Il travagliato percorso normativo del Regolamento Europeo in tema di Intelligenza Artificiale (“Regolamento del Parlamento europeo e del Consiglio che stabilisce norme armonizzate in materia di intelligenza artificiale”) presentato un anno fa ma sul quale il Parlamento Europeo fatica a raggiungere un consenso.
Norme europee sull’intelligenza artificiale, un testo di compromesso
L’atto normativo rappresenta in effetti una novità assoluta nel panorama giuridico dell’Unione e pertanto è fisiologico che si fatichi a trovare la quadratura del cerchio. Il Regolamento interessa peraltro un settore molto difficile da regolamentare sia perché l’intelligenza artificiale tocca numerosi ambiti del diritto (dalla responsabilità per danni, al diritto d’autore, al diritto alla protezione dei dati, al diritto IT e oltre..) sia perché si teme una disciplina troppo rigida possa finire per inibire lo sviluppo di questo settore quando invece l’Unione e i vari stati UE si aspettano molto da queste tecnologie.
I lavori dell’AIDA nel Parlamento europeo su AI
Parallelamente all’approvazione della proposta di Regolamento, il Parlamento UE ha costituito un Comitato Speciale sull’intelligenza artificiale nell’era digitale (AIDA – Artificial Intelligence in a Digital Age) che lo scorso marzo ha presentato i risultati di 18 mesi di indagine in un report che sarà votato dal parlamento a maggio.
Il testo adottato dal Comitato parte dal riconoscere l’enorme potenziale di questa tecnologia, specie nella misura in cui può assistere, fino a farne da complemento, gli esseri umani. É su questo aspetto, su questo potenziale, che dovrebbe concentrarsi il dibattito pubblico in tema di AI in Europa, specie perché il report avverte che l’UE è rimasta indietro nella corsa globale alla leadership tecnologica. Di conseguenza, vi è il rischio che gli standard vengano sviluppati altrove in futuro, spesso da attori non democratici, mentre l’UE deve rivendicare un ruolo da protagonista nel settore.
L’Unione Europea, in sostanza, non può più accontentarsi di essere la migliore a normare fenomeni tecnologici che però vengono prodotti all’estero e lì portano ricchezza. Diventare protagonisti di questo nuovo settore passa anche dallo sperimentarlo con mano, all’interno dell’Unione. Il sottotesto del report è quello della necessità di una normativa che faccia da catalizzatore di questo sviluppo, senza eccessivi paletti burocratici e sanzionatori (la frizione principale in questo nuovo contesto è quella fra gli obblighi di trasparenza e la tutela del know-how aziendale e dei segreti industriali che hanno portato allo sviluppo del sistema di intelligenza artificiale di cui si discute).
Parzialmente contrapposto è l’approccio dei regolatori, preoccupati delle conseguenze che lo sviluppo incontrollato di queste tecnologie potrebbe portare in capo agli utenti, in balia non solo di imprese ghiotte dei loro dati, ma anche di intelligenze artificiali che li utilizzano e combinano senza possibilità di controllo.
Come al solito ci si scontra fra il desiderio di controllo in capo alle tecnologie straniere che vengono immesse nel mercato UE e il desiderio di alleggerire i controlli per le tecnologie sviluppate in seno all’Unione, dovendo considerare la necessità di non introdurre normative discriminatorie verso gli operatori extra-UE, in una “quadratura del cerchio” spesso più vicina all’impossibile che semplicemente difficile.
Il testo condiviso del Regolamento
Parallelamente alla chiusura dei lavori del Comitato AIDA, sembra che il Parlamento abbia raggiunto un’intesa sul testo del Regolamento in tema di Intelligenza Artificiale.
Si tratta, come ammettono i parlamentari che hanno diffuso la notizia, ovvero Brando Benifei, del Partito Democratico, e Dragoş Tudorache, del partito liberale rumeno (quest’ultimo è peraltro colui che presiede il Comitato AIDA) di un testo di compromesso e ci saranno ancora aspetti su cui lavorare.
Le problematiche sono di ordine politico ed “ideologico” con alcune nazioni più propense in particolare all’utilizzo di sistemi di riconoscimento biometrico in luoghi pubblici ed altre più garantiste.
La nuova bozza (e il report del Comitato AIDA) propongono di utilizzare questi sistemi solo in circostanze molto limitate (es. per terrorismo o ad esempio per rintracciare minori scomparsi), ma ad esempio il governo francese non nasconde l’interesse ad un utilizzo più ampio di queste tecnologie.
Tra le pratiche vietate senza se e senza ma invece si annoverano tecniche di tipo subliminale o sistemi di AI predittivi finalizzati a determinare la possibilità di futura commissione di crimini, nonché il social scoring (come peraltro richiesto anche dal nostro Garante Privacy).
IA, i punti di scontro in Europa
Nel report del Comitato AIDA si propongono inoltre regole più stringenti in tema di trasparenza degli applicativi di sistemi di AI ad alto rischio, arrivando a suggerire di inserirli in una banca dati a livello europeo.
Trasparenza
La declinazione di questi obblighi di trasparenza sarà però essenziale per determinare la convenienza dello sviluppo di questi sistemi, in quanto è evidente che la richiesta di essere il più possibile chiari sul funzionamento di un meccanismo di intelligenza artificiale si scontra con un problema di tutela delle proprietà industriali dell’azienda di sviluppo, problema che dovrebbe essere affrontato con dei correttivi (ad esempio limitando il più possibile la diffusione della “spiegazione” sul funzionamento dell’AI salvo necessità specifiche).
Responsabilità imprese
Ulteriore terreno di scontro è quello della responsabilità delle imprese, che nel Regolamento sono ancora vincolate ad una autovalutazione circa la conformità del loro sistema di AI al Regolamento, mentre una parte del Parlamento vorrebbe una protezione più incisiva (a questa parte del Parlamento si contrappone una altrettanto nutrita componente che invece teme che andare oltre l’autovalutazione comporterebbe un eccessivo carico burocratico per le imprese, incidendo in negativo sull’innovazione tecnologica).
Le critiche francesi, gli errori nei dati
La Francia si trova in una situazione molto delicata con riguardo al Regolamento AI.
Da un lato ha un approccio più “permissivo” sull’utilizzo di queste tecnologie, specie per finalità repressive, dall’altro però siamo nel semestre di presidenza del Consiglio dell’Unione della Francia, e la nazione ha fatto del “digitale” uno dei pilastri del suo periodo di reggenza e vorrebbe quindi fare passi avanti importanti sul testo del Regolamento prima di giugno 2022.
Tra le critiche all’impianto del Regolamento si registra ad esempio la questione degli errori dei set di dati di addestramento dei sistemi di A.I.
Secondo la prospettiva dei parlamentari francesi è irrealistico pretendere che questi set siano esenti da errori (come fa invece l’articolo 10 par. 3 della bozza originaria del Regolamento, dove si afferma che “I set di dati di addestramento, convalida e prova devono essere pertinenti, rappresentativi, esenti da errori e completi.”) ma è necessario invece prescrivere che i dataset siano esenti da errori nella misura massima possibile, riconoscendo quindi un, pur minimo, margine di errore (ma al contempo rendendo più vaga la disciplina).
Il nodo dell’AI ad alto rischio
Altro nodo centrale è la definizione di AI ad alto rischio. Il pilastro centrale del Regolamento UE in tema di intelligenza artificiale è infatti quello di suddividere le AI “innocue” da quelle che possono comportare un rischio per le persone e quindi devono essere fornite di tutele maggiori e più incisive sanzioni.
Il problema è che la definizione di AI ad alto rischio contenuta nella bozza di Regolamento è troppo vaga (riecheggia infatti agli operatori quella di “trattamento dati su larga scala” contenuta nel GDPR).
L’art. 6 par. 1 della bozza di Regolamento definisce infatti le AI ad alto rischio quelle che soddisfano entrambe queste condizioni:
- il sistema di IA è destinato a essere utilizzato come componente di sicurezza di un prodotto, o è esso stesso un prodotto;
- il prodotto, il cui componente di sicurezza è il sistema di IA, o il sistema di IA stesso in quanto prodotto è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto ai sensi della normativa europea.
La definizione effettivamente presta il fianco a critiche per la sua scarsa chiarezza.
La stessa poi è accompagnata da un (altrettanto problematico) elenco di sistemi di AI che vengono considerati comunque ad alto rischio (ad esempio sistemi di riconoscimento biometrico, sistemi di gestione delle infrastrutture critiche, sistemi di gestione dell’accesso al lavoro o all’istruzione, sistemi destinati a coadiuvare le autorità nella repressione dei reati, sistemi per la gestione dei fenomeni migratori, etc.).
La nuova bozza di Regolamento dovrebbe aver modificato questo punto, precisando in cosa consiste questo rischio (declinato come rischio per la salute, sicurezza o i diritti fondamentali dei cittadini).
Anche sul punto però sono sorte questioni, circa l’opportunità di inserire tra le AI ad alto rischio anche quelle che comportano un rischio di tipo solamente economico.
Inoltre, si è proposto di aggiungere alla lista delle AI che sono comunque considerate ad alto rischio, quelle dedicate all’interazione con i bambini, al triage medico, a stimare i premi per le assicurazioni sulla vista e tutte le applicazioni che potrebbero impattare sui processi democratici, come ad esempio i sistemi di voto elettronico.
Un po’ in controtendenza con l’approccio “permissivo” francese, si evidenzia come i parlamentari d’oltralpe abbiano invece insistito con la minimizzazione dei dati (forse per “smussare” la richiesta di ammettere la presenza di errori nei dataset che, se ridotti al numero minimo di dati necessario per “addestrare” il sistema di intelligenza artificiale, presentano un rischio minore rispetto a quello che avrebbero potuto presentare laddove si fosse consentito un utilizzo di un numero maggiore di dati).
Il problema però è che è davvero difficile definire il numero minimo di dati necessario per “addestrare” un’intelligenza artificiale e spesso il numero “minimo” di dati non è quello ottimale per ottenere un sistema affidabile.
Regole sull’AI, Europa in ritardo, altri Paesi corrono
Viste le problematiche sul tavolo è difficile pensare che l’Europa riesca a rispettare la tabella di marcia impartita dalla Presidenza francese, che prevedeva di convergere su un testo definitivo entro il suo mandato per poi far approvare il testo in autunno.
Nel frattempo, però, le altre nazioni non stanno a guardare con la Cina che ad esempio ha già diffuso una compiuta normativa in tema di algoritmi (peraltro mutuando dalla bozza di Regolamento UE la distinzione fra AI “ordinarie” e “ad alto rischio”) e il Brasile che a breve dovrebbe dare il via libera definitiva alla sua legge in tema di intelligenza artificiale (sebbene la normativa sia stata oggetto di accese critiche per il suo ammettere tecnologie potenzialmente discriminatorie).
Quello dell’intelligenza artificiale è un settore che verosimilmente sarà al centro del dibattito economico e giuridico dei prossimi anni, assumendo gradualmente importanza e significato nelle nostre vite.
La normativa che è chiamata a disciplinare il fenomeno dell’AI è quindi molto delicata, specie perché non si tratta di un fenomeno del tutto sviluppato, bensì per molti versi ancora agli albori (il che è reso evidente dall’ampia discussione sulla definizione normativa di intelligenza artificiale, discussione che peraltro non si è ancora sopita e potrebbe riaccendersi in sede parlamentare).
Stiamo parlando quindi di un Regolamento chiamato a normate un fenomeno in chiave prospettica non essendo possibile “indovinare” sin d’ora quali sviluppi potrà avere l’intelligenza artificiale, quali settori andrà a toccare e quali problematiche questo comporterà, proprio per questo motivo è essenziale che il Parlamento proceda a piccoli passi e per compromessi. L’Europa in questo momento è quindi chiamata ad essere lungimirante nel disciplinare l’intelligenza artificiale, a tutela e a vantaggio di noi cittadini.
