Intelligenza artificiale, obbligo per le aziende di valutare e gestire i rischi
A decorrere dal 2.2.2025 hanno trovato applicazione i divieti sanciti dal regolamento europeo in materia di intelligenza artificiale [Regolamento 2024/1689, denominato “AI Act”], pubblicato nella Gazzetta Ufficiale dell’Unione Europea in data 1.8.2024.
Tale evento segna l’inizio dell’attuazione progressiva della disciplina normativa in questione. Si evidenzia che il regolamento in esame adotta un’impostazione basata sulla valutazione del rischio, individuando quattro categorie che possono comportare pregiudizi ai diritti fondamentali ovvero compromettere i principi basilari dell’ordinamento dell’Unione Europea.
Nello specifico, sono stati previsti: il rischio inaccettabile [art. 5], il rischio elevato o alto, per il quale è richiesto lo svolgimento di una valutazione di impatto come prescritto dall’articolo 27, il rischio limitato, che riguarda sistemi soggetti a specifici obblighi di trasparenza, e infine il rischio minimo o nullo, riferito a quei sistemi che non comportano minacce significative e che, pertanto, non richiedono l’adempimento di ulteriori obblighi.
Ad oggi la categoria che impone interesse è quella del rischio definita come inaccettabile, la cui regolamentazione si concretizza nell’introduzione di un divieto relativo all’immissione sul mercato, alla messa in servizio o all’utilizzo di sistemi riconducibili a tale classe di rischio. In tale contesto, si evidenzia che le norme concernenti la governance e gli obblighi per i sistemi di intelligenza artificiale ad uso generale [c.d. GPAI], la cui definizione ha visto il contributo dell’autore del presente testo, entreranno in vigore a decorrere dal 2.8.2025.
Tutte le restanti disposizioni del regolamento, incluse quelle che impongono l’obbligo di effettuare una valutazione di impatto per i sistemi caratterizzati da un rischio elevato, diverranno pienamente operative soltanto a partire dal 2.8.2026.
In merito al concetto di rischio la normativa in esame comprende non solo il danno ai beni materiali, ma anche alle entità immateriali, includendo il pregiudizio di natura fisica, psicologica, sociale o economica. Ne deriva che – laddove si configuri una situazione di rischio inaccettabile a partire dal 2.2.2025 – lo svolgimento delle relative attività di intelligenza artificiale deve intendersi vietato in forza del regolamento stesso.
In base alla formulazione letterale della disposizione in commento, il regolamento individua una serie di rischi ritenuti inaccettabili tra i quali si annoverano:
- – i sistemi di intelligenza artificiale finalizzati a manipolare gli utenti, inducendoli a compiere azioni non intenzionali o a prendere decisioni alterate nel loro processo di scelta;
- – i sistemi che si avvalgono di tecniche manipolative tali da arrecare danni rilevanti alla salute fisica o psicologica, ovvero pregiudizi di carattere finanziario;
- – ogni sistema che impieghi il c.d. “social scoring”, che effettui la classificazione delle emozioni o che realizzi la profilazione della predisposizione a delinquere sulla base di fattori emozionali.
Di particolare interesse per gli operatori economici è l’applicazione del divieto nell’ambito delle strategie di marketing, con specifico riferimento sia all’“AI marketing” sia al “neuromarketing”.
Con riguardo al primo, la disciplina vieta la profilazione dei consumatori qualora venga effettuata mediante la veicolazione di convinzioni prive di un effettivo fondamento nella realtà. Tale interdizione non si riferisce unicamente alla diffusione di informazioni inesatte, ma si estende altresì alla deliberata omissione di determinati dati che, se resi noti, avrebbero potuto indurre il consumatore a giungere a conclusioni differenti.
Nel caso del neuromarketing, il divieto riguarda invece l’utilizzo dell’intelligenza artificiale per la profilazione delle preferenze dei consumatori mediante la raccolta di dati biometrici, laddove tali informazioni siano impiegate per trarre inferenze o deduzioni concernenti le opinioni politiche, l’appartenenza sindacale, le convinzioni religiose o filosofiche, l’origine razziale, la sfera sessuale o l’orientamento sessuale del soggetto interessato.
A fronte dell’elevato livello di astrazione della normativa, assunto il rischio di generare difficoltà applicative per le imprese, al fine di agevolare la transizione verso il nuovo quadro regolatorio la Commissione Europea ha avviato l’iniziativa denominata “AI Pact”, la quale si configura come un meccanismo volontario mirato a supportare l’attuazione futura del regolamento. L’AI Pact invita gli sviluppatori di intelligenza artificiale, sia in Europa che nei mercati extraeuropei, ad adeguarsi in via anticipata agli obblighi essenziali previsti dall’AI Act, promuovendo al contempo la costituzione di una rete di condivisione di conoscenze e best practices.
Al fine di garantire la piena osservanza del divieto in questione, nonché di predisporre le misure necessarie per l’applicazione definitiva del regolamento e delle relative sanzioni, le imprese saranno chiamate, nel minor tempo possibile, a mappare i propri sistemi di intelligenza artificiale al fine di verificare se essi rientrino nelle categorie di rischio previste, nonché ad avviare tutte le attività propedeutiche all’adeguamento alla nuova disciplina normativa.
Tra le fattispecie si annoverano le seguenti:
- - l’impiego di sistemi di intelligenza artificiale che facciano uso di tecniche subliminali, ossia di metodi operanti senza che il soggetto destinatario ne abbia consapevolezza, ovvero di tecniche manipolative o ingannevoli finalizzate, o comunque idonee, ad alterare o distorcere il comportamento di una persona fisica o di un determinato gruppo di individui;
- - lo sfruttamento, da parte di sistemi di intelligenza artificiale, di condizioni di vulnerabilità individuale o collettiva, riconducibili a fattori quali l’età, la presenza di disabilità o una condizione sociale o economica specifica;
- - l’utilizzo di sistemi di intelligenza artificiale per la creazione o l’ampliamento di banche dati contenenti informazioni biometriche facciali, qualora tali dati vengano ottenuti attraverso operazioni di scraping indiscriminato di immagini facciali reperite su internet o estratte da registrazioni effettuate da sistemi di videosorveglianza a circuito chiuso;
- - l’impiego di sistemi di intelligenza artificiale finalizzati a inferire lo stato emotivo di una persona fisica all’interno del contesto lavorativo o degli istituti scolastici e universitari, fatta eccezione per i casi in cui tali sistemi siano progettati per essere immessi sul mercato o utilizzati esclusivamente per finalità mediche o per garantire condizioni di sicurezza;
- - i sistemi di categorizzazione biometrica che operano la classificazione individuale di persone fisiche sulla base dei loro dati biometrici, con il fine di dedurre o inferire informazioni sensibili quali l’origine razziale, le opinioni politiche, l’adesione a organizzazioni sindacali, le convinzioni di carattere religioso o filosofico, nonché elementi attinenti alla vita sessuale o all’orientamento sessuale del soggetto interessato;
- - l’adozione di sistemi di identificazione biometrica remota operanti in modalità «tempo reale» all’interno di spazi pubblicamente accessibili per scopi di contrasto, salvo che il loro utilizzo risulti strettamente necessario per il conseguimento di obiettivi specifici quali la ricerca di vittime di sottrazione, tratta o sfruttamento sessuale di esseri umani, oppure per la prevenzione di un’imminente minaccia derivante da un attacco terroristico.