Il 2023 sarà indelebilmente impresso nella memoria collettiva come l’anno in cui l’intelligenza artificiale ha affermato la sua rilevanza sociale, permeando globalmente e in pochissimi mesi le direzioni organizzative e finanziarie di aziende, privati e istituzioni.
È diventato un mantra comune affermare che l’intelligenza artificiale “non sostituirà il tuo lavoro, ma tu sarai lavorativamente sostituito da coloro che impiegano l’IA”.
Questa affermazione, che pur nella sua ottica generalista contiene elementi non lontanissimi dalla realtà, riflette le sfide che ogni player di mercato sta affrontando, considerando le innumerevoli possibilità di implementazione dell’IA nel lavoro quotidiano.
Allo stesso tempo, emergono questioni legali sempre più complesse che rischiano di frenare investimenti e sviluppo, in tempi in cui non essere al passo potrebbe risultare fatale per piccole, medie e grandi imprese.
L’approvazione dell’AI ACT
Con l’approvazione dell’ Artificial Intelligence Act, iniziano a farsi strada nuovi paradigmi per l’integrazione dei sistemi di Intelligenza Artificiale nel tessuto sociale, economico e produttivo europeo. Un’azienda ancorata al presente e volta al futuro non può non confrontarsi con l’opportunità ed i rischi associati all’implementazione di tali sistemi nelle proprie metodologie organizzative, produttive e gestionali.
Per prevenire casi analoghi a quello di Samsung, ci proponiamo di esaminare alcuni aspetti legali che possono contribuire a tutelare le aziende che iniziano ad integrare sistemi di Intelligenza Artificiale e a vagliare alcuni aspetti di plausibile compliance.
Prendendo a riferimento l’impiego di Chat GPT come strumento aziendale, GARTNER ha identificato sei punti di rischio includenti:
- risposte false o imprecise;
- privacy e riservatezza dei dati;
- distorsione del modello e dell’ output (Model and Output Bias):
- rischi connessi alla proprietà intellettuale (IP) e al copyright;
- rischi di frode informatica;
- rischi per la protezione dei consumatori;
Questi rischi, sebbene siano riferiti da Gartner specificamente all’uso di ChatGPT, possono essere amplificabili a tutti i sistemi di IA che comportano la generazione di output attraverso l’elaborazione massiva di dati.
Per tale motivo proviamo ad analizzarli brevemente anche alla luce della normativa italiana ed europea di riferimento.
Risposte false ed imprecise
Per ciò concerne il rischio relativo alle risposte false ed imprecise comunicate dai chatbot, in molto sono consci del fatto che ChatGPT si è reso protagonista di una serie di errori clamorosi, non solo riguardo alle fonti utilizzate per la generazione testuale, ma anche in relazione a fatti ed eventi biografici di persone più o meno note.
Abbiamo analizzato nelle scorse settimane le responsabilità relative ai casi di “diffamazione” anche in relazione ai comportamenti operativi dell’utilizzatore.
La peculiarità dell’utilizzo dei responsi solo previa verifica delle fonti, una best practice rappresentativa del valore reputazionale di un’azienda, è un pilastro ineluttabile per chiunque voglia integrare, nella creazione di content di scrittura o di copywriting, sistemi come ChatGPT.
Un’eventuale ricostruzione biografica o giornalistica errata potrebbe infatti rendere i propagatori di contenuti dannosi responsabili di diffamazione aggravata ai sensi dell’Art 595 comma 3 del codice penale.
Senza considerare che la responsabilità per diffamazione assume un valore peculiare anche in sede civilistica, ex art. 2043 del codice civile.
Pur in assenza di una compliance diretta, risulta utile considerare l’adozione di misure preventive per evitare eventuali conseguenze derivanti da un uso improprio dell’output generato dal chatbot.
Diventa quindi necessario, in questo senso, per le aziende che integrano tali sistemi come strumenti professionali, garantire una formazione specifica e strutturare una policy interna che preveda un training diretto ed un’assunzione di responsabilità sulla verifica delle fonti, per evitare conseguenze nefaste dovute l’utilizzo e alla diffusione di risposte false, imprecise e reputazionalmente dannose.
Privacy e riservatezza dei dati
Nel campo della privacy, considerata l’acclamata scrupolosità del garante italiano nell’intercettare immediatamente forme automatiche di trattamento dati contrarie al GDPR, è evidente che le best practices debbano prevedere una formazione continua degli operatori che utilizzano sistemi di chatbot o altri strumenti generativi.
Questo risulterebbe opportuno dato l’avanzamento costante delle integrazioni tra software di IA, gli sviluppi normativi e l’aggiornamento costante di disclaimers, termini e condizioni, anche alla luce della normativa attuale sul GDPR.
Un’azienda che ambisce ad eccellere nel panorama europeo oggi più che mai ha la necessità di sviluppare una vera e propria cultura delle best practices sulla privacy, al fine di risultare non solo formalmente virtuosa nel presente, ma anche per essere pronta ad affrontare le future sfide legislative.
L’utilizzo di uno strumento universalmente rivoluzionario come ChatGPT, richiede quindi una consapevolezza che va diffusa in tutta l’azienda, dai membri del consiglio di amministrazione ai manager e ai dipendenti.
Nell’ottica di sviluppo aziendale, anche alla luce dell’AI Act, diventa fondamentale valorizzare le decisioni di business basate sull’etica.
In particolare, le pratiche relative al trattamento dei dati rappresentano un punto nodale meritevole di uno sguardo che vada oltre la mera conformità.
Distorsione del modello e dell’ output (model and output bias)
Il bias nell’IA può essere definito come la tendenza di un sistema di intelligenza artificiale a generare risultati sistematicamente distorti. Questo fenomeno può manifestarsi in diversi modi, ad esempio attraverso l’utilizzo di dati pregiudicati per l’addestramento del sistema, oppure attraverso l’algoritmo utilizzato per elaborare tali dati.
Un esempio emblematico di bias nell’IA è rappresentato dal sistema di valutazione del rischio COMPAS, impiegato negli Stati Uniti per calcolare la probabilità di recidiva di un detenuto. Un difetto rilevante di questo sistema è l’aver generato valutazioni di rischio eccessivamente elevate per i detenuti di origine afro-americana, evidenziando un bias etnico.
Nell’ottica delle buone pratiche e dei bias, un esempio pratico può essere riscontrato nei sistemi di previsione delle vendite (revenue forecast system), usati da numerose aziende per prevedere le future tendenze di mercato.
Un addestramento basato su dati storici che non tengono conto dei cambiamenti del mercato o delle preferenze dei consumatori, potrebbe condurre a risultati distorti e previsioni di vendita inaccurate.
Da un punto di vista strettamente giuridico, una problematica potrebbe sorgere laddove si impieghi un software di selezione automatica del personale basato su un algoritmo di IA.
Un training dei dati di formazione basato su un gruppo demografico specifico potrebbe condurre il sistema a sviluppare un bias, escludendo, pur in assenza di intenzioni pregiudizievoli, candidati qualificati che non rientrano in quel gruppo demografico.
Una questione che troverebbe tra l’altro una collocazione giuridica nell’articolo 22 del GDPR (General Data Protection Regulation), integrato nel Codice della Privacy italiano (D.Lgs. 196/2003 e s.m.i.), che garantisce il diritto di ogni individuo “di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogamente significativo sulla sua persona”.
Pertanto, un uso disinvolto di strumenti di IA nel processo di valutazione delle prestazioni dei dipendenti o nella selezione del personale, potrebbe esporre l’azienda a potenziali rischi legali.
Tale pratica rischierebbe inoltre di avvicinarsi a delle pratiche di “social scoring” assolutamente vietate dall’AI Act.
Proprietà intellettuale e copyright
Relativamente al Copyright, l’Intelligenza Artificiale solleva due questioni principali per chiunque interagisca con gli output generati.
La prima concerne il data training. Seguendo le indicazioni dell’AI Act, nel mercato europeo i modelli di IA saranno orientati verso un obbligo di divulgazione dei dati utilizzati per l’addestramento. Questo potrebbe portare a sviluppi sui compensi allo stato non prevedibili ed indirizzati, a parere di chi scrive verso forme vicine a quelle dell’equo compenso.
La seconda questione riguarda il diritto d’autore delle opere generate dall’IA.
A tal proposito, abbiamo considerato plausibile l’introduzione a livello globale di un “diritto d’autore ibrido” che tenga conto delle peculiarità delle opere create da IA.
Sebbene l’AI Act risulti più generico sul tema del diritto d’autore rispetto ad altre questioni etiche, traccia alcuni profili di compliance aziendale legati al copyright.
In particolare, l’AI Act stabilisce che i sistemi di IA generativa, come ChatGPT, devono rispettare i requisiti di trasparenza e consentire la riconoscibilità del contenuto generato tramite Intelligenza Artificiale.
Questo anche al fine di distinguere, come nel caso di software come Midjourney, Adobe Firefly e Stable Diffusion, le cosiddette immagini deep-fake da quelle reali.
Ron Friedmann, senior director analyst di Gartner, ha dichiarato che “ChatGPT non fornisce riferimenti alle fonti o spiegazioni su come viene generato il suo output”, motivo per cui “i responsabili legali e della conformità dovrebbero monitorare attentamente eventuali modifiche alla legge sul copyright che si applicano all’output di ChatGPT, ed esortare gli utenti a esaminare accuratamente qualsiasi output generato per garantire che non violi i diritti di copyright o di proprietà intellettuale”.
Guardando all’AI Act, l’istituzione di policy interne dedicate e la formazione con esperti legali del settore potrebbero prevenire un uso improprio che potrebbe attivare la tutela di interessi privati, con il rischio di richieste di risarcimento economico molto elevate.
Le aziende devono essere consapevoli delle disposizioni del Diritto d’Autore Italiano (Legge 22 aprile 1941, n. 633), in particolare l’art. 64-bis, che tratta della tutela delle opere dell’ingegno create con il contributo di un “programma per elaboratore”, come potrebbe essere un sistema di IA. Devono anche considerare le disposizioni dell’Articolo 13 della Direttiva UE 2019/790 sul diritto d’autore nel mercato unico digitale, che richiede agli operatori di piattaforme online di collaborare con i titolari di diritti per prevenire la violazione dei diritti d’autore online.
Con l’introduzione dell’AI Act, i software di IA generativa dovranno rispettare requisiti di trasparenza che includono l’obbligo di rivelare quali contenuti sono stati realizzati dall’Intelligenza artificiale, oltre alla pubblicazione dei dati coperti da diritto d’autore utilizzati nell’addestramento.
Pertanto, è di fondamentale importanza che le aziende adottino un approccio consapevole all’utilizzo dei contenuti generati dai sistemi di IA.per scopi commerciali, per evitare di incorrere in contenziosi o richieste risarcitorie.
Reati informatici
Un tema fondamentale in relazione all’IA riguarda i rischi connessi alla cybersecurity aziendale. È fondamentale, ad esempio, monitorare costantemente i propri sistemi per assicurarsi che non siano stati compromessi da tecniche di hacking come l’iniezione di comandi (“prompt injection“), attraverso la quale possono essere veicolati comandi dannosi volti a ingannare il modello, inducendolo a compiere attività non previste, come la creazione di codici malevoli o la progettazione di siti di phishing che imitano siti web noti.
In Italia, esistono molteplici normative in materia di frode informatica.
Il Codice Penale prevede una serie di reati relativi alla tutela del patrimonio digitale: in particolare, l’art. 615-ter c.p. sancisce il reato di accesso abusivo a un sistema informatico, mentre l’art. 640-ter c.p. tratta il reato di frode informatica per chi “alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno”.
Il Decreto Legislativo 105/2019, riguardante la sicurezza delle reti e dei sistemi informativi, sottolinea invece la necessità di adottare misure tecniche e organizzative adeguate per gestire i rischi che potrebbero minacciare la sicurezza delle reti.
A livello europeo, il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce anche su questo delle norme specifiche per la sicurezza dei dati personali, richiedendo alle organizzazioni di garantire un livello di sicurezza proporzionato al rischio.
Per mitigare i rischi di frode informatica legati all’uso dell’IA, i responsabili legali e di compliance dovrebbero, nell’ottica delle best practices, cooperare con i responsabili della sicurezza informatica per valutare le potenziali minacce e pianificare le relative contromisure.
Pare altresì essenziale condurre audit regolari per verificare la qualità e l’affidabilità d’uso dei sistemi di IA, garantendo così l’adeguatezza e l’efficacia delle misure di sicurezza adottate.
Rischi per la tutela dei consumatori
Una delle pratiche più scorrette legate al social network scoring (che non si discosta molto dal social scoring menzionato nell’AI Act) riguarda i comportamenti ingannevoli, anche nei confronti dei consumatori.
Una pratica già diffusa oggi prevede l’utilizzo dell’IA per creare bot in grado di generare clic o visualizzazioni false su annunci pubblicitari online. Questo consente di lucrare indebitamente attraverso programmi di affiliazione o pubblicità a pagamento, distorcendo così le percezioni dei consumatori.
Un altro esempio potrebbe riguardare l’utilizzo di sistemi di automazione per creare un numero illimitato di account di posta elettronica e generare, tramite chatbot, altrettante recensioni non veritiere per promuovere scorrettamente la propria attività commerciale.
Questi sono solo un paio di esempi delle malpractices che, se adottate a livello aziendale, potrebbero esporre un’azienda a serie difficoltà legali, anche nei confronti dei consumatori.
A livello normativo, in Italia, il Codice del Consumo (Decreto Legislativo 6 settembre 2005, n. 206), che incorpora la Direttiva 2005/29/CE relativa alle pratiche commerciali sleali, prevede sanzioni per le aziende che diffondono informazioni false o ingannevoli. Pertanto, le aziende devono fare attenzione a non violare queste disposizioni durante l’utilizzo dei sistemi di intelligenza artificiale.
Conclusioni
L’integrazione dell’Intelligenza Artificiale nelle aziende comporta rischi legali significativi che devono essere affrontati in modo adeguato. La comprensione e la gestione di questi rischi sono fondamentali per garantire la conformità normativa, proteggere la reputazione aziendale e prevenire potenziali conseguenze legali negative.
Per mitigare tali rischi, è fondamentale adottare politiche interne specifiche, garantire la formazione del personale e promuovere una cultura etica aziendale. I
noltre, è indispensabile monitorare costantemente l’evoluzione delle normative e adattare le pratiche aziendali di conseguenza.
L’implementazione dell’IA richiede una visione olistica e una collaborazione stretta tra responsabili legali, di compliance, di sicurezza informatica e di altre funzioni aziendali pertinenti.
Solo attraverso un approccio consapevole e un impegno costante per la conformità legale, le aziende potranno affrontare le sfide e cogliere le opportunità offerte dall’Intelligenza Artificiale in modo responsabile e sostenibile.
In conclusione, le aziende che desiderano integrare l’IA devono considerare attentamente i rischi legali associati e adottare misure preventive e strategie di gestione adeguate e non solo di facciata.
Solo attraverso un approccio rigoroso alla conformità legale e l’implementazione di buone pratiche, sarà possibile sfruttare appieno i vantaggi dell’IA e assicurare una posizione competitiva nel panorama aziendale in rapida evoluzione.
