REGOLAMENTO UE SULL’INTELLIGENZA ARTIFICIALE: SORVEGLIANZA AFFIDABILE ED ETICA

La bozza del Regolamento UE sull’Intelligenza Artificiale presentata a Bruxelles il 21 aprile scorso getta le basi per armonizzare le norme sull’IA. Nella proposta, l’Europa punta a garantire la sicurezza e i diritti fondamentali di persone ed imprese. L’obiettivo è anche intensificare i controlli sui dispositivi immessi sul mercato. Su questo punto dobbiamo aprire e chiudere una parentesi importante che riguarda una recente iniziativa europea.

Ricordate il nostro recente articolo sulle telecamere cinesi a Palazzo Chigi, nelle Procure ed in altri siti italiani strategici a marchio Dahua e Hikvision? Questi due brand cinesi sono nella lista nera USA: in particolare, Hikvision è proibita anche dall’intelligence britannica che ha messo in guardia anche sulle tecnologie Huawei e Alibaba per prevenire spionaggio, raccolta dati e sorveglianza. Il 29 aprile scorso, abbiamo appreso una magnifica notizia.

Con un emendamento UE, le termocamere Hikvision sono state rimosse dai locali del Parlamento Europeo per violazione dei diritti umani. La conferma è arrivata dallo staff dell’europarlamentare olandese Lara Wolters.

In un passo del testo integrale dell’emendamento, si legge:

“Recenti rapporti dei media denunciano che le termocamere in uso nei locali del Parlamento per misurare la temperatura delle persone sono prodotte da Hikvision, società che importa dalla Cina e produce telecamere usate nella provincia cinese dello Xinjiang… Hikvision è stata accusata di fornire sistemi per la sorveglianza nei campi di internamento di questa provincia, contribuisce a gravi violazioni dei diritti umani” della popolazione uigura in Cina.

E’ stata ordinata, quindi, la rimozione delle telecamere termiche a marchio Hikvision: il Parlamento Europeo considera inaccettabile l’uso di queste telecamere termiche. L’emendamento raccomanda all’amministrazione prudenza nel selezionare, in futuro, i fornitori di attrezzature. Aperta e chiusa parentesi.

Entriamo nel vivo del focus. Cosa prevede il Regolamento UE sull’Intelligenza Artificiale?

REGOLAMENTO UE SULL’INTELLIGENZA ARTIFICIALE: ECCO IL PIANO STRATEGICO IN EUROPA

Il Regolamento UE sull’Intelligenza Artificiale (“Regulation on a european approach for artificial intelligence“), particolarmente concentrato sulla videosorveglianza e sul riconoscimento facciale, sembra porsi come evoluzione del GDPR adeguandosi all’accelerazione tecnologica dell’Intelligenza Artificiale a seguito della pandemia.

Rappresenta il primo quadro giuridico sull’IA nel mondo che affronta i rischi di questa tecnologia nell’ambito della videosorveglianza e non solo. Questo nuovo piano coordinato con gli Stati membri punta a trasformare l’Europa nel polo mondiale per un’IA affidabile, etica, al servizio della sicurezza ma anche dei diritti fondamentali di persone ed imprese, sulla scia del GDPR.

La Commissione Europea riconosce i numerosi potenziali benefici dell’AI (Artificial Intelligence) nel trovare soluzioni in vari ambiti della società (assistenza sanitaria più efficace, istruzione, ecc.) ma soltanto se questa tecnologia risulti di elevata qualità, sviluppata ed utilizzata in modo etico e affidabile per i cittadini. E’ necessario, pertanto, potenziare investimenti ed innovazione in questo settore per l’adozione dell’IA in tutta Europa.

L’esecutivo guidato da Ursula von der Leyen propone nuove norme allo scopo di garantire l’utilizzo di sistemi IA trasparenti, sicuri, etici, imparziali e sotto il controllo umano. Bisogna pesare benefici e rischi, soprattutto riguardo ai sistemi di identificazione biometrica o decisioni basate sull’Intelligenza Artificiale relative, ad esempio, alla selezione del personale, assistenza sanitaria, istruzione, attività di contrasto.

A Strasburgo, è già stata costituita una commissione speciale sull’IA nell’era digitale (AIDA) ancor prima della recente proposta del Regolamento UE che dovrà passare al vaglio del Parlamento Europeo e degli Stati membri; un iter che richiederà qualche anno prima che entri in vigore.

I 4 LIVELLI DI RISCHIO DELL’IA INDIVIDUATI DALLA COMMISSIONE UE

Definire standard minimi di qualità e sicurezza dei sistemi servirà a migliorare il mercato interno, a creare le condizioni per sviluppare un ecosistema basato sulla fiducia che coinvolge l’intero processo di produzione, commercializzazione, vendita e utilizzo dell’IA all’interno dell’Unione Europea.

La Commissione UE ha identificato 4 livelli di rischio a cui approcciarsi.

Partendo dal basso, troviamo un rischio:

– minimo;

– limitato;

– alto;

– inaccettabile.

Rischio minimo

Gran parte dei sistemi IA attualmente usati nell’Unione Europea è a rischio minimo come filtri anti-spam o videogiochi basati su sistemi IA. Questi sistemi presentano un rischio minimo o nullo per la sicurezza e i diritti dei cittadini.

Rischio limitato

Il rischio limitato riguarda sistemi con obblighi di trasparenza specifici per evitare rischi di manipolazione. Si parla, in tal caso, di sistemi come assistenti vocali o chatbot. Interagire con queste macchine comporta un eventuale utilizzo di dati personali, quindi l’utente può decidere se utilizzarle o no.

Rischio alto

Sono ad alto rischio i sistemi di IA che possono incidere negativamente sulla sicurezza e sui diritti fondamentali delle persone. L’uso di questi sistemi, richiesto in casi particolari, non è vietato ma necessita di una rigida valutazione di conformità a certi requisiti che possano garantire tutela ai cittadini. La lista di questi sistemi è stata allegata alla proposta di Regolamento UE; potrà essere rivista ed aggiornata nel corso del tempo.

Ne possiamo citare alcuni legati a vari ambiti: infrastrutture critiche come i trasporti, istruzione, chirurgia assistita da robot, lavoro, servizi pubblici e privati essenziali come lo scoring del credito che può negare un prestito, amministrazione della giustizia, gestione della migrazione e del controllo delle frontiere.

Rischio inaccettabile

Al livello più elevato di rischio l’utilizzo di sistemi con Intelligenza Artificiale può rivelarsi particolarmente dannoso, una vera e propria minaccia in quanto viola i diritti fondamentali delle persone. Rientrano nel rischio inaccettabile le telecamere termiche di Hikvision che abbiamo visto all’inizio e per le quali è stata prevista la rimozione dai locali del Parlamento Europeo. Saranno vietati sistemi o applicazioni IA in grado di:

– manipolare il comportamento umano per aggirare il libero arbitrio degli utenti come quelli che permettono ai Governi di attribuire un social scoring (punteggio sociale) o che sfruttano vulnerabilità dei minori (giocattoli con assistenza vocale che incoraggiano comportamenti pericolosi);

– utilizzare tecniche subliminali che vanno oltre la coscienza umana per distorcere il comportamento al fine di causare o contribuire a causare ad una persona un danno fisico o psicologico.

REGOLE SUI SISTEMI DI IDENTIFICAZIONE BIOMETRICA

Il nuovo Regolamento UE definisce il sistema di identificazione biometrica da remoto un sistema automatizzato che ha l’obiettivo di identificare le persone a distanza in base ai loro dati biometrici (caratteristiche fisiche, fisiologiche, comportamentali) che permettono o confermano la loro identificazione univoca come l’immagine facciale o i dati dattiloscopici.

I sistemi di identificazione biometrica rientrano nel livello ad alto rischio secondo le nuove regole del Regolamento UE. Tutti i sistemi IA destinati all’identificazione biometrica remota delle persone devono essere sottoposti, a partire dalla progettazione, ad un’attenta valutazione della conformità a requisiti di documentazione e sorveglianza umana

L’utilizzo in tempo reale di questi sistemi per attività di contrasto in spazi pubblici sono generalmente vietati.

La Commissione UE annuncia “Da noi nessuna sorveglianza di massa” con 32 eccezioni alla regola. Fa eccezione il riconoscimento facciale utilizzato  per attività volte a prevenire una minaccia terroristica imminente, a identificare, localizzare o perseguire autori di reati gravi o cercare un minore scomparso, reati con pena superiore a 3 anni per cui è previsto l’ordine di arresto europeo. In tal caso, l’utilizzo dei sistemi IA deve essere ben definito e regolamentato, sicuramente autorizzato da un organo giudiziario o altro organi indipendenti. Devono essere definiti anche i limiti di utilizzo relativi a portata geografica, tempo e banche dati ricercate.

In situazioni di emergenza ed urgenza giustificata, l’utilizzo del sistema può avvenire anche senza autorizzazione: si può richiedere l’autorizzazione durante o dopo l’uso.

Anche i sistemi di riconoscimento di emozioni e categorizzazione biometrica rientrano nel livello di alto rischio se applicati a specifici casi d’uso (istruzione, lavoro, attività di contrasto, ecc.). Questi sistemi devono sempre rispettare determinati requisiti di trasparenza.

In sostanza, l’utilizzo del riconoscimento facciale con identificazione biometrica da remoto è concesso alle Forze dell’Ordine per il contrasto alla criminalità e per motivi di ordine e sicurezza pubblica. Include, quindi, anche il caso specifico che, di recente, è stato bocciato dal Garante privacy: ci riferiamo al SARI Real Time che il Viminale avrebbe voluto mettere in campo per reprimere reati e per la tutela dell’ordine e della sicurezza pubblica.

REGOLAMENTO UE SULL’INTELLIGENZA ARTIFICIALE: VALUTAZIONE D’IMPATTO E MARCHIO DI CONFORMITÀ EUROPEO

Secondo l’art. 6 del nuovo Regolamento UE sull’IA, sarà necessario implementare un sistema di gestione del rischio da monitorare periodicamente e da migliorare a seconda del mutamento del rischio connesso all’uso dei sistemi di intelligenza artificiale.

Il sistema di gestione prevede una serie di step:

– identificazione e analisi dei rischi noti e prevedibili legati ad ogni sistema di IA;

– valutazione dei possibili rischi legati all’uso del sistema ad alto rischio sia in base allo scopo previsto sia in caso di uso improprio;

– valutazione di rischi derivanti dall’analisi dei dati raccolti dal sistema di monitoraggio;

– adozione di misure adeguate per la gestione dei rischi.

I risultati elaborati dai sistemi dovranno essere verificati e tracciati per l’intero arco di vita del sistema stesso.

Alla valutazione d’impatto del produttore del sistema seguirà obbligatoriamente l’attribuzione di un ‘bollino di conformità‘ della Commissione UE. In questo modo, le imprese conformi potranno mostrare un marchio europeo di qualità legato all’Intelligenza Artificiale emesso dall’autorità competente. All’interno della Commissione verrà costituito un European Artificial Intelligence Board ad hoc. Sarà composto da 27 rappresentanti degli Stati membri, Garante europeo per la protezione dei dati (EDPS) ed un rappresentante della Commissione incaricato di supervisionare il funzionamento dei sistemi di intelligenza artificiale ad alto impatto sulle vite delle persone. Il rappresentante della Commissione potrà vietare l’applicazione di sistemi non conformi agli standard europei.

REGOLAMENTO UE SULL’INTELLIGENZA ARTIFICIALE: OBBLIGHI DI TRASPARENZA E SICUREZZA

Il Regolamento dell’Unione Europea sull’Intelligenza Artificiale prevede anche obblighi di trasparenza.

L’art. 3 del Regolamento stabilisce che i sistemi di IA ad alto rischio devono essere progettati e sviluppati in modo tale da garantire che il funzionamento sia trasparente. La trasparenza deve permettere agli utenti di essere in grado di interpretare l’output del sistema e di usarlo in modo corretto.

Deve essere, perciò, fornita tutta la documentazione tecnica utile non solo a far comprendere il funzionamento ma anche a dimostrare la conformità ai requisiti del Regolamento.

I sistemi commercializzati devono essere accompagnati da istruzioni per l’uso con informazioni complete, corrette, concise e chiare, comprensibili per gli utenti. La documentazione tecnica deve includere l’identità e i recapiti del fornitore, caratteristiche, capacità e limiti del sistema (tra cui scopo, livello di cybersicurezza e accuratezza, prestazioni, circostanze note o prevedibili, effetti dell’uso improprio che possano comportare rischi per la salute, sicurezza o diritti fondamentali degli utenti, manutenzione, aggiornamenti software, durata prevista, ecc.).

L’accuratezza, robustezza, resilienza e sicurezza dei sistemi di IA devono essere preservati.

L’adeguatezza delle misure di sicurezza andrà monitorata regolarmente, anche per verificare eventuali irregolarità e anomalie nel funzionamento dei sistemi.

I fornitori di sistemi di IA ad alto rischio sono obbligati a notificare subito alle Autorità competenti nazionali un eventuale grave incidente o malfunzionamento del sistema che possa rappresentare una violazione alle legge dell’UE.

REGOLAMENTO UE SULL’INTELLIGENZA ARTIFICIALE: CONTROLLO E SANZIONI

Ogni Stato membro UE dovrà applicare il Regolamento e garantirne il rispetto designando un’autorità nazionale di controllo che rappresenti il Paese in ambito UE ed una o più autorità nazionali incaricate di supervisionare l’applicazione e l’attuazione dei sistemi IA, di vigilare sul mercato.

Una volta immesso sul mercato il sistema IA, utenti e fornitori dovranno segnalare malfunzionamenti e incidenti gravi.

In caso di violazioni (sistemi IA che non rispettano i requisiti), gli Stati membri dovranno determinare sanzioni dissuasive e proporzionate, incluse sanzioni amministrative pecuniarie e comunicare le violazioni alla Commissione UE.

Il Regolamento UE stabilisce le seguenti soglie da considerare in base al tipo di violazioni:

– informazioni incomplete, inesatte o fuorvianti fornite agli organismi ed alle autorità nazionali competenti in risposta ad una precisa richiesta: fino a 10 milioni di euro o al 2% del fatturato mondiale totale annuo del precedente esercizio;

– inosservanza di ogni altro obbligo o requisito del Regolamento UE: fino a 20 milioni di euro o al 4% del fatturato mondiale totale annuo del precedente esercizio;

– inosservanza di requisiti in materia di dati o pratiche vietate: fino a 30 milioni di euro o (se superiore) al 6% del fatturato mondiale totale annuo del precedente esercizio.

Queste sanzioni sono più alte rispetto a quelle previste dal GDPR.

La bozza del Regolamento UE è rivolta non solo alle aziende operanti all’interno dell’Unione Europea ma anche a tutte le realtà che intendono commercializzare o distribuire i loro prodotti, quindi anche entità extraterritoriali.