Risk based thinking: è questo il leitmotiv che caratterizza l’AI ACT (Artificial Intelligence Act) così come approvato dal Parlamento Europeo il 14 giugno 2023.
Si tratta di un documento normativo dalla portata potenzialmente rivoluzionaria, adottato per disciplinare l’impiego dell’intelligenza artificiale in conformità ai valori stabiliti dall’UE.
Ai Act, dove siamo e prossimi step
È importante ricordare che l’IA, fino ad oggi, non si è trovata in un vuoto normativo, dal momento che in molti casi le sue applicazioni sono state “coperte” da un’ampissima gamma di disposizioni normative di vario livello (basti pensare al caso del blocco di ChatGPT da parte del Garante Privacy italiano a causa della violazione del GDPR). Tuttavia, con l’AI ACT assistiamo a un salto di qualità: siamo davanti al primo testo normativo dedicato direttamente e organicamente all’IA.
Il testo è stato approvato con 499 voti favorevoli, 28 contrari e 93 astenuti: si è così avviata la fase finale di approvazione che precede l’entrata in vigore del documento, prevista entro maggio 2024, prima che termini l’attuale legislatura del Parlamento europeo.
Il meccanismo legislativo europeo, infatti, prevede che un testo, dopo essere stato approvato dalle commissioni parlamentari, venga negoziato con tutti gli stati membri.
Dunque, da adesso in poi il Parlamento dovrà lavorare con gli Stati membri per trovare un accordo su tutti i punti divergenti e per poter, successivamente, approvare in via definitiva il testo e disporne la graduale entrata in vigore: sarà compito delle autorità nazionali applicare il regolamento e compito della Commissione europea monitorarne la corretta attuazione.
Negoziato con gli stati membri e approvazione finale dell’atto: questi gli ultimi due passaggi necessari affinché il testo abbia concreto impatto nelle vite di tutti i cittadini e le cittadine dell’Unione.
Perché serve un testo che disciplini l’uso dell’IA
Perché abbiamo bisogno di un testo che disciplini l’uso dell’IA? Ancora meglio, facendo un passo indietro: che cosa intendiamo per IA?
Se lo si chiede a ChatGPT, ne consegue la seguente definizione:
“L’intelligenza artificiale (IA) è un campo di studio che si occupa di sviluppare sistemi e tecnologie in grado di emulare le capacità cognitive umane. L’obiettivo principale dell’intelligenza artificiale è quello di creare macchine in grado di pensare, apprendere, ragionare e prendere decisioni simili a quelle degli esseri umani.”
Il chatbot, divenuto negli ultimi mesi fedele (ma non sempre affidabile) consigliere di milioni di utenti – e ormai esempio emblematico dello straordinario sviluppo dell’IA – ci offre una definizione assai generica ma sufficientemente chiara: si tratta di un fenomeno che sollecita una riflessione sul concetto stesso di intelligenza in quanto “si propone di costruirla, di dar vita ad artefatti intelligenti.”[1]
IA generativa, il vaso di pandora è stato aperto
Il vaso di Pandora è stato aperto: abbiamo soltanto scatenato forze incontrollabili e pericolose per l’umanità? Oppure siamo riusciti a salvare la speranza che l’IA possa contribuire al miglioramento delle nostre vite?
Gli strumenti di IA, dalla portata straordinaria e pervasiva insieme, devono essere regolamentati e strutturati al servizio degli esseri umani affinché si scongiuri il rischio che si invertano i ruoli e siano essi a dominarli.
Dove siamo diretti?
È evidente che di fronte a uno scenario di questo tipo è necessario reagire anche attraverso l’individuazione di sicure coordinate giuridiche che consentano di orientarsi verso approdi più rassicuranti.
L’integrità dell’individuo al centro
L’AI ACT, guidato dai principi di chiarezza e trasparenza, introduce prima di tutto una serie di divieti sulla base della cosiddetta “scala di rischio”.
L’uso dei vari sistemi intelligenti è dunque classificato come “a rischio inaccettabile”, “a rischio alto” o “a rischio basso”.
Di particolare interesse è la questione del rischio intrinseco dei sistemi di identificazione biometrica, sia “in tempo reale” che “a posteriori”, dei sistemi di categorizzazione biometrica basati su caratteristiche sensibili come il sesso o il luogo di origine o, ancora, dei sistemi di polizia predittiva basati su profilazione e altri dati raccolti.
Tecnologie biometriche, il difficile equilibrio tra sicurezza e diritti
Uno dei punti più dibattuti del testo riguarda proprio l’utilizzo di tecnologie biometriche da parte delle forze dell’ordine. Nelle versioni precedenti erano presenti numerose eccezioni al divieto di usare queste tecnologie (per esempio, era consentito il loro uso per la ricerca di minori scomparsi); ma il testo approvato dal Parlamento ha scelto una soluzione più rigida, a tutela del sistema democratico e delle libertà stabilite dalla Carta di Nizza e dal Trattato di Lisbona.
Il dibattito rimane comunque aperto: cosa succederebbe se venissero concesse deroghe troppo ampie all’utilizzo dei sistemi di riconoscimento facciale?
Occorre trovare un difficile equilibrio tra sicurezza e diritti fondamentali.
Abbiamo di fronte tecnologie invasive che si basano sull’estrazione di una mole ingente di dati da parte delle forze di polizia, le cui ripercussioni in tema di diritti sono concretamente visibili in sistemi come quello cinese del social scoring, basato sull’utilizzo di tecnologie molto avanzate per il controllo e la classificazione dei cittadini, o quello israeliano[2], che gode dell’appoggio di un’industria tecnologica estremamente forte anche grazie agli stretti legami con le strutture militari del paese.
Da non dimenticare in tema di sorveglianza è anche la vicenda che ha visto come protagonista la polizia degli Stati Uniti, accusata di aver spiato illegalmente con sistemi di riconoscimento facciale i manifestanti del movimento Black Lives Matter[3].
Sul punto l’UE sembra molto prudente: vietando l’utilizzo di sistemi così pervasivi, pone l’accento sul rispetto dei diritti fondamentali della persona umana, intesa nella sua integrità.
Le zone d’ombra dell’AI Act
Da una prima analisi del testo emerge in tutta evidenza la presenza di zone d’ombra e di problematiche non risolte; anzi, in materia di sorveglianza sembrerebbe proprio che la questione non sia stata realmente affrontata.
Il rischio è che il testo non si imponga con una normativa stringente sulla materia, ma diventi un mero documento di indirizzo sui diversi usi dei sistemi intelligenti.
Il cuore del problema rimane scoperto: l’utilizzo dei dati non autorizzato da parte di algoritmi opachi, invisibili, sfuggenti.
La profilazione degli utenti
Il dibattito sembra doversi orientare maggiormente sulla protezione dei dati e la trasparenza degli algoritmi, il cui utilizzo è pervasivo e dà vita a fenomeni velati, ma pericolosi, come quello della profilazione. Quest’ultimo, come è noto, è un meccanismo attraverso il quale si categorizzano gli utenti, mediante l’analisi dei dati personali disseminati sul web dagli stessi, dai quali gli algoritmi estraggono modelli e creano identità digitali a cui successivamente vengono correlate delle identità reali.
L’acquisto periodico di un prodotto su Amazon, la visione di un genere di film su Netflix, la selezione dei brani musicali su Spotify: sono le azioni quotidiane degli utenti di cui si ‘nutrono’ gli algoritmi per reperire gusti, preferenze e caratteristiche precise a cui associare ipotetici comportamenti futuri, sulla base dei quali selezionare ed offrire contenuti perfetti.
Identificare, prevedere, condizionare
Si rovescia il punto di vista: non è più l’utente che utilizza il motore di ricerca per capire il mondo, ma è il motore di ricerca che usa i dati per capire l’utente.
Perché il motore di ricerca ha bisogno di capire gli utenti? Vuole comprenderli e, ancora meglio, conoscere i bisogni degli stessi per poterli, poi, “soddisfare”.
Lo studio preventivo dei bisogni trova la sua ragion d’essere nella volontà di influenzare e cambiare le abitudini degli utenti: identificare, prevedere e, infine, condizionare.
Sulla questione il punto di riferimento normativo europeo è il GDPR che all’art. 22 pone un divieto generalizzato di sottoporre gli individui a processi decisionali automatizzati di dati personali, compresa l’attività di profilazione; inoltre, è prevista la possibilità per l’interessato di opporsi al trattamento in alcune ipotesi specifiche, per esempio nel caso in cui sia frutto di un processo totalmente automatizzato o produca effetti giuridici rilevanti o, ancora, incida sulla persona in modo significativo.
Ciò che emerge, dunque, è che la base giuridica per poter profilare sia il valido consenso dell’interessato, ma siamo sicuri che quest’ultimo sia sempre messo in condizione di conoscere ciò sta accettando?
Quanti cookie hai accettato oggi?
E tu, che stai leggendo il testo, navigando sul web, quanti cookie hai accettato oggi?
I cookie sono piccoli file di testo usati dai siti web per memorizzare l’attività degli utenti e migliorare la qualità delle visite successive: per esempio, grazie ad essi è possibile memorizzare le credenziali dell’aerea riservata di un sito senza doverle inserire ad ogni nuova sessione.
La profilazione mediante cookie è tra le più utilizzate, essi, infatti, permettono di creare un profilo personale dell’utente in base ai suoi comportamenti, operando in due modi diversi: o identificando le abitudini di acquisto per inviare pubblicità personalizzate (behavioral advertising), oppure identificando le pagine visitate dall’utente e le azioni compiute per migliorare il servizio del sito (behavioral analytics).
In ambito normativo rileva la Direttiva E-privacy (Direttiva 2002/58/CE) che, così come il GDPR sul tema della profilazione, prevede l’esplicito consenso degli utenti per la memorizzazione dei dati raccolti mediante l’uso dei cookie e l’obbligo informativo sull’uso degli stessi a tutela del visitatore del sito web.
Disposizioni di questo tipo presuppongono che gli utenti abbiano le competenze tecniche necessarie per bloccare i cookie e, di conseguenza, per scegliere consapevolmente se accettarne o meno l’uso.
Generalmente i siti si servono di pop-up o barre di stato che appaiono all’utente e rimandano ad un link di approfondimento con la normativa estesa: ancora tu, che stai leggendo, quante volte prima di accettare i cookie di un sito web hai consultato la normativa di riferimento?
Tutti confinati nel nostro isolamento intellettuale
La profilazione non è l’unico aspetto che preoccupa. Accanto a questo rilevano altre questioni, come quella delle filter bubbles. Con questo termine si indica il fenomeno per cui un algoritmo seleziona le notizie e i post di interesse per un utente in base ai suoi gusti e alle sue opinioni, in modo da fargli arrivare solo ciò che è coerente con la sua visione del mondo, determinando così una condizione di isolamento intellettuale.
Dunque, l’utente rimane ‘intrappolato’ in una selezione di informazioni che, pur apparendo come il risultato della sua libera scelta, qualcun altro ha appositamente individuato per lui.
“A ciascuno il suo”, direbbe Leonardo Sciascia: seppur è umano cercare conferma delle proprie idee, laddove il consenso è l’unica strada, muore il pluralismo e il meccanismo diviene patologico.
È evidente, a questo punto, come i nodi lasciati scoperti siano ancora tanti e che i fenomeni, sopra brevemente richiamati, mettano a rischio la tutela dei diritti fondamentali dell’individuo.
Conclusioni
Volgere lo sguardo ai sistemi di controllo cinese e israeliano, apparentemente tanto lontani dal nostro, evidenzia un limite intrinseco del panorama giuridico europeo: siamo immersi in un sistema che è meno garantista e sicuro di quanto normalmente si pensi.
L’universo digitale sta mettendo a dura prova le coordinate giuridiche che fino ad oggi ci hanno guidato e sembrano non essere più sufficienti per gli oceani immateriali e aperti in cui navighiamo quotidianamente con i nostri dispositivi elettronici.
Abbiamo bisogno di mezzi nuovi per riappropriarci del senso profondo che caratterizza le libertà fondamentali: sarà l’AI ACT lo strumento efficace di cui abbiamo bisogno?
Saprà stare al passo sempre più rapido e incalzante della tecnologia? Al momento, la risposta appare davvero incerta. Ma la sfida è aperta.
Note
[1] G. Sartor, L’intelligenza artificiale e il diritto, Giappichelli, Torino, 2022.
[2] Sul punto Amnesty International ha parlato di ‘Apartheid automatizzato’: https://www.amnesty.org/en/documents/mde15/6701/2023/en/
[3] Sul punto Amnesty International ha parlato di “Ban the Scan”:
