Artificial Intelligence Act: come garantire la trasparenza

Lo scorso 14 giugno 2023, il Parlamento Europeo ha votato a favore della proposta di Regolamento sull’Intelligenza Artificiale presentata dalla Commissione (Artificial Intelligence Act – “AI Act”), facendo un passo in più verso l’approvazione definitiva del testo, attesa entro la fine dell’anno. L’AI Act che, a livello globale, rappresenterebbe la prima forma di regolamentazione dei sistemi di intelligenza artificiale (AI), segue un approccio basato sul rischio^[1], sulla falsariga di quanto fatto dal Regolamento (UE) 679/2016 sulla protezione dei dati personali. Con la differenza (sostanziale) che la valutazione del rischio non è lasciata ai privati, ma è predeterminata dalla normativa. Infatti, l’AI Act distingue fra quattro livelli di rischio, ponendo regole e obblighi diversi a seconda del livello a cui è riconducibile ciascun sistema: rischio inaccettabile^[2], rischio elevato^[3], rischio limitato, rischio minimo o nullo.

In particolare, mentre i sistemi il cui livello di rischio è considerato “inaccettabile”, sono del tutto vietati, i sistemi ad alto rischio possono essere introdotti sul mercato, ma i fornitori e gli operatori^[4] di tali sistemi saranno tenuti ad osservare una serie di obblighi previsti dalla disciplina. Obblighi meno stringenti, invece, sono previsti nel caso di sistemi a rischio limitato o minimo.

Tali obblighi ricomprendono, fra gli altri, obblighi di trasparenza e informativi, che saranno analizzati più in dettaglio nel prosieguo.

Le disposizioni in esame si rivolgono, anche se in modo diverso, ai fornitori dei sistemi di AI, ossia qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che sviluppa o fa sviluppare un sistema di AI al fine di immetterlo sul mercato o metterlo in servizio^[5], e agli operatori (categoria che ricomprende anche gli utenti) di tali sistemi, definiti invece come qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di AI sotto la propria autorità, a esclusione dell’uso meramente personale^[6].

Fornitori e operatori (o utenti) vanno tenuti distinti rispetto alle persone interessate, ossia le persone fisiche soggette a un sistema di AI o in altro modo interessate^[7], principale oggetto di tutela della disciplina.

AI Act, obblighi informativi e di trasparenza

Come anticipato, gli obblighi di trasparenza previsti dall’AI Act si articolano diversamente a seconda del livello di rischio con cui vengono classificati i singoli sistemi.

Al di là degli obblighi specifici, tuttavia, il principio di trasparenza è incluso fra i principi generali applicabili a tutti i sistemi di intelligenza artificiale. Questo aspetto è stato chiarito dalle modifiche apportate al testo originario da parte del Parlamento Europeo, fra le quali rileva l’introduzione dell’art. 4 bis, a norma del quale “i sistemi di AI sono sviluppati e utilizzati in modo da consentire un’adeguata tracciabilità e spiegabilità, rendendo gli esseri umani consapevoli del fatto di comunicare o interagire con un sistema di AI e informando debitamente gli utenti delle capacità e dei limiti di tale sistema di AI e le persone interessate dei loro diritti”^[8].

È quindi necessario garantire che tutti i sistemi AI, a prescindere dal livello di rischio, siano tali da consentire un’adeguata informazione delle persone interessate circa il loro funzionamento.

AI Act, gli obblighi generali

L’art. 52 dell’AI Act individua gli obblighi di trasparenza applicabili a tutti i sistemi AI. Le modifiche apportate da parte del Parlamento Europeo hanno chiarito la portata generale della norma, eliminando dalla rubrica dell’articolo il riferimento a “determinati sistemi di AI”^[9].

Si tratta di obblighi rivolti ai fornitori dei sistemi AI, chiamati a sviluppare e progettare e i sistemi in maniera tale che il fornitore stesso o l’utente siano in grado di informare “in modo tempestivo, chiaro e comprensibile la persona fisica esposta ad un sistema AI” del fatto di stare interagendo con tale sistema.

Nel caso di sistemi di riconoscimento delle emozioni o di categorizzazione biometrica, che non rientrino nelle ipotesi vietate dall’art. 5, gli utenti saranno inoltre tenuti a raccogliere il consenso delle persone interessate al trattamento dei loro dati personali^[10].

Un obbligo specifico^[11] è inoltre previsto nel caso di sistemi AI in grado di generare i cosiddetti “deep fake”, ossia sistemi che generano manipolano testi o contenuti audio o video che “potrebbero apparire falsamente autentici o veritieri e che rappresentano persone che sembrano dire cose che non hanno detto o compiere atti che non hanno commesso, senza il loro consenso”. In questo caso, infatti gli utenti sono tenuti ad etichettare i contenuti in modo tale da rendere noto in modo “adeguato, tempestivo, chiaro e visibile”, che si tratti di contenuti generati o manipolati artificialmente, comunicando altresì, ove possibile, il nome della persona fisica o giuridica che ne è l’artefice. Fa eccezione il caso in cui il sistema AI che genera il deep fake sia autorizzato dalla legge o necessario per l’esercizio della libertà di espressione e del diritto alla libertà delle arti e delle scienze^[12].

Le persone interessate devono essere informate al più tardi al momento della prima interazione o esposizione e tali informazioni fornite in maniera tale da risultare accessibili anche a soggetti vulnerabili come minori e persone con disabilità^[13].

Gli obblighi per i sistemi ad alto rischio

Il Capo 2 dell’AI Act, che detta i requisiti per i sistemi ad alto rischio, individua invece degli obblighi specifici nel caso di utilizzo di tali sistemi.

In primo, l’art. 10 dell’AI Act individua una serie di pratiche di governance e la gestione dei set di dati addestramento dei sistemi^[14] fra le quali figura la “trasparenza riguardo alla finalità originaria della raccolta dei dati”^[15]. L’art. 10 chiarisce, peraltro, che le misure di governance dei dati individuate dalla norma devono essere “adeguate al contesto di utilizzo, come pure alla finalità prevista del sistema AI”^[16]. Si tratta di un profilo importante, che evidenzia la necessità di calare nel concreto l’attuazione degli obblighi previsti dalla disciplina, scongiurando il rischio di applicazioni formalistiche che non consentano di raggiungere gli scopi auspicati.

Lo stesso approccio è infatti ravvisabile anche al seguente articolo 13, rubricato “Trasparenza e fornitura di informazioni” e sul quale il Parlamento Europeo è intervenuto proprio nell’ottica di chiarire che il rispetto del principio di trasparenza e l’adempimento degli obblighi informativi devono in ogni caso essere ispirati ai principi di ragionevolezza e proporzionalità.

Il nuovo testo^[17], infatti, prevede che i sistemi AI ad alto rischio siano progettati e sviluppati in modo tale da consentire ai fornitori e agli utenti di “comprendere ragionevolmente il funzionamento del sistema”, garantendo una trasparenza “adeguata in conformità della finalità prevista del sistema AI”. Criteri ai quali è collegata, peraltro, la capacità di fornitori e utenti di adempiere agli ulteriori obblighi previsti dalla normativa.

L’articolo va oltre, chiarendo che per trasparenza debba intendersi l’adozione di tutti i mezzi tecnici disponibili tenendo conto dello stato dell’arte, affinché il sistema sia interpretabile dal fornitore e dall’utente. Quest’ultimo, in particolare, deve comprendere il sistema e averne una conoscenza generale, tale da poter spiegare alla persona interessata le decisioni adottate dal sistema AI.

Inoltre, la disciplina richiede che i sistemi AI ad alto rischio siano accompagnati da istruzioni per l’uso comprensibili, ossia che forniscano informazioni concise, corrette, chiare e, per quanto possibile, complete agli utenti, al fine di garantire che il processo decisionale di questi ultimi sia adeguatamente informato e siano agevolati il funzionamento e la manutenzione del sistema^[18].

Un primo aspetto da evidenziare qui riguarda la differenza nell’attuazione del principio di trasparenza, ed in particolare degli obblighi informativi, nei confronti degli utenti e delle persone interessate. I primi, infatti, sono a loro volta chiamati a fornire spiegazioni in merito alle decisioni assunte dai sistemi AI. Seppure nel limite del principio di ragionevolezza di cui si è detto prima, gli utenti dovranno quindi essere messi nelle condizioni di comprendere il funzionamento del sistema nella maniera più esaustiva possibile.

Obblighi dei fornitori di un modello base

Obblighi specifici sono previsti, inoltre, nei confronti dei fornitori di modelli base^[19], a prescindere dal fatto che questi siano forniti come modelli autonomo o integrati in un sistema AI^[20]. Fra tali obblighi rientra anche quello di mettere a disposizione dei fornitori un’ampia documentazione tecnica, nonché istruzioni d’uso intellegibili, che consentano loro di adempiere agli obblighi previsti dalla disciplina^[21].

Nel caso di modelli base destinati ad essere integrati in sistemi di AI generativa (come, ad esempio, ChatGPT e Bard di Google), i fornitori di tali modelli sono inoltre tenuti al rispetto degli obblighi di trasparenza previsti dall’art. 52 dell’AI Act^[22].

In linea generale, anche in questo caso, nel valutare il rispetto o meno degli obblighi previsti dalla disciplina, dovrà tenersi conto dello stato dell’arte^[23].

Garantire la trasparenza dei sistemi: misure tecniche e legal design

Come si è visto, l’AI Act attribuisce grande importanza al principio di trasparenza e agli obblighi informativi ad esso ricollegati. Tuttavia, una delle maggiori difficoltà che si riscontra trattando di sistemi AI è proprio quella di conoscere tutte le informazioni rilevanti e relative al funzionamento del sistema, soprattutto riguardo gli sviluppi potenziali. A questo, si aggiunga la difficoltà di rendere fruibili tali informazioni, prevalentemente di natura tecnica.

La concreta attuazione del principio di trasparenza e l’adempimento degli obblighi informativi, dunque, potrebbe rivelarsi particolarmente onerosa per fornitori e utenti di sistemi AI.

La direzione da intraprendere per ovviare a questo problema è, per certi versi, già individuata dallo stesso AI Act. La proposta di Regolamento fa infatti riferimento, in più occasioni, alla necessità di sviluppare sistemi che, per la loro stessa architettura, siano comprensibili da parte degli utenti.

In altre parole, l’AI Act incoraggia l’attuazione del principio di trasparenza “by design”, ossia già nella fase di sviluppo del sistema. Ne consegue che uno sviluppo sostenibile dei sistemi AI non potrà prescindere dalla creazione di un connubio coerente fra piano tecnico e giuridico.

È interessante osservare come il mercato si stia muovendo in questa direzione, e vi siano già degli esperimenti volti a costruire sistemi in grado di garantire la piena compliance con la nuova disciplina anche sotto il profilo della trasparenza^[24].

Questo primo aspetto è particolarmente rilevante con riguardo delle informazioni che devono essere fornite agli utenti che, come detto, dovranno a loro volta essere in grado di fornire spiegazioni alle persone interessate. Tanto più i sistemi AI saranno più sin dalla loro origine, quanto più sarà più semplice per gli utenti adempiere ai propri obblighi.

Qualche riflessione ulteriore può essere fatta, invece, per quanto riguarda la necessità di fornire informazioni alle persone interessate, informandole non soltanto di stare interagendo con un sistema AI, ma anche dei limiti di quest’ultimo e dei possibili rischi.

Sotto questo profilo, infatti, l’esperienza maturata soprattutto in materia di dati personali, insegna che un approccio eccessivamente formalistico è del tutto inefficace. Informative prolisse e ricche di tecnicismi non soddisfano infatti i requisiti di immediatezza e chiarezza richiesti dalla disciplina.

Per tale ragione, sarebbe auspicabile muoversi verso soluzioni innovative, che si sta già esplorando anche in altri settori (primo fra tutti quello relativo alla protezione dei dati personali), come ad esempio soluzioni di “legal design”. Si tratta di una nuova frontiera del diritto, che si concentra sulla persona, ponendosi quale obiettivo quello di rendere più comprensibili concetti complessi e tecnici, attraverso l’uso di immagini e altri elementi legati appunto al design.

L’obiettivo, infatti, è quello di minimizzare, se non azzerare, il rischio che le informazioni fornite non vengano comprese o effettivamente lette dai destinatari.

Note

1. Con l’emendamento 166 alla proposta di Regolamento, Parlamento Europeo ha introdotto il punto 1bis) all’art. 3 dell’AI Act, definendo il “rischio” come “la combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso”. ↑
2. Art. 5 dell’ AI Act ↑
3. Art. 6 dell’ AI Act ↑
4. La definizione di “operatore” è stata introdotta dal Parlamento Europeo con l’emendamento 172 alla Proposta di Regolamento, che ha modificato l’art. 3, no. 4) dell’AI Act, sostituendo la figura dell’utente con quella dell’operatore. Si noti, tuttavia, che l’art. 3, no. 8) fornisce un’ulteriore definizione di operatore, ricomprendendovi anche la figura dell’utente. ↑
5. Art. 3, no. 2) AI Act ↑
6. Art. 3, no. 4) AI Act ↑
7. Emendamento 174 alla Proposta di Regolamento, art. 3, punto 8bis dell’AI Act. ↑
8. Emendamento 213 del Parlamento Europeo alla Proposta di Regolamento. ↑
9. Emendamento 484 del Parlamento Europeo alla Proposta di Regolamento. ↑
10. Emendamento 485 del Parlamento Europeo alla Proposta di Regolamento, che modifica l’art. 52, para 2 dell’AI Act. ↑
11. Emendamento 486 del Parlamento Europeo alla Proposta di Regolamento, che modifica l’art. 52, para 3, comma 1 dell’AI Act ↑
12. Emendamento 487 del Parlamento Europeo alla Proposta di Regolamento, che modifica l’art. 52, para 3, comma 2 dell’AI Act ↑
13. Emendamento 488 del Parlamento Europeo alla Proposta di Regolamento, che introduce l’art. 52, para 3 te dell’AI Act ↑
14. Emendamento 184 del Parlamento Europeo alla Proposta di Regolamento, che modifica l’art. 3, no. 29) dell’AI Act. I dati di addestramento sono definiti come “i dati utilizzati per addestrare un sistema di intelligenza artificiale, adattandone i parametri che può apprendere”. ↑
15. Emendamento 280 del Parlamento Europeo alla Proposta di Regolamento, che introduce la lett. a bis) all’art. 10, para 2 dell’AI Act ↑
16. Emendamento 279 del Parlamento Europeo alla Proposta di Regolamento, che modifica l’art. 10, para 2 dell’AI Act. ↑
17. Emendamento 300 del Parlamento Europeo alla Proposta di Regolamento, che modifica l’art. 13, para 1 dell’AI Act. ↑
18. Emendamento 300 del Parlamento Europeo alla Proposta di Regolamento, che modifica l’art. 13, para 2 dell’AI Act. ↑
19. Emendamento 99 del Parlamento Europeo alla Proposta di Regolamento, che introduce il Considerando 60 sexies dell’AI Act: “I modelli di base sono uno sviluppo recente, in cui i modelli di AI sono sviluppati a partire da algoritmi progettati per ottimizzare la generalità e la versatilità degli output […]”. ↑
20. Emendamento 399 del Parlamento Europeo alla Proposta di Regolamento, che introduce l’art. 28 ter, para 1 dell’AI Act. ↑
21. Emendamento 399 del Parlamento Europeo alla Proposta di Regolamento, che introduce l’art. 28 ter, para 2, lett. e) dell’AI Act. ↑
22. Emendamento 399 del Parlamento Europeo alla Proposta di Regolamento, che introduce l’art. 28 ter, para 4, lett. a) dell’AI Act. ↑
23. Emendamento 399 del Parlamento Europeo alla Proposta di Regolamento, che introduce l’art. 28 ter, para 2 dell’AI Act. ↑
24. Si veda, ad esempio https://www.networklawreview.org/computational-three/. ↑