Artificial Intelligence Act, con il voto del Coreper il tempo dei cambiamenti è finito
Con il voto del Coreper del 2 febbraio 2024 gli Stati membri dell'UE hanno approvato formalmente e definitivamente il testo dell'AI ACT concordato dal trilogo del 6 dicembre 2023 . Si tratta di un evento estremamente importante per il percorso legislativo dell'AI ACT poiché solo ora si può finalmente dire che le negoziazioni sul testo sono definitivamente chiuse . I prossimi passaggi procedurali, ovvero l'approvazione da parte del Parlamento Europeo (in Commissione e in Aula, quest'ultima prevista nell'aprile 2024) e la successiva pubblicazione del testo sulla Gazzetta Ufficiale, appaiono passaggi evidenti o meramente formali, dato che non vi sono dubbi sulla volontà del Parlamento europeo di confermare il testo così com'è. Il tempo dei cambiamenti è quindi finito .
(Nella foto: Innocenzo Genna, esperto di regolamentazione e politica digitale europea)
È ora possibile effettuare una prima valutazione di come il legislatore europeo abbia inteso disciplinare i cosiddetti “foundation models”, ovvero la categoria di prodotti di IA divenuta nota nel corso della negoziazione del regolamento, grazie all’emergere di applicazioni di IA generativa molto diffuse ad esempio Chat GPT.
La popolarità di tali applicazioni e il loro potenziale impatto sulla società e sulla democrazia hanno attirato l’attenzione dei legislatori e hanno portato al dibattito se i modelli di base, che costituivano il background informatico di tali applicazioni, dovessero essere regolamentati o meno. Mentre alcuni autori ritengono che la regolamentazione debba applicarsi solo ai prodotti immessi sul mercato (i sistemi di intelligenza artificiale, le applicazioni) altri ritengono che debba essere regolamentata l’intera catena di produzione , compresi i Foundation Models che possono essere considerati, per analogia con il settore delle telecomunicazioni , una sorta di componente all'ingrosso .
Il dibattito si è acceso nel trilogo, poiché la proposta della Commissione (datata aprile 2021) non affrontava in modo preciso la questione. Il modo in cui regolamentare i modelli di fondazione è diventato molto controverso, con la conseguenza che il disaccordo tra i colegislatori ha rischiato di far deragliare l'intero atto fino all'ultimo minuto (e nonostante l'accordo politico trovato nel trilogo). È noto, infatti, che Francia e Germania avrebbero preferito un quadro normativo molto più leggero rispetto a quello proposto da Parlamento e Commissione.
Per questa valutazione preliminare ci baseremo su testi pubblicati sulla stampa come leak (in particolare: Euractiv).
1. Nome e definizione - I Foundation Model sono ora definiti dall’AI ACT come “Modelli AI per scopi generali” (“Modelli GPAI”). In sintesi, possono essere definiti come modelli informatici che, attraverso l’addestramento su una grande quantità di dati, possono essere utilizzati per una varietà di compiti, singolarmente o inseriti come componenti in un sistema di intelligenza artificiale. La definizione giuridica dell’AI ACT, tuttavia, è più complessa e non mancherà certamente di sollevare eccezioni (se non addirittura ricorsi giurisdizionali davanti alla Corte UE), poiché può essere interpretata in modo tale da includere potenzialmente una vasta gamma di casistiche tecnologiche:
“ Per modello GPAI si intende un modello di intelligenza artificiale, anche quando addestrato con una grande quantità di dati utilizzando l'autosupervisione su larga scala, che mostra una generalità significativa ed è in grado di eseguire con competenza un'ampia gamma di compiti distinti indipendentemente dal modo in cui il modello è posizionato sul mercato. mercato e che può essere integrato in una varietà di sistemi o applicazioni a valle. Ciò non copre i modelli di IA che vengono utilizzati prima del rilascio sul mercato per attività di ricerca, sviluppo e prototipazione ”.
D’altro canto siamo di fronte ad un settore dove rappresentare le realtà tecnologiche attraverso semplici definizioni giuridiche è molto difficile. Una definizione più ristretta sarebbe stata problematica e impugnabile per altri motivi e in ogni caso.
2. Categorie di modelli GPAI - L’AI ACT identifica due categorie di modelli GPAI: modelli GPAI generici e modelli GPAI “sistemici”. Questi ultimi sono modelli che, in virtù dei “rischi sistemici” che possono comportare a livello europeo, sono soggetti a una regolamentazione più pervasiva rispetto a quelli generici. Da notare che Francia e Germania, con un non-paper presentato nel novembre 2023, avevano proposto un’unica categoria di modello di fondazione, soggetta fondamentalmente all’autoregolamentazione da parte degli stessi operatori. La Commissione ha invece risposto con un sistema normativo “scalare” , basato su una distinzione tra operatori generici e sistemici probabilmente mutuata dal Digital Service Act (“DSA”), disciplina dove le piattaforme più grandi (le cosiddette VLOP ) sono di fatto soggette a norme più severe a causa dei rischi sistemici ad esse associati.
Tuttavia, mentre nel caso della DSA l’impostazione dei parametri (fatturato, numero di utenti) per l’individuazione delle VLOP non è risultata troppo problematica considerando il consolidato scenario tecnologico e di mercato delle piattaforme online, la stessa operazione è apparsa più problematica nel caso dell’AI ACT , dove gli attori tecnologici e il loro impatto sul mercato sono ancora un fenomeno abbastanza nuovo.
L’AI ACT, infine, affida la designazione dei modelli sistemici GPAI a una procedura gestita dalla sola Commissione, che agisce sulla base di criteri abbastanza vaghi indicati nel regolamento e che possono essere adattati dalla Commissione stessa nel tempo.
Cos’è infatti un rischio sistemico a livello europeo? L’AI ACT lo spiega con una definizione un po’ tautologica:
""rischio sistemico a livello di Unione": un rischio specifico delle capacità ad alto impatto dei modelli di IA di carattere generale, che ha un impatto significativo sul mercato interno a causa della sua portata e con effetti negativi effettivi o ragionevolmente prevedibili sul pubblico salute, sicurezza, pubblica sicurezza, diritti fondamentali o la società nel suo complesso, che possono essere propagati su larga scala lungo tutta la catena del valore ”.
Che si tratti di una tautologia lo si vede anche dal concetto di “capacità ad alto impatto”, ovvero la caratteristica più significativa per valutare se una GPAI è sistemica o meno:
per "capacità ad alto impatto" nei modelli di IA per uso generale si intendono capacità che corrispondono o superano le capacità registrate nei modelli di IA per uso generale più avanzati;
In altre parole, siamo in un campo in cui la Commissione, che ha il compito di individuare, attraverso l’Ufficio AI, i modelli sistemici GPAI, avrà un potere altamente discrezionale e quindi preponderante . Sarà quindi in grado di condurre una vera politica industriale, semplicemente decidendo quali GPAI possono essere designate come sistemiche e quali no.
Inoltre, l’AI ACT indica anche un criterio quantitativo, basato sulla capacità computazionale del modello, per identificare i rischi sistemici:
" quando la quantità cumulativa di calcolo utilizzata per l'addestramento misurata in operazioni in virgola mobile (FLOP) è maggiore di 10^25".
Si tratta tuttavia di una semplice presunzione, che può essere superata sia in positivo che in negativo, a discrezione della Commissione stessa. D’altro canto, è diffusa la convinzione che in futuro la potenza dei modelli GPAI non dipenderà necessariamente solo dalla potenza di calcolo.
3. Regolazione dei modelli GPAI di base - Durante il processo legislativo, Consiglio e Parlamento hanno mostrato approcci diversi su come regolamentare i modelli di fondazione: mentre il Consiglio ha preferito un quadro più leggero (che consente regole più rigorose a seguito di un'analisi della Commissione), il Parlamento ha insistito fin dal primo momento su regole più rigorose. La diversa definizione utilizzata da Consiglio e Parlamento ha creato qualche incertezza sulla reale distanza tra i due approcci normativi.
Il testo finale dell'AI ACT è ora più chiaro e preciso. I modelli GPAI generici sono soggetti a meri obblighi di trasparenza , consistenti nel garantire la disponibilità della documentazione tecnica che renda comprensibile il loro funzionamento (anche in relazione al processo di formazione dei dati) all'Ufficio AI nonché ai terzi che intendano integrare il modello in i loro sistemi di intelligenza artificiale. Si tratta di una regolamentazione ragionevole che di per sé non dovrebbe costituire un ostacolo significativo allo sviluppo dei modelli.
Vi è inoltre l'obbligo di fornire una politica volta al rispetto della normativa sul diritto d'autore . Non è stata quindi presa una decisione definitiva se l'uso di dati protetti da diritto d'autore possa comportare l'obbligo di remunerare i titolari dei diritti, come alcuni di loro chiedono a gran voce. Questa decisione dovrà essere presa in futuro come parte di una possibile riflessione o revisione della legislazione europea sul diritto d'autore. Al momento, tuttavia, si può affermare che l’obbligo per i modelli GPAI di stabilire una policy a tal fine indica che il tema è meritevole di rilevanza.
Si noti che nel caso dei modelli GPAI con licenza libera e aperta è prevista una regolamentazione più leggera , a meno che non siano “sistemici”. Pertanto, se gli obblighi sono applicabili alle fattispecie open source, si pone il problema di individuare il soggetto obbligato , dato che talvolta ci troviamo di fronte ad una comunità piuttosto che ad uno specifico fornitore.
4. Regolazione dei modelli sistemici GPAI - I modelli GPAI sistemici sono soggetti agli stessi obblighi dei modelli GPAI di base, più altri obblighi aggiuntivi che danno luogo, nel complesso, a una regolamentazione più pervasiva . Essi, infatti, devono: (a) effettuare la valutazione del modello secondo protocolli e strumenti standardizzati che riflettano lo stato dell'arte, inclusa la conduzione e la documentazione di “test contraddittori” al fine di identificare e mitigare il rischio sistemico; (b) valutare e attenuare i possibili rischi sistemici a livello di Unione, comprese le loro fonti, che potrebbero derivare dallo sviluppo, dall'immissione sul mercato o dall'uso di modelli di IA di carattere generale con rischio sistemico; c) traccia, documenta e segnala senza indebito ritardo all'Ufficio AI e, se del caso, alle autorità nazionali competenti, le informazioni pertinenti sugli incidenti gravi e le possibili misure correttive per affrontarli; (d) garantire un adeguato livello di protezione della sicurezza informatica relativo al modello e alla sua infrastruttura fisica.
La questione è se tale regolamentazione sia così pervasiva da concretizzare il pericoloso ostacolo allo sviluppo di modelli di fondazione europei paventato da alcuni governi, in particolare dalla Francia. Naturalmente, sarà importante il modo in cui la Commissione valuterà questi obblighi. Ad esempio, nel caso del “test contraddittorio”, sarà rilevante la discrezionalità dell'Ufficio AI nel considerare sufficiente il processo di test. Per quanto riguarda gli incidenti, bisognerà capire se il modello GPAI dovrà essere in grado di riportare tutte le informazioni riguardanti i sistemi di AI su di esso basati (visto che normalmente si tratta di aziende diverse).
5. Codici di condotta - AI ACT prevede che, in attesa della pubblicazione di norme europee armonizzate, entrambe le categorie di modelli GPAI, generici e sistemici, possano avvalersi di “codici di condotta” per dimostrare il rispetto dei propri obblighi. Per “codici di condotta” intendiamo documenti tecnici che riportano gli standard di un settore tecnologico.
Il rispetto dei codici costituisce una mera presunzione di rispetto degli obblighi previsti dalla legge sull'AI.
L'elaborazione dei codici da parte delle imprese è incentivata e supervisionata dall'Ufficio AI, che si avvale anche della collaborazione del Consiglio AI (quest'ultimo è l'organismo dove siedono i rappresentanti degli Stati membri). Possono essere coinvolte le autorità nazionali ed è previsto anche il “supporto” delle parti interessate e degli esperti.
Non è necessario un accordo formale dell’Ufficio AI sul testo del codice, anche se il sistema lascia intendere che, in caso di contestazione di tale ufficio, il valore del codice verrebbe di fatto sminuito, poiché prevede una mera presunzione di conformità agli obblighi del regolamento. Pertanto, affinché il codice abbia gli effetti auspicati dall'industria, è effettivamente necessario che sia supportato dall'Ufficio AI. La capacità degli Stati membri di condividere questo potere con l'Ufficio AI è delegata al Consiglio e la sua capacità di collaborare con tale ufficio.
Tuttavia, è possibile l'approvazione formale da parte dell'Ufficio AI per rendere il codice valido in tutta l'Unione Europea. In questo caso è previsto un atto attuativo da parte della Commissione, da adottare con l'approvazione degli Stati membri (AI ACT fa riferimento all'art. 5 del regolamento europeo 182/2011 sulle procedure di comitatologia).
La violazione dei codici di condotta equivale a violazione degli obblighi della legge AI e come tale comporta l'irrogazione di sanzioni secondo un sistema misto (sanzioni in parte definite dalla normativa stessa, in parte delegate allo Stato membro).
6. Modelli GPAI integrati verticalmente - Sorprendentemente, l'AI ACT regola specificamente i casi di integrazione verticale, vale a dire quando esiste identità tra il fornitore di GPAI e l'utilizzatore del relativo sistema di IA. In questo caso, l’Ufficio AI opera come autorità di vigilanza del mercato, sostituendosi alla competenza delle autorità nazionali.
7. Conclusioni - In conclusione, non vi è dubbio che la Commissione abbia assunto un ruolo di primo piano nella trattazione dei Foundation Models nell’AI ACT, essendole stato riconosciuto, direttamente o tramite l’AI Office, un formidabile potere non solo nella regolamentazione e nell’attuazione, ma anche nella reale politica industriale del settore. In particolare, la Commissione gode di competenza esclusiva, e di ampia discrezionalità, nella fase “esecutiva” del sistema, ossia nell'individuazione dei modelli sistemici GPAI e nella successiva applicazione della regolamentazione.
Un maggiore controllo da parte degli Stati membri sembra invece avvenire per quanto riguarda l'adeguamento sia degli obblighi gravanti sui modelli in generale, sia sui parametri per la designazione dei modelli sistemici. L'AI Act si riferisce infatti ad atti, sia esecutivi che delegati, che la Commissione può adottare sulla base di procedure che dovrebbero comportare un certo coinvolgimento del Parlamento e del Consiglio.