L’08 dicembre 2023, dopo 3 giorni di lunghe negoziazioni, la proposta di Regolamento in materia di Intelligenza Artificiale (AI Act) ha trovato finalmente un accordo “politico”. A questo punto, per diventare legge dell’UE, il testo concordato dovrà essere formalmente adottato dal Parlamento e dal Consiglio.
La notizia è stata diffusa dal Parlamento Europeo, tramite un comunicato del 9 dicembre 2023, nel quale esso ha annunciato di aver raggiunto un accordo con il Consiglio sull’AI Act che permetterà di “garantire che l’Intelligenza Artificiale in Europa sia sicura, rispetti i diritti fondamentali e la democrazia, dando allo stesso tempo la possibilità alle imprese del settore di prosperare ed espandersi”.
Dal comunicato sembra, dunque, che in materia di regolamentazione dell’IA l’UE abbia trovato finalmente la chiave di volta per la risoluzione della tensione tra diritti fondamentali e progresso tecnologico, tra democrazia e sviluppo degli attori privati operanti nel settore tech. Ciò, anche grazie alle novità da ultimo inserite e volte alla definizione delle questioni che più hanno acceso il dibattito tra studiosi ed interpreti (i.e., l’utilizzo di tecnologie biometriche da parte delle forze dell’ordine, l’introduzione di regole per l’IA utilizzata per scopi generici).
In particolare, dal press release si apprende che il nuovo testo – attualmente non ancora pubblicato nella sua versione finale – inter alia prevede:
- garanzie in relazione all’IA utilizzata per scopi generici;
- alcune limitazioni in relazione all’uso di sistemi di identificazione biometrica da parte delle forze dell’ordine;
- il divieto di utilizzare il social scoring e l’IA per manipolare o sfruttare le vulnerabilità degli utenti;
- il diritto dei consumatori di presentare reclami e di ricevere spiegazioni;
- l’innalzamento delle sanzioni rispetto alla precedente versione del regolamento, in quanto si è stabilito che esse potranno arrivare fino a 35 milioni di euro o fino al 7% del fatturato globale;
- misure a sostegno dell’innovazione e delle PMI.
Nel merito dell’utilizzo di sistemi biometrici da parte delle forze dell’ordine in spazi accessibili al pubblico, secondo quanto riportato nel press release, i negoziatori hanno concordato una serie di garanzie ed eccezioni. In particolare, tali sistemi dovranno essere utilizzati secondo quanto previsto dalla legge, sempre previa autorizzazione giudiziaria e al solo fine di identificare specifici reati rigorosamente predefiniti.
L’identificazione biometrica “in tempo reale”, le eccezioni
In questo modo, l’identificazione biometrica “in tempo reale” potrà essere svolta per:
- ricerche di vittime mirate, ad esempio in casi di rapimento o sfruttamento sessuale;
- prevenire una minaccia terroristica specifica e attuale;
- localizzare o identificare un soggetto sospettato di aver commesso uno dei reati specifici rigorosamente predefiniti (ad esempio, terrorismo, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a un’organizzazione criminale, reati ambientali).
L’identificazione biometrica “post-remote”, invece, verrà utilizzata esclusivamente per la ricerca mirata di una persona condannata o sospettata di aver commesso un reato grave.
In relazione alle garanzie relative all’IA utilizzata per scopi generici, il Parlamento ha dichiarato che “al fine di tenere conto dell’ampia gamma di attività che possono essere svolte dai sistemi di IA, nonché della loro rapida espansione, è stato concordato che i sistemi di IA per scopi generali e i modelli su cui essi si basano dovranno adempiere agli obblighi di trasparenza individuati dal Parlamento”. In particolare, questi includono la predisposizione di specifica documentazione tecnica, il rispetto della legge sul copyright dell’UE e la comunicazione di indicazioni dettagliate sulle modalità di training dell’algoritmo.
Infine, secondo quanto indicato nel comunicato, il regolamento garantirà la possibilità alle imprese – e soprattutto alle PMI – di sviluppare soluzioni di IA senza pressioni indebite da parte dei giganti dell’industria tech. A tal fine, l’accordo promuoverà l’introduzione delle cosiddette regulatory sandboxes e real-world-testing, in collaborazione con le autorità nazionali.
Cosa manca
Alla luce di quanto sopra, seppur le nuove previsioni sembrino effettivamente indirizzate verso la risoluzione della tensione tra diritti fondamentali e progresso tecnologico, non possono essere sottovalutate alcune tematiche.
In primo luogo, deve essere considerato che tutte le informazioni sopra riportate provengono da un comunicato del Parlamento Europeo.
Pertanto, si dovrà attendere la pubblicazione della nuova versione del Regolamento per comprendere le reali declinazioni degli obiettivi enunciati da parte del Parlamento.
In secondo luogo, è doveroso segnalare come in materia di tutela degli utenti finali, la nuova versione del testo preveda soltanto il diritto di presentare reclami e di ricevere spiegazioni.
Si tratta, dunque, di una disposizione “debole” che non colma l’assenza di meccanismi di tutela rimediale diretta, la cui lacuna è stata più volte segnalata da studiosi ed interpreti.
L’AI Act pienamente in vigore nel 2026, proteggerà davvero i diritti fondamentali dei cittadini?
In ultimo, non possono essere sottovalutati gli effetti delle tempistiche di approvazione e di entrata in vigore del Regolamento. Infatti, come chiarito in premessa, il testo deve ancora essere approvato da parte del Parlamento e del Consiglio per diventare legge dell’UE, la quale, in ogni caso, entrerà in vigore non prima del 2026.
Nel merito, considerato che nei prossimi 2 anni potremmo ritrovarci in un mutato contesto tecnologico, non è possibile escludere che le regole attualmente previste possano rivelarsi non solo poco efficienti ed incapaci di indirizzare il percorso di sviluppo dell’IA, ma altresì fallire nel primo degli obiettivi dell’UE, ovvero quello di proteggere i diritti fondamentali dei suoi cittadini.