Il regolamento europeo in materia di Intelligenza Artificiale
Lo scorso 12 luglio è stato pubblicato nella Gazzetta Ufficiale dell’Unione europea il Regolamento UE 2024/1689 del 13 giugno 2024 “che stabilisce regole armonizzate sull’intelligenza artificiale”, meglio noto come Artificial Intelligence Act (AI Act).
Da molti assimilato alle diverse norme eurounitarie afferenti all’ambito della sicurezza dei prodotti, il Regolamento rappresenta il primo tentativo di definire un quadro normativo armonizzato cui dovranno adeguarsi gli operatori – europei e non – che sviluppano, mettono in servizio e/o utilizzano sistemi di IA destinati al mercato europeo, stabilendo altresì regole in materia di vigilanza del mercato.
Adottando un approccio definito “risk-based”, il Regolamento, in particolare, categorizza i sistemi di IA a seconda del livello di rischio a essi connesso (inteso, il “rischio”, come “la combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso”), e riserva gran parte delle proprie norme – oltre alle “pratiche di IA” vietate in quanto comportanti un rischio eccessivamente elevato e ai modelli di IA per finalità generali – ai sistemi di IA reputati ad alto rischio, in quanto maggiormente suscettibili di incidere su diritti fondamentali delle persone, sul processo democratico, sulla salute, sulla sicurezza e sulle libertà individuali.
Le norme sull’IA "high-risk" e l’impatto del Regolamento sul settore sanitario
Non sorprende, dunque, che il Regolamento ricomprenda nel novero dei sistemi di IA ad alto rischio anche quelli destinati a essere impiegati in ambito sanitario. In particolare, l’art. 6 dell’AI Act include tra i sistemi di IA reputati "high-risk" quelli che costituiscono prodotti, o componenti di prodotti, già soggetti a valutazione preventiva di conformità ai sensi delle norme eurounitarie elencate all’Allegato I del Regolamento; ove tra esse è espressamente ricompreso anche il Regolamento UE 2017/745 in materia di dispositivi medici, nonché il Regolamento UE 2017/746 concernente i dispositivi medici in vitro.
L’inclusione dei sistemi di IA destinati all’impiego in ambito medico tra quelli classificati come ad alto rischio non è priva di anche significative implicazioni per gli operatori del settore, con riferimento sia ai produttori di tali sistemi, sia ai loro distributori e rivenditori, sia ai loro “deployer”. Con tale locuzione, in particolare, il Regolamento (art. 3) designa chiunque (persona fisica o giuridica) utilizzi un sistema di IA nell’ambito di un’attività lato sensu “professionale”; definizione, quest’ultima, che ben potrebbe applicarsi sia alle strutture sanitarie (pubbliche e private), sia ai singoli esercenti la professione medica, ove si avvalgano nella propria attività – diagnostica come terapeutica o chirurgica – di sistemi di IA qualificabili come dispositivi medici (o loro componenti).
A seconda del proprio ruolo, pertanto, tali soggetti saranno chiamati a conformarsi alle specifiche previsioni alle quali il Regolamento assoggetta la produzione e l’impiego di sistemi “ad alto rischio”, tra cui, a titolo esemplificativo:
- all’obbligo di adozione di un anche articolato “sistema di gestione del rischio”;
- al dovere di garantire elevati standard di qualità dei dati impiegati per addestrare il sistema di IA;
- a specifici obblighi di trasparenza e trasmissione delle informazioni concernenti il sistema stesso, al fine di limitare i rischi connessi alla sua potenziale “opacità”;
- al dovere di adottare misure di sorveglianza umana del funzionamento del sistema di IA, nonché di garantirne idonei livelli di accuratezza, robustezza e cybersicurezza.
Inoltre, la classificazione come “ad alto rischio” dei sistemi di IA impiegati in ambito sanitario potrebbe altresì sortire non trascurabili effetti sulle responsabilità risarcitorie gravanti sugli operatori del settore in caso di eventi dannosi connessi all’impiego dei sistemi stessi, specialmente qualora dovesse essere approvata la proposta di “AI Liability Directive” pubblicata dalla Commissione nel settembre 2022.
Il contesto italiano
L’AI Act è entrato in vigore lo scorso 2 agosto, ma le sue previsioni diventeranno applicabili in maniera progressiva, con tempi di attuazione che variano tra i 6 e i 36 mesi dalla pubblicazione del Regolamento. Tra le norme che prima di altre diverranno applicabili sono incluse quelle relative ai sistemi di IA ad alto rischio.
La pubblicazione del Regolamento è intervenuta, peraltro, in una fase nella quale si moltiplicano, anche in Italia, le iniziative volte alla regolazione di diversi aspetti dello sviluppo e impiego di sistemi di IA: dai lavori in corso sul disegno di legge in materia di IA alla pubblicazione, nel luglio scorso, della Strategia italiana per l’intelligenza artificiale.