Intelligenza Artificiale: normativa in evoluzione per tenere il passo con la tecnologia
Nell’ultimo anno abbiamo sentito parlare sempre di più di intelligenza artificiale (“AI”), tuttavia non vi è (ancora) una vera e propria normativa specifica applicabile ai sistemi basati su AI e agli sviluppatori/utilizzatori di tali sistemi. Sebbene quindi, su tanti aspetti trovano applicazione leggi e principi generali già esistenti (si citano, ad esempio, la normativa in materia di proprietà intellettuale e industriale), i diversi ordinamenti stanno lavorando a diverse proposte volte a disciplinare nello specifico queste “nuove tecnologie”.
AI Act
La prima proposta, e forse quella più rilevante e in fase di approvazione avanzata, è il c.d. AI Act che è la prima regolamentazione (a livello internazionale) sull’AI volta ad istituire un quadro giuridico uniforme in relazione allo sviluppo, la commercializzazione e l’utilizzo dei sistemi di AI. Più nel dettaglio, il 21 aprile 2021, la Commissione Europea ha presentato al Parlamento Europeo, al Consiglio, al Comitato Economico e Social Europeo e al Comitato delle Regioni una comunicazione volta a promuovere un approccio europeo all’intelligenza artificiale. Lo scopo perseguito dalla Commissione Europeo è infatti quello di regolare l’uso dell’AI, in quanto questa – come evidenziato nella predetta comunicazione – “crea diversi rischi elevati specifici per i quali la normativa esistente è insufficiente”, riconoscendo quindi l’importanza e l’impatto che l’AI ha sul mondo. Da un lato, quindi, la Commissione vuole affrontare i rischi associati all’AI e, dall’altro, promuovere l’adozione di tali sistemi.
In tal senso, la Commissione ha quindi avanzato una proposta di regolamento “che stabilisce regole armonizzato sull’intelligenza artificiale (Legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’Unione”, l’AI Act appunto (o “Regolamento”), che prevede una serie di regole per disciplinare l’uso dell’AI all’interno dell’Unione, affinché le persone – che sono presenti e operano in quel territorio – possano far affidamento sul fatto che queste “nuove tecnologie” verranno utilizzate in modo sicuro e conforme alle leggi vigenti, nonché nel rispetto dei diritti fondamentali dell’uomo.
Prima il Consiglio dell’Unione Europea e, successivamente, il Parlamento Europeo hanno quindi apportato delle modifiche alla proposta di Regolamento della Commissione Europeo, e il 14 giugno 2023 è stato dato avvio ai negoziati con i Paesi dell’Unione Europea (c.d. Trilogo, composto da Commissione Europea, Consiglio dell’Unione Europea e Parlamento Europeo) per la stesura del testo definitivo dell’AI Act. Da ultimo, il 9 dicembre 2023, il Trilogo ha quindi raggiunto un accordo preliminare sul testo dell’AI Act – nonostante le preoccupazioni circa possibili rallentamenti su tale approvazione, emerse verso la metà di novembre, in ragione delle difficoltà nei negoziati tra Spagna da una parte e Francia, Germania e Italia dall’altra con particolare riferimento alla disciplina dei c.d. foundation models.
Si prevede quindi che il Regolamento (il quale, proprio per sua natura, sarà automaticamente e uniformemente applicabile in tutti i Paesi membri dell’Unione Europea) troverà applicazione dopo due anni dalla sua entrata in vigore (salvo eccezioni previste dal testo in merito ad alcune disposizioni).
Ma cosa prevede(rebbe) l’AI Act?
Tra le finalità perseguite dall’AI Act, vi è – oltre quanto sopra anticipato – anche l’intenzione di facilitare lo sviluppo di un mercato unico, e prevenirne di conseguenza l’eventuale frammentazione, in relazione a sistemi di AI leciti, sicuri ed affidabili.
La particolarità di tale Regolamento è però certamente quella di classificare i sistemi di AI con un approccio c.d. risk based. Sono previsti infatti quattro livelli di rischio:
- rischio inaccettabile: per sistemi che sono considerati una minaccia per le persone (ad esempio, in questa categoria sono ricompresi sistemi di AI che utilizzano tecniche manipolative o ingannevoli, che sfruttano le vulnerabilità delle persone, che portano alla creazione di punteggi di credito sociale creando trattamenti sfavorevoli, che usano sistemi di identificazione biometrica remota in tempo reale in spazi pubblici), e pertanto saranno vietati;
- rischio elevato: per sistemi che influiscono in maniera negativa sulla sicurezza e sui diritti fondamentali dell’uomo (ad esempio, sistemi che vengono utilizzati come componenti di sicurezza di un prodotto, che sono essi stessi un prodotto, coperto dalla legislazione UE in materia di salute e sicurezza e, infine, quelli che rientrano nelle espressamente aree elencate nell’allegato III dell’AI Act), i quali dovranno essere valutati e rispettare determinati requisiti per poter essere utilizzati;
- rischio limitato: per sistemi che dovranno rispettare alcuni obblighi di trasparenza per poter essere utilizzati;
- rischio minimo o nullo: per sistemi che, per le loro funzionalità, non presentano particolari criticità e, quindi, potranno essere utilizzati liberamente.
Le disposizioni dell’AI Act si applicano “a) ai fornitori che immettono sul mercato o mettono in servizio sistemi di IA nell’Unione, indipendentemente dal fatto che siano stabiliti nell’Unione o in un paese terzo; b) agli utenti dei sistemi di IA situati nell’Unione; c) ai fornitori e agli operatori di sistemi di IA che hanno il loro luogo di stabilimento o che sono situati in un paese terzo […]”. In altre parole, gli obblighi contenuti nel Regolamento si estenderanno a tutta la catena di produzione che rientrano nella predetta definizione, dai fornitori (ai quali è richiesto di conservare la documentazione tecnica del sistema di AI, assicurandosi che questo sia conforme alle regole stabilite dal Regolamento e, nel caso non lo fosse, di adottare le azioni correttive necessarie e di informare tempestivamente le autorità nazionali di vigilanza degli Stati membri in cui il sistema di AI è stato reso disponibile) agli importatori e distributori (i quali sono ugualmente tenuti a verificare che i soggetti intervenuti prima di loro abbiano seguito tutte le procedure previste e che il sistema di AI sia conforme ai requisiti previsti dal Regolamento).
Il legislatore europeo ha dedicato ampio spazio al tema della trasparenza anche in ragione della diffusione di immagini e video fake che ha seguito il successo dei tools di AI già in commercio: in tal senso quindi, gli utenti che interagiranno con sistemi di AI (come, ad esempio, i chatbot) dovranno essere informati del fatto che stanno interagendo con un sistema di AI, o ancora (in particolare in relazione ai sistemi di AI generativa) bisognerà indicare se i contenuti immessi nello strumento di AI sono protetti ai sensi della normativa applicabile in materia di proprietà intellettuale e industriale, e quindi informare gli utenti che quei contenuti sono stati generati tramite sistemi di AI.
Per avere maggiori certezze, dovremmo comunque aspettare di avere il testo definitivo del Regolamento.
Nel frattempo…
Nell’attesa di avere il testo definito dell’AI Act (e che lo stesso entri in vigore e trovino applicazione le regole definite al suo interno), diverse iniziative sono sorte al fine fornire indicazioni agli operatori che sviluppano o utilizzano sistemi di AI.
A novembre 2023, la Commissione Europea, ad esempio, ha lanciato il patto UE sull’IA, per incoraggiare e sostenere le imprese nella pianificazione anticipata delle misure previste dal predetto regolamento sull’IA. Con questa iniziativa la Commissione chiede un “impegno volontario dell’industria ad anticipare la legge sull’IA e ad avviare l’attuazione dei suoi requisiti prima della scadenza legale”[1]: gli operatori che decidono di aderire dovranno fornire delle dichiarazioni di impegno relative a processi e pratiche adottate per conformarsi alle regole contenute nel Regolamento, nonché garantire che lo sviluppo e l’utilizzo dei sistemi di AI è affidabile. La Commissione Europea prevede di raccogliere e pubblicare gli impegni di questi operatori, con lo scopo di fornire una maggiore visibilità, credibilità e fiducia nei sistemi di AI da quest’ultimi sviluppati e resi disponibili.
Tra le altre iniziative si citano anche il “Codice di Condotta Volontario per gli sviluppatori dell’IA nel contesto del Hiroshima AI Process” sviluppato durante il G7 che si è svolto a fine ottobre 2023, e le “Advertising Industry Principles For The Use Of Generative Ai In Creative Advertising”. In particolare, questi ultimi sono una raccolta di principi che si focalizzano sull’utilizzo dell’AI generativa da parte dei c.d. advertisers e delle agenzie nella creazione di comunicazioni commerciali, redatti dall’Institute of Practitioners in Advertising (IPA) e dall’Incorporated Society of British Advertisers (ISBA) e pubblicate ad ottobre 2023.
Queste iniziative – in generale – promuovono un uso trasparente dei sistemi di AI generativa, incoraggiando anche l’uso di disclaimer, sistemi di etichettatura, watermark, o altre tecniche per consentire agli utenti di identificare i contenuti generati dall’AI.
Infine, anche a livello nazionale il legislatore ha già avviato specifici lavori in materia di AI, in particolare con il disegno di legge italiano n. 917 “Misure della trasparenza dei contenuti generati da intelligenza artificiale” (comunicato alla Presidenza il 19 ottobre 2023) che prevede la necessità di etichettare chiaramente i contenuti generati da AI “dall’inizio alla fine” in modo che sia “facilmente comprensibil(e) agli utenti”, prevedendo in capo all’AGCOM il potere di verificare il rispetto di tale norma nonché di definire il regime sanzionatorio.
Nell’attesa di avere regole chiare e precise relative all’utilizzo di sistema di AI, l’unico riferimento certo, nel rapporto quanto meno con il fornitore di AI scelto, è il contratto che, quindi, andrà redatto o rivisto con massima attenzione. A maggior ragione quando si intende utilizzare questi strumenti (in particolare, con riferimento agli strumenti di AI generativa di grande tendenza in quest’ultimo periodo) per uso professionale, è opportuno prima analizzare attentamente le T&C predisposte dai singoli fornitori, che in larga parte disciplinano gli aspetti maggiormente rilevanti.
Tra questi, se focalizziamo l’attenzione solo sui tools di AI generativa, vi è quello relativo ai diritti di proprietà intellettuale e industriale inerenti o comunque connessi all’uso di tali tool. Infatti, una (delle) criticità da considerare che è quella per cui – in assenza di norme specifiche – questi tools sono “liberi di pescare” dati, informazioni e contenuti necessari per auto-addestrarsi, senza indicare dove e come raccolgono questi dati, queste informazioni e questi contenuti (in alcuni casi, in assenza di qualsivoglia accordo con i titolari dei diritti su quanto precede).
Questo aspetto ci permette di fare alcune considerazioni con riferimento proprio ai diritti di proprietà intellettuale e industriale che attengono tanto la fase di addestramento dell’AI che quella di utilizzo.
Innanzitutto, per funzionare correttamente, l’AI generativa ha la necessità di imparare il più possibile ed è per questo che molti tools in commercio vengono addestrati sulla base sia di contenuti reperibili online che di input o prompt inseriti dagli utilizzatori, nonché di output che i tools generano a fronte di tali input/prompt. Questo implica un utilizzo di diritti molto vasto che riguarda sia i contenuti online (che, anche se pubblici e facilmente accessibili, non vuol dire che non siano tutelati o tutelabili) e dall’altro un utilizzo dei predetti diritti degli utilizzatori (per quanto attiene eventuali input/prompt creativi e i relativi output).
La regola per un corretto utilizzo dei diritti di proprietà intellettuale e industriale di terzi nell’ambito di attività commerciali prevede che è necessario il consenso dei relativi titolari. Se quindi questo aspetto relativo la titolarità dei diritti di proprietà intellettuale e industriale, nonché l’uso che viene fatto degli stessi, può (e viene) disciplinato nei termini e condizioni dei singoli fornitori, è comunque opportuno fare una precisazione. Da un lato, è vero che nelle T&C viene specificato che gli utilizzatori dei tools di AI diventano titolari degli output generati e sono titolari degli input inseriti; dall’altro, è opportuno evidenziare che le T&C dicono poco (se non nulla) in merito alla base di addestramento dei tools. In tal senso, infatti, in molti dei tools contengono delle esclusioni di responsabilità o comunque precisazioni in merito all’assenza di qualsivoglia garanzia circa la presenza delle autorizzazioni necessarie nonché della originalità dei contenuti generati dall’AI.
Ecco, quindi, che si pone un problema di bilanciamento di interessi non di facilissima risoluzione tra i) la necessità, da parte dei fornitori, di ottenere delle licenze d’uso di dati, informazioni e contenuti per addestrare i tools di AI, ii) la difficoltà che tale procedura di richieste di autorizzazioni comporta (si pensi, ad esempio, alla quantità di soggetti che i fornitori dovrebbero contattare, nonché la frammentarietà del mercato in cui tutti questi soggetti operano) e ancora iii) la necessità di remunerare i titolari dei diritti sui dati, informazioni e contenuti per l’uso che ne viene fatto. Per tale criticità, l’AI Act non sembra contenere una soluzione, motivo per cui è auspicabile che si inizi quanto prima a ragionare sul tema a livello quanto più ampio possibile in termini di territori e aziende coinvolte.
Articolo pubblicato il 6 febbraio 2024 dalla rivista Sprint Sistema Proprietà Intellettuale
[1] https://digital-strategy.ec.europa.eu/it/policies/ai-pact