Roma | Milano

COMMENTI E SENTENZE | ARTICOLI | PUBBLICAZIONI
Articoli e news

AI Act: prospettive e implicazioni nel diritto amministrativo

Analisi del Regolamento UE e dei risvolti per il diritto amministrativo

AI Act: prospettive e implicazioni nel diritto amministrativo

AI Act

(Immagine realizzata con l’ausilio dell’IA)

Il 21 maggio 2024, il Consiglio dell’Unione Europea ha approvato la prima normativa al mondo a carattere trasversale in materia di intelligenza artificiale, il c.d. Artificial Intelligence Act (di seguito “Regolamento”), ovvero un regolamento che stabilisce norme uniformi per l’implementazione dell’intelligenza artificiale (di seguito anche solo “IA”) nel mercato europeo.

A partire dalla fine del 2022, l’intelligenza artificiale ha trasformato tutti i settori della nostra Società; in risposta a tale innovazione, le Istituzioni Europee hanno predisposto una disciplina che affrontasse contemporaneamente il rischio connesso all’immissione sul mercato di tale tecnologia, alla messa in servizio e all’uso dei sistemi di IA.

L’obiettivo del regolamento è quello di garantire attraverso l’IA un migliore funzionamento del mercato interno, nonché di promuovere la diffusione di un’intelligenza artificiale antropocentrica, ovvero rispettosa dei diritti umani, affidabile (sicura) ed etica, in modo tale da assicurare al contempo la protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’UE.

Il Regolamento è stato approvato all’unanimità dal Consiglio dell’Unione Europea il 21 maggio 2024 ed entrerà in vigore 20 giorni dopo la pubblicazione in Gazzetta Ufficiale Europea, non ancora avvenuta.

Per consentire alle aziende di adeguarsi, il Regolamento si applicherà a partire da due anni dopo la sua entrata in vigore, con alcune eccezioni:

  • le disposizioni generali e i divieti previsti agli artt. 5 e ss. si applicheranno a decorrere da 6 mesi dopo l’entrata in vigore;
  • le disposizioni sulla governance, sui modelli di IA per finalità generali, sulle sanzioni (ad eccezione di quelle per i modelli di IA per finalità generali a “rischio sistemico”) e sulla riservatezza, si applicheranno a partire da 12 mesi dopo l’entrata in vigore;
  • le disposizioni sulla classificazione dei sistemi ad alto rischio e i relativi obblighi a decorrere da 36 mesi dall’entrata in vigore.

Gli obblighi imposti dal Regolamento valgono sia per fornitori, sia per le persone fisiche o giuridiche che utilizzano e distribuiscono sistemi di IA sotto la propria responsabilità.

 

Il sistema dei rischi

Il sistema di regolamentazione dell’IA segue un approccio basato sul rischio, prevedendo obblighi differenziati in funzione della tipologia di pericolo che ciascuna categoria di sistemi può rappresentare per i diritti e le libertà degli individui.

In particolare, il Regolamento individua tre tipologie di rischio, ovvero:

  • Rischio inaccettabile;
  • Alto rischio;
  • Non ad alto rischio;
  • Rischio relativo ai sistemi di IA generativa.

 

Rischio inaccettabile

L’art. 5 del Regolamento definisce i sistemi di IA che hanno un rischio inaccettabile come quei sistemi che rappresentano una seria minaccia per i diritti fondamentali dei cittadini e ne vieta l’utilizzo.

In particolare, il Regolamento vieta le seguenti pratiche di intelligenza artificiale:

  1. i sistemi progettati per manipolare il comportamento e la cognizione degli utenti, pregiudicando in modo considerevole la loro capacità di prendere una decisione informata, inducendole pertanto a prendere una decisione che non avrebbero altrimenti preso;
  2. sistemi che sfruttano la vulnerabilità di una persona fisica o di uno specifico gruppo di persone, dovute all’età, alla disabilità o ad una specifica situazione sociale o economica, per distorcerne il comportamento (ad esempio, giocattoli con assistenti vocali che possono incitare i bambini a comportamenti pericolosi);
  3. sistemi per la valutazione o la classificazione delle persone a cui consegua un trattamento pregiudizievole o sfavorevole: i) in contesti sociali diversi da quelli in cui sono stati raccolti i dati; oppure, ii) ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità;
  4. sistemi per la previsione del rischio che una persona commetta un reato, unicamente in base alla profilazione della persona fisica o alla valutazione dei tratti e delle caratteristiche della personalità;
  5. sistemi che creano o ampliano banche dati di riconoscimento facciale non mirato di immagini facciali prese da internet o da filmati di telecamere a circuito chiuso;
  6. sistemi che interferiscano con le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione, eccezion fatta quando i sistemi vengano utilizzati per motivi medici o di sicurezza;
  7. sistemi di categorizzazione biometrica che classificano le persone in base a dati sensibili come l’orientamento sessuale o le credenze religiose;
  8. sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico ai fini di attività di contrasto, salvo che perseguano i seguenti obiettivi: i) la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale, nonché la ricerca di persone scomparse; ii) la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone, nonché di un attacco terroristico; iii) la localizzazione o l’identificazione di una persona sospettata di aver commesso un reato punibile nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà della durata massima di almeno quattro anni.

Con riguardo all’identificazione biometrica “in tempo reale”, tali sistemi possono essere utilizzati eccezionalmente in situazioni gravi, previa autorizzazione dell’autorità giudiziaria o di un’autorità amministrativa indipendente.

Laddove l’urgenza sia tale da non consentire di attendere l’autorizzazione, è possibile iniziare ad utilizzare il sistema senza il titolo autorizzativo, purché la richiesta sia presentata all’autorità competente entro 24 ore dall’inizio dell’utilizzo.

 

Alto rischio

I sistemi classificati come ad alto rischio sono quei sistemi che potrebbero arrecare danni significativi alla salute, alla sicurezza, ai diritti fondamentali, all’ambiente, alla democrazia e allo Stato di diritto (art. 6 del Regolamento); perciò, devono rispettare requisiti rigorosi prima di essere messi in commercio o utilizzati all’interno dell’UE.

Questi sistemi comprendono una vasta gamma di applicazioni, come quelle utilizzate in infrastrutture critiche, dispositivi medici, nonché sistemi per l’identificazione biometrica, la categorizzazione e il riconoscimento delle emozioni.

Considerato il potenziale pericolo associato a tali tecnologie, gli obblighi imposti includono l’implementazione di sistemi di gestione del rischio, il rispetto di standard elevati per la qualità dei set di dati utilizzati, la redazione di documentazione tecnica, la conservazione delle registrazioni, la trasparenza e la fornitura di informazioni agli utenti.

Inoltre, viene richiesto il mantenimento di adeguati livelli di accuratezza, robustezza e sicurezza informatica.

L’AI Act prevede anche che gli operatori di sistemi di IA ad alto rischio effettuino una valutazione dell’impatto sui diritti fondamentali prima di introdurre tali sistemi sul mercato.

 

Non ad alto rischio

Il Regolamento sull’IA impone anche specifici obblighi per i sistemi di intelligenza artificiale non ad alto rischio, che costituiscono la maggior parte dei sistemi di IA, chiarendo che la produzione e l’utilizzo di sistemi di IA che presentano solo un rischio limitato per i diritti e le libertà delle persone saranno soggetti a requisiti di trasparenza meno stringenti (punto 2.3 Relazione della Commissione Europea alla Proposta di Regolamento).

 

Rischio relativo ai sistemi di IA generativa

Il Regolamento prevede una disciplina più stringente per i sistemi di IA utilizzati per finalità generali (c.d. IA generativa), ovvero quei modelli che, anche tramite l’allenamento su una vasta quantità di dati, sono in grado di svolgere con competenza un’ampia gamma di compiti distinti in risposta a delle richieste dette “prompt” (art. 3, definizione n. 63).

I sistemi di IA per finalità generali, si distinguono in due tipologie:

  • modelli base;
  • modelli ad alto impatto, ovvero i modelli che presentano un “rischio sistemico”.

Tali modelli si distinguono sulla base del grado di complessità con cui elaborano le informazioni nonché della quantità di informazione con cui vengono “allenati”: per cui i modelli che presentano un “rischio sistemico” sono sostanzialmente la versione avanzata dei modelli base.

Per i modelli base, il Regolamento prevede l’obbligo di informare l’utente circa l’utilizzo di tale tecnologia, quando vengono utilizzati sistemi (art. 50 del Regolamento):

  1. che interagiscano direttamente con le persone fisiche;
  2. che generano contenuti audio, immagine, video o testuali sintetici, salvo che il sistema svolga una funzione di assistenza per l’editing standard o non modifichino sostanzialmente i dati inseriti dall’utente;
  3. di riconoscimento delle emozioni o di categorizzazione biometrica;
  4. che generano o manipolano immagini o contenuti audio o video che costituiscono un “deep fake”;
  5. che generano o manipolano un testo pubblicato allo scopo di informare il pubblico su questioni di interesse pubblico.

Invece, per i modelli che presentano un “rischio sistemico” il Regolamento prevede, oltre agli obblighi di trasparenza previsti per i modelli base, che l’utilizzo di tali sistemi sia autorizzato direttamente dalla Commissione europea, all’interno dell’Ufficio per l’IA.

 

Sanzioni

Il sistema sanzionatorio per la creazione di modelli di intelligenza artificiale non conformi ai requisiti del regolamento è rimesso agli Stati membri, i quali dovranno prevedere sanzioni effettive, proporzionate e dissuasive (art. 99 del Regolamento).

Tuttavia, il Regolamento detta alcune linee guida sulla quantificazione delle sanzioni, disponendo che:

  1. la non conformità al divieto di pratiche di IA è soggetta a sanzioni amministrative pecuniarie fino a 35 milioni di euro, ovvero se l’autore del reato è un’impresa fino al 7% del fatturato mondiale annuo dell’esercizio precedente, se superiore;
  2. la non conformità alle disposizioni indicate all’art. 99, par. 4, è soggetta a sanzioni amministrative pecuniarie fino a 15 milioni di euro, ovvero se l’autore del reato è un’impresa fino al 3% del fatturato mondiale annuo dell’esercizio precedente, se superiore;
  3. la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità nazionali competenti è soggetta a sanzioni amministrative pecuniarie fino a 7,5 milioni di euro, ovvero se l’autore del reato è un’impresa, fino all’1% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Le sanzioni, in misura inferiore, possono essere inflitte dal Garante europeo per la Privacy anche alle istituzioni, agli organi e agli organismi dell’Unione che rientrano nell’ambito di applicazione del Regolamento (art. 100).

 

Intelligenza artificiale e diritto amministrativo

Considerato che l’intelligenza artificiale sta investendo tutti gli ambiti della società, occorre chiedersi quale applicazione e quale impatto possa avere tale innovazione sull’attività della Pubblica Amministrazione.

È indubbio che l’utilizzo dell’IA nell’attività amministrativa comporterebbe un beneficio in termini di tempo e di efficienza per la pubblica amministrazione; tuttavia, occorre chiedersi quale sia il contrappeso in termini di rischi.

I rischi più rilevanti riguardano da un lato, la mancanza di trasparenza nell’assunzione del provvedimento; e dall’altro, la deresponsabilizzazione dei funzionari amministrativi.

Con riguardo al primo rischio citato, il Consiglio di Stato ha affermato la necessità che la decisione robotizzata sia «“conoscibile”, secondo una declinazione rafforzata del principio di trasparenza, che implica anche quello della piena conoscibilità di una regola espressa in un linguaggio differente da quello giuridico» (Cons. Stato, sez. VI, 4 febbraio 2020, n. 881).

In tal senso, si esprime anche l’art. 13 del Disegno di Legge n. 1146 (avente ad oggetto “Disposizioni e delega al Governo in materia di intelligenza artificiale”), ove prevede che deve essere assicurata agli interessati «la conoscibilità del suo funzionamento e la tracciabilità del suo utilizzo» (comma 1).

Il Disegno di legge sembra voler mettere le basi anche per una disciplina organica che consenta di evitare il rischio di deresponsabilizzazione dei funzionari.

Il comma 2 dell’art. 13 prevede che il funzionario amministrativo può utilizzare l’IA solamente come strumento e supporto all’attività provvedimentale (c.d. principio di autodeterminazione).

L’obiettivo di tale disposizione pare quello di evitare di incorrere nella c.d. “spersonalizzazione” della decisione amministrativa, individuato dal Consiglio di Stato, Sez. VI, con le sentenze 13.12.2019, n. 8472, 8473 e 8474, facendo in modo che ad assumere la decisione finale siano sempre gli umani e non le macchine.

Ciò vale anche in un’ottica di responsabilizzazione della persona che si avvale dell’IA, la quale rimane l’unica responsabile di tale utilizzo.

È evidente che non appare possibile evitare di correlare la decisione di utilizzare l’IA ad una responsabilità del funzionario, ma è altrettanto evidente che così facendo sussiste il rischio concreto che l’IA non venga utilizzata dall’Amministrazione per la paura di incorrere nella responsabilità erariale.

L’unico modo per evitare questo inconveniente sarebbe quello di individuare puntualmente i criteri in base ai quali il soggetto va ritenuto responsabile del danno. Infatti, in mancanza di tale delimitazione, potrebbero essere ritenuti responsabili, paradossalmente, anche il funzionario che inserito le informazioni che hanno condotto ad una determinata decisione ovvero la società che ha predisposto il sistema di IA.

 

Intelligenza artificiale e contratti pubblici

La prima applicazione pratica dell’intelligenza artificiale nel diritto amministrativo si può riscontrare all’art. 30 del Nuovo Codice dei contratti pubblici, ove si prevede che «le stazioni appaltanti e gli enti concedenti provvedono, ove possibile, ad automatizzare le proprie attività ricorrendo a soluzioni tecnologiche, ivi incluse l’intelligenza artificiale e le tecnologie di registri distribuiti» (comma 1).

Per la prima volta nell’ordinamento italiano, il Codice dei contratti pubblici ha individuato a livello normativo i principi da rispettare in caso di utilizzo delle procedure automatizzate, anticipando in parte le disposizioni del Regolamento europeo.

In particolare, il legislatore ha previsto che le decisioni assunte mediante l’automazione devono rispettare i principi di:

  1. conoscibilità e comprensibilità, per cui ogni operatore economico ha diritto di conoscere l’esistenza di processi decisionali automatizzati che lo riguardino e, in tal caso, a ricevere informazioni significative sulla logica utilizzata;
  2. non esclusività della decisione algoritmica, per cui la decisione automatizzata deve essere controllata, validata o smentita da un soggetto umano;
  3. non discriminazione algoritmica, per cui sono impediti effetti discriminatori nei confronti degli operatori economici.

Tale disposizione altro non è che la trasposizione dei principi individuati dal giudice amministrativo nelle sentenze sopra citate nonché dei principi affermati a livello europeo.

Di conseguenza, le Stazioni appaltanti, quando decidono di utilizzare processi automatizzati hanno l’onere di:

  • assicurare la disponibilità del codice sorgente, nonché di ogni elemento utile a comprenderne le logiche di funzionamento;
  • introdurre negli atti di indizione delle gare clausole volte ad assicurare le prestazioni di assistenza e manutenzione necessarie alla correzione degli errori e degli effetti indesiderati derivanti dall’automazione;
  • rettificare i fattori che comportano inesattezze dei dati e garantire che sia minimizzato il rischio di errori;
  • impedire effetti discriminatori nei confronti di persone fisiche sulla base della nazionalità, dell’origine etnica, delle opinioni politiche, della religione, delle convinzioni personali, dell’appartenenza sindacale, dei caratteri somatici, dello status genetico, dello stato di salute, del genere o dell’orientamento sessuale.

Dott.ssa Costanza Andriolo

Dott.ssa Alessandra Eusebio

Data di pubblicazione
01/07/2024

Articolo a cura di
Alessandra Eusebio e Costanza Andriolo