Era il 1955 quando John McCarthy, informatico statunitense, coniò l’espressione “Intelligenza Artificiale[1]”. Da quel momento, gli studi sull’intelligenza artificiale e le sue applicazioni hanno conosciuto uno sviluppo inarrestabile. Oggi, più di 60 anni dopo, la Commissione Europea ha sentito finalmente il bisogno di inquadrare giuridicamente questo variegato fenomeno, e lo ha fatto con la bozza sul Regolamento sull’Intelligenza Artificiale. La pubblicazione, risalente al 21 Aprile 2021, costituisce, ad oggi, la più ambiziosa, nonché controversa, proposta di regime normativo per l’IA. Secondo alcuni operatori del mercato, sarebbe stato sufficiente colmare le lacune dei quadri giuridici esistenti (ad esempio in materia di protezione dei dati personali, protezione dei consumatori etc.), ma la Commissione è stata irremovibile.
Mossa dalla volontà di assicurarsi che i sistemi di IA possano contribuire alla crescita del mercato unico, la Commissione, adottando un approccio proporzionato, orientato al rischio, che salvaguardi i diritti fondamentali, ha fornito una definizione ampia di “Sistema di IA”. Questo, nell’articolo 3 del Regolamento, viene infatti descritto come un “software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I, che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono[2]”. Come si evince dai Considerando, la definizione è volutamente molto ampia, al fine di far rientrare nell’ambito di applicazione del Regolamento sia tecnologie più obsolete sia futuri sviluppi tecnologici (l’elenco cui si rimanda è infatti soggetto ad aggiornamenti). Con riferimento alla prima, infatti, forte è il timore che il Regolamento possa divenire “la legge di tutto”, espressione originariamente coniata all’entrata in vigore della normativa sulla protezione dei dati personali[3] (Regolamento UE 2016/79) per indicare come questa regolamentazione, volta a fornire il massimo grado di protezione giuridica in tutte le circostanze, possa invece creare un sovraccarico del sistema, rendendone impossibile il pieno rispetto. Allo stesso modo, critiche sono state levate dagli operatori del mercato con riferimento alla definizione di sistema di IA.
Nella prassi applicativa, potrebbe infatti darsi che aziende che utilizzino sistemi di intelligenza artificiale, da anni presenti sul mercato, si trovino a dover fare i conti con un nuovo regime di conformità, volto a regolare l’uso dei sistemi di IA in base ad un triplice approccio orientato al rischio (risk-based approach). O ancora, come sottolinea la non-profit Algorithm Watch[4], sotto tale definizione sarebbero stati considerati IA addirittura i fogli Excel, dato il loro utilizzo di una formula statica per la produzione di un output.
Con riguardo invece ai futuri sviluppi tecnologici, l’ambito materiale di applicazione del Regolamento è destinato ad espandersi ulteriormente. Ciò si deve all’interpretazione in evoluzione del concetto stesso di intelligenza artificiale. Questa definizione “aperta” sarebbe, come si rileva dall’ explanatory memorandum in apertura della proposta, in grado di garantire la massima conformità ai valori europei. Tuttavia, ad una lettura più attenta, si nota come manchi del tutto il riferimento ai principi costituzionali, se non per il richiamo ai termini “umano” e “dignità”[5].
La definizione di intelligenza artificiale adottata nella proposta della Commissione del 21 aprile 2021 è stata oggetto di critica, in primo luogo, da parte di altri organi dell’Unione Europea. Il Comitato economico e sociale europeo (“CESE”) nel suo parere adottato il 22 settembre 2021[6] aveva raccomandato di chiarire la definizione di IA stralciando l’allegato I (che elenca le tecniche e gli approcci con cui i software devono essere sviluppati per rientrare nella definizione di Intelligenza Artificiale) modificando leggermente l’articolo 3, che dovrebbe essere formulato come segue:
“Sistema di intelligenza artificiale” (sistema di IA): un software che può, in modo automatizzato, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano l’ambiente con cui il sistema interagisce”.
Secondo il CESE, infatti, il riferimento all’allegato I andrebbe eliminato visto che alcuni esempi forniti nell’allegato non costituiscano applicazioni di intelligenza artificiale e, viceversa, non vengono menzionate tutta una serie di importanti tecniche di IA.
Invece il Consiglio dell’Unione Europea ha adottato un approccio differente nel primo testo di compromesso del 29 novembre 2021, più restrittivo per garantire una maggiore certezza giuridica. La critica più comune che è stata mossa, anche da alcune associazioni di consumatori,[7] era che la definizione della Commissione comprendesse quasi tutti i software, rendendo l’ambito di applicazione del Regolamento eccessivamente ampio.
Non a caso, nel Considerando 6 del testo di compromesso del Consiglio dell’Unione Europea, viene specificato che “La definizione dovrebbe essere basata sulle principali caratteristiche funzionali del software di intelligenza artificiale che lo distinguono dai più classici sistemi di software e programmazione.” Inoltre, la definizione di cui all’articolo 3 di sistema di intelligenza artificiale è stata completamente modificata e mette in luce tre caratteristiche che il software deve avere per essere considerato un sistema di intelligenza artificiale.
Secondo la nuova definizione un sistema di intelligenza artificiale è un sistema che: (i) riceve dati e input provenienti da dispositivi e/o dall’uomo; (ii) deduce come raggiungere una serie di obiettivi definiti dall’uomo utilizzando l’apprendimento, il ragionamento o la modellizzazione attuati con le tecniche e gli approcci elencati nell’allegato I, e (iii) genera dei risultati sotto forma di contenuti (sistemi di IA generativa), previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui interagisce.
Questa definizione è più precisa e restringe notevolmente l’ambito di applicazione del Regolamento, ed è più vicina a quella proposta dal gruppo di esperti ad alto livello sull’intelligenza artificiale nel 2019.[8] Associazioni di difesa dei diritti fondamentali alla privacy e alla protezione dei diritti personali come Algorithmwatch e AccessNow hanno criticato questa restrizione dell’ambito di applicazione del Regolamento.[9] Secondo queste associazioni è necessario avere una definizione ampia di Intelligenza Artificiale perché da un lato anche i sistemi automatizzati di software che non rientrano nella nuova definizione, possono comportare conseguenze di vasta portata per i diritti degli individui, soprattutto quando sono usati dalle pubbliche amministrazioni o da istituti di credito per prendere delle decisioni.[10]Dall’altro lato, il fatto che il Regolamento sia fondato su un approccio basato sul rischio e vada a imporre degli obblighi solo per i sistemi di intelligenza artificiale ad alto rischio o proibite, rende necessaria una definizione ampia, altrimenti il rischio sarebbe quello che sistemi ad alto rischio di software più semplici non siano sottoposti agli obblighi e non si attui una vera e propria tutela dei diritti fondamentali degli individui.
Secondo il report pubblicato da un’altra associazione[11], la Robotics and AI Law Society, che adotta un approccio più cauto, una definizione ampia di sistemi di intelligenza artificiale può essere giustificata alla luce delle pratiche di intelligenza artificiale proibite delineate all’articolo 5 del Regolamento per compensare le minacce poste da diversi tipi di software ai diritti fondamentali degli individui considerando che sembra fare poca differenza per i diritti dei cittadini interessati se le pratiche vietate siano abilitate dall’apprendimento automatico o dal ragionamento logico. Mentre, per quanto riguarda i sistemi ad alto rischio, non è possibile applicare lo stesso ragionamento. Questo perché i requisiti obbligatori previsti nel titolo III, capitolo 2, si basano sulla constatazione che un certo numero di diritti fondamentali sono influenzati negativamente, in particolare, dalle caratteristiche speciali del machine learning, come l’opacità, la complessità, la dipendenza dai dati, il comportamento autonomo. Ciò significa che, non essendo queste caratteristiche presenti negli algoritmi semplici (basati sulla logica), l’ampia definizione di IA potrebbe portare a una regolamentazione eccessiva, per i sistemi “ad alto rischio”.
* Francesca Giordanelli laureata in Giurisprudenza presso l’Università di Bologna, LLM in IP&IT al King’s College London, Tirocinante presso la Sezione Imprese del Tribunale di Firenze e fellow di DPO innovation.
** Alessandra Chiarini, laureanda in Giurisprudenza presso Università degli Studi di Macerata e fellow di DPO innovation.
[1] J. McCarthy, M. L. Minsky, N. Rochester, & C. E. Shannon, A Proposal for the Dartmouth Summer Research Project on Artificial Intelligence, in AI Magazine, 27(4), 12, 2006.
[2] Articolo 3 “Definizioni” della Proposta di Regolamento del Parlamento Europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (Legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’Unione.
[3] N. Purtova, The law of everything. Broad concept of personal data and future of EU data protection law, Law, Innovation and Technology, 10:1, 40-81, 2018.
[4] N. Kayser- Bril, European Council and Commission in agreement to narrow the scope of the AI Act, 23 novembre 2021.
[5] O. Pollicino, G. De Gregorio, F. Paolucci, L’intelligenza artificiale made in UE è davvero “umano- centrica”? I conflitti della proposta, in Agenda Digitale, 22 Luglio 2021.
[6] Parere del Comitato economico e sociale europeo sulla proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’Unione, 2 settembre 2021, COM(2021) 206 final.
[7] The European Consumer Organisation, Regulating AI to Protect the Consumer Position Paper on the AI Act, 7 ottobre 2021.
[8] Independent High-Level Expert Group on Artificial Intelligence, A definition of AI: Main capabilities and scientific disciplines, 8 Aprile 2019: “We propose to use the following updated definition of AI: Artificial intelligence (AI) systems are software (and possibly also hardware) systems designed by humans that, given a complex goal, act in the physical or digital dimension by perceiving their environment through data acquisition, interpreting the collected structured or unstructured data, reasoning on the knowledge, or processing the information, derived from this data and deciding the best action(s) to take to achieve the given goal. AI systems can either use symbolic rules or learn a numeric model, and they can also adapt their behaviour by analysing how the environment is affected by their previous actions.”
[9] Algorithm Watch, Accessnow, EU policy makers: Protect peopleʼs rights, don’t narrow down the scope of the AI Act!, 23 novembre 2021.
[10] Ibidem.
[11] M. Ebers, V. R. S. Hoch, F. Rosenkranz, H. Ruschemeier, B. Steinrötter, The European Commission’s Proposal for an Artificial Intelligence Act—A Critical Assessment by Members of the Robotics and AI Law Society (RAILS), in Multidisciplinary Scientific Journal, 8 ottobre 2021, 4(4), 589-603.