad alto rischio indipendenti che presentano principalmente implicazioni in relazione ai diritti fondamentali. La banca dati sarà gestita dalla Commissione e alimentata con i dati messi a disposizione dai fornitori dei sistemi di IA, che saranno tenuti a registrare i propri sistemi prima di immetterli sul mercato o altrimenti metterli in servizio.

Il titolo VIII stabilisce gli obblighi in materia di monitoraggio e segnalazione per i fornitori di sistemi di IA per quanto riguarda il monitoraggio successivo all'immissione sul mercato e la segnalazione di incidenti e malfunzionamenti correlati all'IA nonché le indagini in merito. Le autorità di vigilanza del mercato controllerebbero anche il mercato e indagherebbero in merito al rispetto degli obblighi e dei requisiti per tutti i sistemi di IA ad alto rischio già immessi sul mercato. Le autorità di vigilanza del mercato avrebbero tutti i poteri di cui al regolamento (UE) 2019/1020 sulla vigilanza del mercato. L'applicazione ex post dovrebbe assicurare che, una volta che il sistema di IA è stato immesso sul mercato, le autorità pubbliche dispongano dei poteri e delle risorse per intervenire nel caso in cui i sistemi di IA generino rischi imprevisti, che richiedono un intervento rapido. Tali autorità monitoreranno inoltre il rispetto da parte degli operatori dei loro obblighi pertinenti a norma del presente regolamento. La proposta non prevede la creazione automatica di ulteriori organismi o autorità a livello di Stato membro. Gli Stati membri possono quindi nominare autorità settoriali esistenti (avvalendosi delle loro competenze) e a tali autorità sarebbero affidati anche i poteri per monitorare e applicare le disposizioni del presente regolamento. 

Tutto ciò non pregiudica il sistema esistente e l'attribuzione di poteri di applicazione ex post degli obblighi in materia di diritti fondamentali negli Stati membri. Se necessario per il loro mandato, le autorità di controllo e contrasto esistenti avranno altresì il potere di richiedere tutta la documentazione conservata ai sensi del presente regolamento e di accedervi, nonché, ove necessario, di richiedere alle autorità di vigilanza del mercato di organizzare prove del sistema di IA ad alto rischio mediante mezzi tecnici.

5.2.7. CODICI DI CONDOTTA (TITOLO IX) 

Il titolo IX istituisce un quadro per la creazione di codici di condotta che mira a incoraggiare i fornitori di sistemi di IA non ad alto rischio ad applicare volontariamente i requisiti obbligatori previsti per i sistemi di IA ad alto rischio (come stabilito nel titolo III). I fornitori di sistemi di IA non ad alto rischio possono creare e attuare i codici di condotta autonomamente. Tali codici possono altresì comprendere impegni volontari relativi, ad esempio, alla sostenibilità ambientale, all'accessibilità da parte delle persone con disabilità, alla partecipazione dei portatori di interessi alla progettazione e allo sviluppo dei sistemi di IA, nonché alla diversità dei gruppi che si occupano dello sviluppo. 

5.2.8. DISPOSIZIONI FINALI (TITOLI X, XI E XII) 

Il titolo X sottolinea l'obbligo per tutte le parti di rispettare la riservatezza delle informazioni e dei dati e stabilisce le regole per lo scambio delle informazioni ottenute durante l'attuazione del regolamento. Il titolo X comprende altresì misure per assicurare l'efficace attuazione del regolamento mediante sanzioni efficaci, proporzionate e dissuasive in caso di violazione delle disposizioni.

Il titolo XI stabilisce le regole per l'esercizio della delega e delle competenze di esecuzione. La proposta conferisce alla Commissione la facoltà di adottare, se del caso, atti di esecuzione con l'obiettivo di assicurare l'applicazione uniforme del regolamento o atti delegati per aggiornare o integrare gli elenchi di cui agli allegati da I a VII. 

Il titolo XII contiene l'obbligo per la Commissione di valutare periodicamente la necessità di un aggiornamento dell'allegato III e di preparare relazioni periodiche di valutazione e sul riesame del regolamento. Stabilisce inoltre disposizioni finali, compreso un periodo transitorio differenziato per la data iniziale di applicabilità del regolamento al fine di facilitare la corretta attuazione da parte di tutte le parti interessate.

(...)

In allegato il testo integrale


Allegati



Autore

immagine A3M

Visite, contatti P&D

Nel mese di Marzo 2022, Persona&Danno ha servito oltre 214.000 pagine.

Libri

Convegni

Video & Film