Alert | 24.03.2023

AI Act: in arrivo il Regolamento Europeo sull’Intelligenza Artificiale

Il nuovo quadro regolamentare, gli impatti e i rischi


Marketing & Communication
marketing@lcalex.it

Premessa
Il 2023 sarà l’anno del regolamento europeo sull’intelligenza artificiale (noto come AI Act). Gli ultimi emendamenti attesi per il mese di aprile modificheranno i dettagli, ma la struttura complessiva della normativa applicabile uniformemente in tutti i Paesi dell’UE è definita. In caso di violazioni, le autorità preposte potranno comminare sanzioni fino a 30mln di euro o 6% del fatturato mondiale annuo (per le PMI, comprese le start-up, tali sanzioni arrivano al 3 % del loro fatturato mondiale).

 

Oggetto
Tale normativa istituisce un quadro giuridico uniforme volto a regolare lo sviluppo, la commercializzazione e l’uso dei sistemi di intelligenza artificiale (1) (IA) in conformità con i valori e i diritti costituzionali dell’UE.

A tal fine, l’AI Act stabilisce (art. 1): (i) regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA; (ii) il divieto di determinate pratiche di intelligenza artificiale; (iii) requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi; (iv) regole di trasparenza armonizzate per i sistemi di IA destinati a interagire con le persone fisiche, i sistemi di riconoscimento delle emozioni, i sistemi di categorizzazione biometrica e i sistemi di IA utilizzati per generare o manipolare immagini o contenuti audio o video; (v) regole in materia di monitoraggio e vigilanza del mercato.

Le norme stabilite dall’AI Act si applicano ai fornitori di sistemi di IA indipendentemente dal fatto che siano stabiliti nell’Unione o in un paese terzo, agli utenti dei sistemi di IA stabiliti nell’Unione e ai fornitori e utenti dei sistemi di IA stabiliti in un paese terzo al di fuori dell’Unione, nella misura in cui i sistemi di IA interessano le persone situate nell’Unione.

L’AI Act non si applica ai sistemi di IA sviluppati o utilizzati esclusivamente per finalità militari.

 

Metodo
L’AI Act mira a regolare l’intelligenza artificiale attraverso il c.d. risk-based approach che distingue più o meno elevati obblighi di conformità a seconda del rischio (basso, medio o elevato) che software e applicazioni intelligenti possono causare a danno dei diritti fondamentali. Più alto è il rischio e maggiori sono gli oneri di compliance e le responsabilità degli autori delle applicazioni intelligenti. Escludendo poi che l’intelligenza artificiale possa essere impiegata per alcune finalità individuate dalla stessa normativa considerate contrarie ai valori dell’UE (ad es. il social scoring).

 

La compliance dei sistemi di AI “ad alto rischio”
Di particolare interesse è la parte del Regolamento concernente i sistemi di IA considerati “ad alto rischio”, ovvero una serie di tecnologie che creino rischi elevati per la salute, la sicurezza o i diritti fondamentali delle persone. Tali sistemi sono soggetti a regole specifiche fra le quali: l’obbligo di creare e mantenere attivo un sistema di risk management; l’obbligo di assicurarsi che i sistemi di IA vengano sviluppati seguendo specifici criteri qualitativi per quanto riguarda i dati ed i modelli utilizzati; il requisito di documentare in maniera adeguata come è avvenuto lo sviluppo di un determinato sistema di IA ed il funzionamento dello stesso (anche al fine di dimostrarne la conformità al Regolamento); obblighi di trasparenza verso gli utenti sul funzionamento dei sistemi di IA; l’obbligo di assicurarsi che i sistemi di IA possano essere sottoposti a supervisione da parti di persone fisiche (“human oversight”); e l’obbligo di garantire l’attendibilità, accuratezza e sicurezza di tali sistemi. In alcuni casi sarà il produttore stesso dei sistemi di IA a valutare in maniera autonoma la conformità, in altri casi sarà necessario coinvolgere un organismo esterno di valutazione della conformità.

 

Standard e certificazioni
Tale sistema di compliance sarà facilitato dall’adozione di appositi standard di riferimento (per categorie di sistemi di IA) da parte degli enti di normazione quali ISO e CEN.

I sistemi di IA ad alto rischio che completino le procedure di valutazione della conformità saranno marcati CE. Alcuni sistemi dovranno inoltre essere inseriti in un apposito registro pubblico. Senza l’adempimento di tali procedure, i sistemi di IA non potranno essere immessi sul mercato.

 

A Europe Fit for the Digital Age e Over-Regulation.
L’AI Act si inserisce nel contesto della strategia “A Europe Fit for the Digital Age” definita dalla Commissione Europea e della copiosa produzione normativa diretta a regolare l’impatto della nuova generazione di tecnologie. Ciò implicherà un coordinamento – e per i soggetti impattati, una mappatura – degli obblighi previsti, da un lato, dalle norme sulla protezione, la valorizzazione e la sicurezza dei dati – personali e non – (GDPR, Data Act, Data Governance Act, NIS, etc.; dall’altro da quelle dirette a disciplinare il ruolo dei fornitori di servizi (inclusi gatekeepers e piattaforme) (Digital Markets Act, Digital Services Act, European Digital Identity, etc.). L’AI Act sarà inoltre complementato dalla direttiva sulla responsabilità per i danni causati dall’intelligenza artificiale (IA), la cui proposta è stata presentata dalla Commissione Europea alla fine di settembre 2022.

Questa intersezione e per certi versi di sovrapposizione dell’AI Act con altre normative europee, imporrà un – non sempre agevole – coordinamento delle attività di compliance. .

 

IA e politiche ESG
L’ingresso delle nuove tecnologie nel funzionamento delle realtà imprenditoriali porta alla luce nuove istanze sociali, ambientali e di governance destinate a permeare il funzionamento delle società che ricorrono a strumenti di intelligenza artificiale. L’adeguamento alle nuove regole prefigurate dall’AI Act – unitamente alla compliance alla disciplina della gestione dei dati personali oggetto di elaborazione computazionale – costituisce l’occasione per riconsiderare la potenziale incidenza degli strumenti di intelligenza artificiale sui fattori ambientali, sociali e di governance, verificando quindi, se e a quali condizioni tali strumenti risultino funzionali a presidiare la prospettiva del successo sostenibile.

In termini più generali, la penetrazione di strumenti automatizzati nelle logiche imprenditoriali introduce nuove voci di responsabilità sociale d’impresa e impone dunque l’individuazione di nuovi parametri di misurazione (e commisurazione) di obiettivi di successo sostenibile al mutato contesto tecnologico.

 

IA e impatto ambientale (E)
Tra i rischi ambientali, l’attenzione si è sinora prevalentemente appuntata sull’impatto ambientale delle tecnologie blockchain e dei server di archiviazione dei dati; l’avvento delle tecnologie c.d. green tech, ossia di tecnologie volte alla gestione di informazioni e di progetti sostenibili, comporta peraltro ulteriori rischi di sostenibilità legati alla mala gestio tecnologica. A questo riguardo è significativo che l’ultima versione della proposta di AI Act abbia inserito i sistemi di rilevazione delle emissioni tra gli strumenti ad altro rischio. Sotto altro versante, l’utilizzo di strumenti di robo-advice nel campo degli investimenti green e finanche di piattaforme di emissione automatizzata di green bond, potrebbero pregiudicare, anziché promuovere, il perseguimento di obiettivi di sostenibilità in caso di distorsione tecnologica delle informazioni non finanziarie e dell’allocazione degli investimenti sostenibili.

 

IA e impatto sul piano sociale (S)
Rischi di sostenibilità tecnologica sono da registrarsi anche sul versante sociale. L’impiego di strumenti di sorveglianza dei dipendenti, di sistemi automatizzati di HR nonché di modelli di classificazione e profilazione dei consumatori sono suscettibili di incidere sulle istanze di tutela dei diritti dei lavoratori e degli stakeholders esterni alla società, che costituiscono la spina dorsale della tassonomia “sociale” in corso di elaborazione da parte della Commissione europea. Sempre su questo piano si collocano i rischi di discriminazione di genere, già registrati con riguardo ad algoritmi elementari di piattaforme, ai quali viene imputato un filtraggio discriminatorio sul piano del genere e dell’età delle offerte di lavoro più qualificate. A questo riguardo il Report pubblicato lo scorso anno dall’Istituto europeo per l’uguaglianza di genere ha sottolineato che “se non controllato, non responsabile e non corretto, il design delle tecnologie di IA riprodurrà i pregiudizi e le concezioni restrittive di genere, mentre il set di dati distorti amplificherà le disuguaglianze di genere, proiettando l’attuale divario nel futuro”.

 

IA e impatto sulla governance (G)
Non meno significativo è il potenziale impatto dell’uso di sistemi robotizzati sulla corporate governance. Al riguardo si è posta in risalto la possibilità che errori nel design ovvero nell’implementazione di strumenti automatizzati siano suscettibili di irradiarsi lungo la catena societaria, fino a compromettere i flussi comunicativi. Su un livello più generale si è segnalato il rischio di “cattura tecnologica” dell’organo amministrativo e l’esigenza di coinvolgere il board – e in particolare i consiglieri indipendenti – nella elaborazione di una policy rigorosa dell’IA, che valga a garantire non solo la compliance alle regole (in prevalenza di fonte eurounitaria) in materia di dati e intelligenza artificiale, ma, più in generale, la piena aderenza delle modalità di ricorso a tali strumenti agli obiettivi di sostenibilità perseguiti dalla società. Una regolamentazione destinata ad iscriversi nel quadro della più generale definizione della natura e del “livello di rischio compatibile con gli obiettivi strategici della società” e ispirata all’etica della responsabilità e al principio di precauzione, i quali vengono a rivestire un peculiare rilievo in un ambito, come quello delle nuove tecnologie, nel quale i mezzi codeterminano e riconfigurano i fini.

Un ricorso adeguatamente governato alle nuove tecnologie potrebbe essere inoltre utilmente sperimentato a) per agevolare la verifica del rispetto di adeguati parametri ESG tanto, a valle, da parte delle controllate del gruppo, quanto, a monte, lungo la catena dei fornitori (anche nella prospettiva prefigurata dalla  proposta di direttiva sulla Corporate Sustainability Due Diligence) e b) per l’interlocuzione e per il coinvolgimento degli shareholders e degli stakeholders: le politiche di engagement potrebbero trovare un fattore abilitante nella tecnologia, in particolare per una più diretta e continuativa politica di dialogo e interlocuzione con comunità e soggetti di volta in volta coinvolti dalle politiche ESG, anche ai fini di una puntuale verifica degli effettivi risultati delle stesse.

 

IA e rischi tecnologici
La crescente importanza dei rischi tecnologici emerge anche dalla recente proposta di revisione dei Principi di Corporate Governance dell’OCSE, sottoposti nell’autunno 2022. Tra gli aspetti più interessanti va sottolineato il passaggio dalla più consolidata dimensione della Regtech – “Le tecnologie digitali possono essere utilizzate per migliorare la supervisione e l’applicazione dei requisiti di corporate governance, ma richiedono anche che le autorità di vigilanza e di regolamentazione prestino la dovuta attenzione alla gestione dei rischi associati” (Principio I.F) – a quella, ancora largamente sperimentale, della Corptech, che include i rischi di sicurezza digitale tra i rischi rilevanti, che il consiglio di amministrazione dovrebbe governare e mitigare (Principi IV.A.8 e V).

I nuovi principi dell’OCSE pongono altresì in rilievo che “le pratiche di governance delle imprese sono spesso influenzate anche dalle leggi sui diritti umani e sull’ambiente, e sempre più dalle leggi relative alla sicurezza digitale e alla privacy dei dati, compresa la protezione dei dati personali”, soggiungendo poi che “con la crescente diffusione dell’uso dell’IA e degli algoritmi, diventa sempre più necessario mantenere un elemento umano nel processo per evitare un’eccessiva dipendenza dalle tecnologie digitali e per difendersi dai rischi di incorporare pregiudizi umani nei modelli algoritmici. Questo è fondamentale per gestire correttamente i rischi derivanti dall’uso delle tecnologie digitali e per creare fiducia in questi processi”. E in questa prospettiva si sottolinea, più specificamente, che “l’incapacità di spiegare adeguatamente i risultati di un processo di apprendimento automatico può ostacolare la responsabilità e ridurre la fiducia nei processi normativi più in generale”, per rilevare conclusivamente che “la collaborazione tra gli scienziati dei dati e il business potrebbe mitigare questo rischio” (Principio I.C).

 

IA e Corporate Digital Responsibility
Nel nuovo scenario che viene a delinearsi alla luce della convergenza dell’IA Act e dei richiamati principi prefigurati a livello internazionale ed eurounitario le imprese sono chiamate ad affrontare la sfida della digitalizzazione e della Corporate Digital Responsibility e che si presenta come una delle nuove e più promettenti frontiere della sostenibilità. Quanto più profonda è la penetrazione dell’intelligenza artificiale negli assetti dell’impresa, tanto più la sostenibilità della governance societaria dipenderà dalla governance delle tecnologie impiegate.

 

IA quale Asset strategico per il controllo degli investimenti esteri e il c.d. Golden Power
La IA è definita quale tecnologia critica dal regolamento EU 2019/452 all’art. 4, N. 1 lett. B) in materia di Foreign Direct Investments. Coerentemente, il DPCM 179/2020 la inserisce nel contesto dei “beni e rapporti di rilevanza strategica per l’interesse nazionale” ai fini dell’applicazione della normativa Golden Power, con rilevante impatto per le operazioni di acquisizione, costituzione di Newco con partecipazioni extra-EU, joint ventures e licenze tecnologiche e correlato obbligo di screening da parte del Governo e di notifica per i soggetti interessati (art. 9).

 

 

(1) Per “sistema di intelligenza artificiale” si intende: “un sistema progettato per funzionare con elementi di autonomia e che, sulla base di dati e input forniti da macchine e/o dall’uomo, deduce come raggiungere una determinata serie di obiettivi avvalendosi di approcci di apprendimento automatico e/o basati sulla logica e sulla conoscenza, e produce output generati dal sistema quali contenuti (sistemi di IA generativi), previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui il sistema di IA interagisce”(art. 3, AI Act).

 

 

DOWNLOAD PDF
Equity Partner
Niccolò Abriani
Of Counsel
Filippo Donati
Equity Partner
Andrea Carreri

Marketing & Communication
marketing@lcalex.it

IT & Data Protection

LCA ha maturato una specifica competenza nella gestione delle tematiche e degli adempimenti in materia di privacy, assicurando la totale compliance alla normativa europea (GDPR) e italiana in materia e alle direttive emanate dall’Autorità Garante per la Protezione dei Dati Personali. Dedica inoltre da anni una profonda attenzione alle novità su big data e cybersecurity.
LINK

Technology & Media

LCA si contraddistingue per un particolare interesse e per la speciale attenzione alle costanti e continue evoluzioni che contraddistinguono il mondo delle nuove tecnologie, del web, nei media digitali e tradizionali, delle telecomunicazioni e, più in generale, di tutte le tecnologie dell’informazione e della comunicazione.
LINK

Potrebbe interessarti anche

26.03.2024
I rischi penali del greenwashing e la compliance ESG

Oggi, 26 marzo 2024, entra in vigore la direttiva (UE) 2024/825 sulla responsabilizzazione dei consumatori per la transizione verde

15.03.2024
Digital Service Act e responsabilità dei provider | Cosa è cambiato davvero?

Entra in vigore il Digital Service Act: il regolamento con cui l’Unione europea mira a contrastare la disinformazione e la proliferazione o ...

23.02.2024
Media Brand | Quattro chiacchiere con Ugolize

In questa puntata di The Bar un ospite speciale a raccontarci la realtà di Ugolize