Dovrà stabilire norme orizzontali per lo sviluppo, la modifica e l’uso di servizi, prodotti e sistemi che si basino su meccanismi di Intelligenza artificiale nel territorio dell’Ue, norme che dovranno essere applicabili a tutti i settori. Il quadro di riferimento ci riporta al 21 aprile 2021, quando la Commissione europea ha presentato una proposta di Regolamento Ue che stabilisce norme armonizzate in materia di Intelligenza artificiale e che modifica alcuni atti legislativi dell’Unione e di fatto istituisce un quadro di riferimento volto a normare il mercato dell’Unione europea su questa materia - COM(2021)206.

La Commissione europea ha anche stimato l’impatto economico dell’automazione del lavoro, della conoscenza e dei robot e dei veicoli autonomi entro il 2025 nel contesto della transizione verde e digitale, valutando la possibilità di un aumento di 60 milioni di posti di lavoro nell’Ue entro lo stesso anno, considerando contestualmente prezioso per il perseguimento del Green deal l’applicazione di sistemi di Ia nel trasporto pubblico, nella gestione dei rifiuti e dell’energia. Inoltre, grazie all’impiego dell’Ia, si prevede un aumento della produttività del lavoro tra l’11 e il 37 per cento entro il 2035.

La Commissione europea ha poi stimato che, ad ora, oltre il 50 per cento delle grandi imprese europee impieghi sistemi di Intelligenza artificiale, mentre un quarto dei robot ad uso industriale e professionale è prodotto in Europa. L’Intelligenza artificiale (Ia) è in grado di impiegare una mole di dati in tempi così brevi da essere «inumana» e come tale può costituire un rischio all’atto della sua applicazione, che, nella nostra realtà quotidiana, produce interrelazioni sotto diversi profili: politici, etici, sociologici e giuridici.

La Commissione europea con la proposta ha posto particolare attenzione sull’interrelazione tra l’utilizzo di strumenti di Ia nella nostra realtà quotidiana e la tutela dei dati personali, sottolineando i limiti da dover imporre per assicurare un corretto uso di grandi quantitativi di informazioni, in particolare dati personali. Circa l’ambito di applicazione dal punto di vista soggettivo, l’articolo 2 prevede, tra l’altro, che la nuova disciplina si applichi:

a) ai fornitori che immettono sul mercato o mettono in servizio sistemi di Ia nell’Unione, indipendentemente dal fatto che siano stabiliti nell’Unione o in un Paese terzo;
b) agli utenti dei sistemi di Ia situati nell’Unione;
c) ai fornitori e agli utenti di sistemi di Ia situati in un Paese terzo, laddove l’output prodotto dal sistema sia utilizzato nell’Unione.

L’articolo 3 definisce invece l’Ia: si definisce sistema di Intelligenza artificiale un software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I del Regolamento, che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono: l’allegato cui si fa riferimento può essere aggiornato di volta in volta. Il Regolamento, che mira a garantire la sicurezza dei sistemi di Ia utilizzati nell’Ue e, nel contempo, vuole incentivare l’utilizzo di soluzioni di Ia facilitando lo sviluppo di un mercato unico per applicazioni di Ia lecite, sicure e affidabili, ha utilizzato un approccio basato sul rischio.

Ha cioè classificato casi di pratiche generali e di impieghi specifici in determinati settori classificandoli in base al previsto grado di rischio: ad ogni grado di rischio vengono correlate differenti misure di attenuazione e anche espliciti divieti. Vi sono quindi utilizzi vietati, utilizzi considerati ad alto rischio e altri a basso rischio.

Gli utilizzi vietati attengono a:

  1. uso di sistemi di Ia che distorcono il comportamento di una persona attraverso tecniche subliminali o sfruttando vulnerabilità specifiche in modi che causano o sono suscettibili di causare danni fisici o psicologici;
    uso di sistemi di Ia che consentono la valutazione/classificazione dell’affidabilità (rating) di persone fisiche mediante l’attribuzione di un punteggio sociale con finalità generali da parte di autorità pubbliche, tali da determinare trattamenti pregiudizievoli o sfavorevoli;

  2. uso di sistemi di Ia che consentono l’identificazione biometrica remota, salvo casi eccezionalmente autorizzati dalla legge riconducibili in linea di massima ad attività di prevenzione e contrasto del crimine, in ogni caso soggetti a garanzie specifiche.

L’Allegato III della Proposta elenca gli impieghi che annoverano tecnologie di Ia ritenute ad alto rischio, suscettibili di essere ampliati dalla stessa Commissione, e che prevedono specifici requisiti tecnici che ne aumentino la sicurezza e la trasparenza, il controllo umano, standard elevati di cybersecurity, la condivisione di informazioni adeguate con l’utente e uno specifico sistema di gestione dei rischi oltre all’alta qualità dei datasets e alla tracciabilità dei risultati.

Alcuni esempi di sistemi considerati ad alto rischio sono: le infrastrutture critiche (ad es. i trasporti) che potrebbero mettere a rischio la vita e la salute dei cittadini; i sistemi usati per determinare l’accesso a istituzioni educative o di formazione o i sistemi di valutazione degli studenti; i sistemi per valutare l’affidabilità creditizia delle persone; la gestione della migrazione, dell’asilo e del controllo delle frontiere; l’applicazione di Ia nella chirurgia assistita da robot e i sistemi usati per lo screening o il filtraggio delle candidature di lavoro. Sono poi specificamente indicati i sistemi di riconoscimento biometrico, in generale vietati salvo casi specifici. I produttori di sistemi di Ia considerati ad alto rischio dovranno dimostrare il rispetto del Regolamento attraverso una dichiarazione europea di conformità. L’articolo 9 prevede l’obbligo di istituire, attuare, documentare e mantenere un sistema di gestione dei rischi per tali tecnologie per garantire:

a. un’adeguata progettazione e fabbricazione;
b. misure di attenuazione e di controllo in relazione ai rischi che non possono essere eliminati;
c. la fornitura di informazioni adeguate e, ove opportuno, la formazione degli utenti.

Gli articoli 11 e 12 regolano rispettivamente l’obbligo di redigere la documentazione tecnica di un sistema di Ia ad alto rischio prima dell’immissione sul mercato o della messa in servizio di tale sistema e la previsione che i sistemi di Ia ad alto rischio siano progettati e sviluppati con capacità che consentano la registrazione automatica degli eventi (log) che dovranno essere conservati per un certo periodo dai fornitori.

È poi prevista una serie di adempimenti che i fornitori di sistemi di Ia classificati ad alto rischio devono mettere in atto in caso verifichino che non sia conforme, compresa l’informazione immediata delle autorità nazionali competenti degli Stati membri in cui è stato immesso il sistema.

Infine per quelle a basso rischio sono previsti standard di trasparenza. L’articolo 52 dispone in materia. L’articolo 10 stabilisce i requisiti in materia di dati e di governance dei dati, siano essi di addestramento, di convalida o di prova. L’articolo 29 del Regolamento Ue sull’Intelligenza artificiale fissa anche gli obblighi a cui gli utenti dei sistemi di Ia sono tenuti, tra cui il banale seguire le istruzioni ma anche farne un utilizzo pertinente, monitorarne il funzionamento e sospenderne l’uso in caso di incidenti informando il fornitore. È comunque necessario un sistema di valutazione ex ante della tecnologia utilizzata.

Il titolo VI istituisce un sistema di governance articolato a livello di Unione e nazionale: si istituisce un comitato europeo per l’Intelligenza artificiale. L’articolo 59 prevede inoltre che ciascuno Stato membro istituisca o designi autorità nazionali competenti al fine di garantire l’applicazione e l’attuazione del Regolamento. Si prevede anche la creazione di una banca dati a livello dell’Ue per i sistemi di Ia ad alto rischio indipendenti che presentano particolari implicazioni in relazione ai diritti fondamentali, gestita dalla Commissione.

A supervisionare l’applicazione delle nuove regole saranno dunque le Autorità nazionali di controllo sul mercato e l’European artificial Intelligence board. Sono previste sanzioni amministrative pecuniarie fino a 30 milioni di euro o, se l’autore del reato è una società, fino al 6 per cento del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Sul recepimento del Regolamento, in apposita audizione parlamentare presso la Commissione trasporti e attività produttive, sono state fatte proposte da parte di costituzionalisti e sindacato.

La Cgil ha osservato preliminarmente come lo strumento adottato dall’Ue, ossia il Regolamento, sembrasse di fatto il più adeguato per garantire uniformità di applicazione auspicando dunque che, data la peculiarità della materia, fossero minimizzati gli spazi di autonomia dei singoli Stati in ambito applicativo. L’approccio normativo risk based è risultato condivisibile, nonostante sia di tipo proporzionato, perché pone in capo ai soggetti coinvolti nell’impiego dell’Ia la predisposizione di un sistema di gestione dei rischi legati all’utilizzo di questi strumenti by design (cioè a partire dalla primissima fase di progettazione fino alla distribuzione e all’utilizzo) e by default (cioè per impostazione predefinita). Ciò vale a partire dalla definizione di «sistema di Intelligenza artificiale» (art. 3, punto 1) che, a nostro avviso, deve essere il meno generica possibile onde evitare che i singoli Stati possano darne un’interpretazione restrittiva per eludere i vincoli stabiliti dal Regolamento e, nel contempo, capace di riconoscerla come un’infrastruttura in costante evoluzione.

Di fatto, consapevoli di essere dinanzi a una tecnologia in grado di assumere decisioni ipoteticamente dannose per l’umanità, è sommamente opportuna una regolamentazione severa e inequivocabile di alcune pratiche. Un esempio è la capacità di svolgere una sorveglianza di massa indiscriminata, grazie agli algoritmi di Ia e all’aumento delle potenze di calcolo e di dati disponibili su di noi e sui nostri rapporti sociali e interpersonali.

Suscita perciò molta perplessità la previsione circa l’uso «di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto». Questo è in linea di principio vietato, a meno che e nella misura in cui tale uso sia strettamente necessario per uno degli obiettivi di cui all’art. 5, par. 1, lett. d), tra cui la «prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone fisiche o di un attacco terroristico» (art. 5).

Riteniamo in generale che qualsiasi forma di sorveglianza necessiti della preventiva autorizzazione dell’autorità giudiziaria, imprescindibile in caso di identificazione biometrica negli spazi aperti. Vi è il rischio che un’interpretazione larga delle eccezioni previste dall’art. 5 cit. della proposta di Regolamento, da parte di ogni singolo Stato, renda eccessivamente diffusa una pratica che confligge fortemente con il diritto alla privacy e mina i diritti fondamentali di libertà. 

In tal senso concordiamo nella sostanza con il parere (Joint opinion 5/2021) adottato dall’European data protection board e dallo European data protection supervisor il 18 giugno 2021 ove si raccomanda «che sia introdotto un divieto generale di qualsiasi utilizzo dell’Ia a fini di riconoscimento automatico delle caratteristiche umane in spazi accessibili al pubblico, come il volto ma anche l’andatura, le impronte digitali, il Dna, la voce, le sequenze di battute su tastiera e altri segnali biometrici o comportamentali, in qualsiasi contesto. Un altro divieto raccomandato riguarda i sistemi di Ia che «categorizzano le persone in insiemi, a partire dai dati biometrici, in base all’etnia, al genere, all’orientamento politico o sessuale oppure in base ad altri motivi di discriminazione» ai sensi dell’articolo 21 della Carta. Inoltre, l’Edpb e il Gepd ritengono che «l’utilizzo dell’Ia per dedurre le emozioni di una persona fisica sia assolutamente inopportuno e dovrebbe essere vietato».

Auspichiamo che si assuma che l’utilizzo dell’Ia non potrà mai avvenire a fini repressivi e/o di controllo, in qualunque ambito, evitando così il rischio concreto di acuire asimmetrie già esistenti e di produrre situazioni pregiudizievoli e/o discriminatorie. Il sistema nel complesso a nostro avviso va integrato con altre discipline di ordine europeo, prima fra tutte ovviamente il Regolamento Ue n. 679/2016 (Gdpr). Senza privacy è infatti impossibile una qualsiasi forma di indipendenza di pensiero e di azione.

D’altra parte riteniamo inaccettabile la distinzione tra attori pubblici e privati in tema di scoring. Se infatti ai primi verrà impedito l’utilizzo di sistemi di Ia per valutare e classificare con un «punteggio sociale» (social scoring) l’affidabilità delle persone sulla base del loro comportamento sociale in contesti sociali estranei a quelli in cui i dati sono stati originariamente generati o raccolti, ai privati verrebbe mantenuta la facoltà di svolgere attività di «classifiche» (rating) reputazionali. Se pure questa loro facoltà è bilanciata dai princìpi di liceità, correttezza e trasparenza di cui all’art. 5 del Gdpr, non ci sembra corretto consentire sistemi di valutazione su base algoritmica di terzi. A nostro avviso, ad esempio, il tema si porrebbe in modo dirompente in ambito lavorativo (vedi l’art. 6, par. 2, della proposta di Regolamento e l’Allegato III, punto 4). Ad ogni modo, va riaffermata la vincolatività del confronto sindacale sulla scelta dei dati da sottoporre all’elaborazione dell’Ia.

Il sistema di regole che il Regolamento appronta per garantire un utilizzo etico e non nocivo degli strumenti di Ia coinvolge tutta la catena, dai fornitori agli utenti. In tema di garanzia di conformità alle regole, da attuarsi in maniera costante e sistematica, riteniamo sicuramente importante la prevista certificazione di cui all’art. 27 del nuovo Regolamento, ove si stabilisce che: «prima di mettere a disposizione sul mercato un sistema di Ia ad alto rischio, i distributori verificano che il sistema di Ia ad alto rischio rechi la necessaria marcatura CE di conformità, che sia accompagnato dalla documentazione e dalle istruzioni per l’uso necessarie e che il fornitore e l’importatore del sistema, a seconda dei casi, abbiano rispettato gli obblighi di cui al presente Regolamento».

Ciononostante ci pare improprio che il tema della valutazione di conformità sia affidato in larga misura a soggetti privati, produttori o fornitori delle tecnologie in oggetto, specie in considerazione del fatto che sono poche grandi aziende private oggi ad avere la conoscenza e la materia prima (big data) necessari a sviluppare sistemi di Ia. Riteniamo sempre opportuna l’individuazione di soggetti terzi, indipendenti, con le competenze necessarie a valutare la conformità al Regolamento, specie per quanto attiene ai sistemi ad alto rischio.

Facciamo nostro il già citato parere n. 5/2021 adottato dall’European data protection board e dallo European data protection supervisor il 18 giugno 2021 nella parte in cui evidenzia la criticità dell’assenza di diritti specifici in capo ai singoli individui e l’assenza di procedure da adottare da parte degli stessi quando sottoposti a sistemi di Ia. Sostanzialmente i due organismi notano un difetto di collegamento tra il Regolamento in oggetto e il Gdpr laddove il sistema di Ia utilizzasse dati personali, in particolare rispetto all’art. 22 del Gdpr che riconosce il diritto per un soggetto di non essere sottoposto a una decisione completamente automatizzata.

Come è stato previsto un Comitato europeo sull’Intelligenza artificiale, che sia responsabile dell’applicazione armonizzata del Regolamento in tutta l’area Ue per le questioni di salute, sicurezza e diritti fondamentali dei cittadini e delle cittadine, cui deve essere riconosciuto il maggior grado possibile di autonomia, parimenti è necessario capire come sarà strutturata una pari Autorità indipendente nazionale e quali saranno le sue competenze e possibilità di azione (art. 59 Regolamento).

Altro profilo di rilievo attiene al set di dati con cui si istruiscono i meccanismi di Ia. A nostro avviso va riconosciuto a favore dei «portatori di interessi» il diritto all’accesso dei dati che sono alla base della specifica applicazione di Ia utilizzata. È evidente che l’utilizzo di sistemi di Ia in relazione alla prestazione lavorativa apre una problematica che – riteniamo – debba essere debitamente affrontata nelle sedi opportune sia in ambito Ue che nel nostro Paese, con particolare riferimento a un obbligo di informazione a favore dei rappresentanti di lavoratrici e lavoratori, in merito ai sistemi adottati, ai set di dati utilizzati, alle modalità di interazione tra uomo e macchina.

Il rapporto sempre più stretto tra esseri umani e sistemi automatizzati pone il tema ulteriore della responsabilità del datore di lavoro e del lavoratore in presenza di processi produttivi e attività automatizzate, tema su cui sarebbe opportuno sviluppare il ragionamento già parzialmente in itinere nel Parlamento europeo. Si veda «Risoluzione del Parlamento europeo 2020/2014(Inl) recante raccomandazioni alla Commissione su un regime di responsabilità civile per l’Intelligenza artificiale»

Parimenti sarà necessaria una discussione su una regolamentazione più dettagliata in merito alla proprietà intellettuale o alla titolarità dei brevetti in caso di invenzioni nate dall’interazione tra essere umano e macchina o direttamente e autonomamente da sistemi di Ia. Si veda «Risoluzione del Parlamento europeo su diritti di proprietà intellettuale per lo sviluppo di Ia-2020/2015 (Ini)». Rileviamo infine che non esiste alcun riferimento e dunque alcun progetto di regolazione sull’impronta ecologica dell’Ia. L’architettura di Ia ha infatti una fortissima impronta ecologica, che andrebbe tenuta in considerazione in fase di implementazione, sia per ciò che attiene ai componenti dei sistemi tech necessari per l’attività computazionale (litio, cobalto, componenti delle terre rare ecc.), sia per lo smaltimento degli stessi, sia per la sua caratteristica energivora e per l’utilizzo di acqua necessario al raffreddamento dei server.

È bene sottolineare infine che sono numerosi gli atti europei che attengono all’Ia. Tra questi:

- il 20 gennaio 2021, il Parlamento ha proposto delle linee guida per l’uso dell’Intelligenza artificiale in campo militare e civile. Si è sottolineata la necessità di un controllo umano sui sistemi di Intelligenza artificiale e reiterando la richiesta del Parlamento di vietare le armi letali autonome abilitate da Intelligenza artificiale.

- Il 19 maggio 2021, il Parlamento ha approvato la risoluzione sull’uso dell’Ia nell’istruzione, nella cultura e nel settore audiovisivo.

- Il 6 ottobre 2021, risoluzione sull’Intelligenza artificiale nel diritto penale e il suo utilizzo da parte delle autorità di polizia e giudiziarie in ambito penale (2020/2016Ini).

- Il 18 giugno 2021 il Parlamento europeo ha istituito la Commissione speciale sul digitale e l’Intelligenza artificiale.