La recente adozione dell’AI Act segna una nuova era di regolamentazione per l’intelligenza artificiale. Anche se per alcuni questo potrebbe sembrare un territorio inesplorato, gli operatori economici con una solida cultura della sicurezza dei prodotti e della compliance hanno un netto vantaggio. Sebbene l’Ai Act aggiunga indubbiamente nuove complessità, date le sfide uniche che l’intelligenza artificiale presenta, la filosofia normativa e l’approccio al mercato rimangono saldamente radicati ai principi già indicati dal Legislatore europeo in materia di sicurezza dei prodotti e da ultimo recepiti nel Regolamento sulla sicurezza generale dei prodotti (“Gpsr”).[1]

L’Ai Act è un regolamento europeo di cui si attende soltanto la formale approvazione che istituisce la prima disciplina al mondo dei sistemi di intelligenza artificiale.[2] Questo atto mira a garantire lo sviluppo e l’uso responsabile dei sistemi di intelligenza artificiale, stabilendo regole chiare per gli sviluppatori e gli utenti.

Il Gpsr è un regolamento volto a modernizzare il quadro normativo europeo in materia di sicurezza dei prodotti, affrontando le nuove sfide poste al mercato unico europeo dalla digitalizzazione delle economie. Entrando in vigore il 13 dicembre 2024 e sostituendo alcune normative comunitarie preesistenti, come la Direttiva sulla sicurezza generale dei prodotti e la Direttiva sui prodotti che imitano gli alimenti, questo regolamento definisce il quadro normativo in materia di sicurezza applicabile a tutti i prodotti non alimentari che non sono regolati da normative europee specifiche.

L’Ai Act e il Gpsr, nella loro essenza, condividono un obiettivo generale di sicurezza, essendo allineati nel garantire un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali delle persone. Ma questa non è l’unica somiglianza tra i due atti legislativi. I due regolamenti sono infatti il prodotto della stessa filosofia normativa, che si traduce in approcci di policy-making complementari. Ciò è confermato dal Considerando 9 dell’AiAct, il quale afferma che quest’ultimo “dovrebbe applicarsi a tutti i settori e, in linea con l’approccio del Nuovo Quadro Legislativo, dovrebbe lasciare impregiudicato il diritto dell’Unione vigente, in particolare in materia di […] sicurezza dei prodotti, al quale il presente regolamento è complementare”.

Ai Act, un focus sul rischio

L’Ai Act e il GPSR adottano entrambi un approccio basato sulla valutazione e il controllo del rischio, prevendo requisiti più rigorosi tanto per i sistemi di intelligenza artificiale quanto per i prodotti che presentano i rischi più elevati. Secondo il Gpsr, gli operatori economici sono tenuti a condurre un’analisi approfondita del rischio – prima di immettere un prodotto sul mercato ma anche durante il suo ciclo di vita – per identificare potenziali pericoli, considerando fattori quali la progettazione, la composizione e l’uso prevedibile.[3] Allo stesso modo, l’Ai Act obbliga i fornitori a eseguire una valutazione completa dei rischi posti dai loro sistemi di intelligenza artificiale, compresi potenziali pregiudizi, imprecisioni o impatti negativi sugli individui o sulla società.[4]

Inoltre, entrambe le normative richiedono agli operatori economici di adottare misure correttive appropriate per ridurre a un livello accettabile i rischi identificati. Infatti, l’art. 9(8) del Gpsr e l’art. 20 dell’Ai Act seguono lo stesso approccio – tanto che in alcune sezioni la formulazione è identica: ogni volta che viene rilevata una non conformità, il produttore/fornitore ha il dovere di intraprendere immediatamente le azioni correttive necessarie per rendere il prodotto/sistema di intelligenza artificiale conforme, per ritirarlo, disabilitarlo o richiamarlo, a seconda dei casi. In questo scenario, entrambi gli atti legislativi prevedono l’obbligo di informare l’autorità di vigilanza del mercato competente e gli altri operatori economici interessati delle misure adottate. Queste misure possono comportare la modifica del design del prodotto, l’incorporazione di caratteristiche di sicurezza o l’implementazione di misure di salvaguardia per mitigare i potenziali danni causati dai prodotti o dai sistemi di intelligenza artificiale.

Inoltre, entrambi i regolamenti prevedono come requisito fondamentale la conservazione di documentazione tecnica regolarmente aggiornata. Il Gpsr obbliga i produttori a conservare la documentazione tecnica che dimostra la conformità dei prodotti, comprese le valutazioni dei rischi.[5] Allo stesso modo, l’Ai Act richiede una documentazione esaustiva, che copra non solo lo sviluppo e il funzionamento dei sistemi di intelligenza artificiale, ma anche i loro potenziali rischi e le loro prestazioni.[6]

Trasparenza e comunicazione

Un’altra area chiave di allineamento riguarda gli obblighi di trasparenza, accountability e di comunicazione tra operatori economici e altri soggetti.

In primo luogo, sia il Gpsr che l’Ai Act indicano la trasparenza quale principio fondamentale. Ai sensi del Gpsr, gli operatori economici sono tenuti a fornire ai consumatori informazioni chiare e comprensibili sui rischi associati ai loro prodotti.[7] Ciò include istruzioni per un uso sicuro, avvertenze sui potenziali pericoli e tutte le precauzioni necessarie. Analogamente, l’AI Act impone la trasparenza sulle capacità, i limiti e i rischi potenziali dei sistemi di intelligenza artificiale: i soggetti che forniscono sistemi di intelligenza artificiale devono registrare loro stessi e i relativi sistemi di intelligenza artificiale in una specifica banca dati dell’Ue e in alcuni casi, ad esempio per le Gpai,[8] e i deepfake,[9] gli esseri umani devono essere informati del fatto che stanno interagendo con una macchina, in modo da poter decidere con cognizione di causa se continuare o interromperne l’utilizzo.[10] Ciò è in linea con l’obiettivo del Gpsr di fornire ai consumatori le conoscenze necessarie per valutare la sicurezza dei prodotti.

Inoltre, sia il Gpsr sia l’Ai Act si basano sull’assunto che una costante comunicazione tra gli operatori economici e le altre parti interessate sia una caratteristica essenziale di un’azione normativa efficace. Infatti, sia nella sicurezza dei prodotti sia nella governance dell’intelligenza artificiale, il legislatore Ue ha ritenuto che la comunicazione favorisca una comprensione condivisa dei rischi, promuova una cultura di continuo miglioramento e, in ultima analisi, sia una condizione essenziale per raggiungere l’obiettivo di un mercato unico più sicuro. Più nel dettaglio, in base al Gpsr, i canali di comunicazione – come il sistema Safety Gate composto dal Rapid Alert System, dal Portal e dal Business Gateway, precedentemente noto come Rapex – verranno potenziati per consentire notifiche più rapide e un migliore coordinamento delle azioni correttive.[11] Allo stesso modo, l’AI Act incoraggia il dialogo tra fornitori, utenti e autorità di sorveglianza del mercato per affrontare le sfide emergenti e garantire uno sviluppo e una diffusione responsabili dei sistemi di intelligenza artificiale.[12]

In conclusione, anche se il Gpsr e l’Ai Act affrontano aspetti diversi della sicurezza dei prodotti e della regolamentazione tecnologica, hanno più punti in comune di quanto sembri. Infatti, se è vero che l’Ai Act rappresenta uno sviluppo normativo complesso, è anche vero che gli operatori economici con una forte cultura della sicurezza dei prodotti potranno più agevolmente superare le sfide che la nuova normativa introdotta dall’Ai Act porrà.

Sugli autori

Christian Di Mauro e Guido Di Stefano, partner di Hogan Lovells 

 

Note
[1]               Regolamento del Parlamento europeo e del Consiglio, del 10 maggio 2023, relativo alla sicurezza generale dei prodotti, che modifica il regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio e la direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio e che abroga la direttiva 2001/95/CE del Parlamento europeo e del Consiglio e la direttiva 87/357/CEE del Consiglio.
[2]               L’ultima versione dell’AI Act disponibile al momento della stesura del presente scritto – come approvata dal Parlamento Europeo – è reperibile al seguente link.
[3]               Si vedano gli art. 9(2) e (4) e art. 6(1) GPSR.
[4]               Si veda l’art. 9(1) e (8) dell’AI Act sull’obbligo, inter alia, di istituire e mantenere un sistema di gestione del rischio in relazione ai sistemi di AI ad alto rischio, che comprenda test approfonditi prima che il sistema di AI sia immesso sul mercato. Per i sistemi di AI ad alto rischio, devono essere adottate misure adeguate per individuare, prevenire e ridurre eventuali distorsioni e imprecisioni nell’insieme dei dati – in conformità con gli obblighi di gestione dei dati di cui all’articolo 10 dell’AI Act.
[5]               Cfr. Considerando 33 e art. 9(2) GPSR.
[6]               Si veda l’art. 11(1) AI Act.
[7]               Si veda l’art. 9(7) GPSR.
[8]               GPAI – General-purpose artificial intelligence – o “modelli di intelligenza artificiale per finalità generali” come definiti dall’art. 3(6) AI Act.
[9]               Si veda l’art. 50(4) dell’AI Act.
[10]             Ai sensi del Considerando 72 dell’AI Act, “La trasparenza, comprese le istruzioni per l’uso che la accompagnano, dovrebbe aiutare i deployer a utilizzare il sistema e a prendere decisioni informate.” Per quanto riguarda la banca dati dell’UE per i fornitori e i loro sistemi di AI, si vedano gli articoli 49 e 71 dell’AI Act.
[11]             Si veda la Considerando 68 del GPSR.
[12]             Si veda il Considerando 142 dell’AI Act, secondo cui “Per garantire che l’IA porti a risultati vantaggiosi sul piano sociale e ambientale, gli Stati membri sono incoraggiati a sostenere e promuovere la ricerca e lo sviluppo di soluzioni di IA a sostegno di risultati vantaggiosi dal punto di vista sociale e ambientale, come le soluzioni basate sull’IA per aumentare l’accessibilità per le persone con disabilità, affrontare le disuguaglianze socioeconomiche o conseguire obiettivi in materia di ambiente, assegnando risorse sufficienti [per] progetti che perseguono tali obiettivi. Tali progetti dovrebbero basarsi sul principio della cooperazione interdisciplinare tra sviluppatori dell’IA, esperti in materia di disuguaglianza e non discriminazione, accessibilità e diritti ambientali, digitali e dei consumatori, nonché personalità accademiche.”

Lascia un commento

Related Post