Oreste Pollicino* e Pietro Dunn, in “Intelligenza artificiale e democrazia” (Egea), esplorano l’impatto dell’intelligenza artificiale…
Intervista alla Prof.ssa Mariavittoria Catanzariti. L’ambito di applicazione dell’AI Act: una prospettiva eurocentrica per sfide globali
La Prof.ssa Mariavittoria Catanzariti è Ricercatrice a tempo determinato di tipo b di Filosofia del diritto presso l’Università di Padova e Research Fellow presso lo European University Institute.
Avvocato dal 2010. Ha conseguito un Dottorato di Ricerca in Filosofia del Diritto presso l’Università Roma Tre nel 2011. Il suo principale interesse di ricerca riguarda l’interazione tra la trasformazione digitale e la società dell’informazione con il diritto. Le Sue pubblicazioni coprono diverse aree giuridiche, tra cui la privacy e la protezione dei dati, il diritto delle nuove tecnologie, l’intelligenza artificiale e l’etica, i diritti umani e la sociologia del diritto.
La Prof.ssa Mariavittoria Catanzariti
Considerando l’entrata in vigore dell’AI Act e il periodo di transizione che durerà fino al 2026, come vede l’equilibrio tra l’adozione immediata di norme e la necessità di un adeguato periodo di adattamento per le imprese e le istituzioni? Quali sono le principali sfide che le aziende europee potrebbero affrontare in questo periodo di transizione?
Come noto il Regolamento AI, più comunemente denominato AI Act, rappresenta il primo esempio di regolazione mondiale offerto come un pacchetto che include sia oneri sia certezze per le imprese. Esso contiene al suo interno norme eterogenee che, sebbene siano applicabili nel loro insieme sia ai fornitori, ai produttori, agli utilizzatori (non in qualità di persone fisiche per attività personali), agli importatori, ai distributori e ai soggetti interessati, impongono oneri diversi in relazione ai soggetti. Per questa ragione il legislatore europeo ha optato per un adeguamento graduale agli obblighi previsti dall’AI Act in base ad un approccio risk-based, vale a dire adattando la tipologia e il contenuto delle regole all’intensità e alla portata dei rischi che possono essere generati dai sistemi di IA. Approccio seguito peraltro in un testo ancora più recente dell’AI Act, vale a dire la Convenzione Quadro del Consiglio d’Europa sull’intelligenza artificiale adottata dal Comitato dei ministri del CoE lo scorso 17 maggio e firmata a Vilnius il 6 settembre scorso dall’Unione Europea, dal Regno Unito e dagli Stati Uniti. Tornando al Regolamento, ferma restando la compliance volontaria anticipata, il periodo di adeguamento più breve di circa sei mesi dalla pubblicazione in GUUE (fino al 2 febbraio 2025) è quello relativo ai sistemi vietati, utilizzati cioè per pratiche di manipolazione, sfruttamento e controllo sociale e previsti dall’art. 5 del Regolamento, come i sistemi che utilizzano tecniche subliminali manipolatorie, che sfruttano la vulnerabilità di soggetti, che valutano o classificano le persone in base a un social scoring, che effettuano valutazioni sul rischio di commissione di reati, che ampliano banche dati di riconoscimento facciale mediante tecniche di scraping, che inferiscono emozioni personali sul luogo di lavoro e nei luoghi di istruzione, che compiono categorizzazione biometrica con finalità discriminatoria o remota in spazi accessibili al pubblico e tranne che per finalità di contrasto tassativamente previste. Le imprese hanno invece circa un anno (fino al 2 agosto 2025) per poter adeguarsi alle regole relative ai sistemi di uso generale, cioè modelli di AI caratterizzati da una generalità significativa e in grado di svolgere una vasta gamma di compiti che possono anche essere integrati in una varietà di sistemi o applicazioni a valle, compresa l’AI generativa, e due anni per l’applicazione delle altre norme previste dal Regolamento (fino al 2 agosto 2026) mentre hanno tre anni per l’adeguamento agli obblighi relativi ai sistemi ad alto rischio (fino al 2 agosto 2027). Per sistemi ad alto rischio si intendono quei sistemi di IA destinati a essere utilizzati come componenti di sicurezza di prodotti soggetti a valutazione di conformità ex-ante da parte di terzi; altri sistemi di IA autonomi con implicazioni sui diritti fondamentali. Costituiscono un esempio di sistemi ad alto rischio i sistemi biometrici, i sistemi IA destinati a essere usati nell’amministrazione della giustizia per assistere l’autorità giudiziaria nonché nei processi democratici come le elezioni, i sistemi biometrici o quelli relativi al funzionamento di infrastrutture critiche. Ciò che viene richiesto alle imprese in ordine ai requisiti legali per i sistemi di IA ad alto rischio riguarda i dati e la governance dei dati, la documentazione e la tenuta delle registrazioni, la trasparenza e la fornitura di informazioni agli utenti, la supervisione umana, la solidità, l’accuratezza e la sicurezza. In tal senso, è importante notare come il regolamento incoraggi flessibilità nella scelta del modo nel quale soddisfare i propri requisiti, tenendo conto dello stato dell’arte e del progresso tecnologico e scientifico in questo campo sulla base di conoscenze ingegneristiche o scientifiche generali a discrezione del fornitore del sistema di IA. Sul piano della governance, con l’AI Act è stato istituito all’interno della Commissione l’Ufficio per l’IA che sostiene gli organi di governance degli Stati Membri nei loro compiti. Ritengo dunque che l’equilibrio tra l’adozione immediata di norme e il progressivo adattamento si renda necessario al fine di non oberare le aziende europee con costi e oneri burocratici alti che, quantomeno nella prima fase di entrata in vigore, potrebbero determinare un rallentamento della capacità di immissione sul mercato dei sistemi AI o comunque alterarne l’operatività.
L’AI Act introduce una categorizzazione dei sistemi di IA basata sul rischio. In che misura questa classificazione potrebbe influenzare l’innovazione tecnologica in Europa, e come potrebbe essere bilanciato il progresso tecnologico con le necessità di protezione dei diritti fondamentali?
L’AI Act si basa su un quadro normativo che impone obblighi soltanto per i sistemi di IA ad alto rischio, con la possibilità per tutti i fornitori di sistemi di IA non ad alto rischio di seguire un codice di condotta. Tale approccio avrebbe il vantaggio di mantenere i costi di conformità al minimo, aumentando la fiducia dei cittadini nell’IA, la certezza del diritto, l’uniformità regolatoria nel mercato unico nonché l’assenza di ostacoli alla circolazione transfrontaliera dei sistemi di IA. Concentrare l’attenzione sui rischi maggiori in termini di capacità manipolatoria della personalità individuale è dunque una scelta votata all’antropocentrismo, che rappresenta quindi una scelta volta a considerare la rilevanza della protezione dei diritti fondamentali in chiave sostanziale. Tuttavia, se ciò è vero, non bisogna dimenticare che l’innovazione tecnologica in Europa è fortemente esemplificata dal funzionamento dei sistemi ad alto rischio in molteplici settori, come il controllo delle frontiere, l’amministrazione della giustizia, il lavoro, l’accesso alle prestazioni pubbliche essenziali, che sono intrinsecamente connessi alla necessità di protezione dei diritti fondamentali. In tali ambiti, nonostante l’alto rischio – rischio definito al Regolamento come «la combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso» (Art. 3, n. 2) – dei sistemi AI sia mitigato da obblighi di cooperazione dei fornitori con le autorità competenti, di valutazione della conformità ad opera di organismi notificati, dall’adozione di un sistema di gestione rischi e governance dei dati, dalla possibilità per le autorità preposte alla protezione dei diritti fondamentali di accedere ai sistemi, e in ogni caso vi sia sempre la possibilità di presentare reclamo all’autorità di vigilanza del mercato per violazione del regolamento ovvero di ottenere dagli utilizzatori spiegazioni chiare e significative sul ruolo dei sistemi di IA ad alto rischio nella procedura decisionale e sui principali elementi della decisione adottata, l’impatto sui diritti è evidentemente significativo. Appare interessante, infatti, l’obbligo per le autorità nazionali di istituire spazi di sperimentazione normativa per l’IA al fine di garantire un ambiente controllato che promuove l’innovazione e facilita lo sviluppo, l’addestramento, la sperimentazione e la convalida di sistemi di IA innovativi per un periodo di tempo limitato prima della loro immissione sul mercato o della loro messa in servizio. Al momento la norma rimediale che appare più stringente in materia di AI rimane l’Art. 22 GDPR che attribuisce il diritto individuale a non essere sottoposto a una decisione meramente automatizzata e che ha costituito oggetto della prima pronuncia sul processo individuale automatizzato basato su dati personali della CGUE nello Schufa Case lo scorso 7 dicembre 2023 in ordine all’affidabilità creditizia di un soggetto. La Corte ha stabilito che qualsiasi tipo di valutazione automatica sia vietata se ha un impatto significativo sulla vita delle persone.
Alla luce di tale orientamento dunque è del tutto evidente che l’approccio basato sul rischio costituisca certamente un deterrente per i produttori e gli utilizzatori di sistemi AI rispetto alla non conformità alle prescrizioni del Regolamento, vista anche la rilevanza delle sanzioni per i privati, fino a 35.000 Euro o 7% del fatturato per non conformità a pratiche vietate e fino a 15.000 Euro o 3% del fatturato nel caso di non conformità a obblighi per sistemi ad alto rischio e per finalità generali (sanzioni che invece sono più attenuate per le istituzioni, gli organi e gli organismi dell’Unione, basti pensare fino a 1.500.000 Euro per non conformità a pratiche vietate e fino a 750.000 Euro per ogni altra violazione del Regolamento). Tuttavia, a mio avviso, la pratica dei diritti ha poco a che fare con l’approccio basato sul rischio, che determina piuttosto una burocratizzazione delle pratiche ad alto rischio con potenziale finalità deflattiva rispetto all’esercizio dei rimedi disponibili ed eccessivo onere per le imprese che intendono rivolgersi al mercato europeo.
Nel Suo intervento, ha menzionato la necessità di un’armonizzazione dell’applicazione delle norme a livello europeo. Come valuta il ruolo degli organi consultivi come il Comitato europeo per l’Intelligenza Artificiale e il gruppo scientifico di esperti indipendenti nel garantire un’applicazione uniforme della legge? Ci sono aspetti specifici che potrebbero richiedere ulteriori chiarimenti o miglioramenti?
Come si legge nel considerando 1 dell’AI Act, lo scopo del Regolamento è quello di stabilire «il funzionamento del mercato interno istituendo un quadro giuridico uniforme in particolare per quanto riguarda lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso di sistemi di intelligenza artificiale (sistemi di IA) nell’Unione, in conformità̀ dei valori dell’Unione, promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea («Carta»), compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente, proteggere contro gli effetti nocivi dei sistemi di IA nell’Unione, nonché promuovere l’innovazione». Tale finalità ha caratteristiche eterogenee che devono necessariamente fare appello alla cooperazione. In tale ottica, il compito del Comitato Europeo per l’Intelligenza Artificiale (EAIB) sarà quello di offrire linee guida, condividere strategie efficaci e garantire che la normativa venga applicata in modo coerente in tutti gli Stati membri dell’UE. Si tratta di compiti certamente auspicabili e di primaria importanza che tuttavia verranno sottoposti al vaglio della effettiva implementazione, la quale a sua volta passa per le porte strette della burocrazia. Il gruppo scientifico di esperti indipendenti ha invece fornito alla Commissione consulenza sulla strategia di intelligenza artificiale ben prima della proposta di Regolamento AI della Commissione, con le linee guida etiche, le raccomandazioni politiche e di investimento e l’elenco di valutazione finale per l’AI affidabile, nonché le considerazioni settoriali sulle raccomandazioni politiche e di investimento. Con l’adozione del Regolamento il gruppo scientifico di esperti indipendenti è diventato un asse portante dell’Ufficio AI istituito in seno alla Commissione con il compito, come già anticipato, di favorire un’applicazione uniforme del Regolamento negli Stati Membri, ma anche sviluppare strumenti, metodologie e parametri di riferimento per valutare le capacità e la portata dei modelli di IA generici e classificare i modelli con rischi sistemici; elaborare codici di condotta in collaborazione con i principali sviluppatori di IA, la comunità scientifica e altri esperti; indagare su possibili violazioni delle norme, comprese le valutazioni delle capacità dei modelli, e chiedere ai fornitori di adottare misure correttive; preparare orientamenti e linee guida, atti di esecuzione e delegati e altri strumenti per sostenere l’efficace attuazione della legge sull’IA e monitorare il rispetto del regolamento. Al suo interno, infatti, l’Ufficio si compone di 5 unità e 2 consulenti: “Eccellenza nell’IA e nella robotica”, “Regolamentazione e conformità”, “Sicurezza AI”, “Innovazione e coordinamento delle politiche in materia di IA”, “IA per il bene della società” unitamente al consulente scientifico principale e al consulente per gli affari internazionali. Aspetti specifici potrebbero essere quelli relativi agli oneri di spesa in capo alle imprese che sembrerebbero di primo acchito indifferenziati mentre è auspicabile che i primi orientamenti della Commissione sull’attuazione del Regolamento possano fornire qualche indicazione al riguardo.
Con l’AI Act che stabilisce divieti per alcuni usi considerati “inaccettabili”, come il riconoscimento delle emozioni sul luogo di lavoro, come possono le normative europee influenzare le politiche globali in materia di IA? Crede che l’Unione Europea possa esercitare una leadership normativa a livello internazionale e, in caso affermativo, quali potrebbero essere le implicazioni per la cooperazione internazionale in materia di intelligenza artificiale?
Le questioni poste non possono non implicare una riflessione sulla portata applicativa del Regolamento AI che copre essenzialmente tutti i sistemi di intelligenza artificiale utilizzati in Europa. In sostanza, la conseguenza consiste nel fatto che imprese che intendano mettere in atto pratiche vietate non possono rivolgersi al mercato europeo. Tuttavia, paradossalmente, le imprese che operano sul mercato europeo, uniformandosi agli obblighi prescritti dal Regolamento, potrebbero risultare penalizzate da tali obblighi rispetto a imprese che adottano pratiche vietate o utilizzano o sviluppano sistemi ad alto rischio in mercati diversi, senza essere dunque soggette agli obblighi del Regolamento AI. Ciò varrebbe anche nel caso in cui alcune imprese che si affacciano sul mercato europeo avessero interesse a differenziare i mercati in quanto dovrebbero uniformarsi a regole diverse, il che molto spesso è disincentivante. Chiaramente tale opzione rientra nella libertà di mercato e come tale implica conseguenze diverse a seconda che si decida su quali mercati operare. Tuttavia, non pare un elemento trascurabile il fatto che l’intelligenza artificiale è una tecnologia globale di largo uso e come tale tenda a conquistare i mercati più facilmente penetrabili. Per poter sostenere la massiccia portata regolatoria dell’AI Act, in sostanza, l’UE dovrebbe investire sulla ricerca, attirare cervelli e dotarsi di sviluppatori e produttori europei che siano incentivati a operare sul mercato europeo. La prova del nove di ciò che potrebbe alla lunga creare un corto circuito istituzionale è la non applicabilità dell’AI Act all’uso delle armi autonome prodotte in Europa ed esportate in mercati stranieri. Alla luce ditale scenario, si auspica quindi che il ruolo di “first mover” regolatorio svolto dall’UE sia coadiuvato da strumenti internazionali, dei quali la recentissima Convenzione Quadro CoE sull’intelligenza artificiale costituisce una promessa. Si tratta del primo accordo internazionale giuridicamente vincolante finalizzato a garantire la tutela dei diritti umani, dello Stato di diritto e degli standard giuridici della democrazia nell’impiego di sistemi di IA che entrerà in vigore se verrà ratificato da cinque stati firmatari di cui tre membri del CoE.
Nel Suo volume “Disconnecting Sovereignty: How Data Fragmentation Reshapes the Law” esplora come la digitalizzazione e i flussi di dati sfidano il principio di territorialità e la sovranità statale.
Considerando l’AI Act e la sua applicazione alle normative sui dati e sull’IA, quali sono le principali implicazioni del concetto di “disconnessione della sovranità dal territorio” per l’implementazione di questa legge? In che modo la frammentazione dei dati e le normative sui flussi transfrontalieri influenzano la capacità dell’AI Act di rispondere alle sfide globali dell’intelligenza artificiale, e quali soluzioni legali o tecnologiche potrebbero emergere per affrontare queste problematiche?
Il concetto di disconnessione della sovranità dal territorio che io applico più in generale nel mio volume al fenomeno della data governance, opera esattamente in direzione opposta rispetto alla strategia digitale europea e più in particolare all’ambito di applicazione del Regolamento AI. Difatti, attraverso la creazione di veri e propri spazi normativi di dati, l’UE sta mettendo a punto un modello regolatorio dell’AI che associa l’applicabilità del diritto europeo alla produzione di un effetto o l’utilizzazione di un risultato nel mercato europeo. L’ambito di applicazione del Regolamento AI è infatti pressoché illimitato essendo rivolto oltre che ai fornitori che immettono i sistemi nel mercato europeo e agli utilizzatori e alle persone interessate che si trovano in Europa anche ai produttori e agli utilizzatori stabiliti fuori dall’UE il cui output prodotto dal sistema AI sia utilizzato all’interno dell’Unione. La territorializzazione del mercato europeo rappresenta una tendenza ricorrente che tuttavia nel caso dell’AI, ancor più che per i dati, rischia di produrre ineguaglianze e distorsioni del mercato. Così come la tecnologia AI è globale e borderless anche lo spazio dei diritti da esercitare grazie alla ma talvolta contro tale tecnologia dovrebbe esserlo. Immaginare l’Europa dei diritti come un mercato chiuso, a tratti protezionistico, pur con l’intento di proteggere i diritti ma inevitabilmente di esercitare un approccio regolatorio globale, eccessivamente oneroso per le imprese europee o per quelle non europee che intendono affacciarvisi, temo che in fin dei conti non possa rappresentare una scelta lungimirante, in quanto tenderebbe a premiare nel lungo periodo i poteri economici forti a danno, dunque, di una tecnologia orientata ai diritti e ai principi democratici. Ciò che invece, nel campo dell’AI, sarebbe auspicabile a mio avviso è l’incremento di norme internazionali e di strumenti internazionali di protezione universale di ampia portata che non faccia leva sulla capacità economica di alcuni soggetti a danno di altri e che dia concretezza alle possibilità di cooperazione internazionale.