Le Linee Guida della Commissione Europea sulle pratiche AI vietate (1/4)
Le Linee Guida sull’art. 5, anche se non vincolanti, sono indispensabili per fare chiarezza e fornire indicazioni sull’interpretazione uniforme dei diversi divieti.
Il 4 Febbraio 2025 la Commissione Europea ha emanato le Linee Guida sulle pratiche vietate previste dall’art. 5 del Regolamento Europeo 2024/1689 (AI Act), già applicabili dal 5 Febbraio 2025 unitamente agli obblighi di formazione previsti dall’art. 4 dello stesso Regolamento.
2 Febbraio 2025: scatta l’obbligo di formazione per i sistemi AI
Il 2 Febbraio 2025 iniziano ad applicarsi le prime disposizioni dell’AI ACT, il Regolamento Europeo sull’intelligenza artificiale n. 2024/1689, entrato in vigore il 2 Agosto 2024 e destinato ad un’applicazione graduale, per fasi, che si completerà nel 2026.
Lo scopo dell’AI Act è armonizzare la normativa a livello europeo e promuovere l’adozione di sistemi di intelligenza artificiale che garantiscano un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali nell’Unione, inclusa la democrazia e lo stato di diritto.
L’obiettivo è alto, ma i mezzi per raggiungerlo sono tratti dall’esperienza tecnica acquisita in altri settori, in particolare dalle norme ISO o dalla normativa sulla privacy (GDPR), e l’approccio utilizzato è quello basato sul rischio.
Vengono così individuate quattro categorie di rischio:
Rischio inaccettabile per i diritti fondamentali e i valori dell’Unione
Alto rischio per la salute, la sicurezza e i diritti fondamentali.
Rischio di trasparenza
Rischio minimo o nullo
Le Linee Guida sull’art. 5, adottate ai sensi dell’articolo 96(1)(b) dell’AI Act, anche se non vincolanti, sono indispensabili per fare chiarezza e fornire indicazioni sull’interpretazione uniforme dei diversi divieti che deve avvenire in modo proporzionato, bilanciando la protezione dei diritti fondamentali e della sicurezza con la promozione dell’innovazione e la certezza del diritto.
L’articolo 5 dell’AI Act
Come evidenziato nel Considerando 28, l’articolo 5 dell’AI Act vieta l’immissione sul mercato dell’Unione Europea, la messa in servizio o l’uso di alcuni sistemi di AI che violano i diritti fondamentali e i valori dell’Unione, tra cui il rispetto della dignità umana, la libertà, l’uguaglianza, la democrazia e lo stato di diritto.
Queste pratiche si pongono in contrasto anche con la Carta dei diritti fondamentali dell’Unione europea (Carta di Nizza) che tutela:
Il diritto alla non discriminazione (art. 21) e all’uguaglianza (art. 20).
La protezione dei dati personali (art. 8) e la vita privata e familiare (art. 7).
I diritti del bambino (art. 24).
La libertà di espressione e informazione (art. 11).
La libertà di riunione e associazione (art. 12).
La libertà di pensiero, coscienza e religione (art. 10).
Il diritto a un ricorso effettivo e a un equo processo (art. 47).
La presunzione di innocenza e il diritto alla difesa (art. 48).
Il fondamento giuridico dell’AI Act è il Trattato sul funzionamento dell’Unione europea (TFUE), in particolare l’articolo 16 TFUE (base giuridica della protezione dei dati) che è la base giuridica per le norme sul trattamento dei dati personali in relazione al divieto dell’uso di sistemi di identificazione biometrica remota (RBI), di categorizzazione biometrica e delle valutazioni del rischio individuale per scopi di contrasto e l’art. 114 TFUE (base giuridica del mercato interno) che è la base di tutti gli altri divieti.
Il divieto per le pratiche di cui all’art. 5 riguarda l'immissione sul mercato, la messa in servizio o l'uso di specifici sistemi di intelligenza artificiale, tranne che per i sistemi di identificazione biometrica remota in tempo reale (RBI) per cui il divieto si applica solo al loro uso.
In base all'articolo 3(9) dell'AI Act, l'immissione sul mercato di un sistema AI è «la prima messa a disposizione di un sistema AI sul mercato dell’Unione», intendendosi con detto termine la distribuzione o l’utilizzo del sistema, sia gratuitamente che a pagamento, indipendentemente dal mezzo usato (vendita fisica, download).
L'articolo 3(11) dell'AI Act definisce la messa in servizio come «la fornitura di un sistema AI per il primo utilizzo all’utilizzatore o per un uso proprio» includendo sia la fornitura a terzi sia lo sviluppo o l’impiego interno. Rientra in questa definizione il sistema di scoring interno sviluppato da un ente pubblico per prevedere il rischio di frode nei benefici di assistenza sociale.
Il termine “uso” non è definito ma deve essere interpretato in modo ampio e comprende qualsiasi utilizzo del sistema AI nel suo ciclo di vita dopo essere stato immesso sul mercato o messo in servizio, inclusa l’integrazione del sistema nei servizi e nei processi di chi lo utilizza.
Il riferimento all’“uso” deve essere interpretato per includere qualsiasi utilizzo improprio di un sistema, prevedibile o meno, che possa costituire una pratica vietata. Ad esempio, il divieto previsto per un sistema AI utilizzato da un datore di lavoro per inferire le emozioni sul luogo di lavoro si applica all'utilizzatore anche se il fornitore ha escluso contrattualmente tale tipo di uso nei contratti con il datore di lavoro o nei termini di utilizzo.
Ruoli e responsabilità
La responsabilità di individuare le pratiche vietate grava sui Fornitori, che sono coloro che sviluppano o fanno sviluppare sistemi AI e li immettono sul mercato dell'Unione e gli Utilizzatori (Deployers) che li usano sotto la loro autorità, a meno che l’uso non sia per attività personali non professionali.
Il dipendente che agisce sotto il controllo di ente pubblico o privato non ha “autorità” sul sistema AI in quanto non può assumere alcuna decisione su come impiegarlo e utilizzarlo, pertanto non è considerato utilizzatore ai fini dell’AI Act.
Come sappiamo il Regolamento prevede sanzioni elevate, per cui l’individuazione dei ruoli, delle responsabilità e delle pratiche vietate deve essere fatta caso per caso e con estrema attenzione.
Proseguiremo quindi il nostro approfondimento delle Linee Guida per inquadrare le singole pratiche vietate e accendere, o spegnere, segnali di allarme a chi lavora con l’intelligenza artificiale.
Intanto ricordiamo che sono otto, sinteticamente le seguenti:
L'esempio dello scoring legato al rischio di frode mi fa sorgere un dubbio riguardo alle applicazioni in ambito assicurativo. Per come la interpreto non sono ammessi metodi di scoring x valutare la veridicita' dei sinistri o metodi di innalzamento premio in base al rischio di frode di un cliente? Tuttavia dai primi anni di febbre da ML (prima ancora dell'AI) le compagnie hanno già applicato queste strategie. Quindi cosa succedera' in futuro? La scappatoia sara' dire che il potere decisionale finale spettera' sempre a un essere umano?