La sensazione generale è che la bozza del regolamento sull’AI presentato dalla Commissione europea sia il risultato di un enorme mole di lavoro di grande qualità; è una bozza, e ci vorranno anni perché diventi legge, ma contiene già moltissime indicazioni apprezzabili e condivisibili.
Quindi il mio parere è del tutto positivo. Che il lavoro sia stato accurato si vede da come il testo si coordina bene con il GPDR. E da come si coordinerà bene con le regole, ora a livello di proposta, DSA e DMA.
L’impianto che si sta costruendo
Il quadro si sta delineando, insomma. Nel medio termine, tra 24-36 mesi, dovremmo avere queste quattro colonne per la regolamentazione del digitale: il regolamento AI, DSA e DMA, e GDPR. A quel punto, l’Europa si sarà munita di un framework davvero sofisticato, avanzato e piuttosto completo. Avremo coperto dati, IA; mercati e servizi online.
Ci vuole tempo per costruire questo impianto, certo. Alcuni si lamentano dei tempi lunghi, per la realizzazione, appunto. Ma è quanto necessario per fare bene.
Consideriamo come siamo arrivati fin qui: nel giro di due anni siamo arrivati dai principi etici e di policy generali sull’IA a una proposta di regolamentazione completa. Tutto questo durante un periodo di pandemia. Si tratta di un ottimo risultato.
Un modello per altri Paesi
E come il GDPR, anche questo regolamento potrà essere di esempio per altri paesi come la Corea del Sud, il Giappone, il Canada, la Gran Bretagna, Israele, Singapore, che sono centrali per lo sviluppo di AI. Perché nomino questi Paesi e non USA e Cina?
USA e Cina non hanno guardato al GDPR e forse non guarderanno al regolamento sull’AI. La Cina per ovvi motivi. Gli USA usano altre leve regolatorie, rispetto alle nostre, come la competizione e l’antitrust. Ma sugli USA non sono sicuro che il nostro regolamento AI non avrà influenza. Forse lo avrà a livello di singoli stati dell’Unione, così come il GDPR ha ispirato California Consumer Privacy Act.
Insomma, non è un vantaggio trascurabile. Ora con quest’ultimo regolamento abbiamo un testo su cui altri Paesi possono mettersi d’accordo con l’EU per cooperare in ambito AI. Anche già solo questa bozza stabilisce un tavolo di lavoro in cui è delineato un buon quadro generale. Per esempio, è in corso un accordo commerciale (free trade agreement) EU-India, e il nuovo regolamento anche in bozza potrebbe aiutare le trattative.
Teniamo conto che l’Europa è la seconda economia del mondo, con un PIL pari a un sesto dell’economia del mondo. Non è trascurabile: può influenzare il rispetto di regole da parte di molte società extra-europee.
Cosa non c’è nel Regolamento (meno male)
Anche ciò che non c’è, che è stato scientemente omesso, in questo regolamento, è importante. E va rimarcato. All’inizio della discussione dell’hi-level group, ci si proponeva di vietare molte cose, come l’AI conscia. Ma era tutta fantascienza. In quel periodo, insieme ad altri, mi opposi con molta fermezza. Oggi di quel dibattito per fortuna resta solo una nota nel testo. Perché è stato meglio così? Perché sarebbe stato come vietare gli zombie. E sarebbe equivalso a spaventare le persone, perché implicherebbe che gli zombie sono possibili. Abbiamo bisogno di alimentare e costruire la fiducia nell’innovazione, non di creare spauracchi fantomatici.
Ecco quindi che nel regolamento UE non c’è alcun elemento di fantascienza o speculativo. Non si attribuisce all’AI nessuna responsabilità legale o giuridica. Software, hardware, reti, robot sono infatti solo una tecnologia. Nel regolamento, per questo motivo, la liability per i danni è tutta umana: a chi sviluppa, commercializza e usa la tecnologia.
Attribuendo soggettività umana rischiamo tra l’altro di sminuire le prerogative e la dignità dell’umanità, che restano del tutto uniche.
Alcuni punti di forza rilevanti
Altro principio rilevante, preso da GDPR, è la non territorialità della legge. Si applica ai cittadini UE a prescindere da nazionalità dell’azienda.
Infine, un altro punto di forza è l’approccio basato sul rischio. Aumenta la fiducia e quindi fa bene al business. Per lo stesso motivo la gente compra le automobili: si fida perché ci sono parametri di sicurezza da rispettare, assicurazioni. Più una tecnologia è affidabile, più diventa facile commercializzarla con successo. Sono perfettamente d’accordo con la filosofia di fondo del regolamento: sostenere la fiducia per fare bene al business. Al centro non deve esserci l’innovazione ma la dignità e i diritti umani.
I limiti della bozza
La bozza ha dei limiti, che probabilmente saranno corretti. A volte è un po’ troppo idealista sulle aspettative. Per esempio, si richiedono caratteristiche per le banche dati sulle quali fare il training dei modelli del machine learning molto ideali, che nessuno probabilmente può ora garantire. La barra sulle aspettative è messa molto alta, ma questo è un modo comune di legiferare. Mi aspetto che la barra sarà adattata in seguito, in base a quello che in effetti si può ottenere. Per esempio, la prossima bozza invece di avere valori assoluti sulle banche dati potrebbe avere parametri a soglia da rispettare.
Altro limite: sulle applicazioni vietate la definizione è molta generica, con il rischio di creare ambiguità al business, che ha bisogno di qualche certezza in più per operare. Per questo motivo sarei dell’avviso di aumentare la specificità del testo. Anche per favorire chi deve prendere decisioni, sia business sia legali. Leggi vaghe non sono mai una buona idea.
Dal punto di vista etico c’è inoltre un rischio, che però esula da questo discorso. Se si mette una barra così alta, ad esempio per il training, le aziende possono farlo in un altro Paese. E l’UE dovrebbe poi verificare quest’aspetto se il prodotto è venduto in Europa. È lo stesso problema di merci prodotte altrove in condizioni di sfruttamento della manodopera.
Il problema più generale è quindi: come fare rispettare le regole europee se l’Europa solo in piccola parte controlla la realizzazione di sistemi di AI? Dovrebbe andare a vedere la catena produttiva. Come le aziende hanno prodotto un certo sistema. Nel nostro esempio, dove è stato fatto il training e su quali dati.
Insomma, bisogna studiare ora gli effetti collaterali del regolamento. Se da una parte il regolamento facilita i rapporti con i grandi Paesi dell’UE, può avere l’effetto di spostare fuori dall’Europa le cose che non ci piacciono. Attenzione a non esportare i problemi, invece di risolverli. Come rimedio, bisognerebbe quindi applicare serie richieste legali sulla catena produttiva estera.
Temo che nella chiusura del cerchio resterà questo buco. Che ci rivenderanno in Europa il prodotto basato su IA, realizzato all’estero e creato con regole per noi inaccettabili. La sfida sarà avere la volontà politica per chiudere il cerchio e bloccare import di sistemi AI che non seguono i principi del regolamento.
Sarebbe quindi utile o abbassare la barra o chiudere l’import. Il rischio da evitare è l’ambiguità idealistica: tenere alta la barra ma poi non avere la forza politica di bloccare l’import di cose fatte fuori che non rispettano queste regole ideali.
In conclusione
Guarderemo con attenzione nei prossimi mesi come si affineranno questi aspetti critici.
Ma è certo apprezzabile il quadro delle regole che si sta delineando in Europa, con quei quattro pilastri pensati per dirigere l’innovazione in chiave umana.
