Ai Act, ormai la regolamentazione dell’intelligenza artificiale in Europa è realtà. E’ Erik Longo, professore di diritto Costituzionale e Pubblico dell’Università di Firenze del Dipartimento Scienze giuridiche , che spiega il percorso che ha portato al regolamento europeo, pubblicato, circa due settimane fa, sulla Gazzetta Ufficiale dell’UE. Un importante punto d’arrivo di un lungo processo partito svariati anni fa, Un processo che ha a che fare con il contesto geopolitico in cui ci troviamo a vivere, “basti ricordare – dice il professore, in occasione di un convegno tenuto quattro giorni fa dalla Regione Toscana – ciò che è accaduto una settimana fa con Microsoft con lo stop dovuto a un problema di cyber security. Un problema evidentemente legato ad un altro ambito, ma che ci “ha fatto capire che non viviamo più in un contesto in cui possiamo “fare da soli””, ma che ci collega a tutto un sistema sovranazionale e mondiale. “Ci troviamo dentro una corsa – continua Longo – che non è semplicemente tecnologica, ma riguarda anche le regole dell’intelligenza artificiale. C’è, da parte dell’UE, una pretesa di stabilire regole per tutti”, il che innesca inevitabilmente uno scontro con i grandi poteri privati che detengono e implementano le forme di intelligenza artificiale.
Il percorso giuridico che porta all’AI Act inizia circa sei anni fa, quando l’Unione europea ha iniziato, attraverso una commissione di esperti, un High Level Esxpert Group sull’AI, a stabilire cosa si potesse fare e quale poteva essere il ruolo dell’Unione in questo ambito. il ruolo che è stato scelto prioritariamente è quello della regolazione. Meglio prima garantire la vita dei cittadini e in un secondo tempo regolare alcuni aspetti legati all’innovazione”.
Si sta parlando di un contesto molto diverso rispetto a quello odierno, ovvero del 2018. quando l’Unione europea avvia un processo di comunicazione sull’intelligenza artificiale in tutta l’Europa, anche sulla cui base, l’High Level Expert Group on Artificiale Intelligence stabilisce nuove regole e, in particolare, principi etici.
L’impostazione iniziale era partire dall’etica, ma questo non poteva bastare. “Non poteva bastare – spiega Longo – tant’è vero che il 21 aprile del 2021 la commissione presieduta da Ursula von der Leyen dice: “L’intelligenza artificiale aprirà per noi i nostri mondi, ma questo nuovo mondo ha bisogno di regole”. E queste regole devono fissare una leadership tecnologica, devono creare un mercato interno, garantire la sicurezza, il rispetto dei diritti fondamentali, la salute, i valori dell’Unione”. Si tratta di una sorta di mantra, che ritorna più volte (circa 16) all’interno del regolamento, oltre alla garanzia della certezza. Questa nuova proposta di regolamento arriva, potremmo dire in questi giorni, sulla Gazzetta Ufficiale, attraversando un processo di approvazione molto lungo, che ha avuto alti e bassi. L’approvazione è avvenuta nel marzo 2024 nel Parlamento europeo, con 523 voti a favore 46 contrari e 49 astenuti. La legge è stata formalmente approvata dal Consiglio nell’aprile 2024, mentre il 12 luglio è stata pubblicata sulla Gazzetta Ufficiale dell’Unione Europea.
Tuttavia, il regolamento non è ancora totalmente applicabile, Infatti, si potrebbe dire che è calendarizzato: 6 mesi per l’AI vietata (ovvero, i sistemi di IA che presentano un livello di rischio inaccettabile per la sicurezza delle persone), 12 mesi per l’AI generativa; 24 mesi per altri tipi di intelligenze artificiali, 36 mesi a partire dal 2 agosto 2024 per le AI high risk (ovvero, quando l’AI risulta capace di incidere in modo sensibile sulla salute e sui diritti fondamentali delle persone fisiche). La data è quella che è stabilita dallo stesso regolamento per la sua entrata in vigore.
Per quanto riguarda gli elementi d base del regolamento, la prima caratteristica che salta agli occhi è proprio il fatto che si tratti di un regolamento e non di una direttiva. Una distinzione importante, anche perché la direttiva detta solo un obbligo di risultato e deve essere adottata, mentre il Regolamento è applicato direttamente dagli Stati membri. Inoltre, l’AI Act è molto vasto, come sottolinea Longo: 2consideriamo che il Gdpr (Regolamento generale sulla protezione dei dati ) ha 140 recitals e ha 99 articoli, mentre l’AI ACT ha 113 articoli, 13 capitoli,, ma soprattutto 13 allegati”.
La base giuridica scelta, spiega Longo, è una base particolare, ovvero si stabiliscono regole per il mercato. Ciò significa che non si regola l’AI, ovvero non si parte dal punto di vista dell’intelligenza artificiale, ma si cerca di regolare i prodotti. in quanto “bisogna garantire l’istituzione del funzionamento del mercato”. La scelta non è quella verticale, vale a dire per temi (salute, istruzione, lavoro …) ma orizzontale, che possa garantire la tutela dei diritti su tutto il territorio. “Se si pensa che si sta parlando di una normativa che nasce nel 2018, si concretizza nel 2021, è approvata nel 2024 ed entrerà in vigore nel 2027, si capisce che deve essere a prova di futuro”, aggiunge il giurista.
Per raggiungere questo, l’AI Act è frutto di un decennio (ma ancora prima, con il Gdpr, si era vista all’opera la stessa scelta) di confronti e lavori in collaborazione stretta fra i Paesi. Un decennio e più dove sono stati messe in campo normative importanti come la direttiva Nis 2 (che stabilisce una serie di requisiti principali che le organizzazioni devono soddisfare per garantire un elevato livello di sicurezza informatica) all’European Freedom Media Act, al Data Act, solo per citarne alcuni. Un vero e proprio diluvio normativo, secondo la definizione di Longo, che si abbatte sulla Pubblica amministrazione provocandone un grandissimo cambiamento interno. il che mette in primo piano la necessità delle competenze.
Entrando nella natura dell’AI Act, l’impostazione è quella del Gdpr, ovvero è basato sul rischio. Se la normativa deve durare nel futuro, ha un approccio diretto al prodotto ed è orizzontale, ecco che l’approccio deve essere quello di stabilire dei rischi inaccettabili, dei rischi alti, dei rischi di trasparenza e dei rischi minimi. “E’ su questa base – dice Longo – che la Commissione europea ha proposto l’AI Act”, richiamandosi alla struttura basata appunto sulle graduazioni del rischio, dei dispositivi medici.
La maggior parte degli articoli dell’AI Act si basa sul “rischio alto” (34-35 su 130 come ci fa sapere il giurista) Ma tra il 2021 e il 2024, entrano in scena le Ai generative, mettendo in crisi questo tipo di approccio. I motivi sono svariati, dal fatto che si sta parlando di un tipo di tecnologia e non di un prodotto, ma soprattutto per il fatto che il Parlamento europeo, sull’onda delle lobby e delle grandi aziende, comincia a pensare circa l’High Risk, che ci potrebbero essere moltissime eccezioni. tant’è vero che se si legge 2l’art. 6, essenziale dal punto di vista dell’High Risk, si capisce che è stabilito in modo generale, ma poi ci sono tutta una lunga serie di eccezioni di prodotti che potrebbero non essere sottoposti al Conformity Assessment dell’High Risk”.
Una scelta che se da un lato mette in crisi il modello originario su cui si forgiava l’AI Act, tuttavia può essere interpretata anche come un salto in avanti nella tutela dei diritti dei cittadini, una garanzia maggior e migliore che però, come spiega il giurista, “dovrà essere sottoposta a un vaglio”.
L’elemento su cui buona parte della crisi si coagula, è quello della definizione di intelligenza artificiale, tema su cui la discussione è stata ampia e prolungata. arrivando all’accordo sulla definizione standard adottata dall’OECD ( acronimo di Organization for economic cooperation and development) , l’AI come ““un sistema basato su una macchina che, per obiettivi espliciti o impliciti, deduce dagli input ricevuti come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”. Nel testo inglese interviene un termine, “infers” (inferenza) che, secondo la provocazione di Longo, è la parola chiave “senza la quale si sarebbe potuto parlare semplicemente di software”.
Chi è che giocherà la partita dell’Intelligenza Artificiale? “Sarà giocata a tutti i livelli, dalle imprese alla pubblica amministrazione – dice il professore – ma a livello europeo l’AI Act, negli articoli 65-66 e avanti, stabilisce una struttura, il cosiddetto AI Board europeo della AI, che è sostanzialmente il frutto dell’idea della commissione europea” che in tutti questi anni ha portato avanti sulla tecnologia. La tecnologia garantisce potere, una migliore competitività e un migliore “piazzamento” dal punto di vista geopolitico, è estremamente utile in caso di conflitto, e quindi “bisogna verticalizzare la maggior parte delle decisioni, soprattutto per il rapporto con le grandi piattaforme”. Il board europeo sull’AI, si può anche interpretare come un’istanza democratica, come spiega Longo, in quanto al suo interno si ritrova un membro per ogni Stato, ma tuttavia “c’è una grande influenza dell’AI Office, che è già stato istituito e sta funzionando anche per la regolamentazione che a valle del ?AI Act dovrà essere stabilita”, Una situazione che vede una costellazione di soggetti che potrebbe potenzialmente innescare conflitti.
Per quanto riguarda la ricaduta dell’AI Act sulle pubbliche amministrazioni, sono due gli elementi innovativi segnalati dal professor Longo: gli spazi di sperimentazione normativa per l’AI, e le misure di supporto alle Pmi / start up.
Si tratta di strumenti “che consentiranno di accompagnare il percorso di innovazione delle nostre imprese , e di misure di supporto alle piccole e medie imprese e alle start up. Due aspetti che l’AI Act fornisce a garanzia di spazi e di luoghi di innovazione”.
Cosa sta accadendo a livello nazionale? “La prima attuazione è il disegno di legge 1146, che si trova all’esame congiunto della Camera e del Senato, e che sta cercando di tradurre, prima ancora che l’AI Act entrasse in funzione, alcune di queste regole. Su questo disegno di legge si potrebbe discutere tantissimo, come si potrebbe discutere sulla scelta dello Stato italiano su alcuni aspetti , ad esempio le previsioni penali, dal momento che è evidente che non si regola l’Ai mettendo nuovi reati, soprattutto relativi alla frode, nell’ipotesi in cui si utilizzi no questi strumenti, ma si capisce che c’è una partita”. E la partita più importante oggi, conclude Longo, “è quella che si sta giocando in relazione all’autorità, che dovrà essere l’Autorità nazionale dal punto di vista della vigilanza. Su questo, la scelta dell’Italia è stata, nel disegno di legge, che le due Autorità che si occuperanno di AI , saranno un poliziotto buono, l’Agid (Agenzia per l’Italia Digitale) e un poliziotto cattivo, l’Acn (Agenzia per la
cybersicurezza nazionale), quest’ultima irrogherà sanzioni, mentre l’Agid dirà alle PA e alle imprese come sperimentare e realizzare un’intelligenza artificiale a prova di AI Act”.
