Le nazioni stanno facendo grandi passi avanti nel processo di regolamentazione delle intelligenze artificiali. In Europa, in particolare, il tema è stato oggetto di un intero “pacchetto” di norme, che dovrebbe andare a costituire, nel prossimo futuro, la base per la corretta regolamentazione delle applicazioni dell’intelligenza artificiale a livello europeo, stimolando e incentivando gli investimenti nel settore.
Secondo quanto riportato da IAPP (acronimo di The International Association of Privacy Professionals), tuttavia, l’Unione Europea è attualmente indietro sui tempi, rispetto a nazioni come Cina e Brasile, che hanno già adottato una legislazione di settore sul tema, e che andranno senz’altro a influenzare lo sviluppo, da parte delle imprese, delle intelligenze artificiali. Ciò ha comportato la perdita, da parte dell’UE, dell’occasione di assumere un ruolo di leadership nel settore, non essendo più la prima a stabilirne gli orientamenti.
Intelligenza artificiale, i punti chiave del regolamento europeo
La lentezza nel processo di adozione del regolamento europeo sull’IA sarebbe da addebitarsi soprattutto alla complessità del tema, sia sotto il punto di vista politico e giuridico, che sotto il punto di vista prettamente tecnico.
“Poiché la proposta sta entrando in un anno cruciale”, scrive Luca Bertuzzi di IAPP, “è giunto il momento di fare il punto sullo stato dei lavori, le discussioni politiche in corso, in particolare sui dati, e le potenziali implicazioni per le imprese”.
La proposta europea di regolamento sull’intelligenza artificiale in sintesi
Al fine di fornire un contesto a quanto si riporta nel seguito, appare opportuno, in premessa, sintetizzare i punti essenziali della proposta di regolamento sull’intelligenza artificiale:
- Prevalenza alla trasparenza: agli utenti dovrà essere chiaro di star interagendo con un bot, o con un personaggio dallo stesso creato, al fine di prevenire il rischio di manipolazione dell’utente;
- Le applicazioni ad “alto rischio” dell’IA, che potrebbero avere un impatto diretto sulla vita personale o professionale di una persona fisica, dovranno essere rigidamente monitorate, al fine di garantire un’elevata qualità dei dati, la conformità alle normative esistenti, la trasparenza e la supervisione umana sul processo, nonché un elevato livello di accuratezza e sicurezza informatica;
- Divieto di utilizzo dell’IA per scopi incompatibili con i valori fondamentali dell’UE (come, ad esempio, procurare danni o manipolare il comportamento umano, o ancora svolgere uno scoring sociale dei cittadini).
Le cause dei ritardi
Stando a quanto riferito dal Parlamento Europeo, i ritardi nell’adozione del regolamento sull’IA sarebbero da addebitarsi prevalentemente ad una serie di disaccordi politici su chi dovesse essere a capo del progetto legislativo.
Risolta la questione, i deputati hanno stimato la pubblicazione della prima bozza della relazione ad aprile, e la discussione degli emendamenti alla stessa nel corso dell’estate. Così facendo, si presume che possa raggiungersi un compromesso sul testo definitivo già a settembre, al fine di sottoporlo al voto nel mese di novembre.
Si teme, tuttavia, che dette tempistiche finiranno per essere disattese, alla luce dell’elevato numero di soggetti coinvolti nel processo di adozione del testo normativo, della complessità tecnica dell’argomento, e delle divisioni interne che potranno sorgere su alcuni dei temi toccati dal regolamento.
“È significativo”, scrive Bertuzzi, “che anche i governi nazionali, che hanno molte più risorse dei deputati al Parlamento europeo, fatichino a comprendere tutte le implicazioni delle nuove regole”.
Tant’è che la presidenza della Slovenia, che mirava a trovare un compromesso su circa 15 articoli per la seconda metà del 2021, ha potuto coprire solo i primi 7. La presidenza francese, tuttavia, mira a raggiungere un compromesso su tutti i punti da affrontare entro aprile.
I principali punti critici della regolamentazione
Con l’avanzare della discussione sulla proposta, sono, inoltre, emersi una serie di punti critici, legati persino alla definizione di intelligenza artificiale, tenuta distinta dai normali programmi software. Viene, peraltro, prevista la categoria dell’IA “generica”, da identificarsi come pacchetti di dati sintetici o modelli linguistici.
Tuttavia, manca un’idea concorde su quali responsabilità attribuire allo sviluppatore dell’IA, o al fornitore della stessa.
Un’ulteriore tema caldo del regolamento sull’IA è stato l’utilizzo dei sistemi di riconoscimento biometrico in tempo reale: la Commissione Europea, infatti, non pone un divieto totale all’utilizzo di detti sistemi, prevendendo delle eccezioni nelle ipotesi in cui siano utilizzati per prevenire attacchi terroristici e rapimenti. “La maggioranza degli Stati membri”, riporta IAPP, “vuole mantenere o addirittura espandere le eccezioni al controllo delle frontiere, con la Germania finora relativamente isolata nel chiedere un divieto totale”.
Inoltre, resta molto acceso il dibattito circa l’elenco di applicazioni da ritenersi ad “alto rischio”.
“La Commissione europea ha proposto una serie di criteri per aggiornare l’elenco delle applicazioni ad alto rischio. Tuttavia, non ha fornito una giustificazione per l’elenco esistente, il che potrebbe significare che qualsiasi aggiornamento potrebbe essere estremamente difficile da giustificare”, ha detto al riguardo Lilian Edwards, professore all’Università di Newcastle.
Sempre sul tema, il Future of Life Institute ha proposto di prevedere una definizione più ampia del concetto di manipolazione, al fine di influenzare il settore pubblicitario e il modo in cui le piattaforme digitali operano.
Regolamento Ue sull’intelligenza artificiale: tre nodi aperti
L’equilibrio con il GDPR
Secondo quanto riporta IAPP, sussiste una tensione di fondo in merito al tema del rapporto fra la normativa sulla protezione dei dati personali e quella sull’intelligenza artificiale.
Nella sua versione iniziale, l’eurodeputato conservatore Axel Voss ha attaccato il regolamento generale sulla protezione dei dati, presentando l’IA come parte di una corsa tecnologica in cui l’Europa rischia di diventare la “colonia economica” della Cina se non ha allentato le sue regole sulla privacy.
D’altro canto, gli algoritmi di intelligenza artificiale si basano sul trattamento di enormi quantità di dati personali, rendendo necessaria un’armonizzazione fra quanto previsto dalla normativa sulla protezione dei dati personali e le nuove norme sull’utilizzo dell’IA, essendo alcuni principi fondamentali del GDPR apparentemente in contraddizione con il regolamento IA.
In particolare, un principio fondamentale del GDPR è la minimizzazione dei dati, che richiede vengano elaborati solo i dati personali strettamente necessari al raggiungimento di una specifica finalità, e la limitazione della conservazione degli stessi, non più a lungo del necessario. Ma quando si parla di intelligenza artificiale, l’accuratezza della stessa dipende proprio dal trattamento di quanti più dati possibile, al fine di rendere l’algoritmo maggiormente equo e privo di bias.
“Quali algoritmi addestriamo con grandi quantità di dati personali? Probabilmente quelli che classificano, profilano o identificano automaticamente le persone in base ai loro dati personali, spesso con enormi conseguenze e rischi di discriminazione o addirittura manipolazione. Vogliamo davvero usarli, per non parlare di “guidare” il loro sviluppo?” ha affermato l’eurodeputato Kim van Sparrentak.
Gli obblighi per le imprese
Il progetto di regolamento sull’IA prevede anche una serie di obblighi per i fornitori dei sistemi di IA, ossia per le imprese che rendono le intelligenze artificiali disponibili sul mercato.
In sintesi, la proposta di regolamento prevede che i fornitori dei sistemi di IA mettano in atto un sistema di gestione dei rischi che garantisca la conformità delle decisioni intraprese dall’intelligenza artificiale stessa, dettagliando i metodi di funzionamento dell’algoritmo, la classificazione e l’origine dei dati, e la metodologia utilizzata per garantire la rappresentatività e la trasparenza dell’IA.
L’obiettivo è quello di definire degli standard di conformità che riducano al minimo i rischi e i costi per le aziende.
Tuttavia, il timore manifestato dalle imprese europee è che se le norma sulla privacy non saranno effettivamente incorporate nelle norme internazionali, possano essere in una posizione di svantaggio competitivo rispetto alle controparti statunitensi o cinesi. La European Tech Alliance, una coalizione di aziende leader di settore nate nell’UE, come Spotify e Zalando, ha “espresso preoccupazione per il fatto che la proposta iniziale non includesse una valutazione per il set di dati di formazione raccolto in paesi terzi che potrebbe utilizzare i dati raccolti tramite pratiche in contrasto con il GDPR”.
Inoltre, “L’approccio normativo dell’AI Act, cioè la conformità agli standard, non è una garanzia di basse barriere per le PMI. Al contrario, la conformità agli standard è spesso percepita dalle PMI come un esercizio costoso a causa della costosa valutazione della conformità che deve essere effettuata da terzi”, ha affermato Sebastiano Toffaletti, segretario generale della European Digital Sme Alliance.
A tali opinioni si aggiungono quelle delle imprese che incorporano strumenti basati sull’IA nelle operazioni quotidiane, che invece vedono l’AI Act come uno strumento utile e necessario per portare chiarezza giuridica e garantire la fiducia dei consumatori.