AI ACT prime riflessioni sugli effetti per gli enti locali

All’indomani dell’approvazione quasi unanime (523 voti a favore, 46 contrari e 49 astenuti) del 13 marzo scorso del Regolamento europeo denominato “AI ACT”(1), fonte direttamente applicabile agli Stati membri e quindi anche in Italia, proponiamo una prima lettura e analisi del provvedimento che è destinato a soggetti sia pubblici che privati, che forniscono o utilizzano strumenti di intelligenza artificiale nell'ambito del mercato europeo e “laddove l’output prodotto dal sistema di IA sia utilizzato in Europa” (art. 2).

Si tratta del primo provvedimento al mondo a definire e regolamentare il «"sistema di IA": un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall'input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali» (art. 3 n. 1). 

Già da questa definizione si percepisce l’importanza di questo intervento normativo europeo che si è posto l’ambizioso compito di disciplinare una materia in continuo divenire che sta travolgendo rapidamente la collettività e che implica il bilanciamento tra molteplici interessi di rango elevato, costituzionale per il nostro diritto interno, tra la prospettiva di cambiamento, progresso tecnologico e crescita sociale e il rispetto di diritti inviolabili della persona.

Il Regolamento che stabilisce le regole armonizzate sull'intelligenza artificiale, previa verifica della qualità e conformità delle diverse versioni linguistiche, entrerà in vigore dopo 20 giorni dalla sua pubblicazione nella Gazzetta ufficiale dell’Unione europea, ma ne è previsto un rispetto graduale: entro 6 mesi dovranno essere eliminati i sistemi vietati; entro 12 troveranno applicazione le norme generali alle aziende e alle PA; entro 24 mesi diverrà pienamente applicabile, comprese le norme per i sistemi ad alto rischio ma la scadenza ultima di entrata a regime degli obblighi è entro 36 mesi  (art. 113).

Esso non si applica in alcune ipotesi: per scopi militari, di difesa o di sicurezza nazionale, ma anche per scopi di ricerca e sviluppo scientifico, o per sistemi di IA rilasciati con licenze free e open source (salva la verifica di rischio), e per scopi puramente personali da parte di persone fisiche.

La tutela è legata a quattro macrocategorie di livello di rischio: sistemi di IA a rischio minimo, limitato, alto e inaccettabile. Ovviamente più il rischio è elevato e più implica divieti o maggiori responsabilità e limiti per sviluppatori e utilizzatori. 

Sono vietati i sistemi di IA che comportano un rischio inaccettabile, come ad esempio quelli di manipolazione comportamentale in particolare di soggetti vulnerabili o di riconoscimento biometrico facciale (trattandosi di dati particolari), o i sistemi di punteggio sociale o social scoring, i sistemi di “categorizzazione biometrica” e quelli capaci di riconoscere “le emozioni di una persona nell’ambito del luogo di lavoro” e a scuola (salvo che per motivi medici o di sicurezza) o ancora quelli di “polizia predittiva” per calcolare le probabilità di reato di una persona e altri (art. 5). Si consente l’identificazione “in tempo reale” solo in presenza di alcune garanzie quali un uso limitato nel tempo e nello spazio e un'autorizzazione giudiziaria o amministrativa, per esempio per azioni di contrasto ad alcuni reati individuati nell'Allegato II, per motivi di ricerca di una persona scomparsa e per prevenire minacce alla vita e all'incolumità pubblica. I sistemi di riconoscimento “a posteriori” sono ritenuti ad alto rischio.

I sistemi ad alto rischio presuppongono una valutazione di impatto sui diritti fondamentali e una verifica di conformità ai requisiti indicati nell’AI ACT e che non presentino un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche (artt. 6 e ss. e all. III). I sistemi di Intelligenza Artificiale a rischio limitato o minimo, come quelli che generano o manipolano immagini, audio o video (es. deepfake) sono consentiti ma dovrebbero rispettare obiettivi di trasparenza per permettere agli utenti decisioni informate.

E' prevista l'adozione di sanzioni da parte degli Stati membri, al più tardi entro la data di entrata in applicazione del Regolamento, graduate a seconda della gravità delle violazioni in percentuale al fatturato mondiale totale sulla base dell'anno precedente.

Ne consegue che la Pubblica amministrazione alla luce dell’entrata in vigore dell’AI ACT dovrà adottare ancor più la massima trasparenza con un’informativa chiara e adeguata all’utenza, e compiere una valutazione di impatto sui diritti fondamentali per sistemi di AI ad alto rischio nel settore pubblico.

Potrebbero risultare da vietare o da verificare, secondo l'AI ACT, ad esempio i progetti su “telecamere intelligenti” o i “sistemi di riconoscimento facciale” nelle città per l'uso dei dati particolari acquisiti.

Buone pratiche di uso dell’IA per la pubblica Amministrazione invece devono mirare a:

1. creare consapevolezza nella collettività di questa risorsa e informativa adeguata;
2. formare competenze anche per un uso sicuro di tali sistemi; 
3. adottare l’intelligenza artificiale a supporto del lavoro in modo trasparente;
4. fare attenzione alla qualità dei dati;
5. curare la sostenibilità dei processi di trasformazione digitale;
6. verificare il livello di rischio e la conformità ai requisiti richiesti dalla nuova norma europea.

Un corretto uso di sistemi di IA può portare grandi benefici sociali per:

• fornire assistenza ai cittadini riducendo tempi di attesa e risposta, servizi on line h 24;
• fare formazione ed educazione dei cittadini alla cosa pubblica su temi fondamentali come la salute pubblica, l’ambiente, la sicurezza stradale e altro;
• favorire la partecipazione pubblica allo sviluppo ed iniziative locali;
• fornire supporto multilingue ai cittadini di ogni nazionalità di provenienza;
• velocizzare l’elaborazione dei dati;
• automatizzare le azioni ripetitive;
• migliorare i processi di comunicazione interna all’ente con inevitabili riflessi positivi verso i cittadini.

Tutte queste sfide saranno mediate dal rispetto dei diritti fondamentali posti al centro del Regolamento europeo.

Articolo dell’ Avv. Simonetta Cipriani

(1) Fonte: https://www.europarl.europa.eu/

--> Per approfondire alcuni aspetti si rinvia a:

• l'articolo L’Intelligenza Artificiale: risorsa cruciale per la P.A. e gli enti locali dell'Avv. Simonetta Cipriani;
• l'articolo Al G7 a Trento l’Italia propone lo sviluppo di un Toolkit per l’intelligenza artificiale nel settore pubblico dell'Avv. Simonetta Cipriani;
• il quesito Rilevazione biometrica delle presenze dei dipendenti;
• accedi alla sezione riservata e scarica il materiale o visualizza la registrazione del webinar Il Piano triennale per l'Informatica PA 2024-2026 a cura del Dott. Pietro Salomone