Il 29 Dicembre 2021 la Banca Centrale Europea (di seguito anche "BCE") ha fornito la propria opinione sulla proposta di Regolamento in materia di intelligenza artificiale (c.d. "Artificial Intelligence Act") dell'Aprile 2021, pubblicando – a seguito della richiesta da parte del Consiglio dell'Unione Europea - un apposito parere sui propri canali.
La BCE riconosce sin dalle prime battute l'importanza di avere una normativa armonizzata a livello europeo e, dal tenore generale del documento, si evince come sia nel complesso soddisfatta della proposta presentata dalla Commissione Europea, ritenuta comunque in grado di disciplinare i requisiti necessari per potersi avvalere dei c.d. sistemi IA e di garantire un elevato grado di protezione ai diritti fondamentali.
Tuttavia, approfitta della redazione di questo parere per fornire degli appositi spunti di riflessione, allegando al parere gli "Amendments" da apportare al testo del Regolamento proposto, auspicando che questi vengano presi in considerazione nel corso della stesura definitiva del relativo testo.
Uno dei primi elementi su cui la BCE invita a riflettere il legislatore europeo riguarda il quadro legislativo in cui la bozza di Regolamento si inserisce e i potenziali contrasti che potrebbero sorgere tra la normativa esistente in ambito bancario e quanto previsto dalla bozza di Regolamento. Il timore manifestato dalla Banca Europea, infatti, è che la proposta in esame possa confliggere, inter alia, con la direttiva 2013/36/UE sull'accesso all'attività degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento e con le linee guida EBA in materia di outsourcing, le cui prescrizioni, più specifiche, potrebbero porre alcuni problemi alla luce dei nuovi obblighi previsti dall'Artificial Intelligence Act. Pertanto, secondo la BCE, appare opportuno che gli Organi europei intervengano affinché possa farsi maggiore chiarezza sui rapporti tra le diverse fonte normativi, evitando possibili equivoci.
In seguito a queste considerazioni di carattere generale, la BCE manifesta le sue preoccupazioni riguardo il ruolo che la proposta di Regolamento sembrerebbe ritagliarle, chiedendo una maggiore trasparenza circa i compiti che sarebbe chiamata a svolgere e suggerendone i possibili confini.
Sotto questo profilo, ad esempio, l'art. 63 del Regolamento proposto prevede che "l'autorità di vigilanza del mercato è l'autorità pertinente responsabile della vigilanza finanziaria di tali enti ai sensi di tale normativa" e sembrerebbe implicare che il controllo e la supervisione dei sistemi di IA immessi sul mercato, messi in servizio o usati da istituti finanziari disciplinati dalla normativa dell'Unione in materia di servizi finanziari, ricada sulla BCE. Sulla base del Regolamento 2013/1024/UE, infatti, l'autorità incaricata di vigilare sugli istituti di credito e di assicurare la loro compliance con tutti gli atti dell'Unione Europea – tra cui vi rientra l'adozione di soluzioni tecnologiche sufficienti ad assicurare la sicurezza delle istituzioni stesse e la stabilità del mercato finanziario – è stata individuata nella Banca Centrale Europea.
Come si evince dal parere in esame, tuttavia, la BCE non sembrerebbe persuasa da questa ricostruzione – forse anche nel tentativo di allontanare maggiori responsabilità -, dal momento che non si riterrebbe in grado di assicurare che detti sistemi IA abbiano gli specifici requisiti richiesti dal Regolamento e quindi di tutelare gli interessi individuali che potrebbero subire un pregiudizio dalla tecnologia di intelligenza artificiale. Secondo la BCE, infatti, tale compito verrebbe svolto al meglio dalle autorità nazionali, dal momento che quest'ultime sono indicate come gli enti predisposti alla tutela dei consumatori dal considerando 28 del Regolamento 2013/1024/UE e che potrebbero sfruttare – con risparmio di costi- l'expertise maturata utilizzando i propri poteri investigativi e di controllo.
Allo stesso modo, con riferimento al conformity assessment – l'operazione volta ad accertare il rispetto dei requisiti tecnici richiesti dalla proposta di Regolamento (ad esempio, l'utilizzo di dati qualitativamente elevati per il training del sistema IA, la garanzia della tracciabilità del funzionamento del sistema IA per tutto il suo ciclo di vita o l'impiego di misure di cybersecurity appropriate) - dei sistemi IA utilizzati per la valutazione della affidabilità creditizia delle persone fisiche, la BCE non ritiene di poter essere l'autorità competente.
Sotto questo profilo, l'art. 43 e l'appendice VI della proposta di Regolamento sembrerebbero prevedere un controllo ex ante dei requisiti tecnici richiesti, ma, con riferimento alle tecnologie IA utilizzate nel settore bancario, nell'opinione della BCE sarebbe più agevole assegnare tale compito alle autorità competenti per il c.d. processo di revisione e valutazione prudenziale (artt. 97-101 del Regolamento 2013/1024/UE). Sfruttando tale processo, infatti, sarebbe possibile effettuare il conformity assessment ex post - in un'unica sessione - e, di conseguenza, la Banca Centrale Europea suggerisce agli Organi Europei di in intervenire normativamente in questi termini.
Sempre con riferimento ai sistemi per la valutazione dell'affidabilità creditizia, la BCE manifesta le sue preoccupazioni circa la possibilità di classificarli immediatamente come "sistemi ad alto rischio" (con conseguente applicabilità della disciplina prevista dal Regolamento e dei relativi obblighi). Secondo l'istituzione europea, infatti, si renderebbe necessario adottare delle disposizioni comuni – che, ad esempio, stabiliscano le condizioni affinché tale sistema sia ritenuto conforme agli obblighi imposti dalla Proposta di Regolamento ovvero venga escluso dall'ambito di applicazione di quest'ultima – prima di poterli qualificare in tal senso.
Dalla lettura del parere in esame, inoltre, emergono ulteriori suggerimenti e spunti di riflessione per il Legislatore Europeo, tra cui: i) la necessità di intervenire sulla proposta di Regolamento dal momento che a) le relative previsioni in tema di supervisione e controllo non disciplinano l'utilizzo "personale" dei sistemi IA e b) i requisiti tecnici richiesti e da valutare con il c.d. conformity assessement non risultano sufficientemente dettagliati; ii) l'invito rivolto agli Organi Europei di considerare la necessità di garantire l'applicazione armonizzata del Regolamento proposto in tutto il mercato unico istituendo in futuro un'autorità AI a livello dell'Unione.
La BCE conclude, da ultimo, il suo parere accogliendo favorevolmente la possibilità di aggiornare la lista dei sistemi ad alto rischio contenuta nell'allegato III della proposta di Regolamento. Sebbene, ad oggi, tra le tecnologie impiegate dagli istituti di credito soltanto i sistemi di valutazione di affidabilità creditizia rientrerebbero negli obblighi imposti da quest'ultima, la Banca Centrale Europea riconosce come le banche stiano sperimentando nuovi strumenti che coinvolgono la tecnologia di intelligenza artificiale. Per questo motivo, si dichiara a disposizione della Commissione per cooperare nella individuazione dei rischi che i nuovi sistemi IA potrebbero ingenerare nei confronti della salute e della sicurezza delle persone, nonché sul piano dei diritti fondamentali.