Con le sue enormi potenzialità, l’intelligenza artificiale rappresenta, probabilmente, una delle maggiori sfide degli ultimi tempi, in particolare per i nostri dati personali. Una sfida che Unione Europea e Stati uniti stanno affrontando in maniera differente, la prima con un approccio centrato sull’umano (“human-centred”), i secondi con una maggiore attenzione al business.
Proviamo allora a fare il punto sulle strategie con cui Ue e Usa pensano di affrontare le problematiche connesse, ad esempio dal sempre più diffuso fenomeno del deep fake, ma non solo: l’AI pone infatti svariati rischi per la sicurezza, per la privacy, per la proprietà intellettuale, per la trasparenza e molto altro ancora.
AI Act: nuovo aggiornamento e pressioni degli Stati
Prima di immergerci nella disamina dei diversi approcci di Unione europea e Stati Uniti inerenti la regolamentazione dei sistemi di Intelligenza Artificiale, va menzionato il fatto che il testo dell’AI Act ha subito un nuovo aggiornamento. In particolare, nella mattinata di lunedì 22 gennaio è stato reso disponibile sul sito Euractiv il testo aggiornato dell’AI Act.
In un post pubblicato su Linkedin[1] contenente il testo aggiornato dell’AI Act, il giornalista Luca Bertuzzi, afferma che il documento è stato condiviso con i Paesi dell’UE nel pomeriggio di domenica 21 gennaio, in vista di una discussione all’interno del Gruppo di lavoro sulle telecomunicazioni (un organo tecnico del Consiglio) e dell’adozione formale a livello di ambasciatori (COREPER) il 2 febbraio. È chiaro, dunque, che i tempi sono piuttosto risicati e che, probabilmente, i delegati nazionali non avranno abbastanza tempo per analizzare l’intero testo, ma dovranno concentrarsi sugli articoli più importanti.
Inoltre, si osserva come la Francia stia ancora sondando il terreno con gli altri Paesi in merito alla possibilità di formare una minoranza di blocco, almeno per ritardare il voto del COREPER, con l’obiettivo di ottenere alcune concessioni nel testo. Tuttavia, fino ad ora Parigi non è riuscita a creare una minoranza di blocco, ma il quadro diventerà più chiaro quando gli Stati membri forniranno il loro riscontro a livello tecnico. Tuttavia, se la Francia non otterrà alcuna concessione in questa fase, essa continuerà a fare pressione per influenzare l’attuazione della legge sull’IA, in particolare in termini di diritto derivato, poiché il dossier rimane una priorità nazionale assoluta.
Approccio regolatorio USA e Ue a confronto
L’attuale contesto di imperante trasformazione digitale fa emergere, quindi, come la tutela dei dati personali nell’ambito dell’uso degli strumenti di IA sia non solo un problema europeo. Difatti, mentre in Unione europea si attende il testo definitivo della Proposta di Regolamento Ue che stabilisce regole armonizzate sull’intelligenza artificiale (AI Act), anche negli USA si percepisce un certo fermento su tali temi. Si pensi, ad esempio, all’Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence del Presidente Joe Biden, pubblicato il 30 ottobre 2023, “per garantire che l’America sia all’avanguardia nel cogliere le promesse e gestire i rischi dell’IA”[2].
Ad oggi, negli USA manca ancora una legge specifica in merito. Il 2020 ha, tuttavia, segnato l’inizio di una discussione più approfondita e, con l’esplosione della ChatGPT nel corso del 2023, la pressione e l’interesse sul tema si sono ampiamente intensificati.
Le attenzioni dell’Authority americana si sono rivolte in particolar modo nei confronti delle aziende Model-as-a-service, ossia imprese che sviluppano e forniscono modelli di IA per altre aziende e utenti, sottolineando la necessità di rispettare gli obblighi privacy nei confronti degli utenti. In una guida recente, infatti, la Federal Trade Commission (FTC) ha richiamato queste aziende alle proprie responsabilità, evidenziando che le dichiarazioni sull’uso dei dati devono essere rispettate non solo nelle informative privacy, ma anche e soprattutto nei termini di servizio e in altri materiali promozionali. Viene sottolineata, in tal senso, l’importanza, per queste aziende, di prestare attenzione alle loro dichiarazioni sull’uso dei dati, avvertendo che omissioni materiali possono essere considerate alla stregua di riposte false in quanto potrebbero influenzare le decisioni di acquisto dei clienti e sollevare la questione della trasparenza.
Nel complesso panorama in rapida evoluzione dell’IA, le aziende che sviluppano soluzioni di apprendimento automatico ed elaborazione del linguaggio naturale sono ora chiamate a riflettere sulla precisione delle loro dichiarazioni in merito ai sistemi che forniscono. Dichiarazioni che, in mancanza di trasparenza, potrebbero persino portare l’Autorità a richiedere la cancellazione di modelli e algoritmi in caso di violazioni.
In un settore in costante crescita, l’attenzione delle autorità di regolamentazione come la FTC sottolinea l’importanza per le aziende di assumere un approccio trasparente e responsabile nell’utilizzo dell’IA. La conformità, infatti, non è solo un dovere legale, ma anche un elemento chiave per la costruzione della fiducia con gli utenti e la salvaguardia dell’integrità del settore[3].
Dal canto suo, invece, l’Unione europea, pur essendo stata pioniera nel riconoscere la necessità di regolamentare in maniera unitaria e organica l’utilizzo dei sistemi di IA e di coordinarne le sue implicazioni etiche, non si è (ancora) dotata di un testo definitivo dell’AI Act. Tale impasse è stata determinata anche da motivi di natura politica. Infatti, paesi come Francia, Italia e Germania avevano espresso la loro preferenza verso una disciplina più light dell’IA, incentivando l’adozione di codici di condotta in ottica di autoregolamentazione e di orientamento al business.
Il respiro della Proposta di Regolamento della Commissione europea è, invece, altamente umano-centrico. In tal senso, è curioso notare come l’AI Act nasca dall’esigenza di disciplinare l’utilizzo dei software di AI. Tuttavia, l’obiettivo principale di tale normativa è comunque quello di garantire la salvaguardia dei diritti fondamentali dell’uomo. Non a caso, nell’elencare i motivi e gli obiettivi dell’AI Act, la proposta afferma che l’IA dovrebbe rappresentare uno strumento per le persone e un fattore positivo per la società, con il fine ultimo di migliorare il benessere degli esseri umani.
Le novità dell’accordo provvisorio sull’AI Act
Lo scorso dicembre è stato raggiunto accordo politico provvisorio sul testo dell’AI Act, il quale costituisce un importante passo avanti verso la regolamentazione dell’utilizzo di tali tecnologie. Cosa stabilisce questo nuovo accordo? Di seguito, si propone una breve panoramica dei punti principali.
In primo luogo, sono ammessi diversi sistemi di IA ad alto rischio, purché soggetti a una serie di requisiti e obblighi per ottenere accesso al mercato dell’Unione. In proposito, è fondamentale rammentare che l’accordo avrebbe accolto le istanze del Parlamento Europeo di introdurre una valutazione d’impatto sui diritti fondamentali prima che un sistema di IA ad alto rischio sia immesso sul mercato.
Invece, il nuovo accordo vieta i sistemi di IA che possano causare gravi violazioni dei diritti fondamentali o altri rischi significativi. Non sono, invece, sottoposti a divieto i sistemi di IA che presentino un rischio limitato, purché gli stessi siano sottoposti ad obblighi di trasparenza come, ad esempio, rendere noto che un contenuto è stato generato da Intelligenza Artificiale. Ciò allo scopo di permettere agli utenti di assumere delle decisioni più informate.
Sono previsti, poi, dei divieti assoluti per situazioni in cui il rischio dell’uso di strumenti di IA è considerato inaccettabile. Tali situazioni riguardano i casi di manipolazione comportamentale cognitiva, lo scraping non mirato delle immagini facciali da Internet o da filmati di telecamere a circuito chiuso, il riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione, l’attribuzione di un punteggio sociale (credit scoring), la categorizzazione biometrica per dedurre dati sensibili, quali l’orientamento sessuale o le convinzioni religiose, alcuni casi di polizia predittiva per le persone.
Inoltre, con riguardo all’uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico, l’accordo stabiliscela possibilità di utilizzare tali sistemi per finalità di contrasto, in via del tutto eccezionale e limitatamente a specifiche situazioni, come in caso di vittime di determinati reati, prevenzione di minacce reali, presenti o prevedibili come attacchi terroristici e in caso di ricerca di persone sospettate dei reati più gravi.
L’accordo prevede, inoltre, che una persona fisica o giuridica possa presentare un reclamo alla pertinente autorità di vigilanza del mercato riguardo alla non conformità con il regolamento sull’IA, potendosi aspettare che tale reclamo sia trattato in linea con le procedure specifiche di tale autorità[4].
Per quanto riguarda le sanzioni, l’accordo provvisorio prevede massimali più proporzionati per le sanzioni amministrative pecuniarie per le PMI e le start-up in caso di violazione delle disposizioni del Regolamento.
Tuttavia, si attende ancora il testo definito dell’AI Act, il quale è tutt’ora al vaglio del legislatore europeo. È in programma la sottoposizione del testo di compromesso ai rappresentanti degli Stati membri (Coreper) per approvazione, una volta conclusi i lavori.
Conclusioni
Quello che emerge dall’analisi sopra esposta è che sussistono delle importanti differenze tra Unione europea e Stati Uniti sul modo di disciplinare l’evoluzione degli strumenti di IA. Difatti, mentre quello Ue è un approccio “human-centred”, quello statunitense è maggiormente improntato alla tutela del business.
Per quanto riguarda il fronte Ue, si sta procedendo ormai verso la definizione della versione definitiva del testo dell’AI Act e l’ultimo aggiornamento al testo del Regolamento ne è una prova. È importante, quindi, sciogliere tutti i nodi relativi all’adozione del testo definitivo di tale Regolamento, con l’auspicio che ciò possa avvenire il prima possibile.
Infine, va riconosciuto con favore il fatto che anche oltreoceano si stia diffondendo una certa sensibilità in merito non solo alle opportunità rappresentate dall’Intelligenza Artificiale, ma anche verso i potenziali rischi che un abuso di queste tecnologie può comportare.
Non mancano, quindi, i problemi e le difficoltà nell’implementare sistemi di tutela altamente complessi e soggetti a costanti mutamenti sociali e tecnologici. In tal senso, è fondamentale che i legislatori mondiali assicurino un contemperamento tra le diverse normative poste a disciplina dell’utilizzo delle tecnologie di IA. Solo grazie a un costante lavoro di armonizzazione si potranno, infatti, garantire al meglio i diritti e le libertà individuali.
[1] https://www.linkedin.com/posts/luca-bertuzzi-186729130_aiactfinalfour-column21012024pdf-activity-7155091883872964608-L4Dn
[2] https://www.whitehouse.gov/briefing-room/statements-releases/2023/10/30/fact-sheet-president-biden-issues-executive-order-on-safe-secure-and-trustworthy-artificial-intelligence/
[3] Federal Trade Commission Warning to Artificial Intelligence Companies (natlawreview.com)
[4] Commissione europea, Regolamento sull’intelligenza artificiale: il Consiglio e il Parlamento raggiungono un accordo sulle prime regole per l’IA al mondo, Comunicato stampa, disponibile al seguente link.
