Questo post fa parte del punto di vista dell’Osservatorio sull’AI Act
Abstract. Il Regolamento (UE) 2024/1689, noto come “AI Act”, rappresenta una delle prime normative organiche in ambito globale sulla regolamentazione dell’intelligenza artificiale (AI). Approvato dal Parlamento Europeo il 13 giugno 2024, la “Nuova legge sull’intelligenza artificiale” introduce un quadro giuridico basato sulla valutazione dei rischi per guidare e disciplinare lo sviluppo dell’IA nell’Unione Europea. La classificazione dei sistemi di AI in base al rischio ha l’obiettivo di bilanciare la protezione dei diritti fondamentali dei cittadini con l’esigenza di non ostacolare l’innovazione. Ma tale approccio risulta realmente lungimirante, o si tratta piuttosto di una nostalgia per metodi di regolazione tradizionali?
Il rapido sviluppo dell’intelligenza artificiale solleva interrogativi sulla sua regolamentazione, specialmente riguardo ai possibili rischi per la privacy, la sicurezza e i diritti umani. L’Unione Europea ha risposto con l’adozione dell’AI Act, che si presenta come un modello volto a bilanciare l’innovazione con le garanzie di tutela pubblica. Una delle peculiarità di questo regolamento è il suo approccio basato sulla classificazione dei rischi, un tentativo di adattare la regolamentazione alla specificità dei diversi usi dell’AI. Tuttavia, questa struttura rischia di conservare una “nostalgia regolatoria”, ancorata a pratiche normative tradizionali che potrebbero rallentare lo sviluppo del settore.
Il fulcro dell’AI Act risiede nella classificazione delle applicazioni AI in base ai livelli di rischio. Più in particolare, l’AI Act classifica i sistemi di intelligenza artificiale in quattro categorie di rischio: (i) “inaccettabile” e comprende applicazioni considerate pericolose e non etiche, come i sistemi di riconoscimento facciale in tempo reale negli spazi pubblici e altre tecniche di sorveglianza di massa. Questi sistemi sono vietati, perché minano i valori fondamentali dell’Unione Europea, tra cui la dignità e la libertà personale; (ii) “alto” e include AI utilizzate in ambiti sensibili come sanità, giustizia, istruzione, occupazione e sistema giudiziario, che devono rispettare criteri stringenti di qualità, trasparenza e supervisione umana e assenza di bias; (iii) “limitato” che comprende applicazioni come i chatbot, per i quali è richiesto il semplice obbligo di informare gli utenti del coinvolgimento di un’AI e riguarda applicazioni di intelligenza artificiale con rischi più contenuti, per le quali è richiesta trasparenza minima, come l’informazione agli utenti che stanno interagendo con un sistema di AI; infine (iv) “minimo” per le AI a basso rischio (es. AI usata per il divertimento), per le quali non sono previsti requisiti specifici, per cui l’AI è a basso impatto e non sono previsti requisiti particolari.
Questo approccio, di suddivisione per livello di rischio, che calibra i requisiti normativi in funzione della potenziale pericolosità, è una novità strutturata per offrire una regolamentazione proporzionata ai rischi che ogni tipo di AI presenta, assicurando protezione nei settori sensibili senza frenare eccessivamente le applicazioni meno rischiose.
L’AI Act si propone, quindi, come una regolamentazione lungimirante in quanto punta non solo alla sicurezza, ma anche a stimolare l’innovazione. In particolare, si introducono le “sandboxes regolamentari”, ovvero spazi protetti dove le aziende possono sperimentare nuove tecnologie senza l’immediata applicazione delle normative più restrittive, purché siano rispettati standard etici e di trasparenza.
Tuttavia, le sandboxes regolamentari dell’AI Act, pur essendo uno strumento promettente per l’innovazione e la sperimentazione di intelligenza artificiale, possono richiedere risorse e sforzi burocratici significativi, che rischiano di vanificare l’obiettivo stesso per cui sono state create, almeno per le PMI e le startup.
Al riguardo, L’ Organizzazione per la cooperazione e lo sviluppo economico (OCSE) ha pubblicato il rapporto «Regulatory sandboxes in artificial intelligence», studio che definisce benefici, rischi e sfide proprie dello strumento di sperimentazione normativa di regulatory sandbox. Analizzandone l’impatto sull’innovazione tecnologica e sulla concorrenza, l’OCSE afferma la necessità di una cooperazione interdisciplinare e istituzionale, accanto all’esigenza di una interoperabilità tra sandboxes a livello mondiale. Si discute, inoltre, della necessità di criteri armonizzati per determinare l’accesso alle sandboxes e valutarne le sperimentazioni, nonché del rilievo dell’interazione tra diverse forme di sperimentazione normativa.
L’OCSE ha stimato che il costo medio per l’accesso e la gestione dei requisiti di una sandbox regolamentare potrebbe variare tra i 10.000 e 30.000 euro l’anno, una cifra che, per una startup o una PMI, può risultare significativa e rischia di rappresentare una barriera, nonostante l’intento di semplificare l’accesso alla sperimentazione. Infatti, studi europei recenti mostrano che oltre il 40% delle PMI del settore tecnologico trova troppo onerosi i costi di compliance, anche quando limitati, a causa delle ridotte risorse finanziarie e umane.
Chiaramente, affinché gli obiettivi prefissati dalla normativa di riferimento vengano raggiunti è, pertanto, necessario che siano destinate adeguate risorse economiche allo sviluppo dei piani di progetto. In caso contrario la norma potrebbe non riuscire ad avere gli effetti desiderati.
Anche il sostegno alle PMI (piccole e medie imprese) e alle startup tecnologiche è un segno del tentativo di lungimiranza dell’AI Act. La regolamentazione riconosce che la crescita delle aziende di AI, in particolare quelle più giovani, non può essere ostacolata da un eccesso di obblighi burocratici. Per questo, l’UE intende fornire linee guida chiare e supporto tecnico e finanziario, riducendo l’impatto dei costi di conformità per favorire la competizione e l’innovazione.
Nonostante le intenzioni progressiste, l’AI Act mostra anche elementi di rigidità normativa che possono essere letti come “nostalgia” per i modelli regolatori tradizionali, tipici di settori come la sanità o l’industria farmaceutica, che richiedono una supervisione centralizzata e processi certificativi complessi.
Sebbene, infatti, l’approccio basato sui rischi rappresenti un tentativo di regolazione flessibile e adattabile, l’AI Act si fonda comunque su una struttura normativa centralizzata, che include procedure burocratiche e obblighi di conformità dettagliati per le categorie ad alto rischio. Per questi sistemi, il Regolamento impone una serie di misure preventive e di monitoraggio rigoroso: registrazione in un database pubblico dell’UE, controlli di qualità, trasparenza documentale e revisione periodica. Questa centralizzazione, pur giustificata dalla necessità di tutelare i diritti fondamentali, può sembrare un richiamo a metodi di regolazione più tradizionali, tipici di settori come la sanità o la sicurezza pubblica, con il rischio di rallentare il dinamismo del settore AI.
In particolare, le restrizioni sui sistemi di sorveglianza e sul riconoscimento facciale in tempo reale in spazi pubblici, anche se comprensibili sotto il profilo etico e giuridico, potrebbero rappresentare una visione conservativa rispetto alle potenzialità che questi sistemi potrebbero avere se ben gestiti. Inoltre, l’imposizione di requisiti documentali dettagliati e di valutazioni continue per i sistemi di AI ad alto rischio comporta costi operativi elevati, che possono risultare gravosi per le piccole e medie imprese. Il rischio è che solo le aziende più grandi possano permettersi di rispettare le normative, riducendo la competitività e la capacità di innovazione delle PMI europee.
A ben vedere, una simile impostazione, porta con sé conseguenze sotto i seguenti aspetti:
(i) burocrazia: per le AI classificate come “ad alto rischio”, la normativa impone requisiti stringenti come la registrazione in un database UE, la documentazione completa delle operazioni e verifiche periodiche. Queste misure, pur garantendo la trasparenza e la sicurezza, potrebbero risultare gravose per le aziende, in particolare per le PMI, e creare barriere all’ingresso per nuovi attori nel settore. Le imposizioni normative previste per le AI ad alto rischio richiedono alle aziende di rispettare una serie di obblighi procedurali che, se non calibrati correttamente, rischiano di comportare oneri significativi.
Secondo una stima della Federazione Europea delle Associazioni di Software (ESOF), i costi di conformità per le PMI potrebbero arrivare fino al 15-20% del budget annuale destinato all’innovazione, costringendole a deviare risorse da attività di sviluppo e ricerca a obblighi normativi. Questo è particolarmente gravoso per le PMI che operano con risorse limitate e che non possono sostenere gli stessi costi di compliance delle grandi aziende; secondo l’OCSE, il costo medio di un audit di conformità in ambito AI per una PMI potrebbe variare tra 30.000 e 50.000 euro l’anno, una cifra che molte piccole imprese non possono facilmente sostenere. Il regolamento richiede che i sistemi AI ad alto rischio siano soggetti a supervisione umana, il che implica l’assunzione e la formazione di personale qualificato.
Per molte PMI, reperire risorse umane con le competenze adeguate è complesso e costoso. Infatti, la Commissione Europea stima che vi sia una carenza di circa 500.000 professionisti specializzati in AI e data science nell’UE, facendo lievitare i costi del personale e aumentando la competizione per le risorse qualificate.
Inoltre, la formazione del personale comporta un ulteriore investimento: una PMI media dovrebbe investire almeno 10.000-15.000 euro all’anno per dipendente in programmi di aggiornamento e formazione continua in ambito AI, per garantire che il personale sia adeguatamente preparato per gestire e supervisionare sistemi IA ad alto rischio.
Secondo uno studio di Eurostat, circa il 40% delle startup tecnologiche europee fallisce entro i primi tre anni di attività, in parte a causa dei costi di conformità e delle normative stringenti in settori regolamentati.
Con l’introduzione di nuovi obblighi per le AI ad alto rischio, le giovani imprese che intendono sviluppare applicazioni di intelligenza artificiale in settori regolamentati (sanità, giustizia, sicurezza) rischiano di vedere compromesse le proprie possibilità di crescita, in quanto non dispongono delle risorse per sostenere i costi di compliance al pari delle grandi aziende;
(ii) possibile freno all’innovazione: la necessità di conformità rigorosa per le applicazioni ad alto rischio potrebbe rallentare lo sviluppo e la diffusione delle tecnologie AI. Per le aziende più piccole, il rispetto dei requisiti di registrazione e monitoraggio continuo implica costi elevati e la necessità di risorse tecniche avanzate, limitando la loro capacità di competere con aziende già consolidate;
(iii) rigidità della tipizzazione dei livelli di rischio: sebbene la classificazione dei rischi sia una buona prassi, rischia di essere eccessivamente rigida. L’evoluzione tecnologica è rapida, e una regolamentazione rigida potrebbe risultare superata in pochi anni. La necessità di revisione costante potrebbe portare a frequenti aggiornamenti normativi, rallentando l’adozione di nuove tecnologie.
L’AI Act rappresenta indubbiamente un tentativo ambizioso e lungimirante di regolamentare un settore in rapida espansione, come quello dell’intelligenza artificiale, con l’obiettivo di proteggere i diritti umani e promuovere la trasparenza. L’approccio basato sui livelli di rischio è una soluzione innovativa per adattare la regolamentazione alle specificità delle diverse applicazioni.
Tuttavia, alcuni aspetti della normativa riflettono un approccio tradizionale alla regolamentazione che rischia di frenare l’innovazione.
Il potenziale effetto di “nostalgia regolatoria” potrebbe emergere nella misura in cui l’AI Act impone una supervisione burocratica eccessiva, specialmente per le aziende più piccole. Per mantenere l’UE competitiva, sarà fondamentale adottare un approccio regolatorio flessibile e adattabile, capace di evolversi con la tecnologia.
Il legislatore dovrebbe, dunque, trovare un equilibrio tra sicurezza e innovazione, evitando di cadere nella trappola di una regolamentazione che, pur nella sua lungimiranza, rischi di limitare il dinamismo di un settore in cui il cambiamento è continuo e inevitabile. In questo senso, la regolamentazione deve rimanere sufficientemente agile da poter sostenere l’innovazione e rispondere in modo efficace alle nuove sfide poste dallo sviluppo dell’intelligenza artificiale.
Nel complesso, il Regolamento (UE) 2024/1689 dell’AI Act, se da un lato, rappresenta un quadro normativo ambizioso e lungimirante, presentandosi la classificazione dei rischi come un modello che potrebbe favorire una regolamentazione proporzionata e flessibile, dall’altro, elementi di centralizzazione e controllo burocratico potrebbero limitare la capacità di crescita e innovazione delle imprese, soprattutto quelle di dimensioni minori. La sfida per l’Unione Europea sarà quindi mantenere questo equilibrio tra etica e innovazione, rendendo l’AI Act uno strumento realmente abilitante e non solo limitativo.
L’AI Act può rappresentare un modello avanzato di regolamentazione per il settore dell’intelligenza artificiale a livello globale, ma per diventare realmente efficace, deve essere capace di coniugare rigore etico e flessibilità operativa. La sfida principale sarà mantenere questo equilibrio: se da un lato è giusto garantire la trasparenza e la sicurezza delle applicazioni AI, dall’altro è essenziale non bloccare la creatività e la crescita delle imprese che operano in questo settore.
La Commissione Europea dovrà dunque monitorare l’impatto del regolamento, adottando eventualmente modifiche e introducendo strumenti di supporto, affinché l’IA Act diventi uno strumento di progresso, capace di tutelare i cittadini e, allo stesso tempo, stimolare il ruolo dell’Europa come polo di innovazione tecnologica.
E’ ormai sotto gli occhi di tutti che l’uso della tecnica per assicurare maggiori benefici lascia oggi il campo a una riflessione, sempre più profonda, sui rischi e sui danni che una “digitalizzazione” senza regole può produrre. Lo si osserva in campo sociale, economico e politico, in ambito nazionale e internazionale. La sua attinenza con la vita associata, con il funzionamento e con la protezione stessa dello Stato – come avviene con la cybersicurezza – è innegabile e impone una riflessione che parta dalle basi e dagli elementi su cui poggia l’intero “edificio digitale” (lo evidenzia bene B. Carotti, lanciando l’importantissima iniziativa dell’Osservatorio: il “corso” apposito, denominato “A passeggio con l’informatica”).
In un simile contesto, l’AI Act non è solo una legge, ma un possibile standard globale per una regolamentazione responsabile dell’intelligenza artificiale. Se implementato con attenzione, potrebbe non solo proteggere i cittadini, ma anche posizionare l’Europa come leader in innovazione e governance tecnologica (sulla regolamentazione dell’AI, dopo l’Europa anche gli Stati Uniti e il Regno Unito, ne parla M.B. Armiento, in “Regolare l’intelligenza artificiale a livello globale: dopo l’Europa, è la volta di Stati Uniti e Regno Unito?” e, infine, anche il Colorado, ne parla A. D. Martino in “L’intelligenza artificiale e la tutela della privacy dei dati neurali: un ulteriore passo avanti con la legge del Colorado”).
Tuttavia, un monitoraggio attivo e un approccio inclusivo saranno cruciali per evitare che le buone intenzioni si traducano in barriere per le imprese e in un rallentamento dello sviluppo tecnologico.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
