La Commissione europea ha presentato la sua proposta di regolamento dell’intelligenza artificiale: 108 pagine e IX allegati. Un articolato di norme con intrecci e rimandi che forse dovrebbe far riflettere le tecno-burocrazie sull’opportunità di testi normativi più lineari.
Un cambio di prospettiva: industriale
Un regolamento e non una direttiva. Scelta ambiziosa, entrare subito in medias res con uno strumento di elevata armonizzazione, in un settore dove in realtà c’è poco da armonizzare – mancando regolamentazioni ad hoc nazionali –, ma molto da normare guardando agli scenari dell’AI di oggi e di un futuro prossimo.
Dopo anni di riflessione sulla “trustworthy AI”, declinata in ottica di principi etici (che poi etici in gran parte non erano, bensì basati sui diritti fondamentali), la Commissione con un cambio di prospettiva ragguardevole ed apprezzabile guarda ad una regolamentazione di tipo industriale, incentrata su standard di conformità, tipizzazione dei casi di rischio (art. 6 ed allegati II e III) e centralità della Commissione (art. 7).
Scorza: “Sulle regole AI l’Europa pone la prima pietra, ma sarà sfida enorme: ecco perché”
Non che la dimensione etica non sia e resti importante, ma come aspetto che integra quello giuridico, non come livello che vi si sovrappone e talvolta confusamente vi si intreccia. Sempre più verremo, infatti, chiamati a scelte etiche sul ruolo dell’AI nella società, nel valutare quanto e quale potere demandare alle “macchine” ed a chi le controlla. Servono però delle regole di fondo, anche basate su una contestualizzazione dell’esistente, per definire un orizzonte comune e condiviso, scevro dalla soggettività, dalla natura contestuale e dalla variabilità dei molti codici etici.
Da qui la centralità nella regolamentazione dell’AI del framework dei diritti fondamentali, non a caso evocata da molti organismi internazionali, dall’Agenzia dell’Unione europea per i diritti fondamentali, dal Consiglio d’Europa, da autorità di regolamentazione, da varie NGOs e da parte della letteratura specialistica su questi temi.
Poco sviluppati i meccanismi di valutazione d’impatto sui diritti
In questo scenario stupisce quindi un poco che i meccanismi di valutazione d’impatto sui diritti fondamentali non abbiano un adeguato sviluppo nel testo proposto, incorporati come sono in una più ampia valutazione di conformità, che guarda molto al modello della sicurezza dei prodotti e non coglie i profili partecipativi ormai essenziali per un concreto sviluppo dell’AI che metta al centro le persone.
Nel dibattito degli ultimi anni, l’AI era infatti quella dei sistemi con bias, delle potenziali conseguenze sui singoli dei modelli decisionali, quella che necessitava di un framework forte per la gestione del rischio, di modelli di valutazione d’impatto contestuale su diritti e libertà individuali e collettivi. L’immagine che ci restituisce (per ora) Bruxelles è soprattutto un’AI del rischio industriale, che non definisce propriamente sistemi di valutazione d’impatto per le conseguenze dell’uso dell’AI con riguardo ai diritti e libertà dei singoli e dei gruppi.
I settori ad alto rischio sono stati individuati in maniera top-down, indicati nel Regolamento ed ampliabili entro tali maglie a sola iniziativa della Commissione. Una valutazione d’impatto che includa gli effetti su diritti e libertà fondamentali è circoscritta solamente a questi ambiti, nella presunzione che si possano davvero definire categorie e tipologie certe e ricorrenti di applicazioni critiche dell’AI.
Manca l’apertura del Gdpr: i problemi del regolamento
Pare qui sottostimata la versatilità di tali applicazioni: una bambola “intelligente”, ad esempio, in quanto giocattolo con AI davvero comporta un rischio maggiore di un sistema di controllo biometrico del livello di attenzione degli studenti, come quello proposto poco tempo fa in Cina? Una versatilità dunque lontana da un dualismo fra alto rischio e no, specie ove elaborato su base di classificazioni per tipologie e finalità.
Guardando ad un altro regolamento di successo su scala globale, il GDPR, si sarebbe potuta proporre una valutazione del rischio aperta e contestuale, affidata a chi pone in essere l’attività da cui il rischio potrebbe derivare (che poi è quello che accade sovente nella disciplina del danno da pericolo). È questo il modello della valutazione d’impatto sui diritti umani che tradizionalmente si utilizza anche nel contesto dell’attività d’impresa, ed è questo il modello cui guarda il Consiglio d’Europa per la prossima convenzione sull’AI su cui sta lavorando il CAHAI (Ad hoc Committee on Artificial Intelligence).
A Bruxelles sembra invece, per ora, prevalere il technology assessment, ossia una valutazione verticistica, centralizzata, generale, fatta su tipologie astratte di possibili usi dell’AI, con la rigidità propria dei modelli tipizzanti (molti di noi ricordano le “magnifiche sorti” dell’Allegato B del d. lgs. 196/2003).
È prevalsa una logica di regolamentazione industriale, di regolazione di conformità, basata su processi di gestione della qualità, documentazione tecnica, tracciamento delle operazioni, certificazioni, ecc. Tutto questo, intendiamoci, è bene. È vero che i sistemi devono essere sicuri, che devono esserci standard che facilitino l’implementazione di tale sicurezza.
L’AI pone però sfide che toccano il rapporto fra uomo e macchine (rectius fra uomo e chi crea/usa le macchine “intelligenti”) e l’Unione europea ha come elemento costitutivo la Carta dei diritti fondamentali. Per questo, una maggior elaborazione sul punto era attesa.
Certo ci sono le applicazioni vietate, segno tangibile della via europea all’AI. Rispetto alle altre applicazioni però, le tante non così impattanti, manca ancora un modello concreto ed efficacie di valutazione dell’impatto sui diritti e le libertà individuali e collettive.
In conclusione
Quando nel 2012 la Commissione europea propose la bozza di quello che sarebbe poi diventato il GDPR, il testo venne accolto con favore da quanti avevano a cuore i diritti fondamentali, apprezzandone il coraggio nel porre punti fermi a tutela dei cittadini nel contesto digitale, nella convinzione che il vantaggio competitivo nella tecnologia si acquisisce anche mediante una tutela forte dei diritti. Questo modello ha avuto successo, si è dimostrato efficace argine a fronte dei vari abusi che hanno segnato gli ultimi anni della digital economy. È divenuto un riferimento anche per quanti, come gli USA, ritenevano che regole di tutela limitassero l’innovazione. Innovazione che invece ha avuto stimolo dal quadro normativo, irrobustendo l’offerta di tecnologie privacy-oriented, in una logica che potremmo dire win-win.
Oggi, nell’aprile 2021, lo scenario pare un poco diverso. Un testo tecnico, da regolazione industriale, in cui la centralità dell’uomo (human-centred AI) non si delinea ancora in maniera completa e netta sul piano operativo. Pur nell’importanza della posizione assunta dalla Commissione a tutela dei diritti e delle libertà, rimane dunque ancora molto lavoro per gli anni a venire.
Serve elaborare in maniera più puntuale la parte sulla valutazione del rischio legata all’impatto dell’AI su diritti e libertà fondamentali, evitando una visione meramente verticistica della loro salvaguardia, non circoscrivendola solo ad alcuni ambiti e supportandola con un adeguato framework valutativo.
Come in altri settori ad alto impatto sull’uomo – si pensi alla biomedicina –, non conta essere quelli che spingono più avanti la soglia del possibile tecnologico, ma
Servirà volare alti, ma non in un volo di Icaro nell’inseguimento di Paesi che hanno acquisito posizioni di vertice nell’AI a prezzo di negare o fortemente comprimere i diritti umani.
