Regolamentazione e rischi collegati all’utilizzo dei sistemi di intelligenza artificiale

Come noto, il 21 aprile 2021 la Commissione Europea finalizzava una proposta di regolamento (di seguito per comodità “Regolamento”) al fine di introdurre un sistema di norme armonizzate per lo sviluppo, immissione e utilizzo di sistemi di intelligenza artificiale “IA” all'interno dell'Unione Europea. In quell’occasione, veniva previsto un “periodo di grazia”, vale a dire un periodo di due anni in cui tutti gli operatori del settore avrebbero avuto il tempo di conformarsi al Regolamento, nonché di adottare decisioni in base alle regole in esso contenute.

Visto il proliferarsi di sistemi di intelligenza artificiale, è lecito domandarsi se durante il citato periodo di grazia gli stessi si siano effettivamente conformati alle norme del Regolamento.

Per rispondere a tale quesito, è necessario anzitutto elencare di seguito i sistemi di intelligenza artificiale specificamente vietati dal Regolamento:

  • quelli che utilizzano tecniche subliminali capaci di distorcere il comportamento di un soggetto;
  • quelli che sfruttano la vulnerabilità di un gruppo specifico di persone;
  • quelli che permettono alle autorità pubbliche di creare una classificazione delle persone basata su un punteggio sociale;
  • quelli che utilizzano sistemi di identificazione biometrica in tempo reale, salvo nei casi previsti dalla legge.

In aggiunta a quanto sopra, la Commissione Europea ha altresì individuato tre tipologie di rischio in relazione al tipo di sistema di intelligenza artificiale in uso che vengono riportate di seguito:

  • “rischio inaccettabile” qualora il sistema di IA sia da considerarsi una minaccia per la sicurezza, i mezzi di sostegno e i diritti individuali; un tale sistema è da ritenersi proibito in base al Regolamento;
  • "alto rischio” qualora i sistemi di IA siano utilizzati in settori che coinvolgono diritti fondamentali dell’uomo; un tale sistema può essere utilizzato e implementato solo adottando una serie precauzioni di cui si parlerà di seguito;
  • “rischio limitato” qualora i sistemi di IA comportino rischi considerati minori, come ad esempio nel campo dei videogiochi, dove vengono imposti unicamente obblighi di trasparenza.

Sulla base di queste dovute premesse, proviamo ad analizzare una fattispecie concreta di intelligenza artificiale – vale a dire la guida autonoma della nota casa automobilistica “Tesla” in relazione alla quale lo Studio ha già pubblicato un articolo - per comprendere se essa sia o meno conforme al Regolamento e, soprattutto, che tipo di rischio potrebbe derivare dal suo utilizzo.

È ragionevole considerare come elevato il rischio che tale sistema di IA potrebbe comportare per il pubblico e ne sono prova gli oltre 700 incidenti provocati dalla stessa al di fuori dell’Unione Europea, con danni sia a persone che a veicoli di terzi.

È altrettanto ragionevole affermare che un sistema di guida autonoma come quello in questione necessiterebbe di una doppia regolamentazione, vale a dire sia le norme del citato Regolamento in relazione all’uso / implementazione del sistema di intelligenza artificiale, sia nuove e precipue regole del codice della strada necessitate dalla circolazione di veicoli senza conducente che comunicano tra di loro attraverso segnali e suoni non comprensibili per l’essere umano (risulta che tale ultima regolamentazione sia già a buon punto in Francia, Germania e Stati Uniti).

Ora, pare ragionevole inquadrare tale sistema di IA c.d. “self-driving car” all’interno della seconda tipologia di rischio, ossia quello ritenuto “alto”; sulla base del Regolamento, questo livello di rischio richiede al produttore di tale sistema di intelligenza artificiale (“Tesla”) di svolgere una preliminare valutazione di conformità del sistema nonché di fornire una dettagliata analisi dei relativi rischi, il tutto mediante una serie di test che dovranno dimostrare la totale assenza di errori di tali sistemi. In aggiunta, l’art. 10 del Regolamento prevede un ulteriore obbligo a carico dell’azienda utilizzatrice del sistema di IA riguardante la corretta conservazione e governance dei dati degli utenti trattati dai sistemi in questione.

Il Regolamento in esame prevede dunque una serie di requisiti e obblighi piuttosto rigidi che, ad opinione di chi scrive, saranno difficilmente soddisfatti da parte dei sistemi di intelligenza artificiale oggi in circolazione e, difatti, non sono mancate le critiche da parte di coloro che auspicano l’introduzione di criteri meno stringenti in modo da facilitare un maggior utilizzo di tali sistemi.

Un altro esempio concreto di intelligenza artificiale, di cui abbiamo già parlato nell’articolo dello scorso mese, è ChatGPT che in Italia è stata bloccata dal Garante della Privacy per inosservanza delle norme europee sui dati personali.

Proprio ChatGPT dimostra come sia alquanto complesso inquadrare e classificare i diversi dispositivi di intelligenza artificiale pur applicando i criteri e principi definiti dal Regolamento. Difatti, ad una prima e superficiale analisi, ChatGPT potrebbe rientrare nei sistemi di IA con un rischio minore (terzo livello) in quanto non sembra coinvolgere diritti fondamentali.

C’è tuttavia da domandarsi se questo sia valido anche qualora si chiedesse all’applicazione ChatGPT di rintracciare e divulgare i dati di una persona ovvero di predisporre un saggio ovvero ancora di rielaborare un’opera protetta dal diritto d’autore.

La risposta a tale quesito non potrà che essere negativa, atteso che tale utilizzo dell’applicazione in esame rischierebbe di violare non solo i diritti fondamentali relativi alla protezione dei dati personali di ciascun individuo ma anche quelli appartenenti agli autori delle opere protette dal diritto d’autore. Tutto questo ci impone di classificare ChatGPT nella categoria dei sistemi IA ad “alto rischio”, con tutte le conseguenze che ne derivano.

Sotto questo profilo, bisogna inoltre evidenziare che il Regolamento prevede severi controlli in relazione ai sistemi di IA ad “alto rischio”, nonché l’applicazione di sanzioni amministrative che possono arrivare fino a 30 milioni di euro ovvero al 6% di fatturato dell’azienda interessata. Non è tuttavia chiaro, o comunque non è stato ancora individuato, quale sarà l’organo deputato a svolgere i controlli circa il rispetto delle norme del Regolamento.

In conclusione e sulla base delle considerazioni svolte sopra, chi scrive ritiene opportuno che in fase di approvazione definitiva del Regolamento vengano meglio definiti i principi e criteri per la classificazione dei vari sistemi di intelligenza artificiale in quanto attualmente troppo generici e spesso insufficienti a classificare correttamente i sistemi di IA più complessi (tra i quali “ChatGPT”).

È inoltre auspicabile che venga creata ed istituita un’autorità indipendente ed imparziale per ciascuno stato membro capace di svolgere la funzione di controllo e verifica di corretta applicazione delle norme del Regolamento al fine di una migliore tutela dei diritti fondamentali dei singoli individui.


L’intelligenza artificiale viaggia veloce con il pilota automatico

Guida autonoma, profilazione, social scoring, bias, chatbot e riconoscimento biometrico sono alcuni dei termini entrati nella nostra quotidianità. Essi si riferiscono alle tecnologie di intelligenza artificiale (“IA”), vale a dire le abilità di una macchina di mostrare capacità umane quali il ragionamento, l’apprendimento, la pianificazione e la creatività[1]. Oggi più che mai l’IA ha un forte impatto sulle persone e la loro sicurezza. Si pensi solamente al caso che ha coinvolto in Australia il conducente della vettura Tesla “Model 3” che ha investito un’infermiera di 26 anni[2] con il pilota automatico attivo.

In relazione al tragico episodio poc’anzi descritto viene spontaneo domandarsi chi debba rispondere delle gravi condizioni della povera infermiera. Il conducente, nonostante non fosse tecnicamente al volante al momento dell’incidente? Il produttore dell’autovettura che concretamente ha investito l’infermiera? O ancora il produttore / sviluppatore del software che fornisce le istruzioni all’autovettura su come comportarsi quando sul proprio tragitto compare un essere umano?

Per il momento il conducente dell’autovettura – pur essendo stato rilasciato dalle autorità mediante versamento di una cauzione – è stato accusato di aver causato il sinistro stradale. Ciò non toglie che – qualora tale accusa verrà confermata all’esito del processo che è ancora pendente – il conducente avrà poi il diritto di rivalersi per gli eventuali danni sul produttore / sviluppatore di IA.

Il caso poc’anzi descritto merita certamente un approfondimento, specialmente per quanto concerne il panorama europeo in tema di intelligenza artificiale.

È bene da subito evidenziare che, malgrado il progressivo aumento dell’IA nei più disparati ambiti della nostra vita quotidiana[3], ad oggi manca una legge, direttiva o regolamento relativa alla responsabilità civile derivante dall’utilizzo dell’IA.

A livello UE, la Commissione Europea sembra aver per prima affrontato seriamente il tema della responsabilità civile derivante da sistemi di intelligenza artificiale ed averne evidenziato la lacunosità della relativa disciplina, pubblicando, tra le altre cose, una proposta di Regolamento che stabilisce regole armonizzate sull’IA[4].

Da tale proposta di Regolamento si ricavano, anche per analogia, tre diverse definizioni di responsabilità civile: responsabilità da prodotto difettoso, responsabilità del produttore e responsabilità vicaria.

Nel caso in esame rileva la responsabilità da prodotto difettoso, che muove dall’assunto secondo cui la macchina è priva di personalità giuridica[5].

Dunque, com’è ovvio, qualora un sistema di IA cagioni un danno a terzi, la responsabilità dello stesso dovrà essere imputata al produttore della stessa e non invece al dispositivo / sistema che la utilizza.

Tornando al caso in esame, spetterebbe dunque allo sviluppatore del sistema di IA (i.e. l’azienda americana Tesla) risarcire l’infermiera ferita, qualora quest’ultima sia in grado di provare il nesso fra danno / lesioni causate e il difetto del sistema di IA. Dal canto suo, lo sviluppatore del sistema di IA potrebbe escludere il danno solo qualora sia in grado di provare il c.d. “rischio da sviluppo”, vale a dire fornire la prova che il difetto riscontrato era totalmente imprevedibile sulla base delle circostanze e modalità in cui è avvenuto l’incidente.

Taluni hanno osservato sul punto che il produttore sarebbe in realtà in grado di controllare il sistema di IA a distanza e prevedere, grazie agli algoritmi, condotte non programmate al momento della sua commercializzazione[6]. Peraltro, come sappiamo, gli algoritmi presenti nei sistemi di IA installati nelle autovetture sono in grado di raccogliere nel tempo informazioni e quindi auto apprendere e studiare particolari condotte e/o movimenti degli esseri umani, riducendo sempre più il rischio di incidenti.

Sotto questo profilo, il produttore avrebbe quindi un onere ancora più stringente per escludere ogni ipotesi di responsabilità e cioè quello di dimostrare di aver adottato tutte le misure di sicurezza idonee ad evitare il danno.

A tal proposito, il Parlamento europeo ha peraltro elaborato la “Risoluzione recante raccomandazioni alla Commissione su un regime di responsabilità civile per l'intelligenza artificiale” che introduce la categoria delle cd. “IA ad alto rischio”, ossia quei sistemi di intelligenza artificiale operanti in contesti sociali particolari quali, ad esempio, l’educazione, ovvero quelle tecnologie che raccolgono dati particolari (come avviene nel caso del riconoscimento biometrico), la selezione del personale (che rischierebbe di ricadere nel social scoring o in altri atti discriminatori) o, ancora, le tecnologie usate nell’ambito della sicurezza e della giustizia (attraverso le quali potrebbe verificarsi il rischio di bias: pregiudizi della macchina sul soggetto giudicato). È stato osservato che per tali sistemi di “IA ad alto rischio” sussiste in caso di evento dannoso una responsabilità oggettiva del produttore, salvo che quest’ultimo sia in grado di dimostrare la sussistenza di un caso di forza maggiore.

In conclusione, malgrado i primi sforzi profusi da parte prima della Commissione e poi dal Parlamento Europeo in merito alla disciplina dei sistemi di IA, restano numerosi interrogativi ancora da risolvere in merito ai profili di responsabilità ad essi connessi.

Ad esempio, bisognerebbe meglio comprendere come vadano inquadrati e disciplinati i sistemi di IA non ritenuti ad “alto rischio”, quali appunto quelli di guida autonoma di cui si è discusso nel presente articolo. O ancora, quale soglia di responsabilità applicare se in un futuro non lontano un dispositivo di IA potrà essere equiparato, quanto a capacità di ragionamento, ad un essere umano (come di recente rivendicato da un dipendente di Google in riferimento al suo sistema di IA[7]).

Certo è che, come spesso capita per qualsiasi innovazione tecnologica, solo una significativa integrazione e adozione nella nostra società dei sistemi di intelligenza artificiale riuscirà a delineare ipotesi concrete di responsabilità e applicabili in contesti di ordinaria operatività.

Si auspica in ogni caso che il citato Regolamento – la cui data di entrata in vigore non è ancora nota – riuscirà a fornire una disciplina che sia più completa possibile e che riduca soprattutto i rischi e le responsabilità degli utilizzatori dei sistemi di IA ed aumenti, dall’altra parte, gli oneri a carico dei costruttori degli stessi per garantirne la sicurezza.

[1] https://www.europarl.europa.eu/news/it/headlines/society/20200827STO85804/che-cos-e-l-intelligenza-artificiale-e-come-viene-usata
[2] https://www.drive.com.au/news/melbourne-hit-and-run-blamed-on-tesla-autopilot-could-set-legal-precedent-for-new-tech/
[3] Considerando (2), Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[4] Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[5] Barbara Barbarino, Intelligenza artificiale e responsabilità civile. Tocca all’Ue, Formiche.net, 15/05/2022
[6] Ut supra nota 5
[7] https://www.theguardian.com/technology/2022/jun/12/google-engineer-ai-bot-sentient-blake-lemoine


Accordo UE - Regno Unito (cd. “Brexit”): la nascita del “marchio equiparabile”

Come noto, in data 24 dicembre 2020 l’Unione Europea e il Regno Unito hanno raggiunto un accordo per la disciplina delle loro future relazioni commerciali a seguito della “Brexit”.

Tale accordo sancisce la definitiva separazione dell’ordinamento giuridico britannico da quello europeo, con la conseguenza che a decorrere dalla sua entrata in vigore (i.e. 1 gennaio 2021, cioè la fine del periodo di transizione) non si applicheranno più al Regno Unito le norme di diritto europeo, comprese quelle relative ai diritti di proprietà intellettuale e industriale.

Al fine di garantire una transizione ordinata verso il nuovo regime giuridico, la Commissione Europea ha quindi pubblicato una serie di “Notices of Withdrawal” (relativi ai principali settori dell’economia europea) nei quali vengono illustrate le principali conseguenze pratiche per i titolari dei diritti di proprietà intellettuale e industriale.

In particolare, la Notice relativa ai marchi precisa, tra le altre cose, che il titolare di un marchio UE registrato prima del 1 gennaio 2021 diventerà automaticamente titolare di un “marchio equiparabile” nel Regno Unito, registrato e opponibile nel Regno Unito secondo il diritto di tale Stato.

Tale nozione di “marchio equiparabile” risulta nuova nel panorama dei diritti IP, in quanto specificamente introdotta per tutelare coloro che prima dell’intervenuto recesso del Regno Unito dall’Unione Europea avevano ottenuto la tutela del proprio marchio UE i cui effetti, in quel momento, si estendevano anche al territorio britannico.

Consapevole della novità di tale istituto giuridico, la Commissione Europea nella medesima Notice ha chiarito in particolare che tale marchio “equiparabile”:

      1. consiste nello stesso segno oggetto della registrazione UE;
      2. reca la stessa data di deposito o la stessa data di priorità del marchio UE e, se del caso, si avvale della preesistenza di un marchio del Regno Unito rivendicata dal titolare;
      3. consente al titolare del marchio UE divenuto notorio prima del 1 gennaio 2021 di esercitare nel Regno Unito diritti equivalenti;
      4. non può essere dichiarato decaduto in ragione del fatto che il marchio UE corrispondente non è stato oggetto di un uso effettivo nel territorio del Regno Unito prima della fine del periodo di transizione;
      5. viene dichiarato nullo o decaduto o annullato se il corrispondente marchio UE è stato oggetto di decisioni in tal senso in esito ad un procedimento amministrativo o giudiziario nell’Unione Europea che risultava ancora pendente prima del 1 gennaio 2021 (in data successiva alla “clonazione”).

Il Governo britannico ha confermato che sarà l’ufficio competente del Regno Unito a provvedere gratuitamente alla clonazione (“cloning”) del marchio UE nel Regno Unito, ove diverrà “marchio equiparabile”. Non è peraltro richiesto ai titolari dei marchi UE di presentare alcuna domanda, né di attivare alcuna procedura amministrativa nel Regno Unito, né di avere un recapito postale nel Regno Unito per i tre anni successivi alla fine del periodo di transizione.

Nonostante la puntuale descrizione delle caratteristiche principali del nuovo “marchio equiparabile”, sussistono – com’è inevitabile che sia – alcune incertezze relative all’applicazione concreta di tale istituto.

In particolare, desta perplessità la persistente dipendenza del “marchio equiparabile” rispetto alle vicende amministrative o giudiziarie europee (punto e) di cui sopra) che, in modo decisamente contraddittorio, parrebbe negare la più volte asserita autonomia del Regno Unito rispetto alle leggi e regole europee.

Evidentemente consapevoli dell’esistenza di tale contraddizione, la Notice precisa (in una mera nota a piè di pagina) che le parti hanno riconosciuto al Regno Unito il potere di non “dichiarare nullo o decaduto il corrispondente diritto nel suo territorio qualora i motivi di nullità o decadenza del marchio dell’Unione Europea … non si applichino nel Regno Unito”. Tramite questa nota sembra dunque che venga conferito al Regno Unito il potere di non conformarsi alle decisioni UE.

Non è tuttavia chiaro chi debba prevalere in questa “contesa”: l’esito invalidante del procedimento europeo oppure il potere britannico di negare gli effetti della decisione europea?

Inoltre, qualora il procedimento europeo - ancorché avviato prima della fine del periodo di transizione - dovesse durare diversi anni, come dovrebbe comportarsi il titolare del marchio “clonato” nel Regno Unito? Ed ancora, come si concilia l’esistenza del “marchio equiparabile” – contemporaneamente soggetto alla giurisdizione europea e a quella britannica – con il noto principio di territorialità applicabile al mondo dei marchi?

La situazione appare quindi incerta e chi scrive non esclude che ulteriori questioni relative al nuovo “marchio equiparabile” possano in futuro formare oggetto di accesa discussione da parte degli operatori del settore IP.

Il tema è dirimente perché riguarda non solo i diritti acquisiti (che il Governo britannico si è impegnato a tutelare), ma anche i futuri rapporti politici fra l’UE e il Regno Unito, ed è interessante a tal riguardo notare come anche una questione apparentemente innocua, relativa al diritto dei marchi, sveli la fragilità di un accordo formalmente commerciale ma nella sostanza prevalentemente politico.

Alla luce di tutto quanto sopra, sembra che l’UE e il Regno Unito abbiano scelto di percorrere la via più semplice per garantire ai titolari di marchi UE una transizione ordinata verso il nuovo regime giuridico imposto dalla Brexit; dall’altra parte, tale via pone diversi interrogativi di natura giuridica, alcuni dei quali anticipati sopra, che rendono ancora incerta l’applicazione concreta del nuovo marchio “ibrido britannico”.

Da ultimo, non si può neppure ignorare come tale nuovo istituto giuridico possa rappresentare un interessante precedente qualora altri Stati Membri decidano in futuro di abbandonare l’Unione Europea. In tal senso, ci troviamo di fronte ad un istituto senz’altro interessante sotto il profilo giuridico, ma potenzialmente “pericoloso” dal punto di vista politico e quindi da tenere monitorato attentamente negli anni a venire.