Il nuovo quadro regolamentare, gli impatti e i rischi
Premessa
Il 2023 sarà l'anno
del regolamento europeo sull'intelligenza
artificiale (noto come AI Act). Gli
ultimi emendamenti attesi per il mese di aprile modificheranno i
dettagli, ma la struttura complessiva della normativa applicabile
uniformemente in tutti i Paesi dell'UE è definita. In
caso di violazioni, le autorità preposte potranno comminare
sanzioni fino a 30mln di euro o 6% del fatturato mondiale annuo
(per le PMI, comprese le start-up, tali sanzioni arrivano al 3 %
del loro fatturato mondiale).
Oggetto
Tale normativa istituisce un quadro giuridico uniforme
volto a regolare lo sviluppo, la commercializzazione e l'uso
dei sistemi di intelligenza
artificiale 1 (IA) in
conformità con i valori e i diritti costituzionali
dell'UE.
A tal fine, l'AI Act stabilisce (art. 1): (i) regole armonizzate per l'immissione sul mercato, la messa in servizio e l'uso dei sistemi di IA; (ii) il divieto di determinate pratiche di intelligenza artificiale; (iii) requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi; (iv) regole di trasparenza armonizzate per i sistemi di IA destinati a interagire con le persone fisiche, i sistemi di riconoscimento delle emozioni, i sistemi di categorizzazione biometrica e i sistemi di IA utilizzati per generare o manipolare immagini o contenuti audio o video; (v) regole in materia di monitoraggio e vigilanza del mercato.
Le norme stabilite dall'AI Act si applicano ai fornitori di sistemi di IA indipendentemente dal fatto che siano stabiliti nell'Unione o in un paese terzo, agli utenti dei sistemi di IA stabiliti nell'Unione e ai fornitori e utenti dei sistemi di IA stabiliti in un paese terzo al di fuori dell'Unione, nella misura in cui i sistemi di IA interessano le persone situate nell'Unione.
L'AI Act non si applica ai sistemi di IA sviluppati o utilizzati esclusivamente per finalità militari.
Metodo
L'AI Act mira a regolare
l'intelligenza artificiale attraverso il
c.d. risk-based approach che distingue
più o meno elevati obblighi di conformità a seconda
del rischio (basso, medio o elevato)
che software e applicazioni intelligenti possono
causare a danno dei diritti fondamentali. Più alto è
il rischio e maggiori sono gli oneri
di compliance e le responsabilità degli
autori delle applicazioni intelligenti. Escludendo poi che
l'intelligenza artificiale possa essere impiegata per alcune
finalità individuate dalla stessa normativa considerate
contrarie ai valori dell'UE (ad es. il social
scoring).
La compliance dei sistemi di AI "ad alto
rischio"
Di particolare interesse è la parte del Regolamento
concernente i sistemi di IA considerati "ad alto
rischio", ovvero una serie di tecnologie checreino
rischi elevati per la salute, la sicurezza o i diritti fondamentali
delle persone. Tali sistemi sono soggetti a regole specifiche fra
le quali: l'obbligo di creare e mantenere attivo un sistema
di risk management; l'obbligo di assicurarsi che
i sistemi di IA vengano sviluppati seguendo specifici criteri
qualitativi per quanto riguarda i dati ed i modelli utilizzati; il
requisito di documentare in maniera adeguata come è avvenuto
lo sviluppo di un determinato sistema di IA ed il funzionamento
dello stesso (anche al fine di dimostrarne la conformità al
Regolamento); obblighi di trasparenza verso gli utenti sul
funzionamento dei sistemi di IA; l'obbligo di assicurarsi che i
sistemi di IA possano essere sottoposti a supervisione da parti di
persone fisiche ("human oversight"); e
l'obbligo di garantire l'attendibilità, accuratezza
e sicurezza di tali sistemi. In alcuni casi sarà il
produttore stesso dei sistemi di IA a valutare in maniera autonoma
la conformità, in altri casi sarà necessario
coinvolgere un organismo esterno di valutazione della
conformità.
Standard e certificazioni
Tale sistema di compliance sarà
facilitato dall'adozione di appositi standard di
riferimento (per categorie di sistemi di IA) da parte
degli enti di normazione quali ISO e CEN.
I sistemi di IA ad alto rischio che completino le procedure di valutazione della conformità saranno marcati CE. Alcuni sistemi dovranno inoltre essere inseriti in un apposito registro pubblico. Senza l'adempimento di tali procedure, i sistemi di IA non potranno essere immessi sul mercato.
A Europe Fit for the Digital Age e
Over-Regulation.
L'AI Act si inserisce nel contesto della
strategia "A Europe Fit for the Digital
Age" definita dalla Commissione Europea e della
copiosa produzione normativa diretta a regolare l'impatto della
nuova generazione di tecnologie. Ciò implicherà un
coordinamento – e per i soggetti impattati, una mappatura
– degli obblighi previsti, da un lato, dalle norme sulla
protezione, la valorizzazione e la sicurezza dei dati –
personali e non – (GDPR, Data Act, Data Governance Act, NIS,
etc.; dall'altro da quelle dirette a disciplinare il ruolo dei
fornitori di servizi (inclusi gatekeepers e
piattaforme) (Digital Markets Act, Digital Services Act, European
Digital Identity, etc.). L'AI Act sarà
inoltre complementato dalla direttiva sulla responsabilità
per i danni causati dall'intelligenza artificiale (IA), la cui
proposta è stata presentata dalla Commissione Europea alla
fine di settembre 2022.
Questa intersezione e per certi versi di sovrapposizione dell'AI Act con altre normative europee, imporrà un – non sempre agevole – coordinamento delle attività di compliance. .
IA e politiche ESG
L'ingresso delle nuove tecnologie nel funzionamento
delle realtà
imprenditoriali porta alla luce
nuove istanze
sociali, ambientali e
di governance destinate a permeare il
funzionamento delle società che ricorrono a strumenti di
intelligenza artificiale. L'adeguamento alle nuove regole
prefigurate dall'AI Act – unitamente
alla compliance alla disciplina della gestione
dei dati personali oggetto di elaborazione computazionale –
costituisce l'occasione per riconsiderare la potenziale
incidenza degli strumenti di intelligenza artificiale sui fattori
ambientali, sociali e di governance, verificando quindi, se e a
quali condizioni tali strumenti risultino funzionali a presidiare
la prospettiva del successo sostenibile.
In termini più generali, la penetrazione di strumenti automatizzati nelle logiche imprenditoriali introduce nuove voci di responsabilità sociale d'impresa e impone dunque l'individuazione di nuovi parametri di misurazione (e commisurazione) di obiettivi di successo sostenibile al mutato contesto tecnologico.
IA e impatto ambientale (E)
Tra i rischi ambientali, l'attenzione si è
sinora prevalentemente appuntata sull'impatto ambientale delle
tecnologie blockchain e
dei server di archiviazione dei dati;
l'avvento delle tecnologie c.d. green tech, ossia
di tecnologie volte alla gestione di informazioni e di progetti
sostenibili, comporta peraltro ulteriori rischi di
sostenibilità legati alla mala
gestio tecnologica. A questo riguardo è
significativo che l'ultima versione della proposta
di AI Act abbia inserito i sistemi di
rilevazione delle emissioni tra gli strumenti ad altro rischio.
Sotto altro versante, l'utilizzo di strumenti
di robo-advice nel campo degli
investimenti green e finanche di piattaforme di
emissione automatizzata di green bond, potrebbero
pregiudicare, anziché promuovere, il perseguimento di
obiettivi di sostenibilità in caso di distorsione
tecnologica delle informazioni non finanziarie e
dell'allocazione degli investimenti sostenibili.
IA e impatto sul piano sociale (S)
Rischi di sostenibilità tecnologica sono da
registrarsi anche sul versante sociale.
L'impiego di strumenti di sorveglianza dei dipendenti, di
sistemi automatizzati di HR nonché di modelli di
classificazione e profilazione dei consumatori sono suscettibili di
incidere sulle istanze di tutela dei diritti dei lavoratori e
degli stakeholders esterni alla società,
che costituiscono la spina dorsale della tassonomia
"sociale" in corso di elaborazione da parte della
Commissione europea. Sempre su questo piano si collocano i rischi
di discriminazione di genere, già registrati con riguardo ad
algoritmi elementari di piattaforme, ai quali viene imputato un
filtraggio discriminatorio sul piano del genere e
dell'età delle offerte di lavoro più qualificate.
A questo riguardo il Report pubblicato lo scorso anno
dall'Istituto europeo per l'uguaglianza di genere ha
sottolineato che "se non controllato, non responsabile e
non corretto, il design delle tecnologie di IA riprodurrà i
pregiudizi e le concezioni restrittive di genere, mentre il set di
dati distorti amplificherà le disuguaglianze di genere,
proiettando l'attuale divario nel futuro".
IA e impatto sulla governance (G)
Non meno significativo è il potenziale impatto
dell'uso di sistemi
robotizzati sulla corporate governance.
Al riguardo si è posta in risalto la possibilità che
errori nel design ovvero
nell'implementazione di strumenti automatizzati siano
suscettibili di irradiarsi lungo la catena societaria, fino a
compromettere i flussi comunicativi. Su un livello più
generale si è segnalato il rischio di "cattura
tecnologica" dell'organo amministrativo e l'esigenza
di coinvolgere il board – e in particolare
i consiglieri indipendenti – nella elaborazione di
una policy rigorosa dell'IA, che valga a
garantire non solo la compliance alle regole
(in prevalenza di fonte eurounitaria) in materia di dati e
intelligenza artificiale, ma, più in generale, la piena
aderenza delle modalità di ricorso a tali strumenti agli
obiettivi di sostenibilità perseguiti dalla società.
Una regolamentazione destinata ad iscriversi nel quadro della
più generale definizione della natura e del "livello di
rischio compatibile con gli obiettivi strategici della
società" e ispirata all'etica della
responsabilità e al principio di precauzione, i quali
vengono a rivestire un peculiare rilievo in un ambito, come quello
delle nuove tecnologie, nel quale i mezzi codeterminano e
riconfigurano i fini.
Un ricorso adeguatamente governato alle nuove tecnologie potrebbe essere inoltre utilmente sperimentato a) per agevolare la verifica del rispetto di adeguati parametri ESG tanto, a valle, da parte delle controllate del gruppo, quanto, a monte, lungo la catena dei fornitori (anche nella prospettiva prefigurata dalla proposta di direttiva sulla Corporate Sustainability Due Diligence) e b) per l'interlocuzione e per il coinvolgimento degli shareholders e degli stakeholders: le politiche di engagement potrebbero trovare un fattore abilitante nella tecnologia, in particolare per una più diretta e continuativa politica di dialogo e interlocuzione con comunità e soggetti di volta in volta coinvolti dalle politiche ESG, anche ai fini di una puntuale verifica degli effettivi risultati delle stesse.
IA e rischi tecnologici
La crescente importanza dei rischi tecnologici emerge
anche dalla recente proposta di revisione dei Principi di Corporate
Governance dell'OCSE, sottoposti nell'autunno 2022. Tra gli
aspetti più interessanti va sottolineato il passaggio dalla
più consolidata dimensione della Regtech –
"Le tecnologie digitali possono essere utilizzate per
migliorare la supervisione e l'applicazione dei requisiti di
corporate governance, ma richiedono anche che le autorità di
vigilanza e di regolamentazione prestino la dovuta attenzione alla
gestione dei rischi associati" (Principio I.F) – a
quella, ancora largamente sperimentale, della Corptech, che include
i rischi di sicurezza digitale tra i rischi rilevanti, che il
consiglio di amministrazione dovrebbe governare e mitigare
(Principi IV.A.8 e V).
I nuovi principi dell'OCSE pongono altresì in rilievo che "le pratiche di governance delle imprese sono spesso influenzate anche dalle leggi sui diritti umani e sull'ambiente, e sempre più dalle leggi relative alla sicurezza digitale e alla privacy dei dati, compresa la protezione dei dati personali", soggiungendo poi che "con la crescente diffusione dell'uso dell'IA e degli algoritmi, diventa sempre più necessario mantenere un elemento umano nel processo per evitare un'eccessiva dipendenza dalle tecnologie digitali e per difendersi dai rischi di incorporare pregiudizi umani nei modelli algoritmici. Questo è fondamentale per gestire correttamente i rischi derivanti dall'uso delle tecnologie digitali e per creare fiducia in questi processi". E in questa prospettiva si sottolinea, più specificamente, che "l'incapacità di spiegare adeguatamente i risultati di un processo di apprendimento automatico può ostacolare la responsabilità e ridurre la fiducia nei processi normativi più in generale", per rilevare conclusivamente che "la collaborazione tra gli scienziati dei dati e il business potrebbe mitigare questo rischio" (Principio I.C).
IA e Corporate Digital Responsibility
Nel nuovo scenario che viene a delinearsi alla luce
della convergenza dell'IA Act e dei richiamati
principi prefigurati a livello internazionale ed eurounitario le
imprese sono chiamate ad affrontare la sfida della digitalizzazione
e della Corporate Digital Responsibility e che
si presenta come una delle nuove e più promettenti frontiere
della sostenibilità. Quanto più profonda è la
penetrazione dell'intelligenza artificiale negli assetti
dell'impresa, tanto più la sostenibilità
della governance societaria dipenderà
dalla governance delle tecnologie impiegate.
IA quale Asset strategico per il controllo degli
investimenti esteri e il c.d. Golden Power
La IA è definita quale tecnologia
critica dal regolamento EU 2019/452 all'art. 4, N. 1
lett. B) in materia di Foreign Direct Investments. Coerentemente,
il DPCM 179/2020 la inserisce nel contesto dei "beni e
rapporti di rilevanza strategica per l'interesse
nazionale" ai fini dell'applicazione della
normativa Golden Power, con rilevante impatto per le operazioni di
acquisizione, costituzione di Newco con partecipazioni
extra-EU, joint ventures e licenze tecnologiche
e correlato obbligo di screening da parte del Governo e di notifica
per i soggetti interessati (art. 9).
Footnote
1. Per "sistema di intelligenza artificiale" si intende: "un sistema progettato per funzionare con elementi di autonomia e che, sulla base di dati e input forniti da macchine e/o dall'uomo, deduce come raggiungere una determinata serie di obiettivi avvalendosi di approcci di apprendimento automatico e/o basati sulla logica e sulla conoscenza, e produce output generati dal sistema quali contenuti (sistemi di IA generativi), previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui il sistema di IA interagisce"(art. 3, AI Act).
Originally published 24 March 2023.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.