L’intelligenza artificiale (I.A.) è una delle tecnologie più promettenti e sfidanti del nostro tempo, con enormi potenzialità per il bene comune, ma anche con possibili rischi per i diritti umani, la democrazia e lo stato di diritto. Per questo motivo, l’Unione Europea ha deciso di adottare una normativa specifica sull’I.A., basata sui valori fondamentali dell’U.E. e sul rispetto dei principi etici.
La proposta di regolamento sull’I.A., presentata dalla Commissione Europea il 21 aprile 2021, ha l’obiettivo di creare un quadro giuridico armonizzato e proporzionato per lo sviluppo e l’impiego dell’I.A. nell’U.E., garantendo al tempo stesso la sicurezza e i diritti fondamentali dei cittadini e delle imprese. E’ importante precisare subito che il regolamento, così come concepito, si baserà, alla stregua di quanto avvenuto con il GDPR, su un approccio basato sul rischio, che prevede diverse regole a seconda del livello di pericolosità delle applicazioni di I.A.
Un passo importante per l’avvio dei colloqui con i governi dell’Unione Europea per definire il testo definitivo del regolamento è avvenuto recentemente con l’adozione da parte del Parlamento europeo di una sua posizione negoziale sul Regolamento sull’Intelligenza Artificiale (I.A.) con un ampio sostegno (499 voti a favore, 28 contrari e 93 astensioni). Questo rappresenta un significativo passo avanti nel processo legislativo.
La proposta di regolamento propone una visione “antropocentrica” dell’I.A., mirando a garantire un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali delle persone. E viene affermato chiaramente che l’I.A. non dovrà sostituire l’autonomia umana o minacciare la libertà individuale; al contrario, dovrà essere al servizio della società e del bene comune, rispettando i valori dell’Unione e la Carta dei diritti fondamentali.
L’I.A. potrà essere dunque applicata in vari settori dell’economia e della società, sia a livello nazionale che transfrontaliero. Tuttavia, come spesso accade nei citati settori, l’adozione di regole nazionali divergenti potrebbe facilmente condurre ad una frammentazione del mercato interno compromettendo così inevitabilmente la certezza del diritto per gli operatori che sviluppano o utilizzano sistemi di I.A. Pertanto, la proposta di regolamento mira proprio a garantire un livello di protezione uniforme in tutta l’Unione, evitando divergenze che ostacolano la circolazione, l’innovazione e l’adozione dei sistemi di I.A.
A tal fine, le norme sono state progettate per consentire un ecosistema europeo di attori pubblici e privati che sviluppano sistemi di I.A. in linea con i valori dell’Unione. Si punta anche a sostenere l’innovazione, dando particolare attenzione alle PMI e alle start-up, al fine di promuovere l’I.A. “Made in Europe” e consolidare il ruolo dell’Unione come leader mondiale nello sviluppo di un’I.A. sicura, affidabile ed etica. E questa proposta di regolamento garantisce la protezione dei principi etici, proprio come richiesto dal Parlamento europeo.
Come anticipato, un aspetto cruciale della proposta di regolamento è l’approccio basato sul rischio. Vengono stabiliti obblighi diversi per i fornitori e gli operatori dei sistemi di I.A. a seconda del livello di rischio che l’I.A. può generare. Saranno vietati i sistemi di I.A. che presentano un rischio inaccettabile per la sicurezza delle persone, oltre che per i valori e i diritti dell’U.E., come ad esempio quelle che manipolano il comportamento umano o sfruttano le vulnerabilità delle persone, o quelle che utilizzano sistemi di identificazione biometrica a distanza per la sorveglianza di massa, o ancora come quelle utilizzate per il punteggio sociale. Per queste applicazioni, infatti, non è prevista alcuna deroga o eccezione.
Il Parlamento Europeo ha posto poi specifiche ed ulteriori limitazioni come i divieti sugli usi intrusivi e discriminatori dell’I.A., come l’uso di sistemi di identificazione biometrica remota in tempo reale o a posteriori senza autorizzazione giudiziaria (per un’analisi più approfondita premere qui), o l’uso di sistemi di categorizzazione biometrica basati su caratteristiche sensibili (ad esempio genere, razza, etnia, cittadinanza, religione, orientamento politico), oppure ancora l’uso dei sistemi di polizia predittiva (basati su profilazione, ubicazione o comportamenti criminali passati), o ancora i sistemi di riconoscimento delle emozioni utilizzati dalle forze dell’ordine, nella gestione delle frontiere, nel luogo di lavoro e negli istituti d’istruzione, o infine l’estrazione non mirata di dati biometrici da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale (in violazione dei diritti umani e del diritto alla privacy). Inoltre, i sistemi di I.A. generativa e avanzata dovranno rispettare requisiti di trasparenza, in modo che sia chiaro quando si interagisce con un sistema di I.A. e che i risultati generati siano attribuibili.
La proposta di regolamento impone poi requisiti rigorosi per le applicazioni di I.A. definite “ad alto rischio”, come quelle che riguardano la salute, la sicurezza, la giustizia, il trasporto o l’istruzione. Queste applicazioni devono infatti essere trasparenti, affidabili e soggette a una valutazione preventiva della conformità ai requisiti stabiliti dal regolamento, oltre che dotate di meccanismi di supervisione umana consentendone l’intervento in caso di malfunzionamento.
Più nello specifico si tratta di tutte quelle applicazioni di I.A. che possono avere un impatto significativo sulla vita, sulla salute, sulla sicurezza o sui diritti fondamentali delle persone o delle organizzazioni. Alcuni esempi sono le applicazioni che riguardano la salute, come i dispositivi medici o i sistemi di diagnosi; la sicurezza, come i sistemi di riconoscimento facciale o i droni; la giustizia, come i sistemi di valutazione del rischio o di assistenza alla decisione; il trasporto, come i veicoli autonomi o i sistemi di controllo del traffico; l’istruzione, come i sistemi di valutazione o di orientamento.
La proposta di regolamento prevede anche la creazione di un quadro di conformità e di un sistema di certificazione per gli operatori di I.A. ad alto rischio. Ciò consentirà di valutare la conformità dei sistemi di I.A. alle norme e ai requisiti stabiliti nel regolamento e di garantire una maggiore fiducia e trasparenza nel loro utilizzo.
Di particolare interesse è poi anche un ulteriore obiettivo posto dal Parlamento europeo e cioè quello di garantire che i cittadini possano esercitare il loro diritto di contestare le decisioni prese da sistemi di I.A. ad alto rischio che influiscono in modo significativo sui loro diritti fondamentali e di ottenere spiegazioni su come sono state prese.
Il legislatore europeo è comunque ben conscio del fatto di come l’I.A. sia un settore in rapida evoluzione che richiede innovazione e sostegno alle PMI. Per questo motivo, il Parlamento U.E. ha proposto delle deroghe per le attività di ricerca e le componenti dell’I.A. basate su licenze open-source. Inoltre, la nuova legge incoraggia la creazione di spazi di sperimentazione normativa, o ambienti realistici, da parte delle autorità pubbliche per verificare l’I.A. prima del suo impiego.
Per le applicazioni di I.A. definite invece “a basso o minimo rischio”, come quelle che riguardano i giochi o i filtri per le foto, la proposta di regolamento non impone requisiti specifici, ma incoraggia l’adozione volontaria di codici di condotta e di buone pratiche da parte degli operatori del settore. Inoltre, il regolamento prevede misure di sostegno per l’innovazione e la competitività dell’I.A. nell’U.E., come la creazione di centri di eccellenza e di test, la promozione della cooperazione tra gli Stati membri e il rafforzamento delle competenze e della formazione nel campo dell’I.A.
Un tema centrale di questa proposta di regolamento è senz’altro l’analisi dei sistemi avanzati di I.A. che sono in grado di apprendere da soli e di adattarsi a nuove situazioni. L’apprendimento automatico (c.d. “machine learning”) è la tecnica computazionale che permette di modificare i parametri di un modello matematico in base ai dati, in modo da produrre un output coerente con i dati di input. Nella proposta di regolamento viene ben specificato che l’apprendimento automatico include diversi approcci, come l’apprendimento supervisionato, l’apprendimento non supervisionato e l’apprendimento per rinforzo, e che si avvale di vari metodi, tra cui il deep learning con le reti neurali.
Le tecniche di apprendimento automatico, che si basano su algoritmi complessi e dati numerosi, sono difficili da comprendere e controllare, per questo vengono spesso definite “scatole nere” (anche se forse, visto l’uso ormai comune che si da a questa locuzione sarebbe meglio definirle come “scatole oscure”). Questa loro caratteristica pone dunque serie sfide alla trasparenza e alla responsabilità, come ad esempio lo stabilire il come e il perché i sistemi di apprendimento automatico prendono le loro decisioni, soprattutto quando queste hanno un impatto sulla vita delle persone. Altre metodologie, come quelle basate sulle conoscenze, le inferenze bayesiane (che usano la probabilità per stimare la verità di una proposizione a partire da dati osservati) o gli alberi decisionali (che usano una struttura gerarchica di nodi e rami per rappresentare le possibili scelte e i loro esiti), non sono esenti da problemi giuridici che la proposta di regolamento cerca di risolvere, soprattutto quando si integrano con gli approcci di apprendimento automatico nei sistemi ibridi.
Interessante è poi il quadro sanzionatorio previsto per coloro i quali non rispettassero il regolamento sull’I.A. Sono infatti previste sanzioni alquanto severe per chi viola le disposizioni previste per le applicazioni vietate o ad alto rischio, che possono arrivare fino al 6% del fatturato annuo totale dell’operatore o del fornitore responsabile della violazione. Inoltre, la proposta di regolamento prevede la possibilità per le autorità nazionali competenti di ordinare il ritiro dal mercato o la disattivazione delle applicazioni non conformi.
Al fine di garantire l’applicazione effettiva del regolamento, è prevista poi anche la creazione di un’Autorità europea per l’Intelligenza Artificiale. Questa autorità avrà il compito di fornire orientamenti tecnici, supervisionare l’applicazione delle norme e svolgere indagini in caso di presunte violazioni.
Insomma, la proposta di regolamento sull’I.A. rappresenta un passo importante verso una regolamentazione equilibrata e responsabile dell’I.A. nell’U.E., che tuteli i diritti fondamentali dei cittadini e delle imprese senza ostacolare l’innovazione e lo sviluppo tecnologico.
Questo documento stabilisce dunque le norme per gestire i possibili pericoli derivanti in particolare dall’uso di sistemi di intelligenza artificiale che possono cambiare autonomamente dopo la loro implementazione. Molti di questi sistemi di I.A. operano secondo principi matematici complessi e astratti che sfuggono alla comprensione e alla supervisione umana e che non consentono di identificare facilmente le fonti dei loro dati.
Ma ci vorrà ancora tempo. La proposta, infatti, dovrà essere ancora discussa e approvata dal Parlamento Europeo e dal Consiglio dell’U.E. prima di diventare legge.
A ciò vanno poi aggiunte le marcate proteste di un gruppo di oltre 150 leader di imprese come Renault, Heineken, Airbus e Siemens che ha inviato una lettera aperta per chiedere all’Unione Europea di rivedere i suoi progetti per regolamentare l’intelligenza artificiale. Nella lettera, indirizzata al Parlamento europeo, alla Commissione e agli Stati membri, si esprime la preoccupazione che il regolamento possa “compromettere la competitività e la sovranità tecnologica dell’Europa”, affermando poi che le norme proposte sono eccessivamente restrittive, e che minacciano di frenare le aspirazioni tecnologiche del blocco invece di creare un clima favorevole all’innovazione nell’intelligenza artificiale.
Il tema che preoccupa maggiormente le imprese è la severità delle norme stabilite dalla legge per i sistemi di intelligenza artificiale generativa, che prevedono che i fornitori di modelli di base di intelligenza artificiale, a prescindere dall’uso che ne fanno, debbano registrare il proprio prodotto presso l’U.E., sottostare a valutazioni del rischio e rispettare criteri di trasparenza, come il dovere di rendere pubblici i dati coperti da diritti d’autore usati per allenare i loro modelli, subendo costi di conformità sproporzionati e rischi di responsabilità, il che potrebbe spingere i fornitori a ritirarsi completamente dal mercato europeo.
Insomma, la partita si gioca come al solito tra gli interessi di pochi e quelli della collettività. Ma qui sono chiamati in causa anche i diritti fondamentali dell’uomo. Spetterà al legislatore, come di consueto, l’arduo compito di bilanciare i vari interessi in gioco.
Per approfondire:
- La comunicazione della Commissione Europea “Approccio europeo all’intelligenza artificiale”, che illustra la visione strategica dell’U.E. sull’I.A.: https://ec.europa.eu/info/sites/default/files/communication-european-approach-artificial-intelligence.pdf - Il libro bianco della Commissione Europea “Sull’intelligenza artificiale - Un approccio europeo basato sull’eccellenza e sulla fiducia”, che anticipa le linee guida del regolamento sull’I.A.: https://ec.europa.eu/info/sites/default/files/commission-white-paper-artificial-intelligence-feb2020_it.pdf - Le linee guida etiche per l’intelligenza artificiale del Gruppo di esperti ad alto livello sull’intelligenza artificiale (AI HLEG), che forniscono i principi e le raccomandazioni per lo sviluppo e l’uso responsabile dell’I.A.: https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai - Il rapporto “Artificial Intelligence and Civil Law: Liability Rules for Drones” del Parlamento Europeo, che esamina le questioni legali relative alla responsabilità civile derivante dall’uso dei droni come esempio di applicazione dell’I.A.: https://www.europarl.europa.eu/RegData/etudes/STUD/2020/621926/EPRS_STU(2020)621926_EN.pdf - Il rapporto “Artificial Intelligence and Intellectual Property Rights” del Parlamento Europeo, che analizza le sfide poste dall’I.A. alla protezione dei diritti di proprietà intellettuale: https://www.europarl.europa.eu/RegData/etudes/STUD/2020/652718/EPRS_STU(2020)652718_EN.pdf - Il rapporto “Artificial Intelligence and Human Rights” del Consiglio d'Europa, che esplora gli impatti dell’I.A. sui diritti umani e le norme applicabili: https://rm.coe.int/artificial-intelligence-and-human-rights-study-by-the-council-of-europe-/16808f699f - Il rapporto “Artificial Intelligence: Opportunities and Challenges for European Policymaking” del Centro Comune di Ricerca (JRC) della Commissione Europea, che presenta una panoramica delle opportunità e delle sfide dell’I.A. per le politiche europee: https://publications.jrc.ec.europa.eu/repository/bitstream/JRC120399/ai_opp_chall_policy_report_final.pdf - Il rapporto “Artificial Intelligence: A European Perspective” del Centro Comune di Ricerca (JRC) della Commissione Europea, che propone una prospettiva europea sull’I.A. basata sui valori e sugli obiettivi dell’U.E.: https://publications.jrc.ec.europa.eu/repository/bitstream/JRC113826/ai_flagship_report_online.pdf - Il rapporto “Artificial Intelligence: Economic and Policy Implications” dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE), che esamina gli effetti dell’I.A. sull’economia e sulle politiche pubbliche: https://www.oecd.org/going-digital/ai-economic-and-policy-implications.pdf
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024
- Trasferimento di dati da registri pubblici: le deroghe e i limiti dell’art. 49 del GDPR - Novembre 4, 2024
- L’interesse vitale dell’interessato o di altre persone come deroga al trasferimento transfrontaliero di dati personali - Ottobre 28, 2024
- L’esercizio o la difesa di un diritto in sede giudiziaria come deroga al trasferimento transfrontaliero di dati personali - Ottobre 21, 2024