Il Consiglio d’Europa ha adottato a Strasburgo la prima convenzione quadro internazionale giuridicamente vincolante volta a garantire il rispetto dei diritti umani, della democrazia e dello Stato di diritto nell’utilizzo dei sistemi di intelligenza artificiale nel settore pubblico e privato.
Aperta alla firma dal prossimo 5 settembre, anche ai Paesi extraeuropei, la convenzione delinea un quadro normativo che copre l’intero ciclo di vita dei sistemi di IA, dalla progettazione alla dismissione, affrontandone i rischi ma incentivando, al contempo, un’innovazione responsabile.
L’impegno per una governance responsabile dell’IA
Obiettivo primario della Convenzione quadro è garantire che il potenziale delle tecnologie di intelligenza artificiale (IA) sia sfruttato in modo responsabile, rispettando, proteggendo e realizzando i valori condivisi dalla comunità internazionale, i diritti umani, la democrazia e lo Stato di diritto. I sistemi di IA offrono opportunità mai viste prima, ma allo stesso tempo presentano rischi e pericoli quali la discriminazione, la disuguaglianza di genere, la compromissione dei processi democratici, la lesione della dignità umana o dell’autonomia individuale o, ancora, l’uso improprio da parte degli Stati a fini repressivi.
Ambito di applicazione, definizioni e approccio globale. L’enfasi sul “ciclo di vita” dell’IA
Le previsioni della Convenzione sono incentrate sul concetto di “ciclo di vita” dei sistemi di IA, che ne sintetizza le diverse fasi, dalla concezione e progettazione fino alla dismissione. Concetto che è anche alla base del Regolamento Europeo sull’intelligenza artificiale (AI Act) con riferimento, tra l’altro, agli obblighi di trasparenza e di adozione del sistema di gestione dei rischi.
Il ciclo di vita dei sistemi di IA secondo l’OCSE
Cosa s’intende per “sistema di IA” nell’ambito della Convenzione
Ma cosa s’intende per “sistema di IA” nell’ambito della Convenzione? Essa definisce i sistemi di IA basandosi non sulla corrispondente definizione letterale contenuta nell’AI Act, ma di quella adottata dall’OCSE l’8 novembre 2023. Definizioni, quella dell’OCSE e dell’AI Act, che peraltro coincidono nella sostanza, dato che si fondano sulle medesime proprietà chiave dei sistemi di IA: autonomia e adattabilità variabili, capacità di inferenza e di generazione di previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali. La scelta della definizione dell’OCSE è orientata all’esigenza di rafforzare la cooperazione internazionale sul tema dell’IA e di facilitare gli sforzi volti ad armonizzarne la governance a livello globale.
Le attività che la convenzione si propone di regolamentare
Sotto il profilo oggettivo, la convenzione non si propone di regolamentare tutte le attività rientranti nel ciclo di vita dei sistemi di IA, ma soltanto quelle in grado di interferire con i diritti umani, la democrazia e lo stato di diritto. È peculiare, quindi, l’approccio del Consiglio d’Europa che, a differenza dell’AI Act, non fa coincidere il proprio ambito di applicazione oggettivo con specifici modelli, sistemi o pratiche di IA, bensì con le singole attività facenti parte del ciclo di vita dell’IA e sull’impatto che esse possono avere anche a prescindere dal rischio che il sistema presenta nel suo complesso.
La disciplona dell’IA nel settore pubblico enel settore privato
La Convenzione disciplina l’utilizzo dei sistemi di IA sia nel settore pubblico che nel settore privato. Le parti della Convenzione dovranno adottare o mantenere le opportune misure legislative, amministrative o di altro genere per dare attuazione alle sue disposizioni. Misure che dovranno essere graduate e differenziate sulla base della gravità e della probabilità del verificarsi di impatti negativi sui diritti umani, la democrazia e lo Stato di diritto durante tutto il ciclo di vita dei sistemi di IA.
Principi generali relativi alle attività nel ciclo di vita dei sistemi di IA
Dopo un primo e un secondo capitolo su, rispettivamente, previsioni e obblighi generali, il terzo capitolo della Convenzione stabilisce una serie di principi generali da attuare in conformità agli ordinamenti giuridici nazionali. Essi sono volutamente formulati con un livello elevato di generalità, così da poter essere applicati in modo flessibile in una varietà di contesti in rapida evoluzione.
Dignità umana e autonomia individuale
Il primo principio prevede l’adozione di misure per il rispetto della dignità umana e dell’autonomia individuale. In particolare, l’uso di sistemi di IA non dovrebbe portare alla disumanizzazione degli individui, minare la loro capacità di agire autonomamente o ridurli a meri punti dati (data point). Inoltre, i sistemi di IA non dovrebbero essere antropomorfizzati in un modo che interferisca con la dignità umana.
L’autonomia della persona è un elemento chiave della dignità umana, intesa come capacità di autodeterminarsi, prendere decisioni senza coercizioni e vivere liberamente. In ambito di IA preservare l’autonomia individuale significa garantire alle persone il controllo sull’utilizzo e l’impatto delle tecnologie di IA nelle loro vite, senza che queste ne compromettano la libera scelta. Principio, l’antropocentrismo, che peraltro permea anche l’AI Act (il cui scopo è, tra l’altro, “promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile”) e il DDL italiano in materia di IA ora al vaglio delle Camere.
Trasparenza e supervisione dei sistemi di IA
Il secondo principio riguarda la trasparenza e la supervisione dei sistemi di IA, fondamentali anche nell’ambito dell’AI Act sia con riferimento ai sistemi ad alto rischio che a determinati sistemi di IA in esso individuati. In virtù delle caratteristiche di complessità e opacità che caratterizzano i sistemi di IA, le attività svolte attraverso di essi richiedono adeguati presidi sotto questi due aspetti. I processi decisionali e il funzionamento generale dei sistemi di IA dovrebbero essere comprensibili e accessibili sia dagli attori della filiera che, ove necessario e appropriato, dagli altri soggetti interessati.
Al riguardo, la Convenzione prescrive l’adozione o il mantenimento di misure per assicurare la presenza di idonei requisiti di trasparenza e monitoraggio modulati in base ai contesti e ai rischi specifici, inclusa l’identificazione dei contenuti generati tramite IA. Della trasparenza rilevano soprattutto gli aspetti di spiegabilità e interpretabilità: la prima si riferisce alla capacità di fornire spiegazioni sufficientemente comprensibili sul perché un sistema di IA fornisca determinate informazioni, produca specifiche previsioni, contenuti, raccomandazioni o decisioni, il che è particolarmente importante in ambiti sensibili quali l’assistenza sanitaria, i servizi finanziari, l’immigrazione, i servizi di frontiera, la giustizia penale; la seconda si riferisce, invece, alla capacità di comprendere come un sistema di IA faccia previsioni o prenda decisioni, ossia alla misura il processo di generazione degli output possa essere reso accessibile e comprensibile ai non esperti del settore. Tuttavia, la divulgazione delle informazioni potrebbe contrastare con la privacy, la riservatezza e i segreti commerciali, la sicurezza nazionale, o i diritti dei terzi: per queste ragioni, nell’attuazione del principio di trasparenza è opportuno trovare un giusto equilibrio tra i vari interessi in gioco.
Quanto alla supervisione, essa si riferisce a vari meccanismi e processi per monitorare e guidare le attività del ciclo di vita dei sistemi di IA: secondo il testo della Convenzione si potrebbe trattare di framework giuridici, politici e normativi, di raccomandazioni, linee guida, codici di condotta, programmi di audit e certificazione, di strumenti di individuazione degli errori, o di un coinvolgimento di autorità di vigilanza.
Accountability e responsabilità
Il terzo principio, di accountability e responsabilità, costituisce un altro dei capisaldi della Convenzione. Esso riguarda la necessità di predisporre meccanismi affinché le organizzazioni, entità e individui impegnati nelle attività lungo tutto il ciclo di vita dei sistemi di IA rispondano degli impatti negativi sui diritti umani, sulla democrazia o sullo Stato di diritto. Principio inscindibile da quelli di trasparenza e supervisione, poiché i meccanismi di trasparenza e supervisione consentono l’esercizio della responsabilità e dell’accountability rendendo più chiaro il funzionamento dei sistemi di IA e come producono i loro output.
La Convenzione si articola, poi, su altri quattro principi altrettanto importanti: eguaglianza e non discriminazione, rispetto al quale il testo elenca una serie di riferimenti normativi da considerare e i vari pregiudizi (bias) che potrebbero caratterizzare i sistemi di IA, tutela dei dati personali, affidabilità sulla base distandard tecniciemisure in chiave di robustezza, accuratezza, integrità dei dati e cybersicurezza, e, infine, innovazione sicura in ambienti controllati (ad esempio, sandbox regolamentari).
Rimedi, garanzie procedurali e gestione dei rischi. Moratoria per i sistemi di IA
Sotto il profilo dei rimedi, la Convenzione richiede alle parti di applicare i propri regimi normativi esistenti alle attività che caratterizzano il ciclo di vita dei sistemi di IA. Per rendere efficaci i rimedi in questione, essa prevede l’adozione o il mantenimento di misure specifiche volte a documentare e rendere disponibili determinate informazioni alle persone interessate, ma anche ad assicurare l’effettiva possibilità di presentare reclamo alle autorità competenti.
Rispetto alle garanzie procedurali la Convenzione prevede che i soggetti che interagiscono con i sistemi di IA siano informati proprio del fatto che stanno interagendo con un sistema di IA e non con un essere umano.
Vi è poi una disposizione inerente alla necessità di identificare, valutare, prevenire e mitigare ex ante e, se del caso, in modo iterativo per tutto il ciclo di vita del sistema di IA, i rischi e gli impatti potenziali rilevanti per i diritti umani, la democrazia e lo Stato di diritto, sviluppando un sistema di gestione dei rischi sulla base di criteri concreti e oggettivi. La Convenzione impone anche alle parti di valutare la necessità di moratorie, divieti o altre misure appropriate per quanto riguarda i sistemi di IA incompatibili con il rispetto dei diritti umani, della democrazia e dello Stato di diritto, lasciando libertà alle parti nella definizione del concetto di incompatibilità così come sugli scenari che richiedano le misure in questione.
Implementazione, effetti ed entrata in vigore della Convenzione
Quanto all’implementazione della Convenzione, essa impone di tenere in debita considerazione le esigenze e le vulnerabilità specifiche riguardanti le persone affette da disabilità e i minori, nonché di promuovere l’alfabetizzazione digitale per tutti i segmenti della popolazione.
Le parti della Convenzione sono libere di applicare precedenti accordi o trattati relativi al ciclo di vita dei sistemi di IA coperti dalla Convenzione, ma devono attenersi agli obiettivi e alle finalità della stessa, senza assumere obblighi in contrasto.
Dal 5 settembre 2024 la Convenzione sarà aperta alla firma non solo degli Stati membri del Consiglio d’Europa, ma anche dei Paesi terzi che hanno contribuito alla sua elaborazione, tra cui Argentina, Australia, Canada, Giappone, Israele, Stato della Città del Vaticano e USA, oltre che dell’UE. Una volta in vigore, altri Stati non membri potranno essere invitati ad aderirvi. La Convenzione entrerà in vigore il primo giorno del mese successivo allo scadere di un periodo di tre mesi dalla data in cui almeno cinque firmatari, incluso un minimo tre Stati membri del Consiglio d’Europa, avranno espresso il loro consenso ad esserne vincolati.
