Il 29 Dicembre 2021 la Banca Centrale Europea (di seguito anche "BCE") ha fornito la propria opinione sulla proposta di Regolamento in materia di intelligenza artificiale (c.d. "Artificial Intelligence Act") dell'Aprile 2021, pubblicando – a seguito della richiesta da parte del Consiglio dell'Unione Europea - un apposito parere sui propri canali.

La BCE riconosce sin dalle prime battute l'importanza di avere una normativa armonizzata a livello europeo e, dal tenore generale del documento, si evince come sia nel complesso soddisfatta della proposta presentata dalla Commissione Europea, ritenuta comunque in grado di disciplinare i requisiti necessari per potersi avvalere dei c.d. sistemi IA e di garantire un elevato grado di protezione ai diritti fondamentali.

Tuttavia, approfitta della redazione di questo parere per fornire degli appositi spunti di riflessione, auspicando che questi vengano presi in considerazione nel corso della stesura definitiva del Regolamento.

In primo luogo, invita a chiarire ulteriormente i rapporti tra la proposta in esame e la normativa europea già esistente in ambito bancario – con specifico riferimento alla direttiva 2013/36/UE  e alle linee guida EBA in materia di outsourcing – che prevede una disciplina più specifica e potenzialmente in contrasto con le previsioni della bozza di Regolamento.

In secondo luogo, la BCE sostiene che il suo ruolo e i suoi compiti debbano essere maggiormente specificati sotto un duplice profilo:

1. Il controllo e la supervisione dei  sistemi di IA immessi sul mercato, messi in servizio o usati da istituti finanziari disciplinati dalla normativa dell'Unione in materia di servizi finanziari. Per tali tipi di sistemi IA, l'art. 63 del Regolamento proposto prevede che "l'autorità di vigilanza del mercato è l'autorità pertinente responsabile della vigilanza finanziaria di tali enti ai sensi di tale normativa".

La BCE, pur riconoscendo di essere stata individuata sulla base del Regolamento 2013/1024/UE come l'autorità incaricata di vigilare sugli istituti di credito e di assicurare la loro compliance con tutti gli atti dell'Unione Europea – tra cui vi rientra l'adozione di soluzioni tecnologiche sufficienti ad assicurare la sicurezza delle istituzioni stesse e la stabilità del mercato finanziario -, non ritiene di dover essere l'autorità responsabile ai sensi della richiamata previsione. La differenza tra il compito assegnatole e la vigilanza del mercato dei sistemi IA, infatti, consisterebbe nel fatto che quest'ultima mira a tutelare gli interessi individuali che potrebbero subire un pregiudizio da una tecnologia di intelligenza artificiale, assicurando che quei sistemi IA abbiano gli specifici requisiti richiesti. Pertanto, secondo la BCE, dovrebbero essere le autorità nazionali a svolgere tale prezioso compito, dal momento che quest'ultime sono indicate come gli enti predisposti alla tutela dei consumatori dal considerando 28 del Regolamento 2013/1024/UE e che potrebbero sfruttare – con risparmio di costi-  l'expertise maturata utilizzando i propri poteri investigativi e di controllo. La BCE, inoltre, segnala come le previsioni della proposta di Regolamento in tema di supervisione e controllo non disciplinino l'utilizzo "personale" dei sistemi IA e invitano il legislatore Europeo ad intervenire sul punto.

2. Il conformity assessment dei sistemi IA utilizzati per la valutazione della affidabilità creditizia delle persone fisiche. Anche in questo caso la BCE richiede maggiore chiarezza circa l'autorità competente per tale tipo di operazione, che è volta ad accertare il rispetto dei requisiti tecnici richiesti – per i quali dovrebbero essere forniti maggiori dettagli - dalla proposta di Regolamento (ad esempio, l'utilizzo di dati qualitativamente elevati per il training del sistema IA, la garanzia della tracciabilità del funzionamento del sistema IA per tutto il suo ciclo di vita o l'impiego di misure di cybersecurity appropriate). A tal proposito, la BCE suggerisce che potrebbero essere le autorità competenti per il c.d. processo di revisione e valutazione prudenziale (artt. 97-101 del Regolamento 2013/1024/UE) ad effettuare tale controllo ex post, a patto che il legislatore europeo modifichi il Regolamento in questo senso. Secondo la Banca centrale europea, infatti, l'art. 43 e l'appendice VI della proposta di Regolamento sembrerebbero prevedere soltanto un controllo ex ante da parte degli istituti di credito, motivo per cui si sollecitano gli Organi competenti ad intervenire nei termini sopra richiamati.

Sempre con riferimento ai sistemi per la valutazione dell'affidabilità creditizia, la BCE manifesta le sue preoccupazioni circa la possibilità di classificarli immediatamente come "sistemi ad alto rischio" (con conseguente applicabilità della disciplina prevista dal Regolamento e dei relativi obblighi). Secondo l'istituzione europea, infatti, si renderebbe necessario adottare delle disposizioni comuni – che, ad esempio, stabiliscano le condizioni affinché tale sistema sia ritenuto conforme agli obblighi imposti dalla Proposta di Regolamento ovvero venga escluso dall'ambito di applicazione di quest'ultima – prima di poterli qualificare in tal senso.

Da ultimo, la BCE conclude il suo parere accogliendo favorevolmente la possibilità di aggiornare la lista dei sistemi ad alto rischio contenuta nell'allegato III della proposta di Regolamento. Sebbene, ad oggi, tra le tecnologie impiegate dagli istituti di credito soltanto i sistemi di valutazione di affidabilità creditizia rientrerebbero negli obblighi imposti da quest'ultima, la Banca Centrale Europea riconosce come le banche stiano sperimentando nuovi strumenti che coinvolgono la tecnologia di intelligenza artificiale. Per questo motivo, si dichiara a disposizione della Commissione per cooperare nella individuazione dei rischi che i nuovi sistemi IA potrebbero ingenerare nei confronti della salute e della sicurezza delle persone, nonché sul piano dei diritti fondamentali.