Giornata storica: il Parlamento europeo ha approvato il Regolamento denominato AI Act, destinato a regolamentare l’impiego dell’intelligenza artificiale nell’Unione europea. Per fine anno potrebbe arrivare approvazione finale dall’Europa, per un’entrata in vigore nel 2024.
L’AI Act è di gran lunga il testo normativo più avanzato al mondo sull’intelligenza artificiale e, anche se alcune ombre permangono, il testo è da accogliere con estremo favore.
Ai act, gli scopi del Regolamento sull’intelligenza artificiale
Mai come ad inizio 2023 l’intelligenza artificiale ha fatto irruzione nella vita quotidiana delle persone in tutto il mondo: basti pensare all’impiego massivo di ChatGPT e di Midjourney per citare gli esempi più eclatanti.
Dai siti internet interamente automatizzati tramite AI all’advertising completamente robotizzato: intere categorie di professionisti e lavoratori hanno temuto di essere soppiantati, nell’arco di pochi mesi, da intelligenze artificiali sufficientemente evolute e addestrate a fare il loro stesso lavoro in tempi rapidissimi ed a costo praticamente zero.
Qui interviene l’Unione europea, con il progetto di regolamento più ambizioso degli anni 2000.
Così si legge, nella relazione introduttiva della Bozza: “La presente proposta risponde altresì alle richieste esplicite del Parlamento europeo e del Consiglio europeo, che hanno ripetutamente chiesto un intervento legislativo che assicuri il buon funzionamento del mercato interno per i sistemi di intelligenza artificiale (“sistemi di IA”), nel contesto del quale tanto i benefici quanto i rischi legati all’intelligenza artificiale siano adeguatamente affrontati a livello dell’Unione. Essa contribuisce all’obiettivo dell’Unione di essere un leader mondiale nello sviluppo di un’intelligenza artificiale sicura, affidabile ed etica, come dichiarato dal Consiglio europeo, e garantisce la tutela dei principi etici, come richiesto specificamente dal Parlamento europeo”.
Il dibattito procede da anni: “Nelle conclusioni più recenti del 21 ottobre 2020 si esortava inoltre ad affrontare l’opacità, la complessità, la faziosità, un certo grado di imprevedibilità e un comportamento parzialmente autonomo di taluni sistemi di IA, onde garantirne la compatibilità con i diritti fondamentali e agevolare l’applicazione delle norme giuridiche”.
Oggi siamo arrivati ad un dunque.
La struttura dell’AI Act
La prima parte del Regolamento AI Act tratta dell’ambito di applicazione e delle definizioni: per esempio.
Ambito di applicazione e definizioni
Il “sistema di intelligenza artificiale è definito come “un software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I, che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono”.
Le pratiche di AI vietate
L’AI Act prosegue con le pratiche di AI vietate, cui è dedicato il Titolo II; nella relazione della Bozza si legge che “Il titolo II stabilisce un elenco di pratiche di IA vietate. Il regolamento segue un approccio basato sul rischio, differenziando tra gli usi dell’IA che creano: i) un rischio inaccettabile; ii) un rischio alto; iii) un rischio basso o minimo. L’elenco delle pratiche vietate di cui al titolo II comprende tutti i sistemi di IA il cui uso è considerato inaccettabile in quanto contrario ai valori dell’Unione, ad esempio perché viola i diritti fondamentali.
Vietati:
- Sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico;
- sistemi di identificazione biometrica a distanza “a posteriori”, con l’unica eccezione delle forze dell’ordine per il perseguimento di reati gravi e solo previa autorizzazione giudiziaria;
- sistemi di categorizzazione biometrica che utilizzano caratteristiche sensibili (ad esempio, sesso, razza, etnia, cittadinanza, religione, orientamento politico);
- sistemi di polizia predittiva (basati su profili, ubicazione o comportamenti criminali passati);
- sistemi di riconoscimento delle emozioni nelle forze dell’ordine, nella gestione delle frontiere, nei luoghi di lavoro e nelle istituzioni scolastiche; e
- lo scraping non mirato di immagini facciali da Internet o da filmati di telecamere a circuito chiuso per creare database di riconoscimento facciale (in violazione dei diritti umani e del diritto alla privacy).
L’impiego della tecnologia a riconoscimento facciale combinata con l’AI
Il tema dell’impiego della tecnologia a riconoscimento facciale combinata con l’AI è cruciale. L’attuale testo passato oggi lo vieta nei luoghi pubblici in senso assoluto se è quello in tempo reale.
Bocciati gli emendamenti che prevedevano eccezioni.
Il riconoscimento “biometrico” (facciale ma non solo) ex-post (su video registrati) è possibile ma solo con autorizzazione del giudice; solo per crimini gravi e solo per reati già commessi (vietato il predicting policing).
Poiché però il testo dell’AI ACT deve ancora passare da negoziazioni nelle istituzioni UE, le eccezioni potrebbero tornare; il tema è infatti molto dibattuto nei Governi e nei partiti europei.
Utile quindi ricordare le eccezioni presenti nella bozza precedente.
Alla lettera d) del paragrafo 2, si legge infatti che: “l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a fini di attività di contrasto, a meno che e nella misura in cui tale uso sia strettamente necessario per uno dei seguenti obiettivi:
i) la ricerca mirata di potenziali vittime specifiche di reato, compresi i minori scomparsi;
ii) la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone fisiche o di un attacco terroristico;
iii) il rilevamento, la localizzazione, l’identificazione o l’azione penale nei confronti di un autore o un sospettato di un reato di cui all’articolo 2, paragrafo 2, della decisione quadro 2002/584/GAI del Consiglio”.
In altri termini, sarebbe vietato qualunque impiego di AI connessa al riconoscimento facciale in luogo pubblico, salvo ipotesi in cui questa non sia necessaria per ricerca di persone scompare o potenzialmente tali; per le ipotesi di impiego in caso di calamità naturali o per attacchi terroristici o per procedere penalmente nei confronti di persone nei confronti delle quali sia stato emesso un mandato di arresto europeo.
Il Titolo II è dedicato alle strutture ad alto rischio; “per la salute e la sicurezza o per i diritti fondamentali delle persone fisiche. In linea con un approccio basato sul rischio, tali sistemi di IA ad alto rischio sono consentiti sul mercato europeo subordinatamente al rispetto di determinati requisiti obbligatori e ad una valutazione della conformità ex ante”.
Obblighi di trasparenza
Notevole il titolo IV in materia di obblighi di trasparenza, che “si applicheranno ai sistemi che: i) interagiscono con gli esseri umani; ii) sono utilizzati per rilevare emozioni o stabilire un’associazione con categorie (sociali) sulla base di dati biometrici; oppure iii) generano o manipolano contenuti (“deep fake”)”.
Il titolo V imposta le normative finalizzate all’innovazione, mente il titolo VI si occupa della governance, istituendo “un comitato europeo per l’intelligenza artificiale (il “comitato”), costituito da rappresentanti degli Stati membri e della Commissione” (di fatto un omologo dell’European Data Protection Board); a livello nazionale, gli Stati membri designeranno una o più Autorità indipendenti.
I titoli VII e VIII hanno ad oggetto il monitoraggio della Commissione e delle Autorità indipendenti e dei fornitori; il titolo XI tratta dei codici di condotta.
Gli ultimi tre titoli hanno ad oggetto norme di natura tecnico-legislativa per l’attuazione del Regolamento.
La base giuridica del Regolamento Ai Act
La base giuridica è prettamente economica, ma con riferimento, per quanto attiene all’impiego dei sistemi di identificazione biometrica, dell’articolo 16 del TFUE (Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano).
Così la relazione alla Bozza: “La base giuridica della proposta è costituita innanzitutto dall’articolo 114 del trattato sul funzionamento dell’Unione europea (TFUE), che prevede l’adozione di misure destinate ad assicurare l’instaurazione ed il funzionamento del mercato interno. La presente proposta costituisce una parte fondamentale della strategia dell’Unione per il mercato unico digitale. L’obiettivo principale della presente proposta è assicurare il buon funzionamento del mercato interno fissando regole armonizzate, in particolare per quanto concerne lo sviluppo, l’immissione sul mercato dell’Unione e l’utilizzo di prodotti e servizi che ricorrono a tecnologie di intelligenza artificiale o forniti come sistemi di IA indipendenti (“stand-alone”). Taluni Stati membri stanno già prendendo in considerazione l’adozione di regole nazionali destinate ad assicurare che l’IA sia sicura e venga sviluppata e utilizzata nel rispetto dei diritti fondamentali.
È probabile che ciò determini due problemi principali:
- una frammentazione del mercato interno su elementi essenziali concernenti in particolare i requisiti dei prodotti e dei servizi di IA, la loro commercializzazione, il loro utilizzo, la responsabilità e il controllo da parte delle autorità pubbliche;
- la riduzione sostanziale della certezza del diritto tanto per i fornitori quanto per gli utenti dei sistemi di IA in merito alle modalità secondo cui le regole nuove e quelle esistenti si applicheranno a tali sistemi nell’Unione.
Data l’ampia circolazione di prodotti e servizi a livello transfrontaliero, questi due problemi possono essere risolti al meglio attraverso l’armonizzazione della legislazione a livello UE. La presente proposta definisce infatti dei requisiti obbligatori comuni applicabili alla progettazione e allo sviluppo di alcuni sistemi di IA prima della loro immissione sul mercato, che saranno resi ulteriormente operativi attraverso norme tecniche armonizzate. La presente proposta contempla altresì la situazione successiva all’immissione sul mercato dei sistemi di IA armonizzando le modalità secondo cui sono eseguiti i controlli ex post. Inoltre, considerando che la presente proposta contiene talune regole specifiche sulla protezione delle persone fisiche per quanto concerne il trattamento di dati personali, in particolare restrizioni sull’utilizzo di sistemi di IA per l’identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a fini di attività di contrasto, è opportuno basare il presente regolamento, per quanto concerne tali regole specifiche, sull’articolo 16 TFUE”.
Entrata in vigore e termine per l’applicabilità diretta
Il Regolamento, almeno nella Bozza oggi disponibile, consta di 89 considerando (di fatto elementi interpretativi quadi autentici) e 85 articoli; il regolamento entrerà in vigore il ventesimo giorno dopo la pubblicazione in Gazzetta Ufficiale e, sempre stando alla Bozza, sarà applicabile direttamente negli Stati membri 24 mesi dopo la sua entrata in vigore (accadde così anche per il GDPR, ma data l’evoluzione della materia, il Parlamento potrebbe anche abbreviare i tempi).
Aspetti positivi Ai Act: le luci…
Come anticipato, è certamente il testo normativo più avanzato sull’intelligenza artificiale al mondo.
La regolamentazione appare chiara, e i diritti dei cittadini sono bilanciati, almeno sulla carta, in modo corretto, anche nelle ipotesi di compressione più ampia del diritto alla protezione dei dati personali.
La tutela del cittadino dall’impiego di AI per veicolare messaggi subliminali attraverso media tradizionali e non è un elemento di assoluto rilievo e va salutato con favore.
La scelta di costituire un comitato ad hoc a livello europeo conferma la tendenza alla soft law per le materie ultratecniche, ma è del tutto corretta ed in linea con la politica dell’Unione sulla protezione dei dati personali tenuta fino a qui.
L’impiego dell’AI per la ricerca di persone scomparse può evitare tragedie.
…e le ombre
La scelta di utilizzare i sistemi di riconoscimento facciale remoto in spazi pubblici è estremamente gravosa: c’era chi sosteneva andasse disposto un ban totale dello strumento.
Quello in tempo reale è molto intrusivo, come scrive oggi il parlamento europeo; prevederne l’utilizzo – come si leggeva nelle eccezioni, che come dicevamo potrebbero tornare – per le ipotesi di terrorismo e per la ricerca di soggetti attinti da mandato di arresto europeo apre la porta a seri rischi di errore giudiziario e, in ipotesi residualissime, ma non inesistenti, di abuso.
Ma anche il riconoscimento ex post ha rischi.
Come per le intercettazioni telefoniche prima e per i trojan horses poi, si rischia un impiego indiscriminato di strumenti che soddisfano le esigenze di caccia al colpevole, ma che rischiano di garantire molto poco il singolo individuo.
Ad esempio, casi di somiglianza estrema o abili camuffamenti possono portare all’arresto di soggetti assolutamente ignari di tutto – succederà.
Come ci si potrà difendere, nelle indagini prima ed in giudizio poi?
Che regime di utilizzabilità verrà riservato al riconoscimento facciale effettuato dalla AI in sede processuale?
Non si tratta di questioni di lana caprina, ma di situazioni concrete: chi scrive ha difeso per oltre 5 anni (tanto è durato il processo) un soggetto accusato di essere a capo di un’organizzazione criminale che effettuava tratta di esseri umani ma… non era lui.
Con queste tecnologie il rischio è l’aumento, non la diminuzione, di questi casi.
Poi: chi in spiaggia non ricorda la voce al megafono – per i più anziani – che invitava ad accompagnare il piccolo bambino con il costumino giallo, smarritosi sulla spiaggia, in questo o quel luogo, dove lo attendevano i genitori?
Avremo le telecamere a identificazione biometrica remota negli ombrelloni?
Ancora; c’è necessità di individuare un sospetto terrorista: verrà impiegato il riconoscimento facciale remoto su tutti i migranti, legali e clandestini?
Conclusioni
Risk based thinking, ossia approccio basato sul rischio e sulle opportunità: il legislatore europeo ha dichiarato apertamente di aver adottato questo modello di ragionamento per impostare l’AI Act.
La scelta è, sostanzialmente, corretta: i processi innovativi vanno governati ove possibile e non solo assecondati.
In questo l’AI Act è davvero un testo normativo “di livello”.
L’applicazione pratica dirà quanto il testo, nella parte ipersensibile che contiene, sarà rispettoso del “mondo libero” di cui ci fregiamo di far parte.
In Cina, per capirci, queste tecnologie sono impiegate per la ricerca e per la emarginazione totale dei dissidenti politici: ben che vada, si gioca col fuoco e servono guanti ben spessi per non bruciarsi (troppo).