Intelligenza artificiale e assicurazioni: oltre l’AI Act

Il 13 marzo scorso il Parlamento europeo ha approvato definitivamente il testo dell’AI Act, il regolamento europeo sull’intelligenza artificiale, seguendo un approccio basato sul rischio, con un obiettivo ben preciso, ossia quello di prevedere specifici obblighi per i fornitori e gli operatori dei sistemi di intelligenza artificiale, a seconda del livello di rischio che la stessa può generare.

Nel ricordare che l’adozione definitiva dell’AI Act dovrebbe avvenire entro la fine di questa legislatura (il testo deve essere ancora approvato dal Consiglio europeo), sottolineiamo che lo stesso, come è avvenuto per il Gdpr, prevede termini differenziati per quanto riguarda l’entrata in vigore (20 giorni dopo la pubblicazione in Gazzetta Ufficiale) e la sua applicazione effettiva, prevista 24 mesi dopo, che diventano:

Ciò detto, considerata anche la complessità e la mole del regolamento, occorre che l’industria assicurativa proceda tempestivamente alla sua analisi, sia nel suo insieme, sia in relazione a fattispecie specifiche, dove la stessa viene direttamente chiamata in causa dal legislatore europeo.

Mi riferisco, per esempio, al Considerando n. 58, dove possiamo leggere quanto segue: “i sistemi di IA destinati a essere utilizzati per la valutazione dei rischi e la determinazione dei prezzi in relazione alle persone fisiche per assicurazioni sulla vita e assicurazioni sanitarie possono avere un impatto significativo sul sostentamento delle persone e, se non debitamente progettati, sviluppati e utilizzati, possono violare i loro diritti fondamentali e comportare gravi conseguenze per la vita e la salute delle persone, tra cui l’esclusione finanziaria e la discriminazione”, e dunque alla conseguente classificazione dei sistemi in questione tra quelli ad alto rischio, con notevoli conseguenze, anche di natura operativa per fornitori e operatori.

I sistemi di IA ad alto rischio devono, infatti, essere sottoposti a valutazioni di conformità prima del loro utilizzo, allo scopo di confermare la disponibilità di una documentazione adeguata sulla conformità, la tracciabilità dei risultati, la trasparenza, la supervisione umana, l’accuratezza e la sicurezza.

Tra gli ulteriori adempimenti ci sono, poi, anche quelli inerenti al monitoraggio e al tracciamento delle modifiche al modello che potrebbero richiedere una nuova valutazione del rischio; senza dimenticare che in determinate circostanze potrebbe essere indispensabile il coinvolgimento di terze parti indipendenti per condurre valutazioni e ottenere certificazioni che attestino la conformità del sistema di IA agli standard normativi.

Richiamati alcuni dei capisaldi dell’AI Act, è importante sottolineare che lo stesso si colloca nell’ambito di un pacchetto di misure legislative più ampio, comprensivo di due ulteriori proposte ancora oggetto di discussione, entrambe impattanti per il mondo delle polizze, ovvero: (I) quella relativa alla direttiva sulla responsabilità dell’intelligenza artificiale; (II) quella relativa al restyling delle norme che regolano la responsabilità del produttore.

La prima iniziativa, come può evincersi anche dalla lettura dei relativi atti preparatori, risponde alle preoccupazioni legate alle caratteristiche specifiche dell’IA, tra cui la complessità, l’autonomia e l’opacità (il cosiddetto effetto scatola nera), che possono rendere difficile o eccessivamente costoso, per che subisce un danno, identificare la persona responsabile e dimostrare che sussistono i presupposti ai fini dell’esito positivo di un’azione di responsabilità.

Dalla consultazione pubblica aperta alla base della valutazione d’impatto della proposta, è inoltre emersa una preoccupazione generale per quanto riguarda il modo in cui le azioni legislative avviate dai singoli Stati membri, per adeguare le norme in materia di responsabilità, e la conseguente frammentazione inciderebbero sui costi per le imprese, in particolare le Pmi, impedendo l’adozione dell’IA in tutta l’Unione.

In tal senso, lo scopo della norma è sostanzialmente quello di integrare l’AI Act, armonizzando le norme in materia di responsabilità civile per i danni causati dall’IA e prevedendo un’attenuazione dell’onere della prova in capo al danneggiato, mediante il ricorso alla presunzione relativa, che consente la prova contraria di quanto presunto.

La revisione della direttiva sulla responsabilità per danno da prodotti difettosi mira, invece, ad adeguare e rafforzare le norme esistenti, risalenti nel loro impianto fondamentale agli anni ‘80 del secolo scorso.

In particolare, tra gli obiettivi del legislatore europeo troviamo:

Dall’esame dell’azione del legislatore europeo in materia di IA, della quale abbiamo riportato una breve sintesi, possiamo trarre una serie di conclusioni.

La prima è che l’Europa intende porsi come leader nella regolamentazione di un fenomeno così rilevante che, tuttavia, non ci vede come protagonisti assoluti per quanto riguarda lo sviluppo delle infrastrutture hardware necessarie per il suo funzionamento e nella ricerca per quanto riguarda il suo sviluppo.

La seconda, legata alla prima, è che la competizione in materia di intelligenza artificiale, anche per quanto riguarda il settore delle assicurazioni, è globale, per cui occorrerà porre la massima attenzione a quali sono e saranno le tendenze per regolamentare la materia nelle altre parti del mondo.

Il tutto nell’auspicio che si possa trovare un equilibrio tra l’eccesso di produzione normativa e un laissez faire che, se portato all’eccesso, potrebbe condurre a conseguenze irreversibili in un ambito, quello dei diritti fondamentali delle persone, non negoziabile.