La Commissione europea ha proposto di recente nuove regole e azioni volte a trasformare l'Europa nel polo mondiale per un'Intelligenza Artificiale (IA) affidabile. L'unione tra il primo quadro giuridico sull'IA mai realizzato e un nuovo piano coordinato con gli Stati membri garantirà la sicurezza e i diritti fondamentali di persone e imprese, rafforzando nel contempo l'adozione dell'IA e gli investimenti e l'innovazione nel settore in tutta l'UE.
Quali obiettivi si pone il nuovo regolamento sull’IA?
Il nuovo regolamento sull'IA garantirà che i cittadini europei possano fidarsi di ciò che l'IA ha da offrire, grazie a regole proporzionate e flessibili che affronteranno i rischi specifici posti dai sistemi di IA e fisseranno i più elevati standard a livello mondiale. Il piano coordinato delinea i cambiamenti strategici e gli investimenti necessari a livello di Stati membri per rafforzare la posizione di primo piano dell'Europa nello sviluppo di un'IA antropocentrica, sostenibile, sicura, inclusiva e affidabile.
Su quale approccio si baserà?
Le nuove regole saranno applicate direttamente e nello stesso modo in tutti gli Stati membri, sulla base di una definizione di IA adeguata alle esigenze future, e seguono un approccio basato sul rischio (per un ulteriore approfondimento, leggi questo articolo su Teknoring.com https://www.teknoring.com/news/privacy/intelligenza-artificiale-prima-legge-europa/)
In particolare, si fa riferimento a 4 tipologie di rischio: il rischio inaccettabile, il rischio alto, il rischio limitato ed il rischio minimo.
Una particolare attenzione è rivolta ai sistemi di identificazione biometrica remota che sono considerati ad alto rischio e soggetti a requisiti rigorosi. Il loro utilizzo in tempo reale ai fini di attività contrasto in spazi accessibili al pubblico è in linea di principio vietato. Sono previste poche eccezioni rigorosamente definite e regolamentate (ad esempio, ove strettamente necessario per cercare un minore scomparso, prevenire una minaccia terroristica specifica e imminente o individuare, localizzare, identificare o perseguire autori o sospettati di un reato grave). Tale uso è soggetto all'autorizzazione di un organo giudiziario o di un altro organo indipendente e a limiti per quanto riguarda il tempo, la portata geografica e le banche dati ricercate.
I sistemi di riconoscimento facciale, vocale e sistemi biometrici
Ad esempio, l'accuratezza dei sistemi per il riconoscimento facciale può variare in modo significativo in base a un'ampia gamma di fattori, quali la qualità della fotocamera, la luce, la distanza, la banca dati, l'algoritmo e l'etnia, l'età o il sesso del soggetto. Lo stesso vale per il riconoscimento vocale e dell'andatura e per altri sistemi biometrici. Il tasso di falsi positivi dei sistemi altamente avanzati è in continua diminuzione. Un tasso di accuratezza del 99% può sembrare buono in generale, mentre è notevolmente rischioso quando può condurre a sospettare di una persona innocente. Anche un tasso di errore dello 0,1% è molto elevato se riguarda decine di migliaia di persone.
La governance proposta dalla Commissione UE per supervisionare sull’IA
In termini di governance, la Commissione propone che le autorità nazionali di vigilanza del mercato competenti supervisionino le nuove regole, mentre l'istituzione di un comitato europeo per l'intelligenza artificiale ne faciliterà l'attuazione e stimolerà lo sviluppo di norme per l'IA. Vengono inoltre proposti codici di condotta volontari per i sistemi di IA non ad alto rischio, nonché spazi di sperimentazione normativa per facilitare un'innovazione responsabile.
L’intersezione con i programmi Europa Digitale e Orizzonte Europa
Il piano coordinato aggiornato utilizzerà i finanziamenti assegnati attraverso i programmi Europa digitale e Orizzonte Europa, nonché il dispositivo per la ripresa e la resilienza, che prevede un obiettivo di spesa per il digitale del 20%, e i programmi della politica di coesione al fine di:
- creare le condizioni favorevoli allo sviluppo e all'adozione dell'IA attraverso lo scambio di informazioni strategiche, la condivisione dei dati e gli investimenti nelle capacità di calcolo critiche;
- promuovere l'eccellenza in materia di IA "dal laboratorio al mercato" istituendo un partenariato pubblico-privato, costruendo e mobilitando capacità di ricerca, sviluppo e innovazione e mettendo a disposizione delle PMI e delle pubbliche amministrazioni strutture di prova e sperimentazione;
- garantire che l'IA sia al servizio delle persone e sia una forza positiva nella società, operando in prima linea nello sviluppo e nella diffusione di un'IA affidabile, coltivando talenti e competenze mediante tirocini, reti di dottorato e borse post-dottorato in ambito digitale;
- creare la leadership strategica in settori e tecnologie ad alto impatto, compreso l'ambiente, concentrandosi sul contributo dell'IA alla produzione sostenibile, alla salute, ampliando lo scambio transfrontaliero di informazioni, nonché al settore pubblico, alla mobilità, agli affari interni e all'agricoltura e alla robotica.
La nuova normativa prevede anche specifiche regole che dovranno rispettare i fornitori di sistemi IA, in particolare prima di immettere un sistema ad alto rischio sul mercato dell'UE, o di farlo entrare in servizio, i fornitori devono sottoporlo a una valutazione della conformità. In questo modo essi potranno dimostrare che il loro sistema è conforme ai requisiti obbligatori per un'IA affidabile (ad esempio qualità dei dati, documentazione e tracciabilità, trasparenza, sorveglianza umana, accuratezza e robustezza).
Il ruolo degli Stati membri e la regolamentazione dell’uso dell’IA
Gli Stati membri svolgono, naturalmente, un ruolo chiave nell'applicare la presente normativa comunitaria e nel garantirne il rispetto. A tal proposito ciascuno Stato membro dovrebbe designare una o più autorità nazionali competenti incaricate di supervisionarne l'applicazione e l'attuazione, nonché di svolgere attività di vigilanza del mercato. Per aumentare l'efficienza e istituire un punto di contatto ufficiale con il pubblico e le altre controparti, ciascuno Stato membro dovrebbe designare un'autorità nazionale di controllo, che rappresenterà anche il paese nell'ambito del comitato europeo per l'intelligenza artificiale.
Il nuovo quadro normativo potrà contribuire a una maggiore adozione dell'IA in due modi. Da un lato, l'aumento della fiducia degli utenti farà crescere la domanda di IA utilizzata dalle imprese e dalle autorità pubbliche. Dall'altro, la maggiore certezza del diritto e l'armonizzazione delle regole consentiranno ai fornitori di IA di accedere a mercati più grandi, con prodotti che gli utenti e i consumatori apprezzano e acquistano.
Le regole si applicheranno solo laddove strettamente necessario e in modo da ridurre al minimo l'onere per gli operatori economici, con una struttura di governance leggera. Inoltre, un ecosistema di eccellenza, comprendente spazi di sperimentazione normativa che creano un ambiente controllato per testare tecnologie innovative per un periodo limitato, e l'accesso ai poli dell'innovazione digitale e a strutture di prova e sperimentazione aiuteranno le imprese innovative, le PMI e le start-up a continuare a innovare nel rispetto delle nuove regole per l'IA e delle altre norme giuridiche applicabili.
Il nodo della Privacy
Naturalmente le applicazioni di IA presentano grossi problemi nel campo della privacy e della sicurezza che vanno preliminarmente risolti adottando l’approccio tipico della privacy by design disciplinata dall'art. 25 del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016.
Il principio della privacy by design richiede che la tutela dei diritti e delle libertà degli interessati con riguardo al trattamento dei dati personali comporti l'attuazione di adeguate misure tecniche e organizzative al momento sia della progettazione che dell'esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del Regolamento UE 2016/679.
In particolare, il principio della privacy by design prevede che la protezione dei dati sia integrata nell'intero ciclo di vita della tecnologia, dalla primissima fase di progettazione fino alla sua ultima distribuzione, all'utilizzo e all'eliminazione finale. Mentre il principio della privacy by default prevede che le impostazioni di tutela della vita privata relative ai servizi e prodotti rispettino i principi generali della protezione dei dati, quali la minimizzazione dei dati e la limitazione delle finalità.