La nuova legge sull’IA: tra responsabilità individuale e controllo dell’autorità

Il testo dopo il passaggio parlamentare è intervenuto anche ovviando ad alcuni disallineamenti tra quanto licenziato dal Consiglio dei Ministri lo scorso 23 aprile 2024, anteriormente all’entrata in vigore del Regolamento Europeo 2024/1689, sebbene le opposizioni abbiano comunque lamentato il mancato coordinamento delle normative, ad esempio nella scelta di attribuire ad AGID (Agenzia per l’Italia Digitale) e all’ACN (Agenzia per la Cybersicurezza Nazionale) – enti pubblici governativi – il ruolo di autorità nazionali competenti in materia di intelligenza artificiale (art. 20), invece che a organismi indipendenti.

Considerando la ratio del regolamento europeo, improntata alla tutela dei diritti fondamentali, sarebbe parso più opportuno designare autorità autonome, in grado di garantire un livello più elevato di protezione delle posizioni individuali ed evitare sovrapposizioni con altre competenze, in particolare quelle del Garante per la protezione dei dati personali.

Il DDL delinea invece una precisa ripartizione di compiti:

• AgID: promuovere lo sviluppo e l’innovazione dell’IA, definire le procedure ed esercitare funzioni di notifica, valutazione, accreditamento e monitoraggio degli organismi che verificano la conformità dei sistemi di IA ;
• ACN: designata come autorità di vigilanza del mercato e punto di contatto unico con le istituzioni UE; le vengono attribuiti poteri ispettivi e sanzionatori sui sistemi di IA, in particolare con riguardo alla cybersicurezza, nonché compiti di promozione e sviluppo;
• AgID e ACN ciascuna, relativamente alle reciproche competenze: istituire e gestire spazi di sperimentazione per sistemi di IA conformi alla normativa UE e nazionale, sentiti i ministeri competenti (Difesa e Giustizia);

Questa scelta si inserisce nella logica del cosiddetto “risk-based approach” (gestione e mitigazione del rischio) che costituisce il nucleo centrale dell’AI Act: l’uso di applicativi IA non viene vietato ma, bensì, calibrato in funzione del livello di rischio e affidabilità dei sistemi.

In tale prospettiva, il DDL affida ad AgIS e ACN – enti governativi già dotati di competenze in materia digitale e di cybersicurezza – il fondamentale compito di presidiare le attività di valutazione, vigilanza e sperimentazione, al fine di garantire un costante monitoraggio dei sistemi di IA, così da prevenire i potenziali rischi connessi all’impiego di siffatti strumenti e assicurando al contempo uno sviluppo tecnologico conforme a quanto sancito dal legislatore comunitario, sebbene permanga il tema che l’assenza di un’autorità indipendente possa incidere negativamente sulla gestione imparziale del rischio che l’AI Act intende assicurare.

Avendo citato la “gestione del rischio”, non si può prescindere dall’affrontare ora il tema delle valutazioni d’impatto

Il GDPR prevede, in capo a titolari e responsabili del trattamento de dati, l’obbligo predisporre una Data Protection Impact Assessment (DPIA) ogni qualvolta il trattamento dei dati possa generare rischi significativi per i diritti delle persone fisiche.

L’AI Act, per converso, introduce la Fundamental Rights Impact Assessment (FRIA), documento la cui predisposizione è obbligatoria – in presenza si sistemi IA ad alto rischio – e che si concentra sull’impatto complessivo che l’uso di applicativi IA può avere sui diritti fondamentali degli interessati.

Ciò detto, occorre evidenziare che il DDL italiano non modifica le regole europee sancite nell’AI Act, ma ne rafforza l’attuazione, introducendo regole nazionali che puntano a concretizzare i principi comunitari già vigenti in materia.

Ad esempio, nell’ambito della Pubblica Amministrazione viene imposto un uso dell’IA connotato da tracciabilità, trasparenza e spiegabilità, vietando che gli algoritmi possano sostituire l’agente umano nell’esercizio dei propri poteri decisionali.

Si tratta, questa, di una scelta che va oltre la disciplina europea, potenzialmente idonea a generare nuove categorie di contenzioso, ad esempio su trasparenza algoritmica o possibili discriminazioni da parte dei modelli IA (specie se machine learning) impiegati nei procedimenti amministrativi.

In sintesi, il DDL non si limita ad istituire nuove autorità di vigilanza: interviene dove l’Europa aveva lasciato margini di autonomia agli Stati, offrendo regole più vicine al contesto locale e dando concretezza ai principi sanciti in campo europeo.

Una delle novità preminenti coinvolge le professioni intellettuali: gli avvocati, consulenti e altri professionisti, alla luce del testo normativo, sono infatti tenuti a informare i propri clienti, in modo chiaro e completo, quando utilizzano strumenti o applicativi basati su IA nell’esercizio della professione.

Non si tratta più, quindi, di un mero dovere di trasparenza, ma di un vero obbligo deontologico, pensato per rafforzare la fiducia nel rapporto cliente-professionista.

Nel settore giudiziario, invece, il messaggio è netto: le prerogative decisionali restano nelle mani delle persone, così come l’interpretazione delle leggi e la valutazione delle prove.

L’intelligenza artificiale potrà quindi affiancare i giudici come strumento di supporto o organizzazione, ma si esclude qualsiasi deriva verso una giustizia “robotica” o automatizzata.

Una scelta che appare in linea con i timori, anche a livello europeo, rispetto al rischio che gli algoritmi possano incidere sul diritto a un processo equo e sul libero convincimento del giudice.

Il legislatore ha inoltre toccato temi che l’AI Act non aveva regolato: il diritto d’autore, chiarendo che le opere protette devono essere espressione di creatività umana, e aspetti che coinvolgono diritto penale, introducendo nuove fattispecie legate all’uso illecito di IA per manipolazioni di mercato o diffusione di deepfake (art. 26 DDL, il quale introduce il nuovo Art. 612-quater C.P.).

Infine, il testo di legge affronta anche il tema dell’uso dell’IA in ambito sanitario: vengono fissati principi generali (non discriminazione, trasparenza, centralità della decisione umana, accuratezza e sicurezza) a fondamento delle applicazioni tecnologiche.

Di particolare rilievo in tema è poi l’art. 8, che riconosce di “rilevante interesse pubblico” il trattamento di dati, anche personali, per finalità di ricerca e sperimentazione, semplificando così l’utilizzo dei dati sanitari e consentendone il riuso senza consenso individuale, purché anonimizzati o pseudonimizzati.

La legge apre poi alla creazione di dataset sintetici e introduce la possibilità di trattare dati relativi alle attività sportive, segnalando una prospettiva ampia e innovativa di impiego dell’IA, sebbene non priva di criticità sul piano della tutela dei diritti personali.

Tutti questi sono segnali della volontà di presidiare non solo la dimensione tecnologica, ma anche gli effetti sociali e culturali più sensibili alla diffusione dell’Intelligenza artificiale.

Naturalmente, permangono alcune zone d’ombra.

La delega al Governo di emanazione dei decreti attuativi entro dodici mesi, pur contenendo una clausola di salvaguardia (“senza obblighi ulteriori rispetto al regolamento UE”), lascia aperti margini di discrezionalità che andranno gestiti con cautela per non generare frizioni con il quadro comunitario.

Allo stesso modo, l’istituzione di una piattaforma nazionale sanitaria d’intelligenza artificiale affidata ad AGENAS solleva interrogativi sulla governance dei dati sensibili, specialmente sul coordinamento con il GDPR e con il Data Act, e sul rischio di concentrazione delle informazioni.

Per concludere: in prospettiva, il combinato disposto di AI Act e DDL Italiano pone operatori e giuristi di fronte a un nuovo scenario di compliance multilivello in cui l’AI Act funge da fonte generale di tutela normativa e il DDL Italiano, coordinandosi con esso, estende ulteriormente questa tutela ad ulteriori specifiche fattispecie.

Centrale per l’applicazione delle norme sarà il ruolo delle Autorità, nonché degli altri organismi di coordinamento e controllo istituiti dalla legge in commento, che commenteremo in un prossimo articolo