L’AI Act, approvato definitivamente il 13 marzo 2024, introdurrà il primo regolamento globale sull’intelligenza artificiale (IA) in Europa. Definisce “sistema di IA”, stabilisce il campo di applicazione e mira a bilanciare innovazione e protezione dei diritti. Un’iniziativa ambiziosa che posiziona l’UE come leader nella regolamentazione dell’IA
AI Act: finalmente ci siamo. Il 13 marzo 2024 è stato approvato dal Parlamento europeo; ora si dovrà attendere solo la pubblicazione in Gazzetta Ufficiale e in Europa avremo la prima legge trasversale al mondo sull’intelligenza artificiale.
Verso l’approvazione dell’AI Act: un traguardo importante per l’Europa
Un traguardo importante, raggiunto dopo diversi anni di lavoro delle istituzioni europee, alla ricerca del giusto equilibrio tra protezione dei diritti e delle libertà fondamentali e sostegno all’innovazione.
Esattamente come avvenuto all’epoca del GDPR, anche rispetto all’AI Act l’adeguamento preventivo e spontaneo sarà certamente fondamentale, tenendo conto che le norme del nuovo regolamento europeo entreranno in applicazione in momenti diversi (e in particolare dopo sei, dodici, ventiquattro e trentasei mesi).
Da qui l’idea di dare il via a una rubrica di approfondimento sui contenuti e gli impatti di questa nuova legge. L’obiettivo? Fornire a imprese, enti pubblici e professionisti una prima bussola per avvicinarsi a un regolamento dagli effetti innovativi e dirompenti.
La definizione di “sistema di IA” secondo l’AI Act
Pietra angolare dell’AI Act è innanzitutto la definizione di intelligenza artificiale adottata nel testo di legge. Si tratta di uno dei punti più discussi e divisivi nel corso dell’iter legislativo, a riprova della sua rilevante portata. È infatti scontato che tracciando i confini di questo concetto si determina cosa sia incluso nel perimetro della legge e cosa invece no.
Non potendo qui ripercorrere tutto il viaggio interistituzionale che ha interessato questo aspetto nodale della legge, possiamo richiamare il punto di partenza e quello di arrivo. Nella proposta della Commissione UE, la definizione di «sistema di IA» veniva impostata in modo flessibile e adeguabile, rimandando a tal fine a un allegato contenente un elenco di approcci e tecniche per lo sviluppo dell’IA. Tale soluzione è stata successivamente superata, e oggi l’AI Act – seguendo la proposta definitoria dell’OCSE – definisce il proprio oggetto come “un sistema automatizzato progettato per funzionare con diversi livelli di autonomia e che può mostrare capacità di adattamento dopo l’installazione e che, per obiettivi espliciti o impliciti, deduce, dagli input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali” (articolo 3).
Sarà dunque fondamentale comprendere tutte le sfumature tecniche e giuridiche di questa concettualizzazione, poiché essa rappresenta la prima porta di accesso al sistema di requisiti e obblighi posti dal regolamento europeo, con i relativi livelli di responsabilità. Ciò potrà essere fatto anche attraverso le linee guida che verranno adottate dalla Commissione europea proprio in relazione a tale definizione.
Chi sarà coinvolto dall’applicazione dell’AI Act
La seconda porta di accesso all’AI Act è l’articolo 2, dove viene definito e circoscritto l’ambito di applicazione del regolamento, identificando con ciò anche i diversi soggetti interessati all’adeguamento.
Le nuove regole – tese a governare l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA nell’UE (articolo 1) – si applicheranno innanzitutto ai «fornitori» dei sistemi di intelligenza artificiale (sia pubblici che privati) che immettono sul mercato o mettono in servizio sistemi di IA nell’UE, indipendentemente da dove i fornitori stessi siano stabiliti, e a quelli situati in un paese terzo, laddove l’output prodotto dal sistema di IA sia utilizzato in Europa. Dovranno inoltre rispettare le norme dell’AI Act gli «operatori» che hanno sede o sono situati nell’UE e quelli situati in un paese terzo, sempre ove l’output prodotto dal sistema di intelligenza artificiale venga utilizzato in Europa. E’ questa una previsione analoga rispetto a quella del GDPR, che ha prodotto quell’effetto di applicazione globale del Regolamento sulla circolazione e protezione dei dati che ben conosciamo.
Il legislatore europeo intende cosi duplicare il successo del GDPR e porre al centro dei mercati mondiali le proprie innovative e sfidanti regole sull’AI. Il regolamento si applicherà altresì agli altri componenti della catena di valore dell’IA, quali importatori, distributori, fabbricanti e rappresentanti autorizzati.
A ognuno di questi soggetti l’articolo 3 riserva una specifica definizione. E così, ad esempio, viene qualificato come «fornitore» ogni persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che sviluppa un sistema di IA o che lo fa sviluppare al fine di immetterlo sul mercato o metterlo in servizio con il proprio nome o marchio, a titolo oneroso o gratuito, mentre sarà considerato un «operatore» qualsiasi soggetto tra quelli elencati sopra che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di intelligenza artificiale sia utilizzato nel corso di un’attività personale non professionale.
Ambiti di applicazione dell’AI Act: le eccezioni previste
Lo stesso articolo 2 elenca gli ambiti esclusi dal perimetro dell’AI Act(e anche su alcune di queste eccezioni si è discusso molto negli ultimi mesi). Fatti salvi i settori che non rientrano nell’ambito di applicazione del diritto europeo, il regolamento non si applicherà ai sistemi di IA per scopi militari, di difesa o di sicurezza nazionale, a quelli per scopi di ricerca e sviluppo scientifico, o a quelli rilasciati con licenze free e open source (salvo sussista un rischio).
Esclusa dall’ambito di applicazione delle nuove norme anche l’attività di ricerca, prova e sviluppo relative a sistemi di intelligenza artificiale. È inoltre presente una household exemption applicabile agli operatori persone fisiche che utilizzano sistemi di AI durante un’attività non professionale puramente personale, anche qui viene ripreso un principio ed un meccanismo analogo a quello previsto dal GDPR.
Prime considerazioni sull’impatto dell’AI Act
Il pacchetto di norme messo insieme dal legislatore europeo è sicuramente ambizioso, e non a caso si tratta del primo progetto di legge trasversale sull’IA che vedrà la luce a livello mondiale. Il fatto di essere i primi ha sicuramente un peso e un’importanza, permettendo di definire a livello internazionale uno standard di riferimento per gli altri paesi (e in molti stanno già seguendo l’approccio europeo).
Il Brussels effect dell’AI Act: influenze a livello globale
Il vero valore del cosiddetto Brussels effect non sta tuttavia nel mero effetto emulativo. E la storia del GDPR ce lo insegna. La portata di queste norme e il relativo significato sul piano internazionale risiedono nel complesso e radicato sistema di protezione dei diritti fondamentali e di visione umanocentrica che sta a monte delle norme europee sulla data economy e che permea il sistema di regole a valle. E allora ecco che grazie al Brussels effect il riconoscimento di questi valori, e l’equilibrio identificato dal legislatore con le istanze di sostegno all’innovazione, rappresentano il vero prodotto di esportazione normativa dell’UE, prodotto e portato della nostra tradizione costituzionale.
Conclusioni
Dobbiamo essere tutti molto orgogliosi di questo traguardo importante. La legge non è la migliore possibile e, per certi versi, il GDPR ha avuto più coraggio. Ma dissento fortemente da chi considera patetico e di retroguardia l’atteggiamento dell’Unione Europea in tema di AI, che è invece coraggioso, ambizioso, innovativo ed estremamente tempestivo, mentre il resto del mondo, per ora, resta a guardare.
di Rocco Panetta
Partner Panetta Studio Legale e IAPP Country Leader per l’Italia
