Regolare o non regolare, questo è il dilemma, avrebbe detto Shakespeare, oggi, ai tempi dell’intelligenza artificiale.
Dilemma ampiamente discusso e dibattuto da Stefano Rodotà, prima e Giovanni Buttarelli, poi, nei loro scritti e testimoniato – con evidente favore verso la necessità di regolare – con la loro azione e militanza istituzionale.
L’Europa è stata criticata molto in questi anni per aver scelto di regolare qualcosa ancora in divenire. Soprattutto gli Stati Uniti, ma anche molti commentatori nostrani, di matrice più liberale, hanno aspramente criticato questa scelta paventando ora il rischio di fermare ciò che non si può fermare, l’innovazione, ora quello di desertificare i mercati finanziari del continente, a vantaggio di quelli d’oltremanica o d’oltreoceano.
Fomentare la paura verso le nuove norme: la storia si ripete
Con il GDPR, sei anni fa, avvenne più o meno la stessa cosa, e l’economia non solo non è crollata e le Big Tech sono ancora tutte qui e l’unico “inconveniente” che abbiamo finora riscontrato è che qualche servizio è arrivato un mese dopo in Europa rispetto al lancio negli Stati Uniti, ma ne è uscito ampiamente trasformato e migliorato – si veda il caso delle app Chat GPT di Open AI e Replika uscite molto migliorate dopo il blocco e le prescrizioni imposte dal Garante per la protezione dei dati italiano nel 2023 per non compliance con il GDPR.
Ma anche all’interno dell’UE, in particolare, Francia e Germania, si sono mostrate reticenti fino a qualche mese fa, tanto da rischiare di far saltare il tavolo delle negoziazioni sull’AI Act, dopo due anni di lavoro, per proteggere i propri interessi nazionali e le proprie aziende.
A queste misure protezionistiche si aggiunge il rumore di tanti commentatori che, per ignoranza o per mala fede, vogliono intorbidire le acque sfruttando la propria notorietà e autorevolezza. L’altro giorno, ad esempio, sentivo un illustre economista dire che l’AI Act complicherà la vita alle aziende che vogliono usare l’AI per aumentare la produttività interna, con conseguenti danni per il PIL. Mi ricordo che nei primi anni 2000, un analoga narrazione attribuiva al famigerato DPS, legato alla legge sulla privacy, prima e al Codice Privacy, poi, una simile responsabilità nella stagnazione del PIL italiano e addirittura veniva additata a una delle cause dell’aumento costante del debito pubblico nostrano. Con questo tipo di uscite si crea solamente paura tra le migliaia di PMI e Startup che, non avendo le risorse per seguire da vicino quanto avviene a Bruxelles, si limitano a leggere e ascoltare media e influencer di turno.
Sia chiaro, l’AI act non è perfetto, come non lo è il GDPR e come non lo è nessuna legge, perché ogni norma è sempre il frutto di un compromesso politico e, quando si tratta di Europa, il confronto coinvolge tantissimi attori.
AI, perché regolare qualcosa che non si conosce ancora bene? La Ue non è sola
C’è un però. L’Europa non fa le cose a caso. Non rincorre, come altre grandi potenze, l’emergenza del momento e l’iter legislativo, benché possa sembrare farraginoso e non perfetto, non è improvvisato. Molti, da tempo, e ancor più dopo il voto del 13 marzo, dicono che forse era troppo presto e che dovevamo attendere di avere le tecnologie sul mercato. E ciò in parte è vero, regolare qualcosa che non si conosce non è facile ma ciò non toglie che non vada fatto. Ma d’altro canto è anche già tardi, perché l’AI è già tra noi. D’altronde le conseguenze della lentezza nel regolare i social media sono sotto gli occhi di tutti, con rischi anche sul fronte democratico.
Peraltro, visto che la Cina viene spesso citata come altra potenza che investe moltissimo nello sviluppo dell’AI e meno nelle leggi, occorre ricordare che anche a Oriente le nuove regole sono tutt’altro che soft.
Tutto lo studio che ha portato all’AI Act
Come regolare, dunque, qualcosa che non si conosce bene? Con lo studio e il confronto. L’AI Act è la fine di un primo percorso iniziato nel 2018 con la creazione, da parte della Commissione europea, dell’High Level Expert Group, che annoverava tra gli altri gli italiani Luciano Floridi, Stefano Quintarelli, Andrea Renda e Francesca Rossi. Anche sulla base dalle indicazioni di quel gruppo di lavoro, la Commissione, guidata da altri italiani come Roberto Viola e Lucilla Sioli, ha poi pubblicato un white paper nel 2020 e la proposta di regolamento nel 2021.
Sono seguiti, ma erano già cominciati, diversi incontri con stakeholder di ogni tipo, dall’industria alla società civile, dalle big tech alle startup. Quando già il Consiglio aveva chiuso la sua versione, nel novembre 2022 ha fatto la sua comparsa sul mercato ChatGPT, poi seguita da Bard (ora Gemini) di Google e tutto è cambiato. Nuove domande e dubbi cui il parlamento europeo ha dovuto trovare risposte, prima da soli e poi in fase di trilogo con i governi e la Commissione.
Equilibrio tra norme certe e flessibilità, e l’uomo resta al centro
Fermarsi dunque, davanti all’ignoto? Tutt’altro. Trovare il giusto equilibrio tra la necessità di regolare con norme certe e quella di essere abbastanza flessibili da non dover rifare tutto daccapo solo perché c’è una nuova tecnologia sul mercato.
Pertanto è difficile comprendere chi, nello stesso istante, critichi il fatto che le norme non siano precise e al contempo che si rischi di regolare troppo qualcosa che ancora non c’è. L’approccio basato sul rischio serve proprio a trovare il giusto, e difficile, equilibrio tra questi estremi.
Occorre, poi, segnalare con gaudio l’emendamento che il parlamento ha adottato proprio per l’incipit dell’articolo 1, allo scopo di rimettere l’essere umano al centro: “L’obiettivo del presente regolamento è migliorare il funzionamento del mercato interno e promuovere l’adozione di un’intelligenza artificiale (IA) incentrata sull’uomo e degna di fiducia, garantendo al tempo stesso un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali, tra cui la democrazia, lo Stato di diritto e la tutela dell’ambiente, dagli effetti nocivi dell’intelligenza artificiale, e supportare l’innovazione.”
È questo un monito che ci ricorda che l’AI è al servizio dell’uomo, e non viceversa. E questo vuol dire, prima di tutto, rispetto dei diritti fondamentali. Diritti fondamentali che, con l’emendamento difeso dal parlamento, sono entrati, con l’articolo 27, a gamba tesa nel regolamento.
La valutazione d’impatto sui diritti fondamentali (FRIA) per le AI ad alto rischio era infatti fortemente voluta dal Parlamento, al contrario dei governi, che la vedevano come un nuovo fardello. Si è detto che non ce n’era bisogno perché c’era già la DPIA (valutazione d’impatto sulla protezione dei dati) del GDPR. Ma la FRIA e la DPIA sono due strumenti simili ma non identici, con la DPIA che fungerà da supporto alla redazione della FRIA. A voler mantenere la FRIA nel testo il parlamento ha avuto il supporto della società civile e dell’accademia, con appelli che hanno raccolto oltre un centinaio di firme nel giro di poche ore.
I nodi della governance
Resta aperta la partita di chi dovrà occuparsi della governance a livello europeo e nazionale. Accantonata, in Italia, la scelta naturale che avrebbe visto la creazione di una super autorità indipendente, un Garante dei Dati e dell’AI, gemmato dalla struttura del Garante privacy attuale, più innesti di Agcm, Agcom, Agid e Acn, si andrà piuttosto verso una nuova struttura governativa, più agile e basata sul modello di Agid e Acn. La garanzia, in entrambi i casi, è data dalla qualità del personale che già opera in queste istituzioni e che, come di consueto nel nostro Paese, fa spesso la differenza anche in relazione ad Autorità e Agenzie degli altri Stati dell’UE.
Conclusioni
Quindi possiamo dire senza dubbio che sì, c’era bisogno di regolare l’AI senza aspettare dieci anni. Il modo in cui viene fatto il training oggi e i modi in cui viene già adottata nel pubblico (e dalle forze dell’ordine) e nel privato ci suggeriscono che è meglio iniziare bene questa rivoluzione, evitando il rischio di non poter più porre rimedio perché ormai ci si è investito troppo. Possiamo fare bene, senza per questo bloccare il progresso.
