Regolamentare l’intelligenza artificiale: pro e contro

La bozza di regolamento europeo della Commissione sull’AI, o AI Act, sembrerebbe fornire un approccio semplice a fronte di una realtà complessa

Pubblicato il 06 Set 2021

normativa AI

Una notevole difficoltà con la bozza di regolamento europeo della Commissione sull’AI (“AI Act”, disponibile qui nella traduzione ufficiale in italiano) è che presuppone che un “fornitore” end-to-end di un sistema di AI possa essere identificato e possa essergli attribuita la relativa responsabilità. L’AI Act definisce tale fornitore di servizi come il soggetto che ha sviluppato il sistema di AI o lo ha fatto sviluppare.

Complessità dell’industria dell’AI

Tuttavia, l’industria dell’AI non è così semplice come la definizione lascerebbe intendere. Mentre alcune AI sono sviluppate da una singola organizzazione da zero, è molto comune l’uso di strumenti di sviluppo modulare (i cosiddetti MLOp), che offrono componenti pronti per particolari funzioni che possono essere combinati in un tutto più complesso. Molti dei principali fornitori di servizi cloud offrono suite di strumenti AI o componenti AI come parte delle loro offerte “as a Service”. Queste parti o componenti sono anche su base open-source. Detti strumenti e componenti possono costituire un elemento a sé stante o possono essere acquistati insieme a servizi di consulenza per lo sviluppo. In breve, non si può presumere che ci sia un unico sviluppatore o che un singolo soggetto abbia sviluppato l’AI su base end-to-end.

Si tratta di un punto importante perché la bozza di regolamento pone la responsabilità della compliance normativa sulle spalle del “fornitore”. Questo approccio eccessivamente semplificato della bozza potrebbe causare duplicazioni degli obblighi di compliance in luogo di una distribuzione efficace e proporzionata della responsabilità lungo tutta la catena di approvvigionamento dell’AI. In pratica, se il quadro normativo non si adatta alla concreta infrastruttura del settore, gli obiettivi di compliance potrebbero essere raggiunti con maggiore difficoltà.

regolamento AI

Compliance e responsabilità

Le complessità della compliance non sono di certo aiutate dalla continua incertezza sulla responsabilità relativa all’AI – intendendo, più nel dettaglio, l’apprendimento automatico (machine learning) e i sistemi di deep learning. Il software per tali sistemi non è codificato a mano da un essere umano, linea per linea. Al contrario, i modelli algoritmici sono costruiti per auto-completarsi e auto-regolarsi continuamente in riferimento ai dati che analizzano. Ciò significa che gli sviluppatori di tali sistemi non sanno necessariamente perché l’input A ha generato l’output B. In termini di responsabilità, ciò dà luogo al cosiddetto paradigma della “scatola nera”. La responsabilità legale dipende tipicamente dall’esistenza di una prevedibile catena di causalità tra la colpa e il danno causato – in termini semplici, un collegamento identificabile che permetta di ricondurre la responsabilità a un particolare attore. La natura “a scatola nera” di molte AI basate sul deep learning impedisce l’istituzione di queste catene di causalità, che, a sua volta, impedisce l’identificazione di un particolare soggetto colpevole/responsabile.

Inizialmente, la Commissione aveva considerato di affrontare le complessità della black-box AI in contemporanea con il progredire dello sviluppo del regolamento AI. Tuttavia, ad oggi, i due progetti non sono più allineati e qualsiasi riforma in materia di responsabilità è ancora di là da venire.

Nel frattempo, i fornitori, gli sviluppatori e i venditori di soluzioni AI devono utilizzare schemi contrattuali per mitigare i rischi derivanti dall’incertezza sulla responsabilità.

Regolamentazione, sì o no?

Giurisdizioni come gli USA e (finora) il Regno Unito non stanno adottando un approccio simile a quello dell’UE con una regolamentazione dall’alto verso il basso e intersettoriale dell’AI. L’UE ritiene che la regolamentazione sia necessaria per rafforzare la fiducia di tutti nell’AI, che, a sua volta, favorirà la crescita e la diffusione di questa tecnologia. Gli Stati Uniti, al contrario, si stanno concentrando sulla promozione del settore attraverso finanziamenti e rendendo disponibili più dati del settore pubblico e del governo per la formazione (training) dell’AI. La National AI Strategy del Regno Unito dovrebbe essere pubblicata nei prossimi mesi. Sebbene la legislazione o la regolamentazione di questioni specifiche o di settori specifici potrebbero seguire a loro volta, la strategia principale non dovrebbe risolversi in una regolamentazione orizzontale intersettoriale.

Perché l’UE sta adottando un approccio così diverso?

L’UE non può vantare una posizione di leadership globale nei mercati tecnologici per l’hardware, il software o le infrastrutture (anche se sta cercando di ridurre la dipendenza europea dai fornitori d’oltremare attraverso la sua politica di “EU tech sovereignty”). Al netto di questo distacco tecnologico, l’UE potrebbe comunque assumere la leadership globale per la regolamentazione della tecnologia. Proprio come il GDPR ha stabilito uno standard normativo di eccellenza per la privacy, così la Commissione sta cercando un ruolo simile in altre aree di regolamentazione digitale. La bozza di AI Act (e altre) possono essere viste in quest’ottica.

Una legislazione globale a livello europeo offrirebbe almeno maggiore semplicità per gli obblighi di compliance. Negli Stati Uniti, tanto per fare un confronto, tale regolamentazione può essere prevista a livello federale, statale o distrettuale. La conformità ad un variegato mosaico di legislazioni locali potrebbe essere estremamente lunga e onerosa e, in definitiva, rallentare la crescita e la diffusione di questa tecnologia.

Standard di governance dei dati irrealistico?

Secondo la bozza di regolamento in questione, i sistemi AI “ad alto rischio” devono soddisfare sei dettagliate aree di compliance che coprono la governance dei dati e vari aspetti di trasparenza, sicurezza e controllo. Gli obblighi proposti intorno alla trasparenza dei dati si distinguono per essere particolarmente ambiziosi. Per esempio, i dati di addestramento, convalida e prova inseriti in un sistema di AI “devono essere pertinenti, rappresentativi, privi di errori e completi”. Si tratta di un livello molto alto anche perché la formulazione è assoluta, senza tolleranza o margine di errore nel soddisfare detti requisiti.

I requisiti sono anche probabilmente irrealistici. Come accennato sopra, l’addestramento dell’AI è un processo iterativo e continuo. Come tale, potrebbe non essere mai possibile confermare che il set di dati sia completo. “Privo di errori” è analogamente uno standard molto difficile da soddisfare per un vasto set di dati. Molti set di dati sono stati accumulati nel corso di un certo numero di anni, forse utilizzando un processo di raccolta automatizzato o tecniche come il data scraping, o raccolti da varie fonti. Controllare l’accuratezza di ogni singolo pacchetto di dati non solo rischierebbe di essere sproporzionatamente oneroso ma potrebbe anche non essere possibile in mancanza di una chiara identificazione della fonte dei dati.

Ai regolamento

I limiti alla segretezza

La bozza di regolamento richiede ai fornitori di AI ad alto rischio di garantire che il regolatore possa accedere ai loro set di dati di addestramento, convalida e prova, nonché a qualsiasi documentazione che debba essere redatta ai sensi del regolamento. Non si tratta di misure investigative, in caso di sospetto di un’infrazione o una non conformità, ma semplicemente di verifiche circa la compliance.

Le proposte della Commissione si risolverebbero in un sistema particolarmente intrusivo – in particolare se si considera che altre importanti giurisdizioni non stanno attualmente pianificando di regolare l’AI in questo modo. C’è anche chi ha commentato che il grado di intrusione normativa potrebbe anche dissuadere le imprese non europee dall’immettere i loro prodotti nel mercato UE, in presenza di mercati globali alternativi in cui espandersi e regolamentati in modo meno incisivo.

A tutto questo si aggiungono ovviamente le questioni in materia di segreto industriale, a fronte dei dubbi circa l’applicabilità della protezione della proprietà intellettuale per i dati e i modelli algoritmici. Ancora una volta, questi obblighi di accesso rischiano di creare un disallineamento con le realtà dell’industria dell’AI.

Regolamento sull’AI: quale sarà il prossimo passo?

È difficile che la bozza di regolamento rimanga così com’è e il processo legislativo porterà con sé un dibattito nel merito molto approfondito. È in corso una significativa attività di lobbying a livello europeo, al fine di influenzare la forma finale e definitiva di questo regolamento. Tali scambi produrranno sicuramente maggiore consapevolezza del mercato di riferimento in capo agli organi legislativi. In ogni caso, dovrà essere raggiunto un non facile compromesso tra la creazione di condizioni in cui gli strumenti di AI ad alto rischio possano essere oggetto di fiducia da parte del pubblico e la creazione di una normativa che non sia così onerosa e intrusiva da dissuadere i fornitori di AI a entrare nel mercato europeo.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati