A quasi due mesi dalla pubblicazione della proposta di Regolamento sull’intelligenza artificiale, sono già molti i punti su cui si discute attorno alla portata di questo strumento.
In particolare, uno degli argomenti centrali riguarda le caratteristiche del risk based della proposta e la sua relazione con l’approccio “human-centric”, la cui rilevanza è stata più volte sottolineata sia dall’High-Level Expert Group on Artificial Intelligence nominato dalla Commissione e dal Ad Hoc Committee on Artificial Intelligence (CAHAI) nell’ambito Consiglio d’Europa.
Servizi segreti e politica, la lezione” della Cia sul fattore “umano” nel digitale
Il risk-based approach nella proposta
Nel delineare, dunque, una nuova fiducia bi-direzionale che coinvolga al contempo persone fisiche e giuridiche, la Commissione ha adottato un approccio orientato al rischio. In altre parole, ha individuato quattro livelli di rischio, ciascuno dei quali rimanda a determinati sistemi IA e alle relative applicazioni.
L’obiettivo è quello di facilitare e sviluppare l’uso dell’intelligenza artificiale all’interno dell’Unione per creare un vero mercato unico digitale, pur proteggendo i diritti fondamentali, i perni valoriali europei e i principi etici che sono potenzialmente minacciati da talune caratteristiche dell’IA come la sua opacità (black box), la complessità, la richiesta di copiose quantità di dati (big data, con tutte le preoccupazioni connesse in tema di protezione dei dati personali), e la possibilità di automazione.
La Commissione considera un rischio inaccettabile e, pertanto, vietato quando l’IA viene applicata a quei sistemi di intelligenza artificiale considerati una minaccia alla sicurezza. Si annoverano in questa categoria le applicazioni che manipolano il comportamento umano per eludere il libero arbitrio degli utenti (ad esempio, giocattoli con assistenza vocale che incoraggiano i minori a comportamenti pericolosi) o che impostano la creazione di un sistema di valutazione personale sulla base del credito gestito dai Governi: un aspetto che, alla luce dei noti esempi cinesi, provoca oltre perplessità, preoccupazione per l’invadenza dei medesimi nella vita patrimoniale e personale delle persone fisiche.
Il Social Credit System cinese: un esempio di big data al servizio del potere
La Commissione associa, invece il rischio elevato a sistemi e tecnologie di IA utilizzati nell’ambito: delle infrastrutture critiche che, attraverso un algoritmo IA, potrebbero mettere a rischio la vita e la salute dei cittadini; della formazione scolastica o professionale, determinando l’accesso all’istruzione o al percorso professionale sulla base di punteggi definiti da un algoritmo IA; dei componenti di sicurezza dei prodotti (ad esempio, nella chirurgia robotica); dell’occupazione, gestione dei lavoratori e accesso al lavoro autonomo per mezzo di software IA che categorizzano CV per procedure di assunzione; dei servizi privati e pubblici in cui un algoritmo IA nega l’opportunità di ottenere un prestito; delle Forze dell’Ordine, con algoritmi che interferiscono con i diritti fondamentali dell’essere umano, ad esempio, attraverso valutazioni circa l’affidabilità delle prove di reato; della gestione della migrazione, dell’asilo politico e dei controlli alle frontiere per mezzo di sistemi IA che verificano l’autenticità dei documenti di viaggio; dell’amministrazione della giustizia e dei processi mediante algoritmi IA che applicano la legge a una serie concreta di fatti.
In terzo luogo, un rischio limitato viene allocato verso quei sistemi di intelligenza artificiale con obblighi di trasparenza specifici come, ad esempio, i chatbot. Ivi l’apprezzamento della pericolosità di un tale strumento è da ricondursi alla mancanza di consapevolezza della persona fisica di star interagendo con un algoritmo e non con un’altra persona, con la conseguente, seppur limitabile, pericolosità di essere manipolati dal robot in chat, allo scopo di evitare il verificarsi di un vulnus all’autonomia decisionale e libertà di autodeterminazione.
Infine, un rischio minimo è associato ad applicazioni dell’IA che non un grado di invasività come le altre descritte precedentemente, come nel caso di videogiochi o filtri antispam applicati ai servizi di e-mail. Si comprende bene che l’ampio spettro che abbraccia l’insieme di applicazioni dell’IA a rischio minimo è molto ampio e offre tanto all’interprete quanto all’operatore un opaco, sebbene vasto, ventaglio di possibilità applicative.
La vocazione “umano-centrica” perduta? Una discrasia della proposta
Tanto nella predilezione dell’approccio basato sul rischio quanto in altri aspetti come il conformity assessment o l’accountability, è possibile leggere un forte richiamo alla disciplina del GDPR. Come in quel caso, anche con la proposta si richiama una precisa esigenza: quella di superare una concezione squisitamente liberale e orientata dai meccanismi mercato, per abbracciarne un’altra in grado di guardare alla valorizzazione dei principi costituzionali.
Un aspetto imprescindibile che dovrebbe essere a fortiori riflesso anche nel Regolamento sull’IA in quanto il rispetto da parte della tecnologia di principi fondamentali quali uguaglianza e non discriminazione – menzionando solo alcuni di quelli che sono maggiormente messi in crisi dai procedimenti decisionali algoritmici – non può avvenire nell’attesa di un eventuale adeguamento da parte di coloro che programmano tali tecnologie. Questo risulta di particolare importanza considerato il consolidamento del capitalismo digitale e il conseguente potere esercitato dai soggetti privati.
L’approccio “umano-centrico” sembra concretizzarsi nel riferimento agli european values, come ad esempio nel considerando 1 e 15, rievocando quindi la necessità che i soggetti che sviluppano i sistemi di IA tengano conto dei principi dell’Unione, tra cui la tutela della dignità e dei diritti fondamentali. Tuttavia, tale approccio il cui riferimento avviene nelle stesse premesse che la Commissione fa nell’explanatory memorandum in apertura della proposta, dove si afferma l’obbiettivo di assicurare un alto livello di protezione dei diritti fondamentali minacciati dall’IA, manca di attuazione in concreto quando si guarda al testo della proposta dove vi è una ridotta menzione ai diritti e altri valori europei. Dalla littera legis si può apprendere come il legislatore utilizzi solo una volta i termini “umano” o “dignità”. Ciò sembra essere confermato anche dalla mancanza di meccanismi di redress, vale a dire, quei meccanismi che consentano agli individui che subiscono decisioni automatizzate discriminatorie, o comunque errate, di ottenere un rimedio diretto al pregiudizio subito. Vi è, dunque, l’assenza di quei diritti che invece erano il cuore della disciplina dell’art. 22 del GDPR.
Un vuoto normativo che riflette una generale mancanza di messa a fuoco sull’individuo, il quale, dalle dichiarazioni di indirizzo, avrebbe dovuto essere il principale perno di tutto l’assetto normativo. In mezzo a un certo affastellamento di articoli riferiti a obblighi, limiti e contro limiti per le imprese è davvero difficile scorgere l’approccio che, per lo meno nelle intenzioni, aspirava a porre la persona umana al centro della proposta. La scelta di fondo sembra essere quella di voler sposare il sistema del rischio per frenare l’espansione incontrollata del settore, senza però sforzarsi di rendere concreta la spinta costituzionalistica che viene promessa negli intenti della proposta. Tuttavia, il riferimento ai valori europei sembra incoraggiare a guardare all’approccio risk-based della proposta come orientato non solo al mercato interno ma anche alla tutela dei diritti fondamentali.
Il percorso del costituzionalismo digitale
Margarethe Vestager, Executive Vice-President for A Europe Fit for the Digital Age and Competition, si è pronunciata così all’alba della pubblicazione del testo: «sull’IA, la fiducia è un must, non un nice-to-have. Con queste regole di riferimento, l’Unione Europa sta guidando lo sviluppo di nuove norme globali per assicurarsi che ci si possa fidare dell’IA».
La proposta si inserisce in quel percorso già da qualche tempo intrapreso verso il costituzionalismo digitale, avendo il legislatore europeo abbandonato un certo laissez-faire che ha contraddistinto la prima decade tecnologica degli anni duemila. Essa può e deve rappresentare una possibile “terza via” per rendere “l’effetto Europa”, fatto dei suoi valori costituzionali imprescindibili, esportabile e riconoscibili in tutto il mondo.
La discussione attorno alla ricaduta della proposta nella cornice evolutiva dell’approccio di policy seguito dalle istituzioni europee, assume un ruolo di rilievo non solo con riferimento alla produzione di un effetto interno all’ordinamento, ma anche alla capacità tutta Europea di essere un driver per altre realtà governative.
Come già si è notato con l’entrata in vigore del GDPR, in materia tecnologica e non solo l’Unione Europea è un importante attore nel delicato equilibrio di potere in grado di definire delle regole che hanno un impatto tangibile sulla vita quotidiana dei cittadini di tutto il mondo.
È quel “Brussels Effect” di cui parla Anu Bradford: ovverosia, quel talento tutto Europeo di saper esportare il proprio paradigma di policy nel mondo. Un paradigma che con riferimento alle tecnologie assume una rilevanza quanto mai centrale, non essendo l’Europa di per sé il principale canale di produzione di questi strumenti.
La proposta risponde a un’esigenza di attestazione della sovranità: la governance del digitale che, come già affermato, passa attraverso il design di una nuova morfologia del potere e la formazione della sovranità digitale.