Disposizioni generali e pratiche vietate: disposizioni dell’AI Act già in vigore e il rischio “inaccettabile”

A decorrere dal 2 febbraio 2025, trova applicazione il primo nucleo cogente di disposizioni del Regolamento UE 2024/1689, del 13 giugno 2024, in materia di intelligenza artificiale (c.d. ”Artificial Intelligence Act”). Si tratta, in particolare, dei Capi I e II, rispettivamente concernenti le disposizioni generali e le pratiche vietate perché collegate a rischi definiti inaccettabili per la sicurezza e i diritti fondamentali dei cittadini europei.

Come evidenziato nel considerando (4) del Regolamento, l’IA può migliorare la capacità di previsione, ottimizzare l’impiego delle risorse e personalizzare soluzioni digitali, promuovendo efficienza economica, sostenibilità ambientale e progresso sociale.

Tuttavia, come affermato nei considerando successivi, rispettivamente, dal (5) e dal (6), lo sviluppo e l’utilizzo dell’IA possono comportare anche gravi rischi, intesi come possibili lesioni dei diritti fondamentali delle persone, generare discriminazioni sistemiche e produrre danni materiali e immateriali – fisici, psicologici, economici o sociali. Ciò impone l’adozione di un quadro regolatorio idoneo a indirizzare gli operatori verso un impiego antropocentrico delle tecnologie di intelligenza artificiale. Invero, tali strumenti debbono essere sviluppati e utilizzati per accrescere il benessere umano, in coerenza con i principi sanciti dall’articolo 2 TUE e dalla Carta dei diritti fondamentali dell’Unione europea.

Come anticipato, lo scorso febbraio sono entrati in vigore il Capo I e II del Regolamento. Per quanto riguarda il primo, esso contiene le disposizioni generali del documento normativo, che si occupano di definirne l’oggetto e l’ambito di applicazione. Sono incluse, in tali previsioni, anche le definizioni del linguaggio con il quale, d’ora in poi, sarà necessario entrare in contatto. Espressioni quali “deployer” o “deep fake” o “sistema di riconoscimento delle emozioni” dovranno, pian piano, farsi strada nella nostra quotidianità. Si tratta, in ogni caso, di concetti che saranno implementati a mano a mano che il Regolamento entrerà in vigore nella sua interezza.

Oltre a quanto appena indicato, è ora vigente anche il Capo II del Regolamento, che riguarda le “Pratiche di IA vietate” e che impone un divieto assoluto di implementazione, all’interno dell’Unione Europea, di sistemi di IA considerati “inaccettabili” – in grado, cioè, di produrre gravi effetti negativi su diritti fondamentali, libertà individuali, sicurezza e tutela della privacy.

A titolo esemplificativo, e per quanto di interesse, sono oggi vietati i sistemi di intelligenza artificiale che facciano ricorso a:

• tecniche subliminali o volutamente manipolative, che agiscono senza che una persona se ne renda conto, al fine di distorcere il comportamento di una persona (o di un gruppo di persone), pregiudicando la possibilità che questa agisca o prenda una decisione in modo informato, e che la inducano a prendere una decisione altrimenti non assunta, che provochi un danno alla stessa o ad altri;

• sfruttamento della vulnerabilità di unapersona, o di un gruppo di persone, dovute all’età, ad una disabilità o ad una particolare situazione sociale o economica, con l'obiettivo o l'effetto di distorcere materialmente il comportamento di tale persona o di una persona che appartiene a tale gruppo in un modo che provochi o possa ragionevolmente provocare a tale persona o a un'altra persona un danno significativo;

• valutazione o classificazione delle persone fisiche o di gruppi di persone per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note, inferite o previste e sfruttamento del conseguente “punteggio sociale” ottenuto;

• valutazione predittiva del rischio che una persona commetta un reato, unicamente sulla base della profilazione dei tratti e delle caratteristiche della personalità, unicamente sulla base della profilazione di una persona fisica o della valutazione dei tratti e delle caratteristiche della personalità;

• identificazione biometrica remota "in tempo reale" in spazi accessibili al pubblico;

• creazione o ampliamento delle banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso, nonché sistemi che desumano le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione.

Con riferimento a tale ultima previsione, strettamente connessa al luogo di lavoro e al divieto di utilizzare sistemi che consentano di monitorare l’elemento emotivo dei dipendenti, sarà interessante valutare, nel futuro, come tale previsione si inserisca nell’attuale contesto normativo italiano, stante la specificazione contenuta nel Regolamento che l’utilizzo di tali strumenti sia effettivamente consentito laddove l'uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza.

Infine, appare opportuno adottare sin d’ora, in ragione dei principi generali già applicabili (e.g., artt. 4, 13 e 52) e della normativa nazionale già vigente in materia, procedure di verifica periodica dei meccanismi decisionali supportati da strumenti di IA, al fine di garantire che gli stessi rispondano ai principi di equità e non discriminazione, così come processi di informazione preventiva nei confronti dei lavoratori in merito all’utilizzo dell’IA nei processi decisionali.