AI Act: una normativa decisiva per l’evoluzione digitale?

A dispetto di coloro che ritenevano che la partita si sarebbe giocata nel corso dei prossimi trent’anni, la rivoluzione digitale dell’intelligenza artificiale è già in corso.

Protagonista indiscussa della cronaca delle ultime settimane l’AI sta dando non poco filo da torcere ad addetti ai lavori ed esperti del settore, impegnati ad immaginarsi gli infiniti scenari prospettati e a prevederne l’impatto sulle nostre vite – non tanto in termini di device o applicazioni, quanto piuttosto sulla società – dal momento che algoritmi e chatbot orchestreranno la quotidianità di aziende e cittadini.

Una premessa è fondamentale: l’AI non deve suscitare preoccupazioni rispetto al suo utilizzo. Recentemente si sono creati allarmismi a seguito del caso Chat GPT per cui il Garante era intervenuto con un provvedimento con effetto immediato a fine marzo dopo aver rilevato “la mancanza di una informativa agli utenti e a tutti gli interessati i cui dati vengono raccolti da OpenAI, ma soprattutto l’assenza di una base giuridica che giustifichi la raccolta e la conservazione massiccia di dati personali, allo scopo di ‘addestrare’ gli algoritmi sottesi al funzionamento della piattaforma. Come peraltro testimoniato dalle verifiche effettuate, le informazioni fornite da ChatGPT non sempre corrispondono al dato reale, determinando quindi un trattamento di dati personali inesatto “.

Blocco tuttavia superato e servizio ripristinato dopo aver risolto le principali criticità in materia di tutela dei dati e dopo il recepimento di buona parte delle prescrizioni imposte dall’Autorità da parte dell’azienda.

Il provvedimento deve costituire un punto di riferimento normativo che evidenzia come lo sviluppo di una soluzione debba essere fatto seguendo i principi del privacy by design e nel rispetto dell’attuale Regolamento Europeo senza niente aggiungere a ciò che oggi va gestito rispetto a qualsiasi altra tecnologia.

Enti ed aziende alle prese con sistemi di AI non devono commettere l’errore di ritenersi estranei rispetto agli obblighi normativi dovendo rispondere ad un preciso equilibrio tra dettami normativi, misure di sicurezza e aspetti etici, che – a loro volta – devono convivere con le esigenze di business.

In questa cornice il principio guida di ogni sviluppo e trattamento deve essere quello del “fundamental-rights oriented”, pilastro portante del GDPR. In questa prospettiva, il principio che traduce nel modo migliore questo approccio è proprio quello della privacy by design, enunciato nell’articolo 25 del GDPR, concepito per integrare l’elemento normativo ed il rispetto del diritto fondamentale della protezione dei dati personali sin dalla fase di progettazione e sviluppo della tecnologia.

Le norme non possono e non devono essere un arresto per lo sviluppo tecnologico. Semmai gli allarmismi nascono a seguito dei timori rappresentati anche da molti addetti ai lavori che si sono dichiarati preoccupati che i prodotti AI potrebbero nel giro di una manciata di anni sostituirsi agli esseri umani.

Un simile timore non contribuisce a costruire uno scenario rassicurante e spesso non crea un terreno fertile all’adozione di sistemi di AI tra le imprese che – ferme in processi produttivi ed organizzativi tradizionali e talvolta superati – non compiono il salto decisivo nell’evoluzione delle proprie infrastrutture.

AI ACT

Un’impasse a cui ci auguriamo ponga fine l’AI Act, la prima proposta legislativa che - dopo la sua prima bozza nell’aprile 2021 – ha appena ricevuto l’approvazione dal Parlamento europeo.  Il regolamento entrerà in vigore il ventesimo giorno dopo la pubblicazione in Gazzetta Ufficiale e, secondo quanto recita la versione del testo approvata dal Parlamento, sarà applicabile direttamente negli Stati membri 24 mesi dopo la sua entrata in vigore (il Consiglio invece propone un periodo più lungo: 36 mesi).

L’AI Act rappresenta il risultato di un acceso dibattito che ha visto schierate varie parti politiche, finalizzato alla creazione di una normativa condivisa ed omogena che mira a regolamentare l’intelligenza artificiale rispetto alla sua potenzialità di causare danni. L’intento è quello di imporre obblighi più severi ai modelli di base che dovrebbero essere progettati e sviluppati in conformità non solo con il diritto dell’UE, ma anche con quelli cosiddetti “fondamentali”.

Nel testo della nuova normativa assume una assoluta centralità il concetto di “rischio” sul quale si basa una precisa classificazione in base ad una serie di elementi che - nei casi più gravi - determinano l’impossibilità di utilizzo dello strumento stesso. Sebbene l’”Assessment” assuma in questo contesto un’importanza decisiva trova ancora una certa difficoltà di applicazione, complici la mancanza di standard condivisi e – spesso - di esperti qualificati adeguatamente formati per certificare la solidità e la sicurezza dei modelli di AI rispetto al livello di rischio considerato accettabile.

È ancora aperto e caratterizzato da toni accesi il confronto tra addetti ai lavori ed esperti su quali siano le pratiche o le applicazioni da classificare “vietate” poiché ritenute un rischio inaccettabile. Un rischio si definisce significativo quando “risultato della combinazione della sua gravità, intensità, probabilità di accadimento e durata dei suoi effetti, ed è la capacità di colpire un individuo, una pluralità di persone o di influenzare un determinato gruppo di persone”. Non solo dunque salute, sicurezza e diritti fondamentali, ma il concetto si estende anche ad ambiti ad alto rischio come quelli connessi a infrastrutture critiche tra cui le reti energetiche o quelle idriche ad esempio.

Per chiarire incertezze e interpretazioni l’AI Act enuncia una serie di assiomi-cardine che da un lato hanno il compito di orientare gli operatori del settore, dall’altro quello di fissare un perimetro di azione rispetto alla legittimità delle varie operazioni.

In questa riflessione sono interessanti alcuni divieti enunciati dal Regolamento connessi all’impiego dell’AI da parte delle autorità pubbliche, primo tra tutti il divieto assoluto di utilizzo di tecnologie a intelligenza artificiale per il riconoscimento facciale nei luoghi pubblici in Europa.

In particolare, la raccolta indiscriminata di dati biometrici provenienti da social media o da filmati di sistemi tv a circuito chiuso, come le telecamere di sorveglianza, utilizzati per creare database di riconoscimento facciale è stato ritenuto un sistema che esporrebbe ad un livello di rischio inaccettabile per la sicurezza delle persone, una violazione evidente dei diritti umani e della privacy.

A conferma che l’AI ha un grande impatto in tutti i campi, compreso quello politico, ricordiamo che nella classificazione del livello di rischio è stata catalogata ad alto rischio anche l’area dei sistemi di AI utilizzati per influenzare gli elettori in occasione delle campagne politiche e nell’ambito delle piattaforme social. Anche in un settore apparentemente poco connesso alla tecnologia come quello politico, ecco che si ripropone il concetto sopra citato - e rinforzato nella più recente versione del documento - in cui si ribadisce l’obbligo per i fornitori di modelli di fondazione di garanzia e tutela dei diritti fondamentali, della salute e della sicurezza e dell'ambiente, della democrazia e dello stato di diritto.

Nella proposta europea emerge ancora una volta l’intento costante di trovare un punto di equilibrio tra l’esigenza di non ostacolare il progresso e l’innovazione tecnologica e quella di rendere questa evoluzione compatibile con la tutela dei diritti e la normativa europea.

Questa ricerca basata sul principio di proporzionalità si evince sin dalla dichiarazione degli obiettivi del Regolamento, primo tra tutti quello di “assicurare che i sistemi di IA immessi sul mercato dell’Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell’Unione”. Un intento ribadito anche dagli altri obiettivi come quello di “assicurare la certezza del diritto per facilitare gli investimenti e l’innovazione nell’intelligenza artificiale”, “migliorare la governance e l’applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA” e “facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato”.

Conclusioni

Probabilmente stiamo scrivendo solo il primo dei capitoli sulla storia dell’AI: il tema non è solo di natura infrastrutturale, ma anche etico e - in una certa misura – antropologico. Comprendere l’impatto profondo delle tecnologie sulla nostra società, non significa allontanare strumenti e servizi che non è possibile controllare senza riserve, ma piuttosto promuovere l’innovazione imparando a gestirla e a classificare i potenziali rischi che comporta. Una governance efficace passa necessariamente dalla creazione di competenze all’interno delle autorità che dovranno supportare le aziende le quali, a loro volta, dovranno incoraggiare e promuovere campagne di informazione, con l’obiettivo di educare i destinatari sui requisiti e sugli obblighi descritti dall’AI Act. Aspetto non secondario, inoltre, l’introduzione di definizioni univoche e comuni nelle diverse legislazioni nazionali, nei regolamenti europei o negli standard dei vari settori per favore la nascita di un linguaggio comune e omogeneo condiviso da tutti gli operatori ed i soggetti interessati.

A parere di chi scrive, una volta definiti gli aspetti normativi e le responsabilità rispetto allo strumento, l’AI potrà svilupparsi trasversalmente ai vari settori senza creare schieramenti tra soggetti favorevoli e non. Stiamo affrontando una fase transitoria necessaria verso nuove opportunità di sviluppo e la normativa deve essere concepita come driver, non come causa di rallentamento.