L’algoritmo nelle Corti in attesa dei regolamenti europei sull’AI

Come noto, ad oggi non esiste una legislazione specificamente indirizzata a normare il ricorso connesso all’uso di sistemi di intelligenza artificiale, né le conseguenze derivanti, sul piano civilistico e penalistico, né nell’ambito nazionale né in quello sovranazionale in cui si trovano numerose disposizioni significative ma non vincolanti^[1].

Ciò significa che nel caso di adozione di un sistema di AI dovrà farsi riferimento al quadro normativo nazionale esistente e per quanto riguarda l’Italia:

1. per le fattispecie di responsabilità in ordine alla produzione di eventi dannosi dovrà tenersi conto dei vari regimi di responsabilità civile previsti nei codici (codice civile, codice del consumo etc.);
2. per la tutela della proprietà intellettuale e industriale legata all’ideazione e alla creazione dei sistemi intelligenti e degli output ottenibili dal loro utilizzo si farà riferimento alla normativa in materia di diritto d’autore e al codice della proprietà industriale;
3. per dirimere le tematiche relative alla complessa materia del trattamento dei dati di natura personale e della tutela dei diritti e delle libertà degli interessati, il quadro normativo di riferimento è oggi costituito dal Regolamento Europeo n. 679/2016.

Si ritiene però che alcuna delle norme attualmente applicabili soddisfi a pieno la copertura di eventuali responsabilità per gli operatori e le relative conseguenze per gli utenti.

Nonostante, infatti, sia noto – oltre che pacifico – che i sistemi di AI non siano neutrali in quanto sono programmi di azione che riflettono scelte di chi le ha stabilite (spesso in termini di puro profitto) è altrettanto vero che alcuni sistemi di AI sono dotati della capacità di autodeterminarsi in base agli input provenienti dall’ambiente esterno e ai dati raccolti.

Riconducibilità giuridica delle condotte autonome dell’AI

Un sistema di AI che si autodetermina ossia che è programmato per apprendere e decidere autonomamente (es. come nel caso di applicazioni di deep learning) introduce una componente di imprevedibilità che sotto un profilo strettamente giuridico potrebbe tradursi in un’interruzione del nesso di causalità tra la condotta di chi ha ideato, progettato o costruito il sistema e gli output cui lo stesso sistema dà luogo^[2].

I conseguenti eventuali problemi di riconducibilità giuridica delle condotte autonome dell’AI agli operati potrebbero essere risolti attraverso l’applicazione degli istituti già presenti nel nostro ordinamento quali la responsabilità per fatto altrui e/o la responsabilità oggettiva per l’esercizio delle attività pericolose.

Anch’esse però incontrano dei limiti. Si pensi all’ipotesi della responsabilità per l’esercizio di attività pericolose o in sé rischiose. Tale normativa potrebbe trovare agevole applicazione nei casi in cui un sistema di AI si muova sotto la supervisione di un operatore attivo che lo guida mentre sarebbe di difficile applicazione nei casi in cui l’intelligenza artificiale svolga una funzione sostitutiva di quella umana in quanto ritenuta più affidabile (si pensi ai sistemi di sorveglianza). In tali sistemi, verrebbe meno il concetto di pericolosità della macchina che è invece un requisito intrinseco nella disciplina dettata dall’art. 2050 c.c..

Non solo, ma nel caso di molteplici soggetti coinvolti, dal creatore dell’algoritmo al programmatore, dal produttore all’utente, si dovrà verificare se potrà trovare effettiva applicazione la disciplina della responsabilità solidale^[3].

Per quanto attiene invece alle tematiche legate alla sicurezza e alla protezione dei dati nell’ambito dei sistemi AI, la disciplina di riferimento è, come detto, il GDPR.

Sistemi di AI: i fattori ai quali prestare attenzione

Attività quali la profilazione, il monitoraggio e la combinazione di dati sono tipiche dei sistemi di intelligenza artificiale peraltro spesso basati sulla gestione di grandi quantità di dati, utilizzati per addestrare gli algoritmi, creando così i presupposti per un potenziale scontro con il principio di minimizzazione.

Le aziende sono chiamate a prestare attenzione a fattori quali:

i) l’utilizzo dei dati degli individui sulla base di un trattamento automatizzato; ii) la necessità di misure di sicurezza adeguate ai rischi insiti nel trattamento; iii) la prevenzione e la gestione dei data breach; iv) l’effettuazione della valutazione di impatto in relazione al trattamento; v) controlli adeguati sulle eventuali catene di fornitura, nel rispetto dei principi di privacy by design e privacy by default volti a minimizzare il trattamento dei dati.

Per le aziende poi che intendono richiedere dati di individui tramite sistemi di intelligenza artificiale, la normativa richiede oltre alla minimizzazione coerente con le finalità dichiarate anche di: i) informare gli individui sull’utilizzo della tecnologia, le finalità e le modalità del trattamento; ii) di valutare gli impatti del ricorso a tecnologie intelligenti sui diritti e sulle libertà degli individui; iii) garantire sempre l’intervento umano in casi di errori o violazioni da parte dell’AI. Da ciò si potrebbe desumere un principio generale di incompatibilità dei sistemi di AI senza supervisione con la normativa privacy.

Le Corti e il Garante e l’utilizzo dell’algoritmo

Ci si chiede quindi cosa succeda nelle Corti quando l’oggetto del giudizio coinvolge direttamente o indirettamente sistemi di AI.

La maggior parte delle pronunce pubblicate coinvolgono l’amministrazione pubblica in cui l’adozione di software a cui viene affidato il procedimento di formazione della decisione amministrativa, nel quale vengono immessi una serie di dati così da giungere attraverso l’automazione della procedura alla decisione finale, non solo viene considerata pienamente ammissibile ma viene altresì incoraggiata in quanto risponde ai canoni di efficienza ed economicità dell’azione amministrativa^[4]. Tali canoni impongono secondo il principio costituzionale di buon andamento dell’azione amministrativa^[5] il conseguimento da parte dell’Amministrazione dei propri fini con il minor dispendio di mezzi e risorse, anche attraverso lo snellimento e l’accelerazione dell’iter procedimentale.

Tali software sono stati ritenuti molto utili soprattutto nell’ambito di attività seriali o standardizzate, implicanti l’elaborazione di ingenti quantità di istanze e caratterizzate dall’acquisizione di dati certi e oggettivamente comprovabili e dall’assenza di ogni apprezzamento discrezionale.

Il ricorso all’algoritmo nei procedimenti amministrativi è dunque inquadrato quale modulo organizzativo, di strumento procedimentale ed istruttorio, soggetto alle verifiche tipiche di ogni procedimento amministrativo^[6].

Nelle pronunce esaminate è stato tuttavia precisato che l’adozione di tali sistemi deve essere accompagnata da alcuni aspetti preminenti, quali elementi di minima garanzia per ogni ipotesi di utilizzo di algoritmi in sede decisoria pubblica:

1. la piena conoscibilità a monte del modulo utilizzato e dei criteri applicati intesa in termini di trasparenza sia per la stessa pubblica amministrazione che per i soggetti coinvolti nella decisione;
2. l’imputabilità della decisione all’organo titolare del potere;
3. la possibilità di verificare gli esiti in termini di logicità e di correttezza, a garanzia dell’imputabilità della scelta al titolare del potere autoritativo, individuato in base al principio di legalità, nonché del soggetto responsabile, sia nell’interesse dei soggetti coinvolti ed incisi dall’azione amministrativa affidata all’algoritmo^[7].

Si evince dunque chiaramente che i giudici devono essere posti in grado di comprendere le modalità con le quali, attraverso l’algoritmo adoperato dall’amministrazione, vengono elaborati gli output (come nel caso dell’assegnazione dei posti disponibili), pena: un vizio del procedimento tale da inficiare la procedura stessa^[8].

Da ciò si pongono ulteriori interrogativi: quali informazioni dovranno fornire le aziende per rispettare i principi di trasparenza e possibilità di riscontro in assenza di linee guida o leggi specifiche sul punto?

Escludendo che per capire il funzionamento di un algoritmo (che giudica il nostro lavoro, decide del nostro mutuo, regola la nostra esposizione alle pubblicità su internet) si debbano fornire codici scritti nel linguaggio della programmazione informatica del tutto incomprensibili ai non addetti ai lavori se non accompagnati da una didascalia nel linguaggio naturale, si ritiene che i principi enunciati possano essere soddisfatti mediante la comunicazione di informazioni sulla logica posta alla base dei trattamenti oltre sulle conseguenze derivanti da tale logica, come anche indicato dalle Linee Guida in materia di intelligenza artificiale e protezione dei dati personali^[9].

Da ciò potrebbe ipotizzarsi che i dettagli minimi da fornire su un algoritmo potrebbero includere: le categorie di dati, la ragione per la quale tali categorie sono state considerate pertinenti, i criteri utilizzati e come gli stessi possano essere rilevanti, gli effetti conseguenti ai risultati ottenuti.

La necessità di giustificare i dati usati dall’algoritmo spiegandone le conseguenze è principio diffuso non solo nelle pronunce del TAR o del Consiglio di Stato ma anche nei provvedimenti del Tribunale e del Garante che si sono peraltro pronunciati significativamente sull’ulteriore dettato della imparzialità degli algoritmi.

Il Tribunale ha sanzionato il caso in cui l’algoritmo utilizzato dalla società per stabilire il ranking cd reputazionale dei rider poteva essere discriminatorio. Nel procedimento è emerso che i parametri di elaborazione del ranking, che incidono sulla priorità di scelta delle sessioni di lavoro non consideravano la causa che aveva dato luogo al mancato rispetto della sessione prenotata. Da ciò conseguiva una sanzione con perdita di punteggio dei riders che non rispettavano le sessioni di lavoro, anche nell’ipotesi di forme lecite di astensione dal lavoro creando una potenziale discriminazione ^[10].

Sulla stessa linea si è mosso anche il Garante con il provvedimento^[11] con cui ha sanzionato, tra le varie, gli algoritmi utilizzati per la prenotazione e l’assegnazione di ordini in quanto producevano forme discriminatorie. La società non assicurava garanzie sull’esattezza e la correttezza dei risultati dei sistemi algoritmici utilizzati per la valutazione dei rider e non garantiva procedure per tutelare il diritto di ottenere l’intervento umano, esprimere la propria opinione e contestare le decisioni adottate mediante l’utilizzo degli algoritmi in questione, compresa l’esclusione di una parte dei rider dalle occasioni di lavoro. Il Garante ha pertanto prescritto alla società di individuare misure per tutelare i diritti e le libertà dei rider a fronte di decisioni automatizzate, compresa la profilazione anche allo scopo di minimizzare il rischio di errori e di distorsioni e di individuare misure che impediscano utilizzi impropri o discriminatori dei meccanismi reputazionali basati sul feedback dei clienti e dei partner commerciali^[12].

L’esigenza di chiarezza ma soprattutto di conoscibilità da parte dei terzi delle informazioni alla base della costruzione di un algoritmo, è stata espressa dalla Suprema Corte che sempre in materia di trattamento di dati personali ha sanzionato il caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità. La Suprema Corte ha stabilito che il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati^[13].

Sul punto si segnala anche la sentenza del Consiglio di Stato che si è spinto anche oltre ritenendo prioritario il diritto di conoscenza degli algoritmi rispetto al diritto di mantenere segreta la regola tecnica in cui si sostanzia la propria creazione^[14].

Uno sguardo al futuro: le risoluzioni europee sui sistemi di AI

Nonostante le Corti non paiano soffrire l’assenza di una legislazione specifica, è tuttavia evidente che la necessità di inquadrare una fattispecie così complessa come quella dell’utilizzo dei sistemi di AI attraverso un quadro comunitario uniforme è a dir poco necessaria.

Il Parlamento Europeo il 20 ottobre 2020 ha adottato tre risoluzioni contenenti raccomandazioni per la Commissione Europea e proposte di Regolamento in vista della redazione e stesura dei futuri regolamenti sull’intelligenza artificiale. Le risoluzioni recano indicazioni volte alla definizione di un quadro giuridico europeo in materia di responsabilità civile, principi etici e tutela dei diritti di proprietà intellettuale nei sistemi di intelligenza artificiale.

La risoluzione (A9-0178/2020) che riguarda il tema del regime della responsabilità civile per danni e pregiudizi arrecati da sistemi di AI presenta una Proposta di Regolamento europeo.

La Proposta definisce un sistema di AI come un sistema basato su software o integrato in dispositivi hardware che mostra un comportamento che simula l’intelligenza, tra l’altro raccogliendo e trattando dati, analizzando e interpretando il proprio ambiente e intraprendendo azioni, con un certo grado di autonomia, per raggiungere obiettivi specifici. Tale sistema diviene “autonomo” quando è in grado di operare interpretando determinati dati forniti e utilizzando una serie di istruzioni predeterminate, senza essere limitato a tali istruzioni, nonostante il comportamento del sistema sia legato e volto al conseguimento dell’obiettivo impartito e ad altre scelte operate dallo sviluppatore in sede di progettazione.

La Proposta distingue vari sistemi di AI tra i quali individua quelli ad alto rischio, intendendosi come tali i sistemi che significativamente possono causare danni o pregiudizi a una o più persone in modo casuale e oltre quanto ci si possa ragionevolmente aspettare. Per tali ipotesi la Risoluzione, che prevede l’identificazione di tali sistemi in un allegato al Regolamento che potrà anche essere aggiornato, dispone che l’operatore sarà oggettivamente responsabile di qualsiasi danno o pregiudizio causato da un’attività, dispositivo o processo fisico o virtuale guidato da tale sistema. L’articolo 4 della Risoluzione dispone poi che gli operatori di sistemi di AI ad alto rischio non possano eludere la propria responsabilità sostenendo di avere agito con la dovuta diligenza o che il danno o il pregiudizio sia stato cagionato da un’attività, dispositivo o processo autonomo guidato dal loro sistema di AI. Gli operatori non sono invece considerati responsabili se il danno o il pregiudizio è dovuto a cause di forza maggiore.

Altro aspetto da sottolineare è la riconducibilità della responsabilità civile solidale a tutti gli operatori, siano essi di front-end che di back-end. Gli operatori front-end sono le persone fisiche o giuridiche che esercitano un certo grado di controllo su un rischio connesso all’operatività e al funzionamento del sistema di AI e che beneficiano del suo funzionamento, mentre quelli di back-end sono, sempre persone fisiche o giuridiche, le quali, su base continuativa, definiscono le caratteristiche della tecnologia e forniscono i dati e il servizio di supporto di back-end essenziale, esercitando perciò anche un elevato grado di controllo su un rischio connesso all’operatività e al funzionamento del sistema di AI^[15].

La proposta prevede inoltre l’obbligo per le imprese di stipulare una polizza assicurativa a copertura del rischio conseguente ad eventuali danni causati da sistemi di AI adeguata all’ammontare delle sanzioni applicabili, come verranno stabilite dal futuro regolamento.

Al contempo, e segnatamente il 21 aprile 2021, la Commissione europea ha pubblicato una nuova bozza di Regolamento^[16], che propone il primo quadro giuridico europeo sull’AI^[17].

La bozza prevede che il quadro giuridico troverà applicazione per i soggetti pubblici e privati, all’interno e all’esterno dell’UE, a condizione che il sistema di AI sia immesso sul mercato dell’Unione o che il suo utilizzo abbia effetti su persone situate nell’UE. Potrà riguardare sia i fornitori, sia gli utenti di sistemi di AI ad alto rischio. Non troverà invece applicazione per gli usi privati e non professionali.

La Commissione propone un approccio basato sul contingentamento del rischio mediante l’adozione di misure di compliance.

La classificazione del rischio diviso in quattro livelli (inaccettabile, alto, limitato, minimo) dipende dalla funzione svolta dal sistema di AI e dalle finalità e modalità specifiche di utilizzo dello stesso. I criteri per la classificazione includono: i) il livello di utilizzo dell’applicazione di AI e la sua finalità, ii) il numero di persone potenzialmente interessate, iii) la dipendenza dai risultati e l’irreversibilità dei danni, iv) nonché la misura in cui nella legislazione vigente dell’Unione siano previsti provvedimenti efficaci per prevenire o ridurre sostanzialmente tali rischi.

Particolare attenzione viene poi dedicata ai sistemi ad alto rischio per i quali sono previste una serie di misure specifiche: una serie di caratteristiche intrinseche di cui il sistema ad alto rischio dovrà essere dotato, nonché una serie di obblighi a carico del fornitore, distributore, utilizzatore e ogni altra terza parte coinvolta che possa assumere la qualifica di “provider” ai sensi del Regolamento (ad es. sottoporre il sistema ad una valutazione di conformità rispetto ai requisiti obbligatori per un AI affidabile).

Il fornitore dovrà anche dotarsi di un sistema di gestione della qualità e del rischio per garantire la conformità ai nuovi requisiti e ridurre al minimo i rischi per gli utenti e le persone interessate, anche dopo l’immissione sul mercato di un prodotto. Il sistema di gestione consisterà in un processo iterativo continuo eseguito durante l’intero ciclo di vita di un sistema di AI ad alto rischio, che richiede un sistematico regolare aggiornamento e che dovrà comprende le seguenti fasi: i) identificazione e analisi dei rischi noti e prevedibili; ii) stima e valutazione dei rischi che possono emergere quando il sistema viene utilizzato in conformità con lo scopo previsto e in condizioni di un uso improprio ragionevolmente prevedibile; iii) valutazione di altri rischi che possono sorgere sulla base dell’analisi dei dati raccolti dal sistema di monitoraggio successivo all’immissione sul mercato; iv) adozione di adeguate misure di gestione del rischio.

I fornitori di applicazioni non ad alto rischio potranno invece garantire l’affidabilità dei loro sistemi di AI sviluppando propri codici di condotta volontari o aderendo a codici di condotta adottati da altre associazioni rappresentative.

Note

1. White Paper on Artificial Intelligence – A European approach to excellence and Trust; EDPS Opinion on the European Commission’s White Paper on Artificial Intelligence; Guidance on AI and data protection ICO; Civil liability regime for Artificial Intelligence; Ethics Guidelines for Trustworthy Artificial Intelligence ↑
2. https://www.ai4business.it/intelligenza-artificiale/artificial-intelligence-quadro-normativo-applicabile-e-lacune-giuridiche/ ↑
3. https://blog.osservatori.net/it_it/intelligenza-artificiale-normativa-privacy-e-responsabilita-civile ↑
4. L. 241/1990 art. 1 ↑
5. Art. 97 Costituzione ↑
6. Consiglio di Stato 31/12/2019 n. 8472, in www.dejure.it, Redazione Giuffré 2020 ↑
7. Consiglio di Stato 8/4/2019 n. 2270, in Guida al diritto 2019; T. Modena, sez. lav., n. 151 e n. 154 del 29.5.2020, in www.dejure.it ↑
8. T. Modena 1/6/2020 n. 154, in www.dejure.it, Redazione Giuffré 2020 ↑
9. Convenzione 108 del 25/1/2019 ↑
10. T. Bologna 31/12/2020, in www.dejure.it (Sentenza contro Deliveroo Italy Srl) ↑
11. Provvedimento del 10 giugno 2021 n. 9675440 contro Foodinho, controllata da GlovoApp23 ↑
12. Garanteprivacy.it/home/docweb/-/docweb-display/docweb/9677377 ↑
13. Cass. civ. 25/5/2021 n. 14381 Guida al diritto 2021, 23 ↑
14. Consiglio di Stato 2/1/2020 n. 30 ↑
15. Alessandro Mastromatteo e Benedetto Santacroce, Responsabilità civile per i danni dell’intelligenza artificiale: la proposta del Parlamento Ue, in https://www.agendadigitale.eu/cultura-digitale/la-responsabilita-civile-per-lintelligenza-artificiale-le-proposte-europee/ ↑
16. Regulation of the European Parliament and of the council Laying down harmonized rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative ACTS. ↑
17. La precedente pubblicazione risale al 20 ottobre 2020. ↑