Post di Andrea Mantovani e Federica Mammì Borruto, avvocati, Cleary Gottlieb Steen & Hamilton LLP –

Dopo tre anni di dibattiti legislativi, lo scorso 21 maggio il Consiglio UE ha approvato il cd. Artificial Intelligence Act (“AI Act”), la prima normativa volta a disciplinare in maniera onnicomprensiva i sistemi di intelligenza artificiale (“IA”).

La rilevanza dell’AI Act è maggiore di quanto potrebbe immaginarsi perché gli ambiti di applicazione dell’intelligenza artificiale sono sempre più estesi. Oltre ai classici esempi relativi alla farmaceutica, alla medicina predittiva e alle smart city, l’utilizzo dell’IA ha un impatto trasversale nei settori più vari. Ad esempio, nel caso dei chatbot che agiscono come operatori di call center, nei servizi di logistica, che possono essere prestati tramite macchine intelligenti, e nelle operazioni di M&A (fusione e acquisizione, ndr), in cui l’intelligenza artificiale può essere impiegata per automatizzare la due diligence. Senza dimenticare che l’IA è sempre più utilmente applicata alle attività di profilazione degli utenti, per prevederne interessi e propensione all’acquisto e così delineare strategie di marketing (e orientare la produzione) delle aziende in modo più efficiente.

Gli obblighi previsti e i gradi di rischio

Con l’AI Act, diventa cruciale per le aziende che intendano investire nell’utilizzo di un sistema di IA conoscere gli obblighi normativi da rispettare. Infatti, l’AI Act prevede obblighi (presidiati da ingenti sanzioni) anche per gli utilizzatori (“deployer”) dei sistemi di intelligenza artificiale, ossia per chi (persona fisica o giuridica) impieghi questi sistemi per finalità che non siano meramente personali.

Gli obblighi degli utilizzatori si aggiungono a quelli imposti ad altri soggetti (provider, rappresentanti autorizzati, importatori e distributori) coinvolti a vario titolo nel mettere sul mercato un sistema di IA. Tutti questi obblighi, peraltro, coesistono (e si intersecano) con quelli previsti dalla normativa in materia di data protection, dal momento che l’AI Act fa salva l’applicazione del GDPR.

L’AI Act disciplina diversamente gli obblighi in discorso in funzione del diverso grado di rischio che pongono i sistemi di IA.

Intelligenza artificiale, aziende e misure necessarie

Ad esempio, un’azienda che decida di adottare un sistema di intelligenza artificiale catalogato ad alto rischio dall’AI Act (tra cui, sistemi adoperati nell’attività di ricerca del personale o recruiting, di identificazione biometrica remota o utilizzati per valutare l’affidabilità creditizia) sarà soggetta a una serie di obblighi pervasivi, elencati nell’art. 26 dell’AI Act. Fra l’altro, gli utilizzatori devono adottare appropriate misure tecniche e organizzative per garantire di utilizzare i sistemi di IA nel rispetto delle istruzioni fornite dal provider, provvedere al controllo umano tramite personale con opportune competenze nonché, ove abbiano il controllo sui dati di input del sistema di IA, assicurare che tali dati siano pertinenti e sufficientemente rappresentativi rispetto alla finalità del sistema.

(noah9000 – stock.adobe.com)

Qualora, invece, un’azienda valuti di investire in un sistema di IA a rischio limitato, gli oneri saranno più ridotti, ma l’azienda sarà comunque soggetta a doveri informativi nei confronti delle persone fisiche con cui il sistema interagisce. Ad esempio, gli utilizzatori di sistemi di riconoscimento delle emozioni, di categorizzazione biometrica o creatori di deep fake devono fornire informazioni sul funzionamento di tali sistemi nonché sul fatto che i contenuti mostrati sono stati artificialmente creati o manipolati.

Queste informazioni si aggiungono a quelle che gli utilizzatori devono fornire agli interessati ai sensi del GDPR.

Intelligenza artificiale e diritti fondamentali degli individui

Inoltre, alcuni utilizzatori, fra cui quelli dei sistemi di IA ad alto rischio elencati nei punti 5(b) e (c) dell’Allegato III all’AI Act (sistemi impiegati per finalità di credit score – con l’eccezione di quelli volti a identificare frodi finanziarie – e valutazione del rischio nel settore delle assicurazioni sanitarie e sulla vita), devono provvedere a un assessment dell’impatto che tali sistemi possono avere sui diritti fondamentali degli individui (cd. FRIA).

Nel contesto della FRIA, gli utilizzatori devono, fra l’altro, descrivere i processi in cui il sistema di IA sarà impiegato e la sua finalità, indicare il periodo di tempo e la frequenza con cui il sistema sarà utilizzato, le categorie di individui e gruppi impattati da tale utilizzo, eventuali specifici rischi, i sistemi di controllo umano attivati nonché le misure da adottare qualora i rischi identificati si concretizzino.

In proposito, l’AI Act richiama il GDPR, chiarendo che se alcuni di questi obblighi sono già adempiuti dagli utilizzatori con la valutazione di impatto di cui all’art. 35 GDPR (cd. DPIA), la FRIA integra tale DPIA. Dunque, ragionevolmente gli utilizzatori possono riferirsi alla DPIA per quanto già in essa illustrato e analizzato. Parallelamente, gli utilizzatori potranno utilizzare le informazioni fornite dai provider (es., le istruzioni per decifrare gli output e, in generale, sul funzionamento del sistema di IA) per effettuare la DPIA.

Gli obblighi di notifica dal 2026, meglio attrezzarsi subito

Da tale contesto emerge che sarà necessaria anche una cooperazione tra gli utilizzatori dei sistemi di intelligenza artificiale e gli altri soggetti coinvolti (in primis, i provider). Ad esempio, gli utilizzatori devono monitorare il funzionamento del sistema di IA sulla base delle istruzioni fornite dai provider e, laddove ritengano che tale sistema possa presentare un rischio per la salute, la sicurezza o i diritti fondamentali delle persone, devono informare senza ritardo il provider (o il distributore) e l’autorità di controllo. Simili obblighi di notifica sono previsti anche in caso di incidenti gravi. I contratti tra utilizzatori e provider / importatori / distributori potranno definire i tempi di notifica di eventuali rischi o incidenti e le informazioni da fornire a corredo; ciò anche per agevolare la successiva notifica all’autorità di controllo.

La maggior parte degli obblighi che l’AI Act impone agli utilizzatori dei sistemi di IA sarà applicabile a partire dal 2026. È tuttavia importante che le aziende inizino già da ora ad attrezzarsi per aggiornare i loro processi interni così da poter far fronte a tali doveri.