Urge una regolamentazione dell’intelligenza artificiale (AI) che non si occupi soltanto dei comportamenti umani, ma che comprenda il modo in cui la tecnologia opera e ne indirizzi il funzionamento verso il bene individuale e collettivo. Una regolamentazione che parli direttamente alla tecnologia, che ne utilizzi, innanzitutto, il linguaggio.
L’intelligenza artificiale offre infatti enormi opportunità, ma espone a rischi ancora non del tutto identificati: è compito del regolatore individuare norme che promuovano i benefici derivanti dal loro utilizzo, ma prevengano e riducano l’incidenza dei rischi che possono comportare. Rischi generati proprio dall’autonomia decisionale della macchina, che non sempre possono essere mitigati con prescrizioni unicamente giuridiche, o di natura comportamentale, indirizzate all’uomo.
Se compete alla macchina l’ultima parola sulle decisioni e se vogliamo delegare alla macchina il potere di decidere su questioni che vanno perfino oltre i nostri limiti cognitivo-computazionali, regolare qualcosa nata con l’intento di agire in autonomia sembra essere una contraddizione. Questa incongruenza non può essere risolta con uno sguardo parziale, che si interessi solo del comportamento umano: rischieremmo di ricondurre tutto alla alternativa dicotomica tra proibizione e autorizzazione. Anche se potenzialmente idonea a ridurne i rischi alla radice, questa dicotomia impedisce nello stesso tempo di ottenere i benefici della tecnologia stessa.
Regolamentazione AI: cosa contiene il nuovo report ENISA
Lo scorso 15 dicembre l’Agenzia Europea per la Cybersecurity (ENISA) ha pubblicato il report AI Threat Landscape, un documento di policy molto importante sulle minacce di sicurezza per le applicazioni di intelligenza artificiale che contiene, tra l’altro, una tassonomia degli asset dell’ecosistema AI e una classificazione di potenziali vulnerabilità e tipi di attacco a cui potrebbe essere sottoposto.
Il documento ha una forte connotazione tecnologica, che si inquadra all’interno della più ampia strategia di governance dell’Intelligenza artificiale lanciata dalla Commissione Europea nel febbraio 2020 con il White paper On Artificial Intelligence – A European approach to excellence and trust.
Video: AI Threat Landscape – ENISA (Inglese)
Il report rende ormai chiaro che per regolamentare l’intelligenza artificiale non si può fare a meno di conoscerne a fondo il funzionamento.
Oggi le leve di cui disponiamo per una regolamentazione technology based dell’intelligenza artificiale sono quelle della privacy by design e della sicurezza. Sebbene si tratti di termini ormai entrati nel lessico comune, l’analisi di ENISA mostra senza dubbio l’esistenza di un ampio margine di miglioramento.
Il report ha il merito di mostrare lo scenario concreto nel quale sicurezza e privacy by design troveranno applicazione nel settore dell’intelligenza artificiale e come esse devono essere declinate: alle tecniche più consolidate, come la pseudonimizzazione e l’anonimizzazione dei dati, si affiancano già tecniche relativamente più nuove come la zero knowledge e la secure multiparty computation, che escono dal recinto dell’accademia o della ricerca per diventare applicazioni concrete in grado di offrire quelle tutele integrate nel trattamento richieste dal GDPR[1].
Ma nel dibattito in corso in Europa, e di cui questo report di ENISA fa parte, si comincia a comprendere che ci sono questioni molto sottili in cui le sfumature saranno determinanti per decretare il successo o l’insuccesso di una tecnologia, l’efficacia o l’inefficacia delle regole. In un settore data-intensive e computational-intensive come l’intelligenza artificiale, la tutela potrà essere assicurata (oppure no) e la tecnologia potrà affermarsi (oppure no) a condizione che siano realizzati anche altri tipi di interventi. Dovranno entrare a far parte delle considerazioni relative a sicurezza e privacy by design componenti nuove: ad esempio, la definizione del campione di dati per l’addestramento degli algoritmi di machine learning, la scelta dei modelli di regressione o delle label per evitare classificazioni discriminatorie, la selezione di librerie software affidabili.
La Privacy by design come strumento efficace nella regolamentazione AI
Il Regolamento Generale per la Protezione dei Dati Personali ha introdotto il concetto di privacy by design allo scopo di integrare le tutele nel trattamento dati.
La privacy by design, lungi dall’essere uno slogan, ci appare come lo strumento di maggior efficacia nella disponibilità dei regolatori per parlare a tecnologie molto riluttanti all’idea di essere disciplinate e, in definitiva, per perseguire l’obiettivo di riportare la persona al centro del nuovo scenario tecnologico che si sta delineando molto rapidamente. In particolar modo nei casi in cui la tecnologia non soltanto rende difficile l’applicazione dei principi di legge nella loro accezione più tradizionale, ma si fonda addirittura sulla loro apparente negazione: nel caso dell’intelligenza artificiale, sono messe in discussione la supremazia del controllo umano e la responsabilità sul risultato, altrove – si pensi ad esempio alla blockchain – l’esercizio del diritto di cancellazione o la minimizzazione dei dati.
Già da oggi e ancor più in futuro, non sarà più sufficiente pensare di modellare in anticipo la tecnologia secondo principi giuridici collaudati, ma occorrerà fare lo sforzo di intervenire passo passo, sfruttando ogni potenzialità resa disponibile dalle tecnologie sia per ottenerne gli auspicati benefici, sia per ricevere tutele. La via della realizzazione tecnologica dei principi appare quella più idonea per pervenire all’obiettivo del pieno rispetto di questi principi anche in contesti tecnologici molto complessi, caratterizzati da relazioni diverse e non più soltanto bilaterali tra i soggetti utilizzatori dei dati e i soggetti generatori dei dati (si pensi alle applicazioni di contact tracing, all’IOT o, ancora una volta, a blockchain).
Regolamentazione AI: oltre la contrapposizione tecnologia/diritto
Non accorgersi di questo cambiamento e restare ancorati a una contrapposizione statica tra tecnologia e diritto sarebbe un errore.
Da una parte, il rischio è di non cogliere appieno l’aspetto della complessità del contesto e la novità dell’autonomia decisionale crescente delle macchine, e in definitiva di sottovalutare la portata innovativa delle tecnologie. Dall’altra, pensare che una autoregolamentazione tecnologica senza supervisione sia sufficiente per garantire tutele e sviluppo, rischia di far dimenticare che le tecnologie necessitano di buone regole.
È la storia delle tecnologie a insegnarcelo: i periodi di maggiore e più duraturo sviluppo sono stati causati dall’adozione di regole e standard internazionali universalmente riconosciuti, su cui sono stati costruiti servizi a beneficio universale. Le tecnologie di cui discutiamo sono ancora molto recenti, in larga misura danno luogo a una costellazione di applicazioni potenzialmente fertili ma molto frammentate: per uscire dalla sfera delle applicazioni di nicchia e scalare con un maggiore impatto, necessitano di buone regole. Regole che possono aiutare le tecnologie a dispiegare tutti i loro enormi benefici, ancora solo in parte intravisti.
In conclusione: una governance multilaterale per l’AI
Le nuove declinazioni dei principi giuridici tradizionali rendono possibile il dialogo tra diritti e tecnologie. Il conflitto temuto tra tecnologie e diritti si materializza solo se banalizziamo le questioni. Possiamo affermare che il ruolo di garanzia che può essere ricoperto dalle tecnologie è ormai noto alla comunità dei regolatori: oggi più che mai è dunque necessario proseguire in questa direzione, esplorando forme nuove ed efficaci di tutela, di modo che porre al centro i diritti e le libertà individuali significhi con sempre maggior concretezza preservare la persona non tanto dall’uso, quanto nell’uso e attraverso l’uso delle nuove tecnologie.
Il quadro regolatorio sulle nuove tecnologie che emerge dai documenti e dalle proposte elaborate in sede europea converge verso un approccio di governance multilaterale, fondato tanto su principi giuridici che mettono al centro la persona quanto sull’incentivo ad un impiego della tecnologia capace di superare i propri stessi limiti, divenendo strumento di maggior tutela ogniqualvolta il contesto sia di tale complessità da rendere inefficace o addirittura impossibile indirizzare il comportamento umano soltanto con prescrizioni di carattere giuridico. Le nuove tecnologie sono caratterizzate da grande fermento creativo. L’auspicio è che la loro regolamentazione non sia da meno.
____________________________________________________________________________________________
- Interessante osservare come l’EDPB abbia indicato nella Secure Multiparty Computation una delle tecnologie abilitanti per il trasferimento dei dati personali al di fuori dell’UE a seguito della sentenza Schrems II https://edpb.europa.eu/sites/edpb/files/consultation/edpb_recommendations_202001_supplementarymeasurestransferstools_en.pdf ↑