L’ AI Act ha l’ambizione di diventare la carta europea di riferimento per l’intelligenza artificiale, allo stesso modo in cui il GDPR è la norma di riferimento per la protezione dei dati personali. Ancora non ha visto la luce, ma sta procedendo a passi spediti (rispetto ai ritmi compassati dei legislatori dell’UE) e dovrebbe essere approvato a breve. Molto probabilmente sarà identificato come AI Act, per brevità e incisività di definizione, ma il suo nome completo è: Regolamento del Parlamento Europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’Unione.
Si tratta di un Regolamento, come il GDPR, e come tale verrà recepito immediatamente dalla giurisprudenza di tutti gli Stati dell’UE, senza necessità di leggi nazionali. Analogamente, è probabile che sia disposta una quarantena di due anni (come il GDPR) prima della definitiva entrata in vigore, per permettere alle aziende produttrici, fornitrici e anche utilizzatrici di AI di adeguarsi alle nuove disposizioni.
Il regolamento non esce dal cilindro del legislatore: la sua gestazione è stata lunga, laboriosa, dibattuta e parte da molto lontano. I principi alla base, attraverso i vari passaggi istituzionali e informali, sono stati ampiamente condivisi da tutti gli Stati membri, anche se permangono alcune questioni insolute che dovranno trovare composizione prima dell’approvazione finale.
È bene precisare subito che i cardini su cui si regge l’impianto normativo dell’AI Act sono:
- l’approccio risk-based: che permette di graduare gli oneri e le sanzioni in base ai rischi che determinate attività comportano (tale approccio è ormai condiviso e recepito in moltissimi ambiti ed è il perno del GDPR);
- il principio di precauzione, che è addirittura fondante rispetto al presente regolamento.
Per cominciare, salutiamo il GDPR che, pur trasmettendo una visione legata al rischio, si differenzia enormemente dall’AI Act, nel rapporto con i soggetti normati, nel senso che lascia ampio spazio alla sensibilità e al senso di responsabilità dei titolari nel valutare i rischi connessi al trattamento dei dati personali.
L’AI Act adotta un approccio centralizzato: è lo stesso regolamento che avoca a sé la determinazione delle categorie di rischio collegate ai prodotti basati sull’Intelligenza Artificiale e impone a produttori e fornitori l’onere di dimostrare l’appartenenza ad una determinata categoria. Una rigida categorizzazione del mercato può, evidentemente, danneggiare tutti i soggetti che non hanno i requisiti richiesti o che, semplicemente, non riescono a dimostrare la conformità a determinate regole. Ma ciò, nel tempo, dovrebbe causare la messa al bando solo di tecnologie o prodotti intrinsecamente pericolosi, mentre dovrebbe spingere gli operatori di mercato verso una marcata identificabilità della propria offerta rispetto alla conformità delle specifiche tecnologiche ed etiche ritenute imprescindibili.
È su questo terreno dall’altissimo valore economico che si giocherà la partita tra i vari stakeholders nei prossimi mesi, e che vedrà una vivace contesa per arricchire o svuotare gli elenchi delle varie categorie di rischio, inasprendo o ammorbidendo gli oneri a carico dei vari attori di mercato.
Il legislatore è perfettamente consapevole che l’AI Act produrrà un piccolo terremoto sul mercato europeo dell’AI, che potrebbe subire un significativo contraccolpo nei confronti dei fortissimi concorrenti sul mercato globale, ma è altrettanto consapevole che la nuova legislazione consegnerà all’Europa il primato normativo e morale su questa delicata materia. Paradossalmente, potrebbe essere proprio l’imposizione di regole e procedure di controllo rigorose a determinare un contraccolpo sul mercato globale, in quanto i produttori extraeuropei dovranno rispettare l’Ai Act per i prodotti che intenderanno immettere sul territorio dell’UE, cioè finirà per tradursi nel medio termine in un vantaggio competitivo per gli attori europei, i quali opereranno con un marchio di qualità de facto.
L’AI Act dedica molto spazio all’illustrazione dei principi ispiratori della norma, nella consapevolezza che è proprio questa base culturale ed etica a costituirne il punto di forza. Il capitolo 1 della relazione introduttiva del regolamento contiene passaggi fondamentali per trasferirne lo spirito. Vediamone alcuni.
«La presente relazione accompagna la proposta di regolamento che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale)».
Il termine “armonizzate”, già ricorrente in molti altri documenti in materia, fa trasparire la cura che si intende porre nel trattare l’AI, non come un topic a se stante, ma come un universo che si relaziona in modo molto stretto con tutto il contesto socio-economico.
«Con il termine intelligenza artificiale (IA) si indica una famiglia di tecnologie in rapida evoluzione in grado di apportare una vasta gamma di benefici economici e sociali in tutto lo spettro delle attività industriali e sociali. L’uso dell'intelligenza artificiale, garantendo un miglioramento delle previsioni, l’ottimizzazione delle operazioni e dell’assegnazione delle risorse e la personalizzazione dell'erogazione di servizi, può contribuire al conseguimento di risultati vantaggiosi dal punto di vista sociale e ambientale nonché fornire vantaggi competitivi fondamentali alle imprese e all’economia europea. Tale azione è particolarmente necessaria in settori ad alto impatto, tra i quali figurano quelli dei cambiamenti climatici, dell’ambiente e della sanità, il settore pubblico, la finanza, la mobilità, gli affari interni e l’agricoltura».
In questo passaggio si attribuiscono all’AI notevoli potenzialità, tra l’altro in parte già in atto, e la si accredita di risultati vantaggiosi dal punto di vista sociale e ambientale. Viene addirittura ritenuta necessaria in settori ad alto impatto, come l’ambiente e la sanità.
«Tuttavia gli stessi elementi e le stesse tecniche che alimentano i benefici socio-economici dell’IA possono altresì comportare nuovi rischi o conseguenze negative per le persone fisiche o la società. In considerazione della velocità dei cambiamenti tecnologici e delle possibili sfide, l'UE si impegna a perseguire un approccio equilibrato. L’interesse dell’Unione è quello di preservare la leadership tecnologica dell’UE e assicurare che i cittadini europei possano beneficiare di nuove tecnologie sviluppate e operanti in conformità ai valori, ai diritti fondamentali e ai principi dell’Unione».
In questo passaggio c’è tutta la genesi della spinta regolatoria, che, sostanzialmente, è necessaria a perseguire un approccio equilibrato tra i benefici e i rischi che queste nuove tecnologie comportano.
E ancora, riferito alla proposta legislativa:
«Essa contribuisce all’obiettivo dell’Unione di essere un leader mondiale nello sviluppo di un’intelligenza artificiale sicura, affidabile ed etica, come dichiarato dal Consiglio europeo, e garantisce la tutela dei principi etici, come richiesto specificamente dal Parlamento europeo».
Il passaggio è fondamentale, in quanto sottolinea la convergenza tra tutte le istituzioni europee chiamate in causa e richiama ben due volte la spinta etica del regolamento ([…]affidabile ed etica[…], […]tutela dei principi etici[…]).
Dopo aver ripercorso tutti i passaggi che hanno permesso la formazione di un quadro politico favorevole, vengono definiti gli obiettivi specifici dell’AI Act:
«In tale contesto politico, la Commissione presenta il quadro normativo proposto sull'intelligenza artificiale con i seguenti obiettivi specifici:
- assicurare che i sistemi di IA immessi sul mercato dell’Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell'Unione;
- assicurare la certezza del diritto per facilitare gli investimenti e l'innovazione nell'intelligenza artificiale;
- migliorare la governance e l'applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA;
- facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato».
In estrema sintesi:
- sicurezza e rispetto dei valori
- certezza del diritto
- sviluppo di un mercato con prodotti certificati.
I punti chiave e i nodi da sciogliere
Ma quali sono i punti chiave attorno ai quali si articola il complesso meccanismo dell’AI Act, e quali i principali nodi da sciogliere in vista dell’approvazione?
Premesso che le problematiche che l’AI Act deve affrontare sono numerose e articolate, ci limiteremo ad evidenziare quelle che ne costituiscono la spina dorsale e su cui l’attenzione della comunità AI è particolarmente rivolta:
- le definizioni chiave
le attività proibite
i sistemi AI ad alto rischio
l’AI general-purpose
Definizioni chiave
Il primo aspetto rilevante è senza dubbio quello definitorio. L’art. 3 dell’AI Act contiene 44 definizioni al fine di prevenire diverse interpretazioni tra gli Stati membri, foriere di possibile frammentazione del mercato interno. La prima è dedicata proprio ai sistemi di intelligenza artificiale, definendoli come «software sviluppat[o]i con una o più delle tecniche e degli approcci elencati nell’allegato I, che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono». Questa nozione, derivata dal National Institute of Standards and Technology (NIST), l’agenzia governativa USA che ha un ruolo cruciale nella definizione degli standard tecnologici, sembra molto più persuasiva rispetto alle alternative poiché pone l’enfasi sia sui risultati prodotti dall’IA che sull’origine umana degli obiettivi che influenzano quei risultati, elementi essenziali ai fini dell’allocazione delle responsabilità.
L’articolo 3 ha l’ambizione di dirimere possibili divergenze interpretative rispetto ai multiformi aspetti che ricadono sotto l’ombrello dell’AI e facilitare, così, l’applicazione delle disposizioni contenute negli articoli successivi.
Tuttavia, rimane qualche definizione che potrebbe subire qualche limatura. Ad es., l’art. 3 n.2) qualifica come “fornitore”«una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che sviluppa un sistema di IA o che fa sviluppare un sistema di IA al fine di immetterlo sul mercato o metterlo in servizio con il proprio nome o marchio, a titolo oneroso o gratuito». È stato fatto notare che non sempre è agevole rilevare quando ci sia una effettiva intenzione di immettere sul mercato un sistema di AI. Peraltro, far derivare conseguenze legali da mere intenzioni rischia di produrre effetti arbitrari, considerando i gravosi oneri probatori richiesti. Inoltre, i ricercatori non sono spesso in grado di prevedere quali saranno i potenziali applicativi dei loro risultati e, conseguentemente, quali servizi verranno poi offerti al mercato. Pertanto, molti estensori ritengono preferibile adottare un approccio pragmatico che qualifichi come fornitori soltanto quei soggetti che effettivamente immettono sul mercato un servizio di AI.
L’art. 5, nel delineare le attività vietate, proibisce al par. 1, lett. a), «l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole al fine di distorcerne materialmente il comportamento in un modo che provochi o possa provocare a tale persona o a un’altra persona un danno fisico o psicologico». Tuttavia, sul mercato attuale si registrano molteplici condotte che, in modo più o meno subdolo, influenzano il comportamento del consumatore, dai dark pattern per l’accettazione di condizioni di privacy meno favorevoli al semplice product placement nei film o in altre opere audiovisive. In proposito, il Considerando n. 16 della proposta prevede l’opportunità di vietare l’immissione sul mercato di sistemi di AI intesi a distorcere il comportamento umano e che possono provocare danni fisici o psicologici. Poiché le tecniche alla base di queste azioni ritenute dannose sono comuni a più ambiti tecnologici, non sono cioè una prerogativa esclusiva dell’AI, sarebbero opportuni ulteriori chiarimenti per distinguere in modo inequivocabile le attività illecite da quelle consentite, tenuto conto che la linea di demarcazione tra semplice persuasione o dolus bonus (legale) e aggressiva intrusione (illegale) risulta troppo sfumata in questo contesto definitorio.
Le attività proibite
L’AI Act classifica le applicazioni algoritmiche facenti uso dell’Intelligenza Artificiale in base al loro livello di rischio rispetto ai diritti fondamentali. Nella tassonomia figurano tre gruppi: le attività vietate, le attività ad alto rischio e le attività a basso rischio. Ad ogni categoria corrispondono delle specifiche regole.
In primo luogo, l’art. 5 contempla le attività proibite, individuate nelle pratiche che determinano:
- l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole al fine di distorcerne materialmente il comportamento in un modo che provochi o possa provocare a sé o ad altri un danno fisico o psicologico;
- l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che sfrutta le vulnerabilità, dovute all’età o alla disabilità fisica o mentale, di uno specifico gruppo di persone, al fine di distorcere materialmente il comportamento che provochi o possa provocare a sé o ad altri un danno fisico o psicologico;
l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA da parte delle autorità pubbliche o per loro conto ai fini della valutazione o della classificazione dell’affidabilità delle persone fisiche per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note o previste, in cui il punteggio sociale così ottenuto comporti il verificarsi di uno o di entrambi i seguenti scenari; - l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a fini di attività di contrasto.
Sostanzialmente le prime due voci convergono sul contrasto alle tecniche manipolatorie di taluni sistemi di AI, differenziandosi però su tecniche e target: la prima fa riferimento a tecniche subliminali e quindi a un target indistinto, la seconda può fare ricorso a varie tecniche, ma tutte rivolte a fare breccia nella vulnerabilità dei soggetti destinatari. Abbiamo già parlato della possibile ambiguità della prima categoria, pur emergendo un orientamento più severo nei confronti di qualsiasi comportamento manipolatorio.
Il terzo punto si riferisce al cosiddetto social scoring, pratica ormai molto diffusa, ma che può produrre conseguenze molto lesive dei diritti delle persone, arrivando a forme di discriminazione molto pesanti.
Il quarto punto è molto dibattuto tra quanti ritengono che l’identificazione biometrica di massa in tempo reale debba essere permessa in determinati contesti in cui prevalgono gli interessi legati alla sicurezza, e quanti, invece, ritengono che qualsiasi eccezione si configura come un abuso. Dall’esame di alcuni emendamenti in fase di discussione, sembrerebbe, che, oltre all’identificazione della persona, sarebbe vietato anche l’uso di dati biometrici per categorizzare le persone e inferire dati sensibili.
In ogni caso, va chiarito che la messa al bando non riguarda i sistemi di riconoscimento biometrico uno a uno al fine di verificare l’identità dell’utente per l’accesso a specifici servizi come accedere all’abitazione, al luogo di lavoro o semplicemente sbloccare lo smartphone.
I sistemi ad alto rischio
L’art. 6 qualifica i sistemi di AI ad alto rischio nel momento in cui siano soddisfatte in via cumulativa due condizioni:
- il sistema di IA è destinato a essere utilizzato come componente di sicurezza di un prodotto, o è esso stesso un prodotto, disciplinato dalla normativa di armonizzazione dell’Unione elencata nell’allegato II;
- il prodotto, il cui componente di sicurezza è il sistema di IA, o il sistema di IA stesso in quanto prodotto, è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della normativa di armonizzazione dell’Unione elencata nell’allegato II.
Le attività ad alto rischio sono elencate all’allegato III (tra cui rientra, ad esempio, la scansione di curricula vitae per dare un punteggio ai candidati per un posto di lavoro), il quale costituisce parte integrante della normativa. Sull’estensione di tale elenco e sulla sua emendabilità si gioca una delle partite più importanti. Il Parlamento vorrebbe ampliarlo di molto rispetto a quello inizialmente proposto dalla Commissione, affidando a quest’ultima il potere di aggiornarlo.
In effetti, le attività contenute nell’allegato III sono consentite a condizione che si rispettino stringenti obbligazioni, in termini di sistema di gestione dei rischi (art. 9), governance dei dati (art. 10), documentazione tecnica (art. 11), conservazione delle registrazioni (art. 12), trasparenza e forniture di informazioni agli utenti (art. 13), sorveglianza umana (art. 14), accuratezza, robustezza e cibersicurezza (art. 15).
È evidente che tutto questo comporti costi molto significativi, che al momento attuale non sono graduati in relazione alle dimensioni dell’operatore. Se però è facile presumere che le grandi multinazionali godano delle risorse tecniche e finanziarie per sostenere gli elevati costi di compliance, è altrettanto agevole credere che tali obblighi siano meno sostenibili per le piccole e medie imprese, specie le start-up, creando così significative barriere all’ingresso nel mercato dell’IA.
Su questo versante, al fine di ridurre gli impatti almeno sugli sviluppatori, in particolare le start-up, il Parlamento prevede l’obbligo per ciascuno Stato Membro di istituire almeno una regulatory sandbox, cioè un ambiente controllato in cui l’AI può essere oggetto di sperimentazione, esonerando i fornitori dagli obblighi previsti per le applicazioni più estese. Vi è inoltre, sempre da parte del Parlamento, l’auspicio di creare delle sandbox transnazionali, fondamentali per preparare lo scaling-up successivo dei sistemi di AI, una volta che le sperimentazioni diano esiti positivi sia dal punto di vista dei benefici che della sicurezza.
Infine, l’art. 52 prevede obblighi di trasparenza per le attività a basso rischio al fine di rendere edotte le persone fisiche che stanno interagendo con un sistema di IA.
ChatGPT e l’AI general purpose
Un nodo particolarmente intricato da sciogliere riguarda il trattamento della cosiddetta general-purpose AI.
Questo caso rappresenta l’esempio più evidente di come lo sviluppo tecnologico possa scavalcare anche il più attento quadro normativo. Inizialmente trascurata nella proposta della Commissione europea, che aveva a riferimento soprattutto applicazioni specifiche in settori ben definiti, questa tipologia di applicazioni è salita improvvisamente alla ribalta grazie al successo travolgente (ma anche alle evidenti imperfezioni) di ChatGPT. I sistemi basati sulla AI generativa possono infatti avere miriadi di applicazioni a cui corrispondono altrettanti benefici e rischi. Vista l’enorme diffusione in pochi mesi del chatbot (i chatbot sono dei software che simulano ed elaborano le conversazioni umane, scritte o parlate) sviluppato da OpenAI, che ne è peraltro solo uno dei tanti esempi possibili, è senz’altro utile prevedere quantomeno un set minimo di regole, che peraltro tuteli anche il copyright delle opere creative di cui fa incetta il chatbot.
L’intervento è particolarmente delicato e va attentamente ponderato. Infatti, la classificazione della general-purpose AI nell’ambito delle attività ad alto rischio potrebbe disincentivare lo sviluppo di questa promettente tecnologia a causa degli onerosi costi di certificazione e delle rigide obbligazioni enucleate agli artt. 9-15 della proposta.
Inoltre, a complicare le cose, c’è da evidenziare che modelli di AI generativa, come ChatGPT, possono essere utilizzati tramite le API (Application Programming Interface) da altri soggetti per sviluppare ulteriori applicazioni (è il caso del motore di ricerca Bing che ha incorporato le funzionalità di ChatGPT). Un intervento restrittivo scatenerebbe, dunque, un effetto domino anche su molte altre applicazioni, la cui liceità risulterebbe subordinata al rispetto delle regole da parte della componente generativa. Per inciso, sono questi ultimi i casi più concreti di interazioni dirette con la vasta platea dei consumatori ed utenti, con tutti i rischi che ciò potrebbe comportare. In tali circostanze, come dovrebbe funzionare l’impianto regolatorio e a quale soggetto sarebbe attribuibile un eventuale malfunzionamento o un uso dell’AI improprio o dannoso da parte di un consumatore? L’esatta allocazione delle responsabilità tra sviluppatori e venditori di sistemi di AI rappresenta un tema intricato che impegnerà significativamente le parti politiche durante il fitto trilogo che avrà luogo tra le tre grandi istituzioni europee fino all’approvazione dell’AI Act.
Dopo aver esplorato i passaggi tramite i quali la giurisprudenza sta tentando di tenere il passo dell’intelligenza artificiale, è evidente come questa vicenda può essere paradigmatica rispetto all’approccio di una civiltà basata su un reale equilibrio tra valori umani, spinte all’innovazione scientifica e tecnologica ed esigenze economiche. Il mercato lasciato a se stesso, senza un quadro regolatorio che tenga conto di valori e diritti non può che produrre mostri, in quanto in un contesto economico senza regole vige la legge del più forte. Le iniziative dell’UE in tal senso, per quanto lacunose e perfettibili, segnano un passo importante in questa battaglia di civiltà, che deve vedere la giurisprudenza in prima linea e pronta a leggere e interpretare tutti i segnali forti che provengono dalla società.
Ma in questo contesto è fondamentale l’apporto di ogni individuo, che deve acquisire e maggiore consapevolezza sull’uso delle tecnologie, privilegiando gli aspetti rivolti ad un reale progresso, diffidando di tutto quello che rappresenta un tentativo di condizionamento e manipolazione del comportamento umano.
- Gli elementi fondanti di una nuova lex robotica - 5 Agosto 2024
- L’AI Act - 8 Aprile 2024
- INTELLIGENZA ARTIFICIALE e Giurisprudenza italiana - 13 Marzo 2024