L’essere umano al centro: la prima proposta di Regolamento Europeo sull’Intelligenza Artificiale[1] (IA) è “human-centric”, umanocentrica.
Come è noto, l’atto mira a stabilire regole comuni a livello sovranazionale, nella consapevolezza che dinanzi ad un’evoluzione tecnologica che presenta straordinarie opportunità di crescita per le società tecnologicamente avanzate, ma che al contempo mostra continue insidie per la tenuta degli assetti democratici, un fenomeno così dirompente e pervasivo richieda la previsione di norme che siano in grado di sostenere l’afflato evolutivo del pensiero artificiale ponendo, però, l’individuo al centro della rivoluzione tecnologica.
Intelligenza artificiale, i punti chiave del regolamento europeo
L’Intelligenza Artificiale non “è fantascienza: fa già parte delle nostre vite”: con la Comunicazione COM/2018/237, la Commissione europea annunciava nel 2018 l’avvio di una strategia dedicata al pensiero artificiale, per rendere l’Unione competitiva nel mutevole scenario digitale, ma al contempo operante all’interno di un quadro etico e giuridico in grado di garantire una effettiva tutela dei diritti fondamentali dei soggetti destinatari delle decisioni algoritmiche[2].
Da tale complesso obiettivo, che mira ad individuare un delicato punto di equilibrio tra le insopprimibili esigenze di sviluppo tecnologico dell’Unione e la necessità di assicurare il rispetto dei valori condivisi e consacrati nelle esperienze costituzionali europee, è scaturita non solo una intensa attività di produzione di atti di soft law[3], ma anche la presentazione, nel corso del 2021, della prima proposta di Regolamento europeo in materia di Intelligenza Artificiale.
La tensione umanocentrica che innerva l’intera strategia europea in materia di IA rappresenta uno degli aspetti di maggior rilievo della proposta di Regolamento, nella convinzione condivisa ed esplicitata nel Considerando 15 che “l’intelligenza artificiale presenta, accanto a molti utilizzi benefici, la possibilità di essere utilizzata impropriamente e di fornire strumenti nuovi e potenti per pratiche di manipolazione, sfruttamento e controllo sociale. Tali pratiche sono particolarmente dannose e dovrebbero essere vietate poiché contraddicono i valori dell’Unione relativi al rispetto della dignità umana, della libertà, dell’uguaglianza, della democrazia e dello Stato di diritto e dei diritti fondamentali dell’Unione, compresi il diritto alla non discriminazione, alla protezione dei dati e della vita privata e i diritti dei minori”.
In tale ottica, quindi, la proposta del legislatore europeo aspira a porsi come nuovo e potente riferimento normativo del nuovo ecosistema digitale, che presentandosi come naturale completamento dell’impianto regolatorio realizzato in ambito di tutela dei dati personali con il GDPR, mira a porre al centro della rivoluzione tecnologica nuovamente l’individuo nella convinzione che il pensiero artificiale dovrà sempre e solo agire a sostegno dell’uomo e delle sue attività perché mai potrà e, soprattutto, dovrà sostituirsi ad esso.
Come funziona il sistema di tutela dell’individuo sulla catena del valore
In presenza di un atto normativo che si dichiara “human-centric”, assume inevitabilmente un ruolo cruciale il quadro di garanzie approntato dal legislatore al fine di proteggere l’individuo da conseguenze negative derivanti dalla decisione algoritmica.
In tale prospettiva, la proposta di Regolamento innesta tale tipo di tutela, in primo luogo, all’interno di uno specifico percorso di responsabilizzazione dei soggetti che producono o che si servono dei sistemi di IA riprendendo quel fortunato filone dell’accountability che, come è noto, rappresenta oggi la spina dorsale del Regolamento europeo 679/2016. Al pari, infatti, di quanto è avvenuto all’interno dello scenario della tutela dei dati personali, anche nell’universo dell’IA si afferma l’idea che l’impiego degli strumenti algoritmici non costituisca di per sé un’attività neutra, ma al contrario si presenti intrinsecamente rischiosa all’interno di società democraticamente avanzate.
In tale ottica, l’approccio normativo diventa risk based, sebbene di tipo proporzionato, imponendo ai coinvolti nell’impiego dell’IA la predisposizione by design e by default di un adeguato sistema di gestione dei rischi connessi a tali strumenti. In tal senso, i sistemi algoritmici sin dalla loro progettazione vengono inseriti all’interno di un processo di tipo iterativo che mira a minimizzare l’impatto sull’esercizio di diritti e libertà fondamentali lungo l’intero ciclo di vita di tali strumenti, attraverso un percorso di garanzia di conformità alle regole in materia, da attuarsi in maniera costante e sistematica (art. 9).
Grazie a tale impostazione la creazione, l’immissione sul mercato e la messa a disposizione di sistemi di intelligenza artificiale a cui è associato un rischio elevato vengono subordinate al soddisfacimento di una intelaiatura di misure tecniche ed organizzative, predisposte a partire dai soggetti fornitori e comprovate a cascata dai soggetti variamente coinvolti lungo la catena del valore dell’IA. Misure che puntano a blindare l’impiego di tali strumenti all’interno del quadro dei principi e dei valori condivisi a livello sovranazionale.
Ed è proprio lungo tale complessa architettura, sostenuta da un istituendo sistema di governance a livello di Unione e di Stati membri mediante la creazione di un apposito Comitato europeo in materia e di specifiche autorità di controllo nazionali (Titolo VI della proposta), che si struttura in maniera decisiva il quadro di tutela prevista dal legislatore europeo a favore del destinatario finale del processo algoritmico.
Tra il complesso di nuove regole destinate a tale mutevole scenario emerge in particolar modo l’obbligo a carico dei fornitori ex art.17 di implementare un sistema di gestione della qualità che garantisca la piena e, soprattutto, duratura conformità delle tecnologie alle disposizioni previste nel Regolamento attraverso la definizione di politiche, procedure e istruzioni scritte che definiscano in dettaglio la strategia di controlli e di garanzie che tali soggetti intendono attuare nel corso dell’intera vita dello strumento.
Si tratta di una richiesta particolarmente impegnativa dal momento che il conseguimento degli standard qualitativi richiesti dal legislatore europeo impone una visione omnicomprensiva e dettagliata del funzionamento del sistema di IA che consenta al fornitore di definire ex ante una serie di specifiche tecniche ed organizzative finalizzate non solo a prevenire i rischi connessi a tali strumenti anche attraverso un’attenta e corretta gestione dei dati il cui utilizzo, come è noto, rappresenta un elemento vitale, ma altresì di intervenire immediatamente ed efficientemente in caso di eventi dannosi. In tal senso, ad integrazione di quanto previsto dal suddetto articolo, il legislatore europeo prevede un meccanismo di segnalazione di incidenti gravi o malfunzionamenti (art. 62) che impone al fornitore di notificare immediatamente – o comunque non oltre i quindici giorni – l’accaduto all’autorità di vigilanza dello Stato membro di riferimento una volta stabilito il nesso o la ragionevole probabilità di tale collegamento con il sistema di IA.
Tale fondamentale rete di protezione a favore del destinatario finale si sviluppa anche attraverso il coinvolgimento diretto degli altri punti nodali della catena del valore dell’IA. Gli importatori, i distributori e gli utenti, infatti, non solo diventano, nel rispetto delle loro specificità attoriali, “garanti di secondo grado” della conformità degli strumenti di IA attraverso la verifica dell’avvenuto soddisfacimento degli adempimenti imposti al fornitore dal Regolamento[4], ma operano anche come “sentinelle” del loro utilizzo, impedendo la messa a disposizione sul mercato in assenza dei requisiti richiesti o, nel caso specifico degli utenti, sospendendone l’impiego in seguito a malfunzionamento o incidente grave.
A completare il quadro di regole che la proposta stabilisce ai fini di un utilizzo etico e affidabile dei sistemi di IA che presentano un rischio elevato intervengono, inoltre: la redazione della documentazione tecnica necessaria a consentire una completa valutazione dell’adeguatezza di tali strumenti da parte alle autorità nazionali competenti e degli organismi notificati (art.11); l’obbligo di utilizzo di set di dati di addestramento, convalida e prova che siano pertinenti, rappresentativi, esenti da errori e completi (art. 10); la registrazione automatica degli eventi (“log”) al fine di monitorare il funzionamento del sistema di IA in seguito alla loro immissione nel mercato e intercettare tempestivamente situazioni di rischio a livello nazionale (art.12) e la previsione di un adeguato livello di accuratezza, robustezza e cybersicurezza sin dalla fase di progettazione e di sviluppo di tali strumenti (art.15).
L’insieme delle summenzionate norme previste a carico dei soggetti che sviluppano o si affidano al pensiero artificiale per la realizzazione delle proprie attività, sommato al divieto di utilizzo previsto dal Titolo II di alcuni specifici strumenti ritenuti proibiti in quanto incompatibili con il sistema dei valori e dei principi condivisi a livello europeo e alla previsione di ulteriori obblighi di trasparenza per determinati strumenti al fine di tenere conto dei rischi specifici di manipolazione che essi comportano (Titolo IV), definisce pertanto l’intelaiatura fondamentale del quadro di tutela previsto dalla proposta di Regolamento a favore dell’individuo che subisce la decisione algoritmica.
Il pedissequo rispetto di tale sistema da parte dei vari soggetti coinvolti nella catena del valore dell’IA, Secondo le intenzioni del legislatore europeo sarà, quindi, il pedissequo rispetto di tali norme a favorirà la nascita di un ecosistema affidabile, sicuro ed etico in cui le criticità dell’IA saranno affrontate e celermente risolte in un’ottica di sviluppo umanocentrica che pone l’individuo, come detto, al centro della rivoluzione del pensiero artificiale.
IA umanocentrica: ma il quadro normativo non contempla gli utenti finali
Nonostante le fiduciose premesse orientate a garantire uno sviluppo europeo di tipo umanocentrico dell’Intelligenza artificiale, obiettivo più volte rimarcato anche nei suoi numerosi considerando, la proposta di Regolamento risulta essere debole proprio nella costruzione dell’impianto di tutela destinato agli utenti finali che subiscono la decisione “artificiale”.
Sebbene sia da plaudire la scelta di definire un quadro normativo indirizzato al complesso e cangiante universo dell’IA mediante un laborioso percorso di responsabilizzazione di tutti gli operatori coinvolti nella realizzazione, distribuzione e utilizzo di tali strumenti, non si ritiene ragionevole che la concreta attuazione del sistema di garanzie destinate agli utenti finali venga lasciata completamente alle capacità tecniche ed organizzative di tali soggetti, privando quello che dovrebbe essere il vero “protagonista” della proposta, l’individuo, di specifici e adeguati strumenti di azione nel caso in cui subisca una decisione algoritmica discriminatoria, erronea o in grado di ledere ingiustamente l’esercizio di un suo diritto fondamentale.
Nel testo, infatti, non si riscontrano regole specifiche volte a disciplinare rimedi effettivi da attivare autonomamente a seguito di un evento dannoso, né tantomeno si intravede un quadro di diritti che il soggetto possa esercitare in maniera non mediata alla stregua di quelli sanciti nel Capo III del Regolamento 679/2016 che rappresentano, invece, un elemento centrale nello scenario della tutela dei dati personali.
Una mancanza questa che risulta estremamente rilevante nel panorama dell’intelligenza artificiale e che non a caso è stata rimarcata nella Joint Opinion 5/2021 presentata dall’European Data Protection Board e dallo European Data Protection Supervisor il 18 giugno 2021[5].
In tale documento, infatti l’EDPB e l’EDPS non solo sottolineano l’assenza nel futuro quadro normativo di specifici diritti e rimedi da attivare a disposizione degli individui sottoposti ai sistemi di IA, ma evidenziano un’ulteriore grave lacuna consistente nella mancata definizione delle modalità con cui dovrà concretamente realizzarsi il coordinamento tra il nuovo quadro normativo e il preesistente complesso di norme sancite dal GDPR, l’EUDPR, ePrivacy Directive e alla LED[6] nel caso in cui il processo decisionale algoritmico dovesse prevedere il trattamento di dati personali.
In particolare, si pone il problema del raccordo, estremamente rilevante in questo scenario, tra quanto stabilito dall’art. 22 del GDPR che, come è ampiamente noto, riconosce il diritto per un soggetto di non essere sottoposto ad una decisione completamente automatizzata e il sistema di regole stabilite dalla proposta che incardinano, come evidenziato, la tutela dell’individuo nel quadro degli obblighi tecnici ed organizzativi dei soggetti operanti nello scenario dell’IA.
La mancata indicazione di come i due quadri normativi si coordineranno nel prossimo futuro, unita alla riscontrata assenza di strumenti rimediali per i destinatari di tali strumenti, rischia infatti di indebolire ulteriormente la posizione dei soggetti che subiscono passivamente la decisione algoritmica ponendoli all’interno di un limbo normativo conteso tra la tutela dei dati personali e le nuove norme in materia di IA.
A tal fine, non sembra essere risolutiva la previsione ex art.14 che impone l’intervento umano nell’utilizzo di strumenti ad alto rischio secondo la ben nota visione dello “human in the loop”. La disposizione, infatti, non stabilisce alcun coinvolgimento attivo del soggetto destinatario della decisione algoritmica, ma affida nuovamente ed esclusivamente il controllo dei possibili rischi ai soggetti che producono o utilizzano tali sistemi stabilendo l’obbligo per i fornitori di predisporre adeguati meccanismi di sorveglianza umana al fine di intervenire celermente ai primi segnali di anomalie, disfunzioni o prestazioni inattese ovvero nel caso in cui sia necessario ignorare, annullare o invertire l’esito prodotto dalla macchina.
È indubbio che tale misura, ulteriormente rafforzata in caso di utilizzo di sistemi per l’identificazione biometrica remota “in tempo reale” e “a posteriori” delle persone fisiche[7], ha il pregio di introdurre in maniera stabile il prezioso contributo esperienziale e professionale umano all’interno del circuito artificiale. Rimangono, tuttavia, dubbi sulla piena efficacia di tale meccanismo soprattutto nei casi in cui sia la macchina a sviluppare percorsi cognitivi non comprensibili esternamente e, in particolare, in presenza di decisioni discriminatorie indirette che risultano non immediatamente riconoscibili perché esprimono il loro valore distorsivo solo nel corso del tempo.
Né tantomeno risulta in grado di garantire un maggior coinvolgimento del soggetto destinatario della decisione algoritmica la previsione di cui all’art.13 della proposta, che stabilisce l’obbligo per i produttori di progettare e di sviluppare tali sistemi per un funzionamento così trasparente da consentire un’interpretazione corretta e un utilizzo adeguato da parte degli utenti finali.
Una previsione, questa, estremamente importante, ma di dubbia efficacia in termini di tutela dal momento in cui non tiene conto del diffuso fenomeno dell’opacità dei percorsi inferenziali seguiti dalle macchine algoritmiche (c.d. fenomeno della black box) che rendono difficile, se non impossibile in alcuni casi, conoscere la motivazione che è alla base della decisione.
IA umanocentrica: i rischi della valutazione affidata ai privati
La scelta di imperniare il sistema di tutela dei destinatari della decisione algoritmica quasi esclusivamente sul quadro di obblighi e responsabilità dei soggetti che producono ovvero utilizzano l’IA rappresenta sicuramente uno degli aspetti di maggiore criticità della proposta adottata nell’aprile 2021.
In un panorama costellato da un impiego sempre più pervasivo di tali tecnologie e nel quale si susseguono le testimonianze di utilizzi del pensiero artificiale in grado di determinare risultati discriminatori, fenomeni di polarizzazione delle opinioni ovvero di penalizzazioni delle propensioni, l’assenza di strumenti direttamente azionabili dall’individuo allontana in maniera decisa l’Unione dall’obiettivo di creare un ecosistema etico, sicuro ed affidabile all’interno del quale sviluppare il futuro della società europea.
A rendere ancora più complesso lo scenario prospettato dal legislatore sovranazionale è la constatazione che non solo il quadro previsto si caratterizza per la mancanza di tali preziosi meccanismi di tutela diretta, ma che, in loro assenza, l’intero processo di valutazione dei rischi connessi all’utilizzo dei sistemi di IA ammessi dal Regolamento e le misure di intervento da adottare in caso di incidenti gravi (ma anche meno gravi) sono destinati, nel prossimo futuro, ad essere influenzati in gran parte da società di natura privata, che avranno di fatto la possibilità di orientare l’utilizzo e la diffusione di tali strumenti.
Saranno tali soggetti, infatti, che dovranno identificare e analizzare, ad esempio, in prima battuta i potenziali rischi associati ad un nuovo sistema di IA da immettere sul mercato ovvero a stabilire misure idonee, anche mediante delle interfacce uomo-macchina, al fine di prevenire o ridurre al minimo conseguenze negative per la salute, la sicurezza o i diritti fondamentali. Saranno sempre tali soggetti che dovranno avviare un percorso di allerta in caso di utilizzo rischioso di tali strumenti, se saranno in grado di identificare situazioni effettivamente lesive per il destinatario finale.
È evidente che affidare un compito così delicato a soggetti che operano prevalentemente in un’ottica di profitto rischia seriamente di impedire uno sviluppo umanocentrico delle nuove tecnologie e di lasciare l’individuo privo di una tutela effettiva dinanzi ad una rivoluzione digitale che, in assenza di una idonea regolazione, è in grado di incidere fortemente sulla sua effettiva capacità di autodeterminazione, insidiando quel principio personalistico che irradia le costituzioni europee e intorno al quale si dispiegano diritti e libertà fondamentali.
______________________________________________________________________________________________
- Proposta di Regolamento del Parlamento Europeo e del consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale) e modifica alcuni atti legislativi dell’unione – com(2021) 206 final ↑
- Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni “L’intelligenza Artificiale per l’Europa”- COM/2018/237 final ↑
- Si fa riferimento tra gli altri al “White Paper on AI: a European approach to excellence and trust”, COM (2020) 65 final; alla Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle regioni “Creare fiducia nell’intelligenza artificiale antropocentrica” COM (2019) 168; nonché le “Ethics Guidelines for Trustworthy Artificial Intelligence” redatte dall’ High-Level Expert Group on AI nell’aprile del 2019. ↑
- L’art. 26 stabilisce, infatti, che “prima di immettere sul mercato un sistema di IA ad alto rischio, gli importatori di tale sistema garantiscono che: a) il fornitore di tale sistema di IA abbia eseguito l’appropriata procedura di valutazione della conformità”. Per i distributori, invece, l’art. 27 stabilisce che: “prima di mettere a disposizione sul mercato un sistema di IA ad alto rischio, i distributori verificano che il sistema di IA ad alto rischio rechi la necessaria marcatura CE di conformità, che sia accompagnato dalla documentazione e dalle istruzioni per l’uso necessarie e che il fornitore e l’importatore del sistema, a seconda dei casi, abbiano rispettato gli obblighi di cui al presente regolamento”. L’utente, invece, è tenuto ai sensi dell’art. 29 ad usare tali strumenti conformemente alle istruzioni per l’uso che accompagnano i sistemi e le misure di sorveglianza umana indicate dal fornitore. ↑
- Joint Opinion 5/2021 on the Proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act); ↑
- Si fa riferimento al General Data Protection Regulation (GDPR), al Data Protection Regulation for the European Union institutions, offices, bodies and agencies (EUDPR) e alla Law Enforcement Directive (LED); ↑
- L’ Art. 14, punto 5, stabilisce che “Per i sistemi di IA ad alto rischio di cui all’allegato III, punto 1, lettera a), le misure di cui al paragrafo 3 sono tali da garantire che, inoltre, l’utente non compia azioni o adotti decisioni sulla base dell’identificazione risultante dal sistema, a meno che essa non sia stata verificata e confermata da almeno due persone fisiche. ↑
