L’8 dicembre u.s., i negoziatori del Consiglio e del Parlamento europeo hanno raggiunto un accordo provvisorio sul testo del regolamento sull’intelligenza artificiale, stabilendo il primato globale dell’Unione nella legislazione in materia (destinata ad entrare integralmente in vigore non prima di due anni dalla sua adozione, il che potrebbe comportare un’obsolescenza precoce di talune delle regole ivi previste). L’esigenza principale alla base del dialogo istituzionale durato diversi anni era nel trovare un contemperamento tra la tutela dei diritti dei singoli e l’incentivazione degli investimenti in un asset strategico non solo dal punto di vista economico.

L’approccio seguito è basato sul rischio: quanto più alto è il pericolo di interferenza sui diritti individuali, tanto più severe sono le norme.

Rispetto alla proposta iniziale della Commissione, il testo introduce norme sui modelli di AI general purpose suscettibili di generare futuri rischi sistemici, nonché sulle applicazioni di AI ad alto rischio (capaci cioè di incidere su diritti fondamentali quali la salute, il lavoro, la giustizia), anche attraverso la supervisione affidata a umani; l’imposizione agli operatori di un obbligo di realizzare una previa valutazione d’impatto massimizzando il ricorso a misure di risk management(in base al principio di precauzione già sperimentato in altri ambiti). Le aree escluse dalla normativa sono, tipicamente, quelle della sicurezza nazionale, in cui è preservata l’autonomia degli Stati membri, e dei sistemi utilizzati esclusivamente per scopi militari o di difesa, di ricerca e innovazione, nonché a titolo non professionale.

L’accordo prevede un livello orizzontale di protezione, per cui i modelli fondazionali di AI recanti un rischio limitato sono soggetti a oneri di trasparenza, come ad es. quello di avvisare che il contenuto è stato generato dall’AI ai fini di una sua utilizzazione informata, mentre quelli che comportano rischi più elevati (ad alto impatto, ossia quelli alimentati con una gran quantità di dati e maggiormente performanti) sono sottoposti a requisiti rigorosi. Alcuni usi sono vietati, in quanto intrusivi e discriminatori o perché costituiscono minaccia per gli individui: la manipolazione comportamentale cognitiva di persone o gruppi vulnerabili specifici (ad es. giocattoli attivati vocalmente che incoraggiano comportamenti pericolosi nei bambini); la classificazione sociale in base al comportamento, al livello socioeconomico, alle caratteristiche personali (il cd. social scoring); i sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico oppure “a posteriori” ove non autorizzati dal giudice, anche in funzione dell’esercizio della cd. polizia predittiva (che si avvale di strumenti di profilazione, determinazione dei luoghi frequentati dal soggetto oppure analisi di pregresse condotte criminali, di riconoscimento delle emozioni, o, infine, l’estrazione non mirata di dati biometrici da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale.

La mancata conformazione agli obblighi comporta l’irrogazione di sanzioni variabili da 7.5 milioni di euro (oppure l’1,5 del fatturato) a 35 milioni di euro (oppure il 7% del fatturato), in base alla gravità dell’infrazione e alla dimensione dell’impresa responsabile di detta violazione.

A breve l’adozione ufficiale di questo regolamento dalla portata epocale, ma l’attesa non è scevra di un certo scetticismo sulla concreta efficacia e attuabilità delle sue norme. L’alternativa possibile dell’utilizzazione di strumenti di soft law (ossia, ad es., di codici di autoregolamentazione) elaborati dagli stessi stakeholder avrebbe potuto produrre una marcata asimmetria tra operatori e utenti, anche nei loro mutui rapporti e a diversi livelli. Una combinazione dei due strumenti e un intervento meno ramificato delle giurisdizioni statali potrebbero soddisfare le esigenze di un impianto normativo stabile ma sufficientemente flessibile da accogliere le immaginabili evoluzioni tecnologiche del prossimo presente.