Sono un avvocato presso la sede milanese di Bird & Bird, specializzato in proprietà intellettuale e diritto della tecnologia, dei media e delle telecomunicazioni.
Il Parlamento europeo e il Consiglio europeo hanno raggiunto un accordo sull’artificial intelligence act, la prima normativa al mondo in materia di intelligenza artificiale.
L’8 dicembre 2023 rappresenta una data storica: l’Unione europea, per prima al mondo, stabilisce una normativa completa e solida per i sistemi di intelligenza artificiale, prevedendone obblighi in base ai rischi potenziali e al livello di impatto, stimolando al contempo l'innovazione e facendo dell'Europa un leader nel settore.
***
Si tratta del provvedimento normativo più atteso dell’anno: l’8 dicembre 2023, il Parlamento europeo e il Consiglio europeo hanno finalmente raggiunto un accordo politico sull’Artificial Intelligence Act.
L’accordo prevede, tra gli altri, il divieto:
di sistemi di categorizzazione biometrica che utilizzano dati sensibili (quali, ad esempio, il credo politico o religioso, il pensiero filosofico, l’orientamento sessuale, l’etnia);
di raccolta non mirata di immagini del volto da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale;
di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole;
di classificazione sociale basata sul comportamento sociale o sulle caratteristiche personali;
di sistemi di IA che manipolano il comportamento umano per influenzarne la decisione;
di sistemi di IA utilizzati per sfruttare le vulnerabilità delle persone (a causa della loro età, disabilità, situazione sociale o economica).
Alle regole sopra indicate sopravvivono alcune ristrette eccezioni per l'uso di sistemi di identificazione biometrica (RBI) in spazi accessibili al pubblico, in caso di previa autorizzazione giudiziaria e per alcuni reati specifici. I sistemi di RBI "post-remoto" devono essere utilizzati esclusivamente per la ricerca mirata di una persona condannata o sospettata di aver commesso un reato grave. I sistemi di RBI "in tempo reale", invece, devono rispettare alcuni requisiti e il loro uso deve essere limitato nel tempo e nel luogo, ai fini di i) ricerche mirate di vittime (per reati di rapimento, traffico, sfruttamento sessuale); ii) prevenzione di una minaccia terroristica specifica e attuale; o iii) localizzazione o identificazione di una persona sospettata di aver commesso uno dei reati menzionati nel regolamento (quali, terrorismo, traffico di esseri umani, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a un'organizzazione criminale, reati ambientali).
In aggiunta a quanto sopra, l’accordo stabilisce che:
i “sistemi di IA ad alto rischio” (tra cui quelli utilizzati per influenzare l'esito delle elezioni e il comportamento degli elettori), anche laddove utilizzati nel settore assicurativo e bancario, debbano, tra gli altri, essere sottoposti a una valutazione obbligatoria dell'impatto sui diritti fondamentali;
sia previsto, in capo ai cittadini, il diritto di reclamo al fine di ricevere spiegazioni sulle decisioni basate sui sistemi di IA ad alto rischio che hanno un impatto sui loro diritti;
i sistemi di IA per scopi generali (GPAI) e i modelli GPAI su cui si basano debbano aderire ai requisiti di trasparenza proposti inizialmente dal Parlamento, tra cui la stesura di una documentazione tecnica, il rispetto della legge sul diritto d’autore e l’indicazione dettagliata dei contenuti utilizzati per la creazione. Inoltre, se i “modelli GPAI ad alto impatto con rischio sistemico” soddisfano determinati criteri, dovranno essere condotte valutazioni del modello, valutati e mitigati i rischi sistemici, effettuati test avversariali e occorrerà altresì riferire alla Commissione europea su incidenti gravi, garantire la sicurezza informatica e riferire sulla loro efficienza energetica.
Non mancano misure a sostegno dell'innovazione e delle PMI: a tal fine, l'accordo promuove le cosiddette “regulatory sandbox” e “real-world-testing”, istituite dalle autorità nazionali per sviluppare e addestrare l’IA innovativa prima dell'immissione sul mercato.
Il mancato rispetto delle norme dell’accordo può portare a sanzioni che vanno da 7,5 milioni di euro (o l'1,5% del fatturato) a 35 milioni di euro (o il 7% del fatturato globale), a seconda della violazione e delle dimensioni dell'azienda. Sanzioni più lievi sono previste per piccole imprese e start-up.
***
Previa finalizzazione dei dettagli tecnici del nuovo regolamento, il testo concordato dell’Artificial Intelligence Act dovrà essere formalmente adottato dal Parlamento europeo e dal Consiglio europeo e pubblicato sulla Gazzetta Ufficiale dell’Unione europea.
Il nostro team è a disposizione per fornirvi aggiornamenti sullo status di pubblicazione dell’Artificial Intelligence Act e assistenza nell’implementazione delle relative previsioni.