Studio Legale Calandra

From the blog

Pubblicazioni

Intelligenza artificiale e impresa alla luce del cd. AI ACT

Lo scorso 21 aprile è stata approvata la proposta di regolamento della Commissione Europea circa l’armonizzazione della disciplina riguardante l’intelligenza artificiale in territorio unionale: l’AI Act.

I principi cardine di tale normativa sono la sicurezza, l’etica e il rispetto delle norme europee in tema di diritti fondamentali. Anche in questo caso, quindi, il principio di precauzione, fondamento alla base della maggior parte delle nuove norme di matrice europea, sembra essere stato rispettato.

La matrice economica dell’UE si fonde in questo caso con le esigenze di sicurezza dei cittadini europei e il legislatore si è trovato nella difficile posizione di dover regolamentare un settore in rapidissimo sviluppo e che richiede da una parte spazi sempre più ampi per poter crescere ma al contempo garanzie di tutela delle imprese e delle persone fisiche che con tale tecnologia vengono necessariamente in contatto. Sono già diversi, infatti, i problemi sorti in seguito alla disponibilità, tra il grande pubblico, degli strumenti di AI, che generano confusione e possono essere un humus prolifico per lo sviluppo di nuove condotte criminose.

La regolamentazione in oggetto si basa sostanzialmente su due criteri guida: il livello di rischio della tecnologia e il suo livello di impatto sugli utilizzatori, pertanto si va dal divieto di diffusione di determinati strumenti di AI particolarmente invasivi della sfera privata della persona (quali i sistemi di categorizzazione biometrica) al libero utilizzo, normato esclusivamente a livello delle informazioni da fornire all’utilizzatore circa l’impiego di tali mezzi (quali i deepfake).

Cosa cambierà quindi per chi opera nel settore dell’AI?

La parola chiave è: trasparenza. Tralasciando i sistemi dichiarati inutilizzabili e le eccezioni per le forze dell’ordine in determinati casi di gravità ed urgenza, anche i sistemi di AI ad alto rischio saranno considerati leciti se verrà effettuata un’adeguata procedura di valutazione e mitigazione del rischio, se verrà mantenuta un’accurata gestione dei registri d’uso e se verrà garantita la sorveglianza umana. Sarà inoltre necessario segnalare eventuali incidenti nell’utilizzo. Naturalmente a tutto questo si aggiungono obblighi di trasparenza e la possibilità per i cittadini dell’Unione di presentare reclami e ottenere spiegazioni riguardo alle decisioni che impattano sui loro diritti basate sui sistemi di AI. L’obbligo di trasparenza riguarda anche le fasi di addestramento dei sistemi di AI e comprende il rispetto delle norme europee sul diritto d’autore.

La precauzione contro il possibile verificarsi di incidenti, contro il crearsi di monopoli e per consentire la necessaria formazione preliminare sulla normativa di settore avverrà attraverso la creazione a livello nazionale di ambienti “sterili” in grado di fornire le condizioni di utilizzo reali del sistema di AI senza che eventuali danni possano avere effetti al di fuori di tali ambienti (i cd. sandbox) per favorire PMI e start-up nella creazione e nell’addestramento di sistemi di AI e verificarne il funzionamento prima dell’immissione sul mercato.

Viene anche previsto un sistema sanzionatorio volto a disincentivare la violazione della norma europea e di quella statale con essa armonizzata.

Appare quindi evidente che una normativa di tale portata andrà ad impattare anche sul diritto penale nazionale e certamente lo farà con riguardo alla responsabilità degli enti nelle materie già impattate dal D.Lgs. 231/2001, che certamente verrà modificato e implementato in quanto i soggetti che vengono coinvolti dall’AI Act sono i fornitori dei sistemi che li immettono nell’UE o i cui sistemi hanno un output sul territorio unionale; gli operatori con sede in UE o i cui sistemi hanno un output sul territorio unionale; gli altri componenti della catena di valore dell’IA, ossia importatori, distributori, fabbricanti e rappresentanti autorizzati.

Si può quindi immaginare dove interverranno le modifiche al Decreto 231 per le imprese interessate dal settore AI, sia in veste di operatore attivo sia di utilizzatore, e il doveroso successivo aggiornamento dei Modelli a seguito dell’attività di risk assessment.

Come accade ormai sempre più spesso, la normativa in materia di (più o meno) nuove tecnologie si fa sempre più specifica e richiede competenze al limite del tecnico, è quindi utile per gli Organismi di Vigilanza e per i legali esperti in materia 231 approfondire il tema dei sistemi AI e non avere timore a cercare consulenti preparati sulla materia.

Ricordiamo, sul punto, che il disegno di legge già approvato dalla Camera (“Disposizioni in materia di rafforzamento della cybersicurezza nazionale e di reati informatici”), in un campo strettamente connesso all’argomento AI, prevede già l’implementazione dei reati informatici presupposto alla responsabilità degli enti (modifiche all’art. 24 – bis d.lgs. 231/2001).

Avv. Salvatore Calandra

Avv.ta Elisa Traverso

Si riceve su appuntamento

Il nostro studio, posizionato sulla più bella via della Superba, è a Vostra completa disposizione tutti i giorni, ventiquattro ore su ventiquattro.Non esiti a contattarci.