Il 21 aprile la Commissione UE ha pubblicato la proposta di regolamento dell’AI, anche nota come Artificial Intelligence Act (AIA), affiancata da un piano generale sull’intelligenza artificiale.
L’obiettivo della Commissione europea con la proposta di regolamento
A ben guardare, questa proposta di regolamento appare in linea con l’attuale impegno della Commissione di allineare la UE al corrente Zeitgeist tecnologico, se non di precederlo e guidarlo: con l’ambizione di diventare un modello o più semplicemente di “guidare con l’esempio”, l’UE ha infatti deciso di mettersi in testa alla corsa globale alla regolamentazione e alla governance dell’AI. Dettare lo standard che paesi terzi debbano soddisfare o semplicemente emulare, può dare all’UE un vantaggio globale, come già è avvenuto con l’emanazione del GDPR. Pertanto, come vedremo meglio tra poco, non deve stupire che si possano tratteggiare molte analogie tra quest’ultimo e l’AIA. In primo luogo, l’AIA si applica all’AI indirizzata ai cittadini dell’UE, indipendentemente dal Paese di stabilimento del suo produttore o distributore. Al contempo, una disciplina coesa dell’AI è fondamentale per assicurare il funzionamento del mercato unico digitale, sia per quel che riguarda i servizi disponibili nell’infosfera che per i beni potenziati dall’AI come le auto a guida autonoma. Inoltre, soltanto una disciplina armonizzata evita il rischio che si crei un quadro normativo incoerente o conflittuale nei diversi Stati Membri.
Questa proposta è stata preceduta da diversi passaggi intermedi che hanno segnato il processo di regolamentazione dell’AI da parte dell’UE. Vale la pena menzionare la prima risoluzione del Parlamento Europeo sull’AI risalente al 2017 e seguita dal Libro bianco della Commissione dello scorso anno e dalle risoluzioni del PE relative all’AI e all’etica, alla liability e al diritto d’autore. Tuttavia, alcuni di quei primi tentativi erano intrisi di concezioni fantascientifiche sull’AI e sulle sue capacità, con richiami perfino ai romanzi di Isaac Asimov e alla figura di Frankenstein, arrivando a caldeggiare soluzioni singolari come il riconoscimento della personalità giuridica all’AI, definita e-personality. Fortunatamente, tale ingiustificata percezione è stata rigettata e la Commissione sembra piuttosto aver ascoltato e seguito le indicazioni presenti nelle numerose raccomandazioni e istanze etiche sollevate negli ultimi anni da forum e comitati nominati dalla stessa UE, come l’AI Alliance e l’High Level Expert Group on Artificial Intelligence (HLEG).
Ora che stiamo probabilmente attraversando la fase della cosiddetta “slope of enlightment” del ciclo delle tecnologie di AI, l’obiettivo lodevole e ambizioso della Commissione è riconoscere i benefici socio-economici che l’implementazione di queste tecnologie pervasive può portare, pur restando prudenti rispetto alla vasta gamma di rischi alla tutela dei diritti fondamentali e – finanche – allo Stato di diritto che le stesso possono generare. Di conseguenza, la Commissione ha scelto di adottare un approccio basato sul rischio che, sebbene valido in teoria, deve ancora essere perfezionato al fine di garantire la certezza delle norme da emanarsi e una corretta applicazione delle stesse.
Analisi dell’approccio basato sul rischio
Piuttosto che concentrarsi sulla tecnologia in sé e sulle sue caratteristiche ricorrenti – nello specifico, opacità, (parziale) autonomia e imprevedibilità – l’AIA cerca di regolamentare gli impieghi e, in particolare, i campi di utilizzo dell’AI sulla base dei rischi generati. Ciononostante, il testo della proposta fornisce una definizione di AI che sottolinea la capacità di questi algoritmi di generare output come contenuti, previsioni, raccomandazioni o decisioni a partire da una serie di obiettivi definiti a monte dall’uomo. Va sottolineato che tale definizione, pur avendo il merito di essere tecnologicamente neutrale, è, come tutta la proposta, intrinsecamente umano-centrica, escludendo così dal suo ambito quelle tipologie di AI che potrebbero discostarsi dal primo input umano, come potrebbe essere il caso del deep learning.
In maniera simile al GDPR, l’AIA cerca di regolamentare l’AI sin dalla sua progettazione, partendo dall’addebito della responsabilità in capo a produttori, distributori, importatori e utenti, fino ad arrivare all’imposizione di sanzioni. Come accade con le autorità di controllo della protezione dei dati, gli Stati membri sarebbero chiamati a nominare autorità incaricate con il monitoraggio dell’applicazione dell’AIA, fornendo orientamenti pratici e comminando sanzioni, in linea con l’attività di armonizzazione del sarà Comitato europeo per l’intelligenza artificiale. La pervasività di queste tecnologie suggerisce che potrebbe essere necessario conferire questo ruolo a più di un’autorità (ad esempio, sia alle autorità per la protezione dei dati che alle autorità per la concorrenza).
Le implementazioni dell’AI vietate dalla proposta di regolamento
Da un lato, gli impieghi a basso rischio dell’AI esulano dal campo di applicazione della proposta di regolamento. Dall’altro, però, il regolamento vieta tout court quattro tipi di implementazione dell’AI:
– sistemi di intelligenza artificiale che utilizzino tecniche subliminali al di là della percezione di una persona per distorcere materialmente il comportamento di un individuo in un modo che causa a quella o ad un’altra persona un danno fisico o psicologico: questa disposizione, sebbene apparentemente meritoria e irreprensibile, è probabilmente troppo ampia e può comprendere una pletora di “tecniche subliminali”; difatti, anche gli assistenti vocali di uso quotidiano potrebbero essere considerati “subliminali”, considerando quanto rapidamente stiano migliorando le tecnologie di elaborazione del linguaggio naturale;
– tecniche subliminali che sfruttano le vulnerabilità negli utenti fragili e impressionabili: come sopra evidenziato, la mancanza di una chiara definizione delle caratteristiche delle “tecniche subliminali” mina la certezza del diritto, fermo restando che nel caso di categorie vulnerabili di utenti la soglia perché si integri questa disposizione dovrebbe essere inferiore;
– il social scoring, che è in aumento soprattutto in Cina e che sovvertirebbe i pilastri delle nostre democrazie;
– identificazione biometrica remota (IBR) in tempo reale in luoghi pubblicamente accessibili, salvo specifiche eccezioni.
L’IBR in tempo reale, sebbene rigidamente regolamentata e ammessa solo in circostanze specifiche (come per la ricerca mirata delle vittime di reato, a tutela dell’incolumità delle persone, in caso di terrorismo o per i reati previsti dal mandato d’arresto europeo) potrebbe ancora essere oggetto di abuso, anche sotto l’AIA. L’utilizzo di queste tecnologie, infatti, potrebbe portare a una sorveglianza di massa, con un evidente impatto sul comportamento dei cittadini che dovranno essere resi consapevoli del monitoraggio che potrebbe interessarli, pur anche quando non siano oggetto diretto della ricerca dell’IBR. Pertanto, soltanto una regolamentazione più stringente escluderebbe che tramite l’IBR si realizzi un’attività di polizia e sorveglianza sproporzionata.
La proposta sembra lasciare spazio anche ad altre tecnologie controverse, come il riconoscimento delle espressioni facciali e il rilevamento delle emozioni, che potrebbero essere utilizzate dalle imprese. Di conseguenza, i negozi, ad esempio, potrebbero chiedere ai propri clienti di acconsentire a simili trattamenti, pur essendo ampiamente noto quanto il consenso tenda ad essere prestato anche a cuor leggero.
AI ad alto rischio e enhanced accountability
Il nucleo della proposta è la regolamentazione dell’AI ad alto rischio, che, sebbene consentita, dovrebbe essere soggetta ad un elevato livello di obblighi di conformità. Il grado di responsabilità posto in capo a produttori e distributori di queste tipologie di AI (comprese quelle applicate alla sanità, all’istruzione o per determinare la capacità di credito delle persone) è superiore a quello stabilito tramite i principi di accountability del GDPR. Inoltre, la Commissione sembra aver rinnovato la proposta avanzata ormai venticinque anni fa dal giudice americano Curtis E.A. Karnow, introducendo un registro che tenga traccia di tutte le AI classificate come ad alto rischio.
Il primo passo dovrebbe consistere in una valutazione ex ante dei rischi posti dall’impiego di questo tipo di AI e dei mezzi messi in campo per mitigare tali minacce. Dopo di che, queste tecnologie dovrebbero ricevere ed essere accompagnate da una certificazione per poter essere immesse sul mercato. I requisiti di accountability posti dall’AIA per l’AI ad alto rischio saranno probabilmente uno dei requisiti di conformità più gravosi del regolamento. Ad esempio:
– i produttori di AI dovranno utilizzare dataset per formazione, convalida e test di alta qualità che dovranno essere pertinenti, rappresentativi, privi di errori e completi. Qui, le istituzioni europee dovranno probabilmente fare un ulteriore sforzo e impostare parametri chiari per determinare se i set di dati con cui vengono alimentate le tecnologie di intelligenza artificiale soddisfino questi requisiti. In questo modo, una sorta di “affirmative action” potrebbe in parte risolvere il problema persistente dei dataset parziali o distorti;
– l’AI ad alto rischio dovrà essere resa quanto più trasparente e tracciabile possibile, il che dovrebbe consentire la ricostruzione del nesso causale in caso di malfunzionamento o danno (anche se la maggior parte di questi algoritmi opera in una scatola nera);
– agli utenti dovrà essere garantito un adeguato livello di trasparenza in relazione agli algoritmi di AI ad alto rischio, alle loro capacità e ai loro limiti, pur essendo ancora difficile nella pratica, in particolare quando si tratta di tecnologie altamente sofisticate;
– la supervisione umana dovrà essere sempre garantita: con una chiara somiglianza con quanto previsto dall’articolo 22 GDPR con riferimento ai processi decisionali automatizzati, la Commissione chiede agli sviluppatori il grande sforzo di progettare le loro AI in modo che l’intervento umano sia possibile in ogni fase;
– l’AI, embodied o scorporata, dovrà raggiungere un livello adeguato di accuratezza, robustezza e sicurezza informatica.
Mancanze attuali e possibili miglioramenti del regolamento europeo sull’AI
Quest’ultimo requisito mostra una delle mancanze di questa proposta. Ad oggi, i produttori di AI potrebbero non essere in grado di soddisfare il livello di accountability previsto, anche considerando che la maggior parte della normativa complementare all’AIA al momento vigente dovrà essere tempestivamente modificata. Infatti, così come redatto, l’AIA impone una profonda riforma di norme e regolamenti esistenti, quale ad esempio la Direttiva Macchine (2006/42/CE).
Inoltre, il testo dell’AIA non riesce a trovare un equilibrio funzionale tra i principi (che discendono dai diritti fondamentali riconosciuti dall’UE) e norme chiare e di dettaglio. Questo deriva, probabilmente, dall’obiettivo di mantenere il regolamento il più aggiornato possibile e di limitare la necessità di modifiche e aggiornamenti. Tuttavia, il testo della proposta è formulato troppo spesso con termini generici e di non univoca interpretazione, il che potrebbe avere ricadute sulla certezza del diritto. Quando, al contrario, la proposta si occupa e delimita gli usi dell’IA, inevitabilmente fallisce nel disciplinare altre applicazioni possibili o prevedibili della stessa.
Fortunatamente, ci attendono diversi mesi di consultazioni dei portatori di interessi, degli Stati membri e del Parlamento europeo, prima che la versione finale dell’AIA venga adottata ufficialmente. Possiamo quindi sperare che il testo finale dell’AIA assicuri un equilibrio tra la necessità di promuovere la fiducia dei cittadini negli algoritmi di AI attraverso un solido quadro normativo e di gestire questa tecnologia destrutturante, nonché di attrarre investitori e sviluppatori, che potrebbero altrimenti preferire giurisdizioni che pongono requisiti meno stringenti.
