La normativa sull’intelligenza artificiale proposta dall’Unione Europea è importante e necessaria, ma restano questioni aperte delle quali è necessario discutere.
Molto si è detto sui contenuti della legge, e il dibattito europeo in sede parlamentare è appena iniziato, ma ritengo opportuno qui approfondire tre aspetti.
“L’algoritmo deve essere trasparente”, la Cassazione rilancia il GDPR
L’ecosistema di garanzia
Il primo punto riguarda l’ecosistema di assurance che dobbiamo sviluppare per garantire l’efficienza di questo tipo di legislazione.
La normativa proposta è fondata sull’impianto di accountability, rischio e auto-valutazione caratteristico del GDPR; e come tale si basa sull’ipotesi che i produttori di IA agiscano in aderenza a determinati criteri di conformità, e siano in grado di dimostrarlo.
A eccezione di alcuni casi specifici, nei quali occorre la validazione da parte di un’entità esterna, le aziende devono in generale essere in grado di dimostrare che il prodotto sviluppato:
- Non violi i diritti fondamentali,
- non costituisca un rischio per le persone.
Questi due prerequisiti per l’entrata nel mercato hanno bisogno di strumenti specifici. Per esempio, nell’ambito della salvaguardia dei diritti fondamentali, è necessario un processo di auditing della IA per verificarne la fairness, che peraltro è un requisito del GDPR.
Si presuppone che il quadro che ha in mente l’Unione Europea sia quello di prodotti di Intelligenza Artificiale che raggiungano la conformità ai requisiti tramite standard predefiniti.
In realtà però questi standard ancora non esistono. Come ho esposto in un articolo precedente, il sistema degli audit, importantissimo, richiede la chiarezza e la standardizzazione dei criteri utilizzati.
Credo quindi che la priorità sia di costruire un ecosistema di assurance in grado di tradurre i requisiti di conformità in una serie di criteri che sia possibile verificare tramite audit.
Il dibattito (distorto) sul riconoscimento facciale
Il secondo punto che vorrei analizzare riguarda il riconoscimento facciale in tempo reale, che nella proposta in oggetto non è permesso se non per determinate eccezioni. Il problema a mio parere è che le eccezioni sono tutt’altro che rare, rischiando di privare il riconoscimento facciale di quella governance che è essenziale per uno strumento così pervasivo. Credo che questo argomento richieda un esercizio collettivo e una riflessione onesta sul futuro dei nostri spazi comuni e sulle conseguenze della perdita dell’anonimato in pubblico.
Francamente, trovo che il dibattito sul riconoscimento facciale sia stato, almeno fino a oggi, difficile, distorto e moralmente discutibile, poiché inquinato dalla descrizione caricaturale di coloro che nutrono dubbi e pongono domande.
In nome della sicurezza, molti sostengono che la perdita della privacy sia un costo tutto sommato quasi accettabile; coloro che hanno dei dubbi vengono quindi rappresentati, per distorta simmetria, come quelli per cui qualche vittima di crimine in più sia un prezzo che è giusto pagare in nome della privacy. Questo contesto non permette un dibattito serio sulle conseguenze sociali della perdita della privacy.
I casi di IA ad alto rischio di tipo ‘allocativo’
La terza considerazione riguarda alcuni casi di IA ad alto rischio di tipo ‘allocativo’, vale a dire che influenzano la decisione di concedere un credito o un servizio a un determinato individuo.
Questo potere allocativo cresce con la quantità dei dati a cui si ha accesso. Mi spiego: se in passato il bias poteva essere causato dalle opinioni dell’impiegato incaricato di decidere se concedere il prestito, adesso invece può sorgere dalle disuguaglianze sociali esistenti, contenute nei grandi dataset personali dati in pasto agli algoritmi, e da essi espresse; oppure a causa di decisioni discriminatorie incastonate negli algoritmi stessi. Il bias esiste ora come esisteva in passato, ma adesso il rischio è innalzato a causa dell’opacità di questi sistemi, e dell’assenza di trasparenza e possibilmente di controllo.
Questo mi porta a fare due osservazioni.
Trasparenza ed equità
La prima è che la trasparenza è inesorabilmente connessa alla equità. Senza trasparenza non è possibile sottoporre un sistema allo scrutinio di un audit; questo vuol dire che il conflitto tra la proprietà intellettuale dell’azienda e la trasparenza dovrà trovare un punto intermedio di equilibrio.
I recenti casi di Uber, Ola e Deliveroo hanno tutti rilevato problemi di trasparenza, ma sfortunatamente si sono fermati ben prima di richiedere accesso agli algoritmi, pur notando come la mancanza di accesso sia un problema serio sia per i tribunali che per la società in generale.
La governance in questo campo è certamente un atto di bilanciamento di interessi in conflitto. Da una parte gli utenti, che hanno diritto alla trasparenza; dall’altra le aziende, il cui vantaggio competitivo è tratto dagli algoritmi, la cui disclosure può diventare problematica soprattutto se il business model si fonda su quella proprietà intellettuale.
La normativa europea contenuta nella direttiva sui Trade Secrets definisce i parametri della protezione, che non è assoluta; come definito nell’articolo 1(2)(b) rafforzato dal Recital 11, l’interesse pubblico può intervenire e agire a favore della disclosure verso quelle autorità che ne abbiano bisogno per l’esercizio dei propri doveri.
Definire l’interesse pubblico
A questo punto, occorre quindi definire quale sia l’interesse pubblico; e questo è un problema spinoso, dato che comporta un dibattito serio sui rischi dei sistemi di IA, soprattutto quando hanno una funzione allocativa.
L’accesso a una casa, a una scuola, a un mutuo, se rifiutati in errore possono avere conseguenze drammatiche sugli individui. La Commissione europea giustamente definisce questi come sistemi ad alto rischio, e li assoggetta pertanto a dei requisiti di conformità.
È importante, secondo me, chiedersi se l’autovalutazione sia sufficiente; o se ci sia invece bisogno, per alcuni prodotti (Valerio De Stefano si riferisce a quelli riguardanti il lavoro e la sua gestione algoritmica) di un approccio più complesso, che includa verifiche, ispezioni o audit da parte di soggetti neutrali, le quali però pongono il problema dell’accesso che abbiamo illustrato in precedenza.
Occorre infatti evitare che la normativa europea risulti meno avanzata e coesa rispetto a paesi come la Spagna, dove vige una legge che concede ai lavoratori il diritto di essere informati su parametri, regole e istruzioni alla base di quegli algoritmi che abbiano un impatto sulle condizioni di lavoro, di accesso al lavoro stesso e sulla misurazione delle performance, inclusa la profilazione.
Il tema della governance del comportamento e dell’utilizzo dei sistemi di IA è complesso, e l’Unione Europea ha certamente il merito di aver compiuto un passo avanti fondamentale, oltretutto ben recepito dagli Stati Uniti.
Conclusioni
Vedremo in futuro se sarà possibile competere globalmente a suon di regole. Quel che è certo è che il GDPR, nonostante le previsioni allarmistiche dei rischi per il libero mercato, ha alimentato invece la creatività e l’innovazione, spingendo i paesi a introdurre regole che tutelano i propri cittadini.
Semmai il problema del GDPR è che è arrivato troppo tardi, e nel mentre il mondo digitale ha avuto il tempo di trasformarsi e concentrare i dividendi nelle mani di pochi. In altre parole, i rischi dell’IA si sommano ai rischi del digitale, la cui regolamentazione è più che mai urgente.
