Come regolamentare l’intelligenza artificiale? Come garantirne uno sviluppo in linea con i principi giuridici? Quali sono gli aspetti etico-sociali da considerare, guardando oltre all’ambito giuridico?
Sono questi i tre principali interrogativi sul tavolo europeo, relativamente agli aspetti regolamentari dell’intelligenza artificiale.
E, mentre l’Unione europea si sta muovendo secondo tre direttrici – le linee strategiche in materia industriale, l’applicazione del GDPR ed il dibattito sulla data ethics – un ruolo molto attivo su questo fronte è quello del Consiglio d’Europa che ha già adottato le linee guida su AI e data protection, basate sulla Convenzione 108, così come la carta etica sull’uso dell’AI nei sistemi giudiziari, mentre sono in corso di elaborazione ulteriori provvedimenti nell’ambito dell’AI, media e libertà di espressione.
Tra le iniziative del Consiglio d’Europa che, lo ricordiamo, è un organismo internazionale che ha un orizzonte più ampio di quello dell’EU, anche la recente conferenza di Helsinki sull’Artificial Intelligence. Alla base di questi interventi, il framework della Convenzione europea per la protezione dei diritti umani e delle libertà fondamentali.
Facciamo, allora, di seguito, il punto sui tre temi al centro del dibattito.
Come regolamentare l’intelligenza artificiale
Per regolare occorre prima chiarire l’oggetto di quanto si vuole normare. Circa l’AI serve dunque, in primis, definire il limite fra realtà e fantascienza o, se si preferisce, fra la regolamentazione della realtà in un orizzonte temporale di alcuni decenni e quello che guarda oltre la metà del secolo presente. A riguardo, dovendo il legislatore fornire una risposta tecnico-operativa alle istanze della società presente, pare doversi escludere una regolamentazione che faccia riferimento a forme di cosiddetta General AI (ovvero di un’intelligenza in grado di affrontare situazioni, problemi ed ambiti diversi, alla stregua di quella umana) ancora da venire.
La realtà attuale e del futuro prossimo è fatta di sistemi decisionali automatici basati su AI (come le self-driving cars) o sistemi di supporto alle decisioni (e.g. algoritmi di credit scoring). Il centro della questione è quindi l’impatto dell’AI sui processi di assunzione delle decisioni.
Una nuova legge è la soluzione?
Definito lo scenario, la domanda da porsi è quella di sempre: ci serve una Law of the Horse? Qui l’esperienza della regolamentazione dell’internet e delle più recenti tecnologie deve essere di guida per escludere ogni risposta volta ad immaginare una nuova legge come soluzione primaria per ogni nuovo problema.
Quali siano infatti i sistemi giuridici presi in considerazione, quantomeno nel contesto europeo, è ravvisabile un insieme già esistente di leggi in grado di affrontare diversi e nuovi profili, sia che si tratti di responsabilità civile in generale, di responsabilità da prodotto, di tutela dei dati personali o di sicurezza delle macchine, e molto altro ancora. Davvero è necessario declinare nuovamente, in versione AI, tutto questo?
È tuttavia vero che l’AI è un insieme di tecnologie che ha cambiato parte dei paradigmi esistenti. Basti guardare alla tutela dei dati personali, ove concetti come trasparenza, definizione delle finalità specifiche del trattamento, autodeterminazione informativa, sono fortemente soggetti a tensioni. Analogamente, criticità emergono nella definizione dell’intreccio di responsabilità per i danni da AI (leggasi anche robot) in ragione dell’interazione fra i molteplici attori coinvolti, tra cui non ultimo sovente lo stesso utilizzatore del sistema.
La ragione fondamentale di tale crisi dei modelli regolatori esistenti risiede nel fatto che questi sono stati creati in larga parte fra gli anni ’70 e ’80 del secolo passato, quando si usava il Commodore 64 e nelle case il robot era l’aspirapolvere. Poiché il diritto è di fatto un prodotto della società che va a regolare, ne consegue che tali modelli di disciplina erano coerenti con quel contesto tecnologico.
Regolare richiede tempo
La prima conclusione potrebbe quindi essere quella di dar ragione a chi vuole nuove norme e regole, procedendo ad una riscrittura, almeno parziale, degli istituti esistenti. Qui però emerge un altro punto cruciale del problema, anche frutto della passata esperienza nella regolamentazione della tecnologia: regolare richiede tempo, se si pensa alla cosiddetta hard law (leggi, convenzioni etc.).
Un esempio concreto è da ultimo il GDPR, elaborato a partire da fine 2011, definitivamente adottato nel 2016, applicativo dal maggio 2018 e, per molti aspetti, ancora bisognoso di specifiche operative utili ad una puntuale attuazione in molti settori. Un orizzonte temporale fra proposta e sistema a regime che quindi si aggira intorno ai dieci anni (se stimiamo in almeno tre anni il tempo perché il GDPR vada a regime, ma vi sono stime che prevedono margini maggiori). Dieci anni sono però una o, in alcuni casi, addirittura due generazioni tecnologiche. Il risultato è evidente: la regolamentazione non riesce a rispondere puntualmente alle nuove sfide tecnologiche, necessita di esercizi interpretativi significativi, implementazioni ulteriori ecc.
Hard law vs soft law
Su questo punto il confronto fra esperienza EU e quella del Consiglio d’Europa pare utile. Essa infatti mette in luce due differenti modelli regolatori: uno basato su principi e soft law, l’altro maggiormente incentrato sull’hard law. Da un lato quindi, ad esempio nel settore dei dati personali, una Convenzione (la Convezione 108 del Consiglio d’Europa) e vari strumenti di soft law a contorno (raccomandazioni, carte, linee guida), sovente frutto di un processo di confronto con i principali stakeholders. Dall’altro lato una regolamentazione più incentrata su una normativa di dettaglio.
Certo va ricordato come anche il modello EU di data protection riconosca un ruolo importante alla cosiddetta co-regolamentazione, ne sono esempio i codici di condotta in Italia. Ma se si guarda al panorama dei Paesi EU, si vede un regolamento (GDPR), una direttiva (Dir. 2016/680), una serie di normative nazionali di coordinamento ad integrazione del GDPR (a volte con potenziali conflitti che un giorno la Corte di giustizia dell’Unione europea potrà essere chiamata a dirimere), cui si aggiungono normative settoriali, sia a livello EU (la proposta e-Privacy in discussione) che nazionale. Il risultato è un quadro normativo assai complesso che non pare offrire una grande flessibilità.
Guardando al modello del Consiglio d’Europa si ravvisa invece un modello più leggero, alcuni strumenti di hard law per fissare i principi generali ed un set di strumenti di soft-law costruiti attorno ad essi con finalità specifiche e di più agevole revisione. È questo un modello estraneo al contesto EU? A ben vedere pare di no.
Se si considera la passata esperienza, molte nuove tecnologie (dagli RFID agli smart meters) sono state regolate in termini di tutela dei dati sulla base delle indicazioni dell’Article 29 Data Protection Working Party che, per la sua natura sovranazionale, ha di fatto declinato linee guida interpretative della direttiva in ragione di contesti specifici, laddove la Direttiva 95/46/CE (per sua natura) era più che altro una normativa di principio.
Venendo quindi all’AI, serve un regolamento sull’AI o una legge o qualunque altro strumento di hard law? Forse no. In primis perché l’AI non è qualcosa di stabile e definito: è un ambito della scienza informatica che dopo anni di gestazione teorica ha trovato ora il contesto tecnologico adatto ad esprimersi, per cui sta rapidamente evolvendo in termini applicativi e con direzioni diverse.
Diviene quindi difficile capire l’oggetto stesso di una possibile regolamentazione dell’AI in generale, come dimostrato dal fatto che nelle tante linee guida sul tema (provenienti da fonti più disparate e con tagli diversi) manca una definizione precisa e comune di AI.
I diversi framework valoriali dell’AI
In secondo luogo, l’AI è pervasiva, opera in contesti diversi ove esistono diversi framework valoriali. Si pensi alla differenza fra lo sviluppo dell’AI nell’ambito militare e quello dei cosiddetti companion robots per l’educazione dei minori o, ancora, alle applicazioni nel settore della medicina e ricerca scientifica. Come è possibile definire una normativa capace di abbracciare un orizzonte così ampio?
Certo l’AI pone sfide importanti in tema di responsabilità e circa il rapporto uomo/macchina. Sfide che per i motivi accennati non possono agevolmente risolversi con gli strumenti normativi esistenti. Occorre allora un approccio chirurgico, come si fece ad esempio per l’e-commerce, quando il legislatore europeo non scelse di creare nuove regole per ciascuno dei contratti esistenti nel mondo off-line, ma solo di intervenire sulle criticità che il trasferimento nel contesto online comportava riguardo alla negoziazione contrattuale.
Servono poi indicazioni di dettaglio per gli operatori, per gli sviluppatori dell’AI, che chiariscano come i principi esistenti e le normative vigenti vadano rese operative nel contesto dell’AI, rispondendo in maniera concreta a domande del tipo: cosa significa data minimisation nel contesto AI? Come va condotta un’analisi del rischio in tale contesto? E molte altre ancora.
In termini regolatori, l’idea quindi di un numero limitato di regole di principio, integrate con strumenti settoriali di soft-law, pare la soluzione più adeguata all’ambito dell’AI.
Perché ciò possa avvenire, soprattutto al fine di un’efficace integrazione fra hard e soft law è necessario però che vi siano anche soggetti in grado sia di vigilare sull’applicazione delle diverse forme di regolamentazione, sia di fungere da stimolo alla regolamentazione stessa e, non ultimo, di garantirne una concreta applicazione. Questo porta dunque ad affrontare la seconda delle domande poste: come garantire uno sviluppo dell’AI in linea con i principi giuridici? Come dunque vigilare in modo attivo sullo sviluppo dell’AI? A chi affidare questo compito?
Come garantire uno sviluppo dell’AI in linea con i principi giuridici?
Il valore strategico dell’AI e la specificità tecnologica che comporta hanno indotto un dibattito a livello europeo circa la possibile creazione di un’autorità indipendente per l’AI. Sarebbe questo un’ulteriore componente di un possibile quadro regolatorio in materia.
Anche a tal riguardo sembra emergere la tendenza a soluzioni ad hoc: nuova tecnologia, nuova autorità. Ma come per la regolazione, il confine indefinito e la pervasività delle applicazioni di AI potrebbero rendere incerti gli ambiti di competenza di una simile autorità, con potenziale conflitto con la sfera d’azione di altre autorità già esistenti.
La centralità dell’uso dei dati, i potenziali rischi di discriminazione connessi alle scelte algoritmiche, le applicazioni dell’AI nei più diversi ambiti, dai trasporti ai media al trading online, evocano infatti l’intervento potenziale di diverse autorità indipendenti attive in vari Paesi e pare difficile immaginare di unificare il tutto sotto l’ombrello di un’unica autorità.
La sinergia migliore risposta alla complessità dell’AI
Come per la regolamentazione, anche qui la sinergia pare essere la risposta migliore alla complessità. Una strada più lunga ma più fruttuosa. Alla co-regolamentazione dovrebbero quindi essere affiancati, su altro piano, modelli di co-decisione. Esempi già ci sono in tal senso, come nel caso dell’indagine congiunta avviata dall’Autorità Antitrust, l’Autorità per le Garanzie e nelle Comunicazioni e l’Autorità Garante per la protezione dei dati personali sui Big Data o l’iniziativa dell’EDPS sulla Digital Clearinghouse.
Anche su questo tema però serve uno sforzo importante. In primis metodologico, si pensi ad esempio al diverso approccio delle autorità antitrust e dei garanti per la protezione dei dati personali nella valutazione dell’impatto di un’operazione di merger and acquisition che riguardi imprese con modelli di business incentrati sui dati personali, laddove le metodologie di indagine sono differenti, seppur potenzialmente complementari. È questo un ambito in cui servirebbe forse un intervento normativo, con norme di hard law capaci di favorire la sinergia operativa fra i regolatori.
Occorre guardare oltre all’ambito giuridico?
Come emerge anche da quanto sin qui osservato, l’AI ha un’incidenza sulla società in senso ampio, che concerne sovente processi di organizzazione e pianificazione dei comportamenti individuali e collettivi (si pensi ad esempio alle smart city o ai sistemi di predictive policing). Tale dimensione sociale solleva questioni che non sono meramente giuridiche.
Di fronte a tecniche di analisi dei dati pervasive e predittive, emergono istanze inerenti all’impatto etico dei modelli di AI. In proposito non sono, infatti, mancate le iniziative da parte di una molteplicità di soggetti tese ad enfatizzare il ruolo della data ethics.
Anche su questo fronte vi sono tuttavia aspetti di complessità e soprattutto il rischio di un’impropria sovrapposizione fra aspetti etico-sociali e giuridici. Se, infatti, è indubbio che le norme giuridiche hanno una base etica, è altresì vero che quando il principio etico si fa norma, viene declinato, assume una forma specifica, che non necessariamente e riflette l’interezza dei possibili significati. Da qui la criticità di presentare come principi di data ethics quelli che sono principi già codificati nelle norme vigenti.
Definito quindi correttamente il confine fra diritto ed etica, quale è lo spazio che deve avere quest’ultima? Certamente l’etica è chiamata ad integrare il diritto. Valutazioni di tipo etico debbono essere effettuate quando un modello AI è sì conforme alla legge, ma è tale da incidere sui valori etici e sociali propri di una comunità. Un esempio può essere proprio quello della gestione mediante algoritmi di realtà complesse come le smart cities, ove l’automazione dei servizi pone non solo questioni giuridiche, ma anche scelte circa la modalità con cui gestire una comunità, dalla prevenzione del crimine, alle forme partecipative, alla gestione delle informazioni generate da tale comunità.
Questa necessaria integrazione fra etica e diritto emerge sempre più in molti documenti adottati a livello europeo, da ultimo anche nelle menzionate conclusioni della conferenza di Helsinky ove si legge “existing landmark international instruments, including the Universal Declaration of Human Rights and the European Convention for the Protection of Human Rights and Fundamental Freedoms, are applicable irrespective of contextual changes brought about by AI and must be complied with to ensure that technological progress occurs in line with the principles of human rights, democracy and the rule of law. Ethical guidelines and self-regulation constitute additional tools to promote these values”.
