La nuova proposta di regolamento dell’Intelligenza Artificiale

La nuova proposta di regolamento dell’Intelligenza Artificiale:tre nuovi piani di responsabilizzazione “cosciente” per le macchine pesanti?

Indice degli argomenti:

L’esigenza impellente di protezione ‘dell’elemento umano’ nell’era dell’intelligenza artificiale
La nuova proposta di regolamento sull’intelligenza artificiale: novità essenziali
Focus: le caratteristiche dei tre piani di rischio algoritmico
Conclusioni: nuovi piani di coscienza per le macchine pensanti?

L’esigenza impellente di protezione ‘dell’elemento umano’ nell’era dell’intelligenza artificiale

Negli ultimi anni, numerosi teatri italiani hanno ospitato la sfida tra il pianista Roberto Prosseda e Teo Tronico, pianista robotico ideato e progettato da una start up emiliana in diverse versioni dal 2007 ad oggi. Questo robot musicista, dotato di 53 dita, è in grado di leggere in tempo reale qualsiasi partitura musicale in formato digitale o MIDI, suonandole al pianoforte acustico con una precisione tecnica che nessun umano saprebbe mai equiparare, nemmeno l’autore stesso del testo. Si tratta di una sfida uomo-macchina scelta intenzionalmente da Prosseda per alimentare il dibattito circa il senso dell’espressionismo musicale, ponendo a diretto confronto una riproduzione robotica aderente e ‘letterale’ alla partitura originale con la libera interpretazione umana del testo classico. Un confronto, dunque, che implicitamente si interroga sulla persistenza o meno del valore del cd. elemento umano nell’era dell’imperio dell’intelligenza artificiale.

Di esempi simili ve ne sono molteplici, si pensi anche ai cd. robot pittori o alle driverless cars, tutte tecnologie in grado di porre immediatamente in risalto in differenti ambiti le notevoli abilità raggiunte da queste nuove entità intelligenti dotate di una capacità di apprendimento impressionante oltre che di una logica inappuntabile che evidenzia ancor di più la fallacia umana, se posta a confronto.

Ma così come nell’arte, riproduzione e interpretazione non hanno di certo la medesima portata profonda sul piano dell’evoluzione estetica, così forse nella società il progresso non deriva solamente dall’esaltazione spinta del ‘terzo piano’ mentale, ossia di un super-io che si rivela a tratti sadico dinnanzi all’intrinseca imperfezione umana, come rappresentato magistralmente nel libro di Eshkol Nevo e ultimo film di Nanni Moretti ‘Tre piani’.

Forse, allora, è necessaria la presa di coscienza che una razionalità spinta e priva di morale alcuna implichi dei rischi inaccettabili per la società, potendo causare gravi pregiudizi per determinate categorie di soggetti. Si pensi agli ormai numerosi casi in cui la decisione rimessa ad un ‘algoritmo giudice’ circa il merito creditizio di un cliente, la concessione o meno di una polizza assicurativa sulla salute o, peggio ancora, la pericolosità del reo in un processo penale, abbia causato gravissimi pregiudizi alla posizione dei soggetti coinvolti poiché tale scelta veniva presa in base a criteri analitici che, seppur strettamente logici, erano del tutto insensibili al rispetto dei diritti fondamentali della persona ivi implicati, poiché mero risultato della riproduzione serrata di dati statistici pregressi su casi simili^[1]. Una decisione questa, spesso scevra di sufficiente trasparenza e che, al contrario, pecca di opacità nei propri passaggi analitici da cui il risultato deriva, rendendo ancor più taciturna e dimessa ogni tutela effettiva degli individui coinvolti.

Anche nel diritto, così come nella musica, l’apporto riproduttivo-interpretativo non ha dunque la stessa pregnanza poiché solo il secondo è in grado di intuire l’aspirazione alla giustizia; il giudice non è certamente un automa chiamato solamente a puro tecnicismo ma, al contrario, ad un costante e sensibile contemperamento di interessi spesso contrapposti tra loro che non può trovare nella logica aritmetica la propria soluzione – posto che il bilanciamento dei diritti risulterebbe spesso un calcolo a somma zero visto che non esiste una scala dei medesimi^[2]. Al contrario, egli è chiamato ad essere guidato dalla ragionevolezza nelle proprie decisioni, strumento ben più complesso nel proprio utilizzo rispetto alla logica algoritmica ‘super-io’ e che trova solo nel dialogo costante dei ‘tre piani’ della mente umana la propria giustificazione.

Dinnanzi alle questioni enunciate, si constata come la protezione del cd. elemento umano diviene fondamentale e compito impellente del giurista è portare nuovi correttivi alla decisione robotica volti a prevenire i danni, tutelare le vulnerabilità sociali, apportare maggiore ragionevolezza al sistema oltre che garantire un progresso realmente costruttivo.

La nuova proposta di regolamento sull’intelligenza artificiale: novità essenziali

In data 21 aprile 2021 è stata resa pubblica la proposta di regolamento del parlamento europeo e del consiglio che stabilisce regole armonizzate sull’intelligenza artificiale e modifica alcuni atti legislativi dell’Unione; essa si inserisce a piè sospinto nel novero di iniziative legislative nell’ambito dell’economia digitale. La proposta si compone di 85 articoli più allegati e il proprio scopo – come espressamente chiarito sin dal primo considerando – consiste nel fornire nuovi strumenti regolativi univoci in grado di promuovere lo sviluppo e l’utilizzo dell’intelligenza artificiale all’interno del mercato unico europeo, nel rispetto profondo dei valori dell’Unione e dei diritti fondamentali. Il testo, dunque, in logica continuazione con gli altri testi regolativi afferenti al digitale, prende come riferimenti essenziali la tutela della persona e il benessere del mercato, laddove intende creare un ambiente sicuro e trasparente connotato da maggiore attenzione alla garanzia dei diritti individuali e collettivi oltre che un equilibrato contemperamento tra gli stessi.

Senza alcuna pretesa di esaustività circa la portata effettiva del regolamento, si segnalano gli elementi di novità della disciplina de quo.

Si premette che la proposta di Regolamento in questione presenta non pochi punti di contatto con il GDPR, i.e. Reg. 2016/679/U.E., in quanto è noto che la circolazione e il trattamento dei dati siano alla base dei sistemi di intelligenza artificiale. Vi è, dunque, un’interferenza strutturale tra la circolazione dei dati e circolazione dei ‘prodotti intelligenti’ nel mercato unico europeo. Se letti in logica coordinazione tra loro, si riscontra un’impostazione comune tra i due regolamenti: in entrambi viene prediletto un approccio al rischio deterrente piuttosto che esclusivamente riparativo nel caso di danno effettivo. Così, i principi di accountability e risk assessment divengono perno anche di questo nuovo atto regolativo, in ottica di responsabilizzazione dei sistemi intelligenti, in capo ai quali vengono posti diversi obblighi di condotta preventiva^[3]. La responsabilità derivante dall’utilizzo del dispositivo intelligente prima che per danni effettivi si configurerebbe, dunque, come responsabilità di natura organizzativa, ossia per non aver assunto misure opportune per evitare un danno.

Il concetto di accountability viene assunto nell’architettura normativa di entrambe le discipline quale ‘principio dei principi’ o ‘principio contenitore’, poiché la sua osservanza mirerebbe a garantire il rispetto anche delle altre prescrizioni ivi contemplate. Esso si strutturerebbe dunque come pietra angolare della svolta regolativa, ovverosia come approccio concepito non secondo meri termini formalistici o burocratici ma, al contrario, mediante una reale presa di posizione contro il possibile impatto negativo su diritti e libertà dell’interessato.

In ossequio a ciò, tali obblighi di condotta previsti in entrambi i regolamenti sono imposti sia agli utenti commerciali propriamente Ue che in capo a coloro che, seppur privi di uno stabilimento effettivo all’interno del territorio dell’Unione, ne elargiscono i servizi al suo interno; si parla a quest’ultimo riguardo di fenomeno di ‘extraterritorialità’ del diritto europeo, giustificato soprattutto dal fatto che il testo normativo si pone a strenua difesa dei diritti riconosciuti come fondamentali sia dalle carte europee che dai trattati internazionali (v. art. 3 GDPR e art. 2 della proposta)^[4].

Alla luce di quanto riportato, si può constatare come il concetto di rischio e la sua conseguente prevenzione divengano momenti centrali in entrambi gli atti regolativi citati: vi è un tentativo univoco e strenuo di porre barriere ad ogni minaccia alla sicurezza individuando contro-misure ad hoc che gli operatori di I.A. devono adottare per stemperare adeguatamente la situazione.

A tal riguardo, la proposta compie un passo ulteriore, in quanto individua preventivamente tre piani di rischio – i.e. totale, alto e medio – entro cui vengono posti i prodotti che utilizzano software I.A. in base alle loro caratteristiche operative; ad ogni categoria viene quindi associato un differente livello di obblighi e condotte da porre in essere volte segnatamente alla protezione dei diritti fondamentali dell’individuo, primi fra tutti la tutela della sua salute e della sua sicurezza ma non si dimentichi anche la protezione dei suoi dati personali ovvero la sua dignità. Maggiore è il pericolo per questi diritti nell’ipotesi di utilizzo di sistemi di I.A., più serrate saranno le contro-misure individuate per eliminare o mitigare tale impatto negativo, fino a giungere, come extrema ratio, al divieto espresso di porre in commercio quei prodotti che vengono ritenuti del tutto incompatibili con le prerogative di tutela accordate agli individui all’interno del territorio dell’Unione (v. art. 5 della proposta).

Premesse brevemente le linee di novità dell’architettura normativa, il prossimo paragrafo si concentrerà sui contenuti di responsabilizzazione di ogni piano di rischio.

Focus: le caratteristiche dei tre piani di rischio algoritmico

Come anticipato nel precedente paragrafo, la proposta di regolamento in esame prevede tre piani distinti di obblighi di condotta a seconda del grado di rischio per i diritti fondamentali dell’individuo.

Partendo dal più alto livello di rischio, ossia dal ‘terzo piano’, l’art. 5 del regolamento delibera espressamente, in primo luogo, la proibizione di quei prodotti idonei potenzialmente a causare danni fisici o psicologici agli utenti attraverso l’utilizzo di «tecniche subliminali» volte alla manipolazione iniqua del soggetto, sfruttandone anche le eventuali vulnerabilità, «al fine di distorcerne materialmente il comportamento».

In secondo luogo, sarà vietata l’imposizione dei sistemi di cd. social scoring da parte delle autorità pubbliche «ai fini della valutazione o della classificazione dell’affidabilità delle persone fisiche», nel caso in cui il ponteggio ottenuto determini situazioni di palese discriminazione e pregiudizio.

Sarà proibito, infine, l’utilizzo di «sistemi di identificazione biometrica remota ‘in tempo reale’ in spazi accessibili al pubblico». Si precisa a riguardo che, sebbene vietato in via generale, l’articolo stesse prevede casi eccezionali in cui esso è ammesso sotto lo strenuo controllo di un’autorità pubblica.

Gli articoli 6 e seguenti sono invece dedicati al ‘secondo piano’ ossia i sistemi configurabili ‘ad alto rischio’, per l’immissione in commercio dei quali, vengono imposti una serie di adempimenti, sia in capo ai produttori che agli utilizzatori, al fine di garantire legalità, eticità, robustezza, sicurezza e accuratezza nella gestione di questi peculiari sistemi di I.A.^[5] Rientrano nel novero di questi sistemi quelli specificamente indicati negli allegati II e III della proposta, in generale tutti quei sistemi che «presentano un rischio di danno per la salute e la sicurezza, o un rischio di impatto negativo sui diritti fondamentali»; uno fra tanti, ad esempio, il credit scoring.

Senza entrare nel dettaglio dei numerosi obblighi, si fa cenno al fatto che è contemplata espressamente l’adozione di sistemi ad hoc per la valutazione e gestione del rischio afferente all’operatività stessa dei meccanismi intelligenti. Ancora, in logica coordinazione con il GDPR, è prevista l’istituzione di sistemi in grado di garantire anche un’alta qualità al trattamento dei dati personali degli utenti. Deve essere poi adottata una documentazione tecnica appropriata che fornisca tutte le informazioni necessarie circa le misure prescelte per la mitigazione del rischio, in modo tale da permettere costantemente la conseguente valutazione di conformità, sia preventiva che successiva, da parte delle competenti autorità pubbliche^[6]. Oltre a ciò, il sistema classificato ad alto rischio, prima di essere immesso nel mercato, dovrà essere registrato appositamente in una banca dati europea per i sistemi di I.A. di questo tipo.

Si annoverano, infine, in logica coordinazione con gli altri regolamenti afferenti al digitale, precisi obblighi di trasparenza da ottemperare, dovendo garantire forte chiarezza nelle istruzioni relative all’utilizzo dei servizi di I.A. oltre che contenere precisi avvertimenti inerenti alle possibili implicazioni negative connesse e indicare, altresì, informazioni precise relativamente all’identità del fornitore del servizio.

Il primo piano, invece, è costituito dai sistemi di medio rischio, disciplinati dagli artt. 52 e successivi. Rientrano in questo livello, ad esempio, tutti quei sistemi che sono in grado di interazione con gli esseri umani, di generare o modificare immagini o contenuti video ovvero simulare contenuti audio che assomigliano sensibilmente alla voce delle persone; si pensi ai chat bot. In tal caso, gli obblighi imposti si sostanziano nel dovere generale di trasparenza e nel rendere edotti gli utenti che stanno interagendo con un sistema di I.A. e non con un essere umano ovvero che il prodotto è opera dell’intelligenza artificiale.

Conclusioni: nuovi piani di coscienza per le macchine pensanti?

Giunti al termine di questo breve percorso inerente alle nuove proposte sull’intelligenza artificiale si possono trarre le prime parziali conclusioni. Il primo aspetto che viene sicuramente in risalto è che il nuovo quadro normativo rappresenti una vera transizione verso differenti frontiere normative del tutto originali rispetto agli schemi qualificativi prediletti agli albori dell’esperienza robotica. Tali entità presentano caratteristiche così innovative che oggi necessitano una disciplina ad hoc sensibile anche all’idea di dover regolare entità intelligenti ma ancora poco coscienti del proprio impatto, talvolta negativo, sul mercato e gli interessi ivi coinvolti.

La peculiarità del nuovo modello si sostanzia così nell’attenzione specifica e univoca all’elemento tecnologico, ponendo in esaltazione le sue caratteristiche e potenzialità ma, al contempo, tentando di responsabilizzare produttori e fornitori rispetto ai rischi connessi, in modo tale da creare un ecosistema digitale maggiormente trasparente e armonico, dove la circolazione di dati personali e servizi di intelligenza artificiale possa avvenire nel rispetto dei diritti considerati fondamentali.

Un procedimento, quello prediletto dal legislatore unitario, definibile, forse, di natura ‘educativa’, in quanto nel responsabilizzarli, tenta di rendere le macchine pensanti più coscienti rispetto alle proprie azioni. Si tenta, dunque, metaforicamente un nuovo dialogo ‘a tre piani’ non solo tra livelli di rischio ma anche tra severa logica, complessità umana e aspirazioni di progresso costruttivo.

JOIN US!
If you want to stay updated on the legal tech world, join the Telegram community! Click here to participate!

Bibliografia essenziale:

M. Brunello – G. Zagrebelsky, Interpretare. Dialogo tra musicista e giurista, Bologna, 2016.
L. Califano, Privacy: affermazione e pratica di un diritto fondamentale, Roma, 2016.
G. Amore, Fairness, Transparency e Accountability, nella protezione dei dati personali, in Studium Iuris, 2020, IV, 414 ss.
R. Celella, Il principio di responsabilizzazione: la vera novità del GDPR, in Ciberspazio e diritto, 2018, I-II, 211 ss.
J. Scott, Extraterritoriality and Territorial Extension in EU Law, in American Journal of Comparative Law, 2013, 87 ss.
M. Bassini, Commissione europea, proposta di regolamento sull’intelligenza artificiale, 24 aprile 2021, in «https://www.federprivacy.org/informazione/societa/commissione-europea-proposta-di-regolamento-sull-intelligenza-artificiale».

^[1] Si consideri, ex multis, il noto e criticato caso Supreme Court of Wisconsin, State of Wisconsin v. Eric L. Loomis, Case no. 2015AP157-CR, 5 April – 13 July 2016, sentenza d’appello chiamata a pronunciarsi sull’utilizzo in primo grado del software COMPAS (Correctional offender management profiling for alternative sanctions) per stabilire il rischio di recidiva dell’imputato. Tra i diversi motivi di appello, l’imputato lamentava il fatto che l’algoritmo, per ritenerlo ‘ad alto rischio di recidiva’, aveva assunto tra i propri criteri dirimenti il cd. ‘dato di genere’, ossia il fatto che egli era un maschio adulto afroamericano, in quanto statisticamente i soggetti appartenenti a questo gruppo etnico tendono a commettere maggiori crimini. Ciò posto, venivano sollevati plurimi profili discriminatori nella pena inflitta in primo grado fondata su questo risultato distorto.

^[2] Circa le sintonie tra musica e diritto nell’interpretazione si osservi M. Brunello – G. Zagrebelsky, Interpretare. Dialogo tra musicista e giurista, Bologna, 2016, passim.

^[3] Per un’analisi più approfondita del concetto di accountability nel GDPR, ex multis L. Califano, Privacy: affermazione e pratica di un diritto fondamentale, Roma, 2016, 69 ss.; R. Celella, Il principio di responsabilizzazione: la vera novità del GDPR, in Ciberspazio e diritto, 2018, I-II, 211 ss.

^[4] Sul tema dell’extraterritorialità, J. Scott, Extraterritoriality and Territorial Extension in EU Law, in American Journal of Comparative Law, 2013, 87 ss.; ID., The New EU ‘Extraterritoriality’, in Common Market Law Review, 2014, LI, 1343 ss.

^[5] Per maggiori dettagli su tali componenti della I.A. si osservi il parere fornito dal gruppo di esperti ad alto livello sull’intelligenza artificiale, istituito dalla Commissione europea nel giugno del 2018, intitolato ‘Orientamenti etici per un’IA affidabile. Cfr. «https://promositalia.camcom.it/kdocs/1984514/ethicsguidelinesfortrustworthyai-itpdf-1.pdf».

^[6] M. Bassini, Commissione europea, proposta di regolamento sull’intelligenza artificiale, 24 aprile 2021, in «https://www.federprivacy.org/informazione/societa/commissione-europea-proposta-di-regolamento-sull-intelligenza-artificiale».

Il 1° novembre 2023, il Comitato europeo per la protezione dei dati ha emesso una decisione vincolante imponendo a Meta, società madre di Facebook e Instagram, di interrompere l’uso dei dati personali degli utenti per fini di marketing senza consenso esplicito. Questa mossa segue precedenti controversie sulla privacy, compreso uno scandalo del 2018 su Facebook, con l’autorità di protezione dei dati irlandese che ha già multato Meta per violazioni del GDPR. La decisione del Comitato europeo mira a far rispettare norme sulla protezione dei dati, vietando a Meta di utilizzare il legittimo interesse come base giuridica per trattare i dati degli utenti europei a fini pubblicitari. In risposta, Meta ha introdotto un servizio di abbonamento a pagamento senza pubblicità per Facebook e Instagram nell’UE, cercando di conformarsi al GDPR e mitigare preoccupazioni sulla profilazione dei dati. Tuttavia, la possibilità di interrompere la profilazione è riservata agli utenti a pagamento, sollevando interrogativi sulla monetizzazione del consenso e suscitando attenzione sulle strategie di Meta.