Il 21 maggio scorso, il Consiglio dell’Unione europea ha approvato il Regolamento sull’intelligenza artificiale (“AI Act”), il quale costituisce la prima normativa sull’intelligenza artificiale (“AI”) adottata ufficialmente a livello mondiale. Questo regolamento potrebbe, dunque, costituire uno standard globale per la regolamentazione dell’IA anche in altre giurisdizioni, analogamente a quanto avvenuto con il Regolamento (UE) 2016/679 (il “GDPR”) in materia di protezione dei dati personali. Dopo essere stato firmato dai presidenti del Parlamento europeo e del Consiglio, l’AI Act verrà pubblicato nella Gazzetta ufficiale dell’Unione europea nei prossimi giorni ed entrerà in vigore venti giorni dopo la sua pubblicazione. In generale, il nuovo regolamento si applicherà due anni dopo la sua entrata in vigore, con alcune eccezioni con riguardo a specifiche disposizioni. L’AI Act è un quadro normativo che mira a garantire che i sistemi di IA siano sicuri e affidabili e che rispettino la legge, i diritti e i valori fondamentali dell’Unione europea. Gli obiettivi dell’AI Act non si limitano però al miglioramento della governance e all’applicazione efficace della legislazione esistente in materia di diritti fondamentali e sicurezza: esso mira altresì a promuovere investimenti e innovazioni attraverso l’implementazione dei cosiddetti sandbox normativi per l’IA. Il nuovo quadro normativo include, infatti, disposizioni atte a sostenere le innovazioni nel settore dell’IA all’interno dell’Unione europea, quali, a mero titolo esemplificativo, il Piano coordinato sull’IA. L’AI Act si applica solo alle aree soggette all’applicazione del diritto dell’Unione europea, prevedendo però anche alcune eccezioni, quali, ad esempio, quelle relative ai sistemi utilizzati esclusivamente per la difesa militare e per scopi di ricerca. L’approccio basato sul rischio Il nuovo quadro legislativo segue un approccio basato sul rischio. Ciò implica che quanto maggiore è il rischio associato a un sistema di IA, tanto più stringenti saranno i requisiti e gli obblighi da rispettare. Nel dettaglio, l’AI Act classifica i rischi in quattro livelli (inaccettabile, elevato, limitato e minimo), stabilendo per ciascuno di essi regole specifiche. Ad esempio, i sistemi di IA a rischio limitato sono soggetti a obblighi di trasparenza molto leggeri (previsti dall’articolo 50 della legge sull’IA). Al contrario, i sistemi di IA ad alto rischio devono rispettare una serie di requisiti e obblighi per poter accedere al mercato dell’Unione europea. In particolare, l’AI Act richiede una maggiore trasparenza per quanto riguarda lo sviluppo e l’utilizzo di tali sistemi. Inoltre, prima di utilizzare un sistema di IA ad alto rischio, i deployer che sono enti pubblici, enti privati che forniscono servizi pubblici, o banche e compagnie di assicurazione, devono effettuare una valutazione d’impatto sui diritti fondamentali. Per alcuni altri usi dell’IA – come la manipolazione cognitiva del comportamento, i sistemi di valutazione sociale o classificazione (ad esempio, la profilazione), il riconoscimento delle emozioni sul posto di lavoro e nelle istituzioni educative e il social scoring – i rischi sono invece ritenuti inaccettabili e quindi l’utilizzo di tale tipologia di sistemi è vietato. Inoltre, l’AI Act disciplina anche l’uso dei modelli di IA ad uso generale (c.d. general-purpose AI – “GPAI”), che possono presentare o meno un rischio sistemico. A seconda del livello di rischio associato, tali modelli possono quindi essere soggetti a regole più severe, quali specifici disposizioni relative a obblighi di trasparenza e misure volte alla mitigazione del rischio. Ma quando entrerà in vigore l’AI Act? Ai sensi dell’articolo 113 dell’AI Act, il nuovo quadro normativo entrerà in vigore venti giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell’Unione europea e si applicherà a partire da 24 mesi dalla data della sua entrata in vigore. Tuttavia: Inoltre, l’AI Act prevede, all’articolo 111, dei termini entro i quali i sistemi di IA già immessi sul mercato o messi in servizio devono conformarsi ai requisiti e agli obblighi ivi previsti. In particolare, fatta salva l’applicazione delle disposizioni di cui all’articolo 5 (Pratiche di IA vietate), a partire da 6 mesi dalla data di entrata in vigore dell’AI Act: Infine, l’articolo 111 prevede altresì che i fornitori di modelli GPAI immessi sul mercato prima di 12 mesi dalla data di entrata in vigore dell’AI Act adottino le misure necessarie per conformarsi agli obblighi della legge stessa entro 36 mesi dalla sua entrata in vigore.
