Intelligenza artificiale e normativa UE sul digitale: obiettivi e impatti

Nel 2019 la Commissione Europea presentò una comunicazione, la COM(2021) 118, con cui delineava gli interventi economici, legislativi e di governance da raggiungere entro il 2030 nel settore dell'information technology con l'obiettivo di creare un mercato europeo digitale in quello definito come il decennio dell'Europa digitale (EU's digital decade).

Da quella data, sono state presentate una serie di proposte volte a ridisegnare lo sviluppo di tale settore del continente tutte guidate da un approccio definito “umanocentrico” volto a garantire i diritti dei cittadini soprattutto in termini di libertà di scelta, di sicurezza e protezione, nonché di promuovere l'inclusione e la solidarietà tra gli stessi e la sostenibilità delle soluzioni (principi che vengono cristallizzati nella  Dichiarazione Europea sui diritti e principi digitali per il decennio digitale del 26 gennaio 2022).

L'obiettivo di questo speciale è quello di essere una guida per il lettore in questo insieme di nuove norme, offrendo una mappa del contenuto dei provvedimenti, delle interconnessioni tra gli stessi ed esaminando anche quale sarà il loro impatto per le aziende e per tutti i soggetti che saranno chiamati ad attuarle.

La produzione normativa dalla presentazione della comunicazione è stata, infatti, più che prolifica, essendo volta a disciplinare le condotte sia delle grandi piattaforme ed operatori online sia degli utenti e delle aziende più piccole, in alcuni casi anche a discapito di alcuni principi consolidati (quale quello di neutralità tecnologica) ed in favore di scelte molto nette da parte del legislatore europeo.

Inoltre, a fianco di provvedimenti che si potrebbero definire a carattere strategico, come il Data Governance Act, sono e saranno introdotte nuove previsioni in settori verticali (come il Digital Finance Package) e regolamentazioni di livello più operativo attraverso successivi interventi di “soft law” demandati alla Commissione Europea, alle autorità europee (e nazionali) di controllo o a specifici organismi tecnici.

In tutto ciò si possono notare due direttrici:

1. la prima relativa agli strumenti normativi utilizzati che nella stragrande maggioranza delle regole rivestono la forma regolamentare, con diretta applicabilità degli stessi nei singoli Stati membri. Ciò dimostra la forte volontà uniformatrice da parte delle istituzioni europee, che in tal modo vuole assolutamente evitare in tale settore delle diversità di disciplina all'interno dell'Unione con tutele differenziate e fenomeni di “forum shopping” da parte delle imprese;
2. la seconda linea direttrice è il difficile equilibrio che si sta cercando di realizzare con riferimento alla vigilanza sull'applicazione delle nuove disposizioni, cercando di contemperare la potestà di controllo dei singoli Stati con quella delle istituzioni europee stesse, fornendo alla Commissione dei nuovi poteri di intervento e controllo per le fattispecie più rilevanti.

Tenendo a mente tali profili, lo speciale sulla politica europea sul digitale si concentrerà nell'esame dei testi più rilevanti del settore, avendo particolare considerazione dei seguenti.

Digital Services Act (DSA)

Il Digital Service Act (Regolamento UE n. 2022/2065) è la norma che innova rispetto alla Direttiva e-commerce, volta a disciplinare le attività dei prestatori di servizi intermediari online e delle BigTech, fornendo da una parte maggior tutela ai consumatori e norme per la prevenzione dei rischi sistemici e dall'altra degli strumenti più efficaci per il contrasto delle fake news e comunque dei contenuti illeciti.

In particolare, viene introdotta una distinzione a seconda della tipologia del servizio offerto (trasmissione, memorizzazione e hosting o piattaforma) e con riferimento al numero di utenti che usufruiscono dello stesso (ad oggi fissato in 45 milioni di utenti attivi), introducendo in tale ultimo caso degli obblighi aggiuntivi.

Particolare attenzione, ai fini della tutela della libertà di espressione degli utenti, è rivolta alle attività di content moderation. In in tale ottica viene istituito l'obbligo di prevedere dei meccanismi di avviso e rimozione, nonché di istituire un sistema di reclami interno a cui gli utenti possono rivolgersi per contestare eventuali decisioni adottate dal fornitore di servizi.

La trasparenza dei servizi e degli algoritmi utilizzati per l'indicizzazione dei prodotti e servizi sulla piattaforma è garantita tramite l'obbligo di fornire tali informazioni agli utenti, così come è prevista l'obbligatorietà di fornire determinate informazioni relativamente alla pubblicità presentata sulle piattaforme mentre, per le piattaforme ed i motori di ricerca con più utenti viene introdotto un approccio basato sul rischio, volto a prevenire eventi ad impatto sistemico nell'Unione Europea con obbligo di condurre audit di terze parti.

Tali eventi sistemici riguardano prevalentemente – anche alla luce delle crisi che si sono verificate in questi ultimi anni – situazioni che possono riguardare la salute e la sicurezza pubblica in Europa, e le misure previste dalla normativa sono volte a far sì che i fornitori dei servizi a più alto impatto possano rapidamente adattarsi in situazioni contingenti.

Digital Markets Act (DMA)

Il Digital Markets Act, ossia il Regolamento (UE) n. 2022/1925, è una norma che mira a regolare la concorrenza sui mercati digitali, attraverso un'impostazione innovativa rispetto alla disciplina antitrust tradizionale.

Le norme a tutela della concorrenza, anche europee, fino ad oggi sono dirette a consentire un intervento ex post da parte di un'autorità di controllo, che deve verificare delle situazioni specifiche quali l'abuso di posizione dominante, le concentrazioni, le intese restrittive della concorrenza e fattispecie analoghe che abbiano come effetto quello di ridurre la contendibilità dei mercati. Tali azioni vengono condotte ex-post, ossia in un momento successivo a quello in cui la condotta anticoncorrenziale viene posta in essere.

Il DMA inverte tale meccanismo introducendo una tutela anticipatoria attraverso l'individuazione e designazione di alcuni soggetti quali “gatekeeper”, in ragione della dimensione da essi assunta nei mercati digitali, ed imponendo ai medesimi specifici obblighi per garantire che le loro condotte non alterino i meccanismi concorrenziali e che non vengano sollevate, in ragione di esse, delle barriere all'ingresso dei mercati stessi.

Per ottenere tali risultati vengono imposti una serie di obblighi specifici nei confronti dei gatekeeper, tra cui obblighi di rendere i servizi interoperabili, la messa a disposizione dei dati generati sulle piattaforme, la messa a disposizione di strumenti per monitorare le pubblicità da parte degli inserzionisti, l'eliminazione di meccanismi di lock-in per la promozione di offerte e la conclusione di contratti, obblighi di trattare i servizi erogati dai gatekeeper in maniera paritaria agli altri servizi promossi sulla piattaforma del gatekeeper stesso, consentire ai consumatori di collegarsi ad aziende al di fuori della piattaforma e di disinstallare qualsiasi software o app preinstallata, divieto di tracciare gli utenti al di fuori della piattaforma in assenza di esplicito consenso.

Proprio nel DMA si assiste al meccanismo innovativo in relazione alle attività di vigilanza e controllo sulla condotta degli operatori, dato che il Regolamento prevede che esse siano svolte in via esclusiva dalla Commissione Europea con il venir meno di qualsiasi competenza in materia da parte delle Autorità nazionali.

Data Governance Act (DGA) e Data Act (DA)

Nell'ambito della politica europea del digitale assume una rilevanza particolare quella che è la strategia dei dati. Ciò in quanto per poter competere nel settore della tecnologia è sempre più fondamentale poter accedere ai cd. BigData, ossia a una quantità enorme di informazioni che sono oramai necessarie per sviluppare applicazioni e sistemi che possano effettivamente far adottare decisioni consapevoli ed in alcuni casi rivelano informazioni altrimenti non immediatamente evidenti. Non bisogna poi sottovalutare il fatto che nella “corsa” allo sviluppo di sistemi di intelligenza artificiale la possibilità di poter contare su grandi quantitativi di dati è forse il requisito più importante per poter procedere all'addestramento dei modelli.

È sulla base di queste considerazioni che la Commissione Europea ha presentato a febbraio del 2020 la strategia per i dati con l'obiettivo di incentivare la competitività dei Paesi europei la cd. sovranità dei dati, ossia la creazione di dataset europei per svolgere le attività sopra descritte.

Il Regolamento (UE) n. 2022/868 denominato Data Governance Act formalizza detta strategia, rafforzando l'istituto del riuso dei dati pubblici ed istituendo nuovi soggetti, gli intermediari dei dati, che hanno come finalità proprio quelli di agevolare la reperibilità degli stessi.

Il Regolamento disciplina varie tipologie di dati (sanitari, dati sulla mobilità, dati ambientali, dati agricoli, dati della pubblica amministrazione, etc.) ed incentiva la creazione di sistemi di condivisione degli stessi, i data spaces, attraverso meccanismi di riuso dei dati del settore pubblico, disciplina degli intermediari, introducendo l'istituto della possibilità di condividerli a scopi che siano a beneficio della collettività (il cd. altruismo dei dati”).

Altro tassello della strategia sui dati è il Regolamento (UE) n. 2023/2854, pubblicato nel mese di dicembre 2023, denominato Data Act.

Il provvedimento si pone come un'integrazione del Data Governance Act, dato che quest'ultimo disciplina i processi e le strutture per la condivisione dei dati, mentre il Data Act regola a quali condizioni e chi può creare valore dai dati stessi, al contempo rafforzando anche le tutele per gli utenti.

Il Data Act, infatti, riconosce una serie di diritti per le persone e le imprese andando oltre le previsioni del GDPR e ponendosi, se così si può dire, come norma di chiusura di una serie di ulteriori provvedimenti che erano stati già adottati dal legislatore europeo (come il Regolamento (UE) n. 1150/2019, la direttiva open data, il Regolamento del 2018 sulla libera circolazione dei dati non personali, la direttiva sulle banche dati, etc.).

Il Regolamento disciplina i dati generati dai dispositivi (IoT nonché quelli utilizzati nei servizi cloud ed in generale in tutti i servizi del settore digitale.

Le previsioni aumentano la trasparenza e la certezza circa i soggetti che possono utilizzare i dati che vengono generati dagli utenti, facilitando la loro portabilità (per contrastare fenomeni di lock-in) e stabilendo misure per garantire un equilibrio contrattuale tra le parti, nonché le modalità di accesso da parte dei soggetti pubblici a tali informazioni.

Artificial Intelligence Act (AIA)

La proposta di regolamento sull'intelligenza artificiale ha oramai superato quasi tutto l'iter legislativo e ci si aspetta che venga approvata dal Parlamento europeo entro la fine di questa legislatura (quindi entro giugno 2024).

Si tratta di uno dei primi provvedimenti al mondo volto a regolare, in maniera complessiva e sistematica, i sistemi di artificial intelligenceche sono inquadrati nella normativa sulla sicurezza dei prodotti con un sistema di certificazione analogo a quello già presente in altri settori.

La normativa classifica i sistemi di intelligenza artificiale secondo la rischiosità che essi pongono rispetto ai diritti fondamentali: alcuni sistemi, quindi, sono del tutto vietati, come sistemi di riconoscimento biometrico in luoghi pubblici, sistemi volti a condizionare le scelte delle persone o sistemi di social scoring; altri sistemi vengono definiti ad alto rischio nel momento in cui vengano utilizzati in specifici settori o per particolari applicazioni. La classificazione ad alto rischio determina la necessità di porre in essere una serie di adempimenti aggiuntivi, anche in riferimento ai dataset utilizzati per l'addestramento, prima della loro immissione sul mercato. In conseguenza degli ultimi sviluppi sul mercato dei sistemi di intelligenza artificiale, con il lancio di alcuni modelli generativi, sono state introdotte delle previsioni specifiche per favorire la trasparenza di tali sistemi e per prevenire che i medesimi possano essere utilizzati in modo da far sorgere dei rischi sistemici all'interno dell'Unione Europea.

L'aggiornamento delle regole su identità elettronica e firme elettroniche

Sempre entro lil primo semestre dell'anno in corso dovrebbe vedere la luce l'aggiornamento del Regolamento (UE) n. 2017/910, il cd. Regolamento eIDAS, che disciplina i sistemi di identificazione elettronica nazionali, come lo SPID e la CIE, ed il regime delle firme elettroniche in Europa.

Un'importante novità sarà quella del cd. EUDI Wallet, ossia il wallet europeo che dovrà essere interoperabile in tutti gli Stati membri e sarà utilizzato sia per gestire l'identità digitale dei cittadini sia altre tipologie di documenti o “attributi” degli stessi. Il wallet consentirà anche di gestire delle credenziali private o di poter specificare determine caratteristiche di un soggetto necessarie ad autenticarlo online verso determinati soggetti.

L'aggiornamento del Regolamento eIDAS dovrebbe altresì contenere una regolamentazione della tecnologia blockchain e degli effetti giuridici che sono determinati dal suo utilizzo.

Cybersecurity

Anche in tema di cybersecurity l'Unione Europea è intervenuta attraverso una regolamentazione volta a rafforzare la sicurezza informatica delle istituzioni e di quei soggetti che gestiscono infrastrutture critiche nei Paesi membri.

Il primo tassello è stato il cd. Cybersecurity Act (Regolamento (UE) n. 2019/881) che ha ridisegnato i poteri dell'ENISA introducendo anche dei meccanismi di certificazione. A seguire vi è stata la Direttiva (UE) n. 2016/1148, cd. Direttiva NIS, che ha creato innanzitutto un framework organizzativo, istituendo dei sistemi di condivisioni delle informazioni sui rischi di cybersecurity a livello europeo ed introducendo una serie di obblighi di notifica ed intervento per determinati soggetti. Più recentemente, con l'approvazione della Direttiva (UE) n. 2022/2555 (la cd. NIS 2) tali obblighi saranno estesi, per ampliare il perimetro di sicurezza informatica, e verrà istituito un obbligo di monitoraggio verso i fornitori.

Conclusioni

La rapida rassegna degli atti normativi dell'Unione Europea nell'ambito del digitale fa comprendere come in un breve lasso di tempo siano state introdotte una serie di previsioni nel settore digitale che diventeranno pienamente efficaci nei prossimi anni.

Oltre a quelli sopra citati vi sono stati anche interventi più puntuali in specifici settori, come ad esempio con il Digital Finance Package per il settore finanziario che ha portato all'introduzione del Regolamento cd. DORA, sulla resilienza digitale degli operatori finanziari, del Regolamento MiCa, sul mercato delle cripto-attività, e del Regolamento Pilot, per la sperimentazione della tecnologia blockchain in tali ambiti.

Parallelamente alcuni interventi sono stati svolti in altri contesti, come le modifiche alla cd. Direttiva Copyright, volti non tanto ad una regolamentazione tout court, ma ad innestare nell'ambito della disciplina esistente delle previsioni specifiche per il mondo digitale.

Lo speciale sulla politica europea sul digitale vuole offrire una guida al lettore in questo complesso di norme, dando una chiave di lettura alle molteplici disposizioni fornendo un'analisi sia degli impatti che ciascuna di esse avrà nel settore produttivo italiano e per i professionisti, sia il quadro di insieme per poter comprendere le relazioni tra le stesse e l'orientamento delle istituzioni europee verso i nuovi mercati digitali.