L’adozione dell‘intelligenza artificiale nella pubblica amministrazione comporta innumerevoli vantaggi, ma solleva anche preoccupazioni significative riguardo alla privacy dei cittadini. L’integrazione di tecnologie avanzate per migliorare l’efficienza e la qualità dei servizi pubblici deve essere infatti bilanciata con strategie efficaci per proteggere i dati personali.
Utilizzo improprio dei dati di imprese e cittadini
Secondo un rapporto del McKinsey Global Institute, l’adozione dell’AI generativa potrebbe generare fino a 4,4 trilioni di dollari di valore economico entro il 2030[1] di cui 1,2 solo nel settore pubblico, ma la gestione responsabile di queste tecnologie è cruciale per evitare rischi e abusi.
Uno dei principali problemi legati all’uso dell’AI nella pubblica amministrazione è l’utilizzo improprio dei dati personali. I sistemi di AI, per essere efficaci, devono essere alimentati con enormi quantità di dati, molti dei quali sono di natura sensibile. Questi dati, se non gestiti con attenzione, possono essere utilizzati in modi non previsti o senza il consenso informato dei cittadini.
Le minacce per i cittadini sono infatti asseverabili in due macro-categorie:
Accesso abusivo da parte di personale non autorizzato
Questa categoria include minacce come il Data Breach e il Data Leak, entrambe con conseguenze potenzialmente gravi per la privacy dei cittadini.
- Data breach: un data breach si verifica quando agenti esterni, come hacker o cybercriminali, riescono a penetrare nei sistemi informatici di un’istituzione pubblica, accedendo illegalmente a dati sensibili. In Italia, i casi di data breach stanno aumentando in maniera significativa, con attacchi sempre più sofisticati che mirano a ottenere informazioni riservate. Un esempio rilevante è l’attacco informatico subito dalla Regione Lazio nel 2021, dove i criminali sono riusciti a compromettere il sistema di prenotazione dei vaccini COVID-19, esponendo i dati di milioni di cittadini. Questo evento ha messo in luce la vulnerabilità delle infrastrutture digitali della pubblica amministrazione italiana.
- Data leak: un data leak, invece, si riferisce alla cattiva gestione o alla divulgazione accidentale di informazioni riservate. Questo può avvenire, ad esempio, quando i dati non vengono adeguatamente protetti o quando vengono condivisi con terze parti senza le necessarie misure di sicurezza. Questo tipo di incidenti solleva importanti preoccupazioni riguardo alla responsabilità delle istituzioni nella gestione dei dati personali.
Accesso abusivo da parte di personale autorizzato
Questa categoria include situazioni in cui individui con accesso legittimo a sistemi e dati riservati ne fanno un uso improprio o abusivo.
- Uso improprio di banche dati riservate: anche quando l’accesso ai dati è consentito, esiste il rischio che il personale autorizzato possa abusare di tale accesso. In Italia, ci sono stati numerosi casi in cui dipendenti pubblici o membri di forze di polizia hanno utilizzato le banche dati riservate per scopi personali o non conformi alle normative. Questo fenomeno, sempre più diffuso, ha coinvolto personale di Procure, Agenzia delle Entrate, Guardia di Finanza e altri enti con un impatto fondamentale in diverse regioni italiane, mettendo in luce le vulnerabilità dei sistemi di gestione dei dati sensibili con una connotazione più organizzativa e procedurale che meramente tecnologica.
Questi casi evidenziano la necessità di un rigoroso controllo e di una regolamentazione chiara sull’uso delle banche dati e dei sistemi di AI. Il Garante ha sottolineato più volte l’importanza di adottare misure preventive per evitare l’accesso non autorizzato ai dati personali, suggerendo l’implementazione di audit regolari e sistemi di monitoraggio per rilevare e prevenire abusi.
Eccesso di sorveglianza
La questione della sorveglianza eccessiva rappresenta una delle principali preoccupazioni legate all’uso dell’intelligenza artificiale (AI) nei contesti pubblici. L’AI, e in particolare le tecnologie di riconoscimento facciale, offre strumenti potenti per monitorare i cittadini in modo molto più invasivo rispetto ai metodi tradizionali, sollevando seri interrogativi sulla potenziale violazione dei diritti fondamentali, come la privacy e la libertà di movimento.
In Italia, l’uso del riconoscimento facciale è stato al centro di dibattiti accesi, soprattutto per il rischio di sorveglianza di massa. Questi sistemi possono identificare e tracciare i movimenti delle persone in tempo reale, creando un ambiente in cui i cittadini si sentono costantemente osservati, il che può avere un impatto psicologico significativo. Questo tipo di sorveglianza può minare la libertà di autodeterminazione delle persone, inducendole a modificare il proprio comportamento per paura di essere costantemente monitorate[2].
Un esempio concreto riguarda le proposte di utilizzo del riconoscimento facciale in Italia per motivi di sicurezza pubblica, come nel caso dei sistemi “anti-stupro”, che hanno sollevato critiche riguardo alla proporzionalità e alla necessità di tali misure rispetto ai rischi di violazione della privacy[3]. Anche se il fine è nobile, l’uso di tali tecnologie senza adeguate garanzie può portare a un controllo eccessivo, difficile da giustificare in un contesto democratico.
Il Garante per la Protezione dei Dati Personali ha espresso forti riserve sull’uso indiscriminato di tecnologie di riconoscimento facciale, sottolineando la necessità di limitare il loro impiego a situazioni strettamente necessarie e di garantire la trasparenza e la protezione dei dati raccolti. La regolamentazione in Italia e in Europa cerca di trovare un equilibrio tra le esigenze di sicurezza e la protezione dei diritti fondamentali, ma la sfida rimane complessa e in continua evoluzione[4]
Algoritmi e implicazioni etiche
Le implicazioni etiche dell’uso dell’AI nel settore pubblico non possono essere sottovalutate. È importante considerare come le decisioni prese dagli algoritmi di AI possano influenzare la vita dei cittadini. L’AI, se non adeguatamente supervisionata, può amplificare pregiudizi preesistenti e portare a decisioni ingiuste o discriminatorie. Ad esempio, algoritmi non trasparenti possono risultare in assegnazioni di servizi pubblici che favoriscono alcune categorie di cittadini a scapito di altre, esacerbando le disuguaglianze socioeconomiche.
Amplificazione dei pregiudizi
Gli algoritmi di AI sono spesso addestrati su grandi quantità di dati storici, che possono contenere bias impliciti o espliciti. Se non correttamente identificati e mitigati, questi bias possono essere replicati e amplificati, portando a decisioni che favoriscono inconsapevolmente alcune categorie di cittadini a scapito di altre. Ad esempio, un algoritmo utilizzato per gestire le graduatorie scolastiche o l’accesso ai servizi pubblici potrebbe penalizzare determinati gruppi socioeconomici, riflettendo pregiudizi storici nei dati di input basati sull’andamento e sulle performance statistiche di tali coorti nel passato[5].
In Italia, la questione è stata sollevata in più occasioni, come nel caso delle graduatorie per l’assunzione degli insegnanti, dove l’uso di algoritmi ha sollevato polemiche per la mancanza di trasparenza e per le decisioni apparentemente arbitrarie. La giustizia amministrativa ha infine sancito il diritto dei cittadini di accedere al codice sorgente di questi algoritmi, riconoscendo che solo attraverso la trasparenza è possibile garantire un processo decisionale equo e comprensibile.
Mancanza di supervisione e trasparenza
La trasparenza è un elemento cruciale per la fiducia pubblica nei sistemi di AI. Tuttavia, uno dei principali problemi è che molti algoritmi operano come “scatole nere”, il che significa che il loro funzionamento interno non è facilmente comprensibile né accessibile. Questo può portare a situazioni in cui i cittadini subiscono decisioni che non comprendono e contro le quali non hanno un reale mezzo di ricorso.
Il Garante per la Protezione dei Dati Personali in Italia ha più volte evidenziato la necessità di una maggiore trasparenza e controllo sugli algoritmi utilizzati dalla pubblica amministrazione. Questo è particolarmente rilevante nel contesto di decisioni automatizzate che possono influenzare direttamente la vita dei cittadini, come nel caso degli algoritmi usati per valutare l’affidabilità fiscale o per monitorare comportamenti sospetti attraverso sistemi di sorveglianza automatizzata[6].
Esacerbazione delle disuguaglianze
L’assenza di supervisione e trasparenza non solo mina la fiducia pubblica, ma può anche esacerbare le disuguaglianze socioeconomiche. Algoritmi opachi possono portare a decisioni che, intenzionalmente o meno, sfavoriscono i gruppi già vulnerabili, aggravando le disuguaglianze esistenti. Ad esempio, in settori come l’accesso ai servizi sanitari o sociali, un algoritmo mal progettato potrebbe negare l’accesso ai servizi a chi ne ha più bisogno, basandosi su dati storici distorti.
In sintesi, mentre l’AI offre molte opportunità di miglioramento dei servizi pubblici, comporta anche rischi concreti per la privacy dei cittadini. Mitigare questi rischi richiede un approccio attento e bilanciato, che prevede l’implementazione di misure di sicurezza adeguate e normative rigorose, come vedremo nella seconda parte dell’articolo.
Strategie e approcci integrati per l’implementazione di sistemi AI privacy friendly
A tutela di cittadini, imprese e portatori di interesse e a supporto delle pubbliche amministrazioni che vogliono implementare strumenti IA all’interno delle proprie organizzazioni e dei propri processi è possibile integrare framework e strumenti sia di tipo normativo che tecnico, valutando al contempo le buone pratiche nazionali e internazionali nell’applicazione di questi strumenti.
Normative esistenti e nuove regolamentazioni
Uno dei pilastri fondamentali per garantire la privacy dei cittadini nell’uso dell’intelligenza artificiale è la conformità alle normative esistenti e in evoluzione. Il Regolamento Generale sulla Protezione dei Dati (GDPR), adottato dall’Unione Europea nel 2016 e entrato in vigore nel 2018, è una delle norme più rigorose al mondo in materia di protezione dei dati personali. Il GDPR stabilisce requisiti chiari su come i dati possono essere raccolti, utilizzati, e protetti, imponendo obblighi specifici sulle entità che trattano informazioni personali.
Una delle principali disposizioni del GDPR è l’obbligo di consenso esplicito da parte degli individui per il trattamento dei loro dati personali. Inoltre, il GDPR introduce il diritto all’oblio e alla portabilità dei dati, entrambi cruciali per restituire il controllo dei dati agli utenti. La GDPR, integrata con gli strumenti dell’anonimizzazione e della pseudonimizzazione[7] garantisce pertanto il primo fondamentale step normativo da integrare in una strategia AI che utilizzi dati interni alla PA.
Recentemente, sono emerse anche nuove proposte legislative di carattere europeo e nazionale per regolamentare più specificamente l’uso dell’AI.
L’AI Act è il nuovo regolamento europeo sull’intelligenza artificiale, entrato in vigore nel 2024[8], che ha l’obiettivo di creare un quadro normativo armonizzato per l’uso dell’AI in Europa. In Italia, l’attuazione dell’AI Act si integra con il Piano Triennale per l’Informatica nella Pubblica Amministrazione 2024-2026 e la Strategia Italiana per l’Intelligenza Artificiale 2024-2026. Questi documenti delineano le linee guida per l’adozione dell’AI nella pubblica amministrazione, puntando su trasparenza, interoperabilità e sicurezza.
L’AI Act introduce specifiche disposizioni per le applicazioni di AI considerate “ad alto rischio”, come quelle utilizzate nel monitoraggio e nella selezione del personale, nonché per il riconoscimento facciale in tempo reale. Questi sistemi devono rispettare rigorosi requisiti in termini di governance dei dati, trasparenza, e protezione della privacy. Le pubbliche amministrazioni italiane, in particolare, sono chiamate a implementare tali tecnologie in modo che siano tracciabili e rispettose dei diritti fondamentali dei cittadini.
Inoltre, il Piano Triennale per l’Informatica nella PA fornisce strumenti operativi per l’adozione dell’AI, promuovendo un approccio orientato alla creazione di servizi pubblici più efficienti e accessibili. Tra le novità, il piano prevede la formazione del personale e lo sviluppo di competenze specifiche per l’uso dell’AI, oltre a un monitoraggio continuo delle prestazioni degli strumenti di AI per garantire la qualità e la sicurezza dei servizi offerti ai cittadini[9].
La parte regolamentativa è quindi fondamentale, mantenere un equilibrio tra innovazione e protezione dei diritti dei cittadini richiede un impegno continuo, non solo nell’adottare nuove tecnologie, ma anche nell’aggiornare costantemente le policy per garantire che rimangano in linea con le normative in evoluzione. In definitiva, la conformità normativa non è un mero obbligo legale, ma una componente fondamentale per costruire un ambiente etico e protetto per l’uso dell’intelligenza artificiale nella pubblica amministrazione.
Privacy-enhancing technologies: anonimizzazione e crittografia
Le pubbliche amministrazioni devono affrontare queste normative con un approccio proattivo. Oltre a implementare politiche di conformità e regolamentazione interna, è essenziale investire in tecnologie di protezione della privacy tra cui anonimizzazione e crittografia. Queste tecnologie, se integrate efficacemente nei sistemi di AI, possono aiutare le amministrazioni a rispettare le normative e proteggere i dati dei cittadini, riducendo così il rischio di sanzioni e aumentandone la fiducia[10].
L’utilizzo di tecnologie avanzate per migliorare la privacy dei dati è fondamentale per bilanciare innovazione e diritti dei cittadini nella pubblica amministrazione. Tra queste, l’anonimizzazione e la crittografia spiccano per la loro capacità di proteggere i dati personali.
L’anonimizzazione è il processo mediante il quale i dati personali vengono trasformati in tali termini che non sia più possibile identificare l’individuo a cui appartengono. Questo può essere ottenuto rimuovendo o modificando informazioni identificative, come nomi, indirizzi o numeri di identificazione. I vantaggi dell’anonimizzazione risiedono nella sua capacità di ridurre il rischio di violazioni della privacy, consentendo al contempo di utilizzare i dati per analisi e ricerca. Tuttavia, presenta anche dei limiti: la qualità dell’anonimizzazione dipende dalle tecniche utilizzate e c’è il rischio di re-identificazione se i dati anonimi vengono combinati con altre fonti di dati. Dall’altro lato una eccessiva anonimizzazione dei dati potrebbe eliminare caratteristiche fondamentali del dataset utili a future analisi e\o individuazione di pattern statisticamente significativi.
La crittografia, d’altra parte, garantisce che i dati siano leggibili solo a chi possiede la chiave di decrittazione. Esistono vari tipi di crittografia, tra cui la crittografia simmetrica e asimmetrica, ognuna con i suoi casi d’uso specifici. Il vantaggio principale della crittografia è la protezione dei dati in transito e a riposo, rendendola una componente essenziale nella sicurezza dei dati. Tuttavia, l’integrazione della crittografia comporta una complessità tecnica aggiuntiva e può avere un impatto sulle prestazioni dei sistemi e quindi inevitabilmente sui costi di implementazione e mantenimento di questi nuovi strumenti all’interno di una PA.
Per integrare efficacemente queste tecnologie nei sistemi di AI nella pubblica amministrazione, è necessario considerare diverse strategie. Prima di tutto, l’adozione di standard globali di crittografia e anonimizzazione può fornire una base solida per la protezione dei dati. Ad esempio, l’uso di algoritmi di crittografia come AES (Advanced Encryption Standard) è largamente raccomandato. Inoltre, l’implementazione di pratiche di gestione delle chiavi crittografiche è cruciale per garantire che solo utenti autorizzati possano accedere ai dati decifrati.
Nello specifico del contesto AI e degli strumenti tecnologici proattivi di anonimizzazione vi è l’anonimizzazione differenziale, un’altra tecnica che può essere utilizzata per migliorare la privacy dei dati nei sistemi di AI. Questa tecnica aggiunge rumore statistico ai dati, rendendo difficile la re-identificazione senza compromettere l’utilità dei dati stessi.
Esistono numerose buone pratiche internazionali di utilizzo di questi strumenti, tra i più interessanti possiamo annoverare:
- Stati Uniti – U.S. Census Bureau: il Census Bureau ha implementato l’anonimizzazione differenziale per proteggere i dati del censimento 2020. Questa tecnica ha permesso di aggiungere rumore statistico ai dati demografici, impedendo la re-identificazione degli individui, pur consentendo l’analisi a livello aggregato. Questo è stato fondamentale per bilanciare la necessità di analizzare i dati del censimento con l’obbligo di proteggere la privacy degli individui[11].
- Germania – Progetto di Deloitte per enti governativi: Deloitte Germania ha sviluppato un framework per l’anonimizzazione dei dati sensibili utilizzati in applicazioni AI nelle pubbliche amministrazioni. Questo framework include tecniche di anonimizzazione differenziale e l’uso di dati sintetici, che permettono di mantenere l’utilità dei dati per l’AI pur proteggendo la privacy. Questo approccio è stato utilizzato per migliorare la sicurezza e l’affidabilità delle decisioni basate su AI in vari contesti governativi[12].
- NIST negli Stati Uniti – linee guida per l’anonimizzazione differenziale: il National Institute of Standards and Technology (NIST) ha pubblicato linee guida dettagliate per l’implementazione dell’anonimizzazione differenziale negli enti governativi. Queste linee guida forniscono un quadro metodologico per garantire che le tecniche di anonimizzazione siano applicate in modo che i dati possano essere utilizzati in maniera sicura e conforme alle normative, senza compromettere la privacy degli individui[13].
Infine, è importante considerare l’uso combinato di anonimizzazione e crittografia. Mentre l’anonimizzazione può essere utilizzata per proteggere i dati a livello di archivio, la crittografia può essere applicata ai dati in transito e a riposo. Questa combinazione può offrire uno strato di sicurezza aggiuntivo, riducendo ulteriormente il rischio di violazioni della privacy.
Integrare queste tecnologie richiede una pianificazione attenta e un protocollo di governance robusto. Le pubbliche amministrazioni devono formare adeguatamente il personale, implementare politiche di controllo degli accessi e monitorare continuamente l’efficacia delle misure di sicurezza adottate. Solo attraverso un approccio olistico che combina tecnologie avanzate, formazione e governance è possibile garantire la protezione dei dati personali nell’uso dell’intelligenza artificiale nella pubblica amministrazione.
Strategie per un’implementazione responsabile dell’AI
L’implementazione responsabile dell’AI nella pubblica amministrazione può essere raggiunta attraverso una serie di misure mirate: trasparenza, responsabilità, coinvolgimento degli stakeholder, formazione del personale e un approccio graduale. Queste strategie permettono non solo di proteggere i diritti dei cittadini, ma anche di promuovere un’innovazione tecnologica etica e sostenibile.
Per realizzare un’implementazione responsabile dell’intelligenza artificiale (AI) nella pubblica amministrazione, è cruciale adottare una serie di strategie che garantiscano il rispetto dei diritti dei cittadini, in particolare la loro privacy. Una delle chiavi per raggiungere questo obiettivo risiede nella trasparenza. È fondamentale che i cittadini siano chiaramente informati su come viene utilizzata l’AI, quali dati vengono raccolti e per quali finalità. Questo richiede che le amministrazioni pubbliche adottino politiche di comunicazione aperte e accessibili, fornendo dettagli chiari sulle tecnologie utilizzate e le modalità di protezione dei dati personali.
Parallelamente alla trasparenza, la responsabilità gioca un ruolo vitale. Le istituzioni devono essere responsabili delle decisioni automatizzate prese dalle loro AI e devono essere pronte a rispondere in caso di errori. Questo può essere raggiunto attraverso l’implementazione di sistemi di controllo e revisione costanti, che garantiscano che l’AI operi sempre in linea con le normative vigenti e i diritti dei cittadini.
Il coinvolgimento degli stakeholder è un altro elemento strategico essenziale. Incorporare feedback e contributi da parte dei cittadini, delle organizzazioni non governative, delle aziende e degli esperti di privacy e sicurezza permette di creare sistemi più robusti e accettabili socialmente. Il coinvolgimento degli stakeholder non solo migliora la qualità delle soluzioni tecnologiche, ma rafforza anche la fiducia nel sistema pubblico e nelle sue innovazioni.
Nell’ottica di costruire un’implementazione equa e responsabile dell’AI, è imprescindibile formare il personale delle varie amministrazioni. La formazione deve coprire sia gli aspetti tecnici dell’utilizzo dell’AI sia le implicazioni etiche e legali. Educare i funzionari pubblici circa le tecnologie di privacy-enhancing – come l’anonimizzazione e la crittografia – e come queste possono essere integrate nei sistemi di AI è fondamentale. Queste tecnologie possono, per esempio, garantire che i dati dei cittadini siano anonimi e indecifrabili, riducendo il rischio di violazioni della privacy.
Infine, è cruciale adottare un approccio graduale all’innovazione. Introdurre l’AI in maniera incrementale permette di testare e adattare le misure di protezione della privacy man mano che la tecnologia evolve e cambiano le esigenze della società. Questo approccio graduale, unito a continui monitoraggi e aggiornamenti, offre una soluzione dinamica che può meglio rispondere alle sfide emergenti nel campo della privacy.
L’adozione di best practice internazionali può offrire ulteriori garanzie. Prendere esempio da paesi che hanno già affrontato simili sfide può essere un primo passo verso l’implementazione di soluzioni efficaci. Linee guida e protocolli sviluppati da organizzazioni come l’Unione Europea o enti di standardizzazione internazionali possono fornire un framework utile per bilanciare innovazione e tutela dei diritti dei cittadini.
Di fronte a queste numerose sfide, è imperativo che le pubbliche amministrazioni adottino un approccio proattivo e responsabile nel gestire i dati attraverso sistemi di AI. Integrando tecnologie avanzate di protezione della privacy e aderendo a normative rigorose, è possibile sfruttare i benefici dell’intelligenza artificiale senza compromettere i diritti dei cittadini. Questo equilibrio è essenziale per mantenere la fiducia del pubblico e garantire che l’innovazione tecnologica avvenga in modo etico e sostenibile.
Conclusioni
In conclusione, mentre l’intelligenza artificiale offre opportunità senza precedenti per migliorare i servizi pubblici, è imperativo che la privacy dei cittadini sia protetta attraverso normative rigorose e l’uso di tecnologie avanzate di protezione dei dati. Adottare un approccio responsabile e trasparente non solo rafforza la fiducia del pubblico nella pubblica amministrazione, ma crea anche un ambiente favorevole all’innovazione. Le best practice internazionali e le tecnologie come l’anonimizzazione e la crittografia, assieme ad un framework normativo robusto come quello europeo e nazionale possono svolgere un ruolo cruciale in questo processo, assicurando che l’equilibrio tra innovazione e diritti dei cittadini sia mantenuto.
Sitografia
SP 800-226, Guidelines for Evaluating Differential Privacy Guarantees | CSRC (nist.gov) ↑
McKinsey potenziale economico AI generativa 4,4 trl dollari – AI4Business ↑
Riconoscimento facciale: perché il Regolamento sull’IA non sarà argine alla sorveglianza di massa – Agenda Digitale ↑
Riconoscimento facciale “anti-stupro”, in Italia: così il Governo forza la privacy (cybersecurity360.it) ↑
Riconoscimento facciale – Garante Privacy ↑
Algoritmi al potere, senza confronto pubblico né trasparenza: i problemi – Agenda Digitale ↑
Gli algoritmi tra trasparenza e protezione dei dati personali – stato – dottrina – (federalismi.it) ↑
“Pseudonimizzazione” o “anonimizzazione”? Sui dati, questo è il dilemma (e non solo) – Agenda Digitale ↑
Strategia italiana per l’AI 2024-2026 nella PA: tutto quello che occorre sapere – AI4Business ↑
Pubblicato il Piano Triennale per l’Informatica nella PA 2024-2026 | Agenzia per l’Italia digitale (agid.gov.it) ↑
AI Act, da oggi è “ufficiale”: come cambiano le regole per l’IA – Agenda Digitale ↑