Anche per la sua assoluta novità, sin dalle prime fasi del proprio iter legislativo l’AI Act – il Regolamento sull’intelligenza artificiale approvato definitivamente il 13 marzo – non ha mancato di suscitare, tra interessati e addetti ai lavori, reazioni contrastanti.
Da un lato l’entusiasmo di chi ne ha sottolineato l’assoluta necessità e, con sguardo prospettico, il positivo contributo che la prima legge al mondo sull’intelligenza artificiale avrebbe offerto tanto alla tecnologia in sé (bisognosa, evidentemente, di uno sviluppo controllato) quanto – in chiave competitiva – all’Unione stessa, coerentemente con il cosiddetto “Brussells effect”.
Dall’altro lato, tuttavia, non sono mancate le perplessità, in particolare legate al timore che l’AI Act possa rappresentare sul medio-lungo termine un freno eccessivo all’innovazione e – a cascata – la causa di una più o meno diffusa “fuga” delle aziende tecnologiche dal territorio europeo, che così si affermerebbe definitivamente come in qualche modo ostile ai maggiori players del settore (e, dunque, ai relativi investimenti): può ricordarsi, a mero titolo esemplificativo, la lettera giunta l’estate scorsa sui tavoli di lavoro europei, con la quale oltre 150 aziende (tra cui colossi privati come Siemens, Renault, Heineken) indicavano l’AI Act come un rischio per la competitività e la sovranità tecnologica dell’Europa (che – obbligando le aziende ad affrontare costi di conformità e rischi di responsabilità sproporzionati rispetto ai competitor extra-europei – andrebbe inevitabilmente incontro ad un “divario critico di produttività” rispetto a USA e Cina)[1].
Il rischio della over regulation nell’Unione europea
In effetti, per quanto sia innegabile l’opportunità (se non la necessità) di una crescita regolata dell’AI, non può non considerarsi come l’AI Act rappresenti, in ordine cronologico, solo l’ultima di numerosissime iniziative messe in campo dall’Unione negli ultimi anni: nell’ambito della costruzione di una “Europa pronta per l’era digitale” abbiamo assistito all’approvazione, tra gli altri, del GDPR; del Data Governance Act; del DSA e del DMA; del Cybersecurity Act (nonché di NIS e NIS 2). E potrebbe continuarsi.
Una vera e propria over-regulation il cui rischio è quello della inevitabile sovrapposizione di competenze e della proliferazione di Organi, Agenzie ed Autorità[2] (il solo AI Act prevede la necessaria istituzione di un’autorità di notifica ed una di vigilanza: con riferimento a quest’ultima, ad esempio, in Europa vi è chi ha deciso di costituire una autorità ad hoc – modello spagnolo – e chi invece ha preferito affidarsi al Garante per la protezione dei dati – modello olandese).
Senza considerare il rischio di antinomie normative, i possibili difetti di coordinamento tra livello europeo e nazionale (oltre che locale), e – come si diceva – l’impatto della burocrazia sulla capacità innovativa del tessuto imprenditoriale. Ragioni tutte che consiglierebbero, nel prossimo futuro, di limitare per quanto possibile ulteriori interventi legally binding.
Se, insomma, tramite un (ampio) utilizzo delle fonti di hard law l’Unione ha progressivamente costruito uno spazio regolatorio senza precedenti, nel certamente nobile – e necessario – intento di tutelare i diritti e le libertà fondamentali dei destinatari delle nuove tecnologie, è opportuno in ogni caso non abusarne, e dunque prestare attenzione a non limitare eccessivamente l’operatività dei maggiori (e, a conti fatti, più innovativi) player internazionali.
Il ruolo della soft law nella regolazione dell’AI
D’altro canto, la stessa Unione europea ha largamente dimostrato di poter contribuire alla regolazione dei fenomeni digitali anche tramite fonti di soft law e strumenti di self-regulation, tramite Risoluzioni, Comunicazioni, e non solo. Sull’AI possono ricordarsi le Linee Guida Etiche per un’intelligenza artificiale affidabile elaborate dal Gruppo di esperti ad alto livello sull’AI; o il Libro bianco sull’intelligenza artificiale del 2020: pezzi di un più complesso mosaico di principi etici in tema di AI adottati anche con il contributo di vari organismi internazionali o strutture di partenariato scientifico[3], aventi quale fine principale – in estrema sintesi – quello di contribuire attivamente ad una AI che sia effettivamente “affidabile” (trustworthy) e, dunque, che ingeneri fiducia (e non timore) nei cittadini/consumatori.
I vantaggi della regolazione tramite strumenti di soft law
I risvolti positivi della regolazione tramite strumenti di soft law sono noti: maggiore velocità rispetto alle fonti di hard law (l’AI Act ha impiegato 4 anni per essere approvato; similmente la costruzione del GDPR fu avviata nel 2011…); maggiore capacità di adattamento (fondamentale quando trattasi di tecnologie in così rapida evoluzione: lo stesso testo dell’AI Act non contemplava, inizialmente, i modelli di AI generativa); maggiore flessibilità e, di riflesso, una maggiore capacità di rispondere adeguatamente all’irriducibile diversità dei modelli sociali europei[4] oltre che – a ben vedere – una non trascurabile maggiore attrattività agli occhi degli attori privati, il cui coinvolgimento nella costruzione e nell’elaborazione di standard e linee guida, codici di condotta e impegni etici rappresenta sovente la via migliore per bilanciare esigenze di ricerca e sviluppo da un lato e obblighi di tutela del consumatore dall’altro, sin dalla progettazione dei sistemi (dunque con un approccio by design e by default).
Strumenti utili per orientarsi nel complesso normativo vincolante
Tanto più che, in un contesto – come sopra si diceva – divenuto estremamente composito, ove non complesso, questi strumenti di regolazione possono spesso avere una funzione chiarificatrice, aiutando gli addetti ai lavori ad orientarsi nel labirinto del complesso normativo vincolante: l’Institute for Human-Centered AI dell’Università di Stanford esplora l’impatto – attuale e futuro – della legislazione sulla privacy e sulla protezione dei dati sullo sviluppo dell’AI, al contempo fornendo raccomandazioni utili per mitigare i potenziali pericoli alla privacy nell’era dell’AI (e a tal fine ha recentemente rilasciato il libro bianco “Rethinking Privacy in the AI Era”). In Italia si registra la recente costituzione di AIRIA, associazione per la regolazione dell’intelligenza artificiale avente tra i propri dichiarati obiettivi il favorire l’armonizzazione con le norme esistenti e di applicazione generale e il coinvolgere gli stakeholder per contribuire a determinare le policy sulla regolamentazione dell’AI.
Non mancano poi esempi da parte delle Autorità indipendenti: dal Garante italiano (che ha pubblicato un decalogo per orientare i principi fondamentali per l’uso dell’AI nel settore sanitario), alla California Privacy Protection Agency (che ha recentemente approvato una serie di regole che mirano a creare linee guida per le molte aree in cui l’intelligenza artificiale e i dati personali possono influenzare la vita dei californiani), al Garante privacy di Singapore (che ha adottato specifiche linee guida sull’impiego di dati personali nelle tecnologie di AI).
Il panorama normativo sull’intelligenza artificiale: tra hard law e soft law
Il panorama normativo sull’intelligenza artificiale, articolato tra fonti di hard law e soft law, dimostra come e quanto una strategia regolatoria olistica e dinamica sia essenziale nell’era digitale.
Le fonti di hard law, con il loro peso giuridico vincolante, sono strumenti cruciali per definire i limiti e le responsabilità dei soggetti privati, garantendo sicurezza, privacy e eticità nell’uso delle tecnologie AI; e tutelando il consumatore da abusi o impieghi distorti della tecnologia.
Tuttavia, queste non possono essere ritenute da sole sufficienti a gestire la rapida e complessa evoluzione dell’AI: le fonti di soft law, allora, possono e devono intervenire in via complementare, grazie a quelle caratteristiche di agilità e adattabilità necessarie per rispondere alle sfide emergenti, promuovendo una collaborazione proattiva tra settore pubblico e privato.
Conclusioni
Questa, a ben vedere, sembra la via preferibile in prospettiva de jure condendo: la sinergia tra hard law e soft law, oltre che tra Stati e Grandi Compagnie, potere pubblico e poteri privati, non solo aumenta l’efficacia della regolamentazione dell’AI, ma inaugura anche un nuovo modello di governance tecnologica, basato sulla fiducia reciproca, il dialogo continuo e l’impegno condiviso verso l’innovazione responsabile e inclusiva. Questa combinazione dimostra che la regolamentazione dell’AI può essere contemporaneamente robusta e flessibile, presidiando i diritti fondamentali senza frenare l’innovazione. In definitiva, una simile architettura normativa riflette la comprensione che lo sviluppo sostenibile dell’AI richiede un approccio basato non solo sul comando e controllo, ma anche sull’adattamento e sulla cooperazione.
Note
[1] Financial Times, European companies sound alarm over draft AI law, 29 giugno 2023.
[2] E. C. Raffiotta, Dalla self-regulation alla over-regulation in ambito digitale: come (e perché) di un necessario cambio di prospettiva, su Osservatorio sulle Fonti, 2/2023.
[3] A. D’Aloia, Intelligenza artificiale, società algoritmica, dimensione giuridica. Lavori in corso, su Quaderni Costituzionali, 3/2022.
[4] F. Pacini, Ai confini della normatività. Hard law e soft law in “tempi difficili”, Relazione al Convegno annuale dell’Associazione “Gruppo di Pisa”, giugno 2022, e G. Martinico, Il soft law nel diritto comparato della pandemia: alcuni spunti critici, Gruppo di Pisa, 2022.
