Alla fine, è arrivato il 30 ottobre il tanto atteso executive order di Biden sull’AI. E, per una simpatica coincidenza, arriva proprio in questi giorni in cui sono a Boston alla prima conferenza sulla AI governance di IAPP, l’associazione internazionale dei professionisti della privacy di cui sono country leader per l’Italia e che conta oltre 80.000 membri nel mondo.
La coincidenza è che, quando ad Aprile Biden organizzò una riunione urgente di gabinetto per capire il da farsi sulle generative AI, dopo il provvedimento del Garante nei confronti di OpenAI, ero a Washington, sul palco di IAPP, a parlarne con Brando Benifei, eurodeputato co-relatore dell’AI Act europeo, e il responsabile del White House Office of Science and Technology Policy, che dovette andare via prima proprio per partecipare a quella urgente e imprevista riunione.
Da allora, i due Paesi finora più restii a muoversi nel difficile settore della regolamentazione tecnologica, Stati Uniti e Regno Unito, sembra abbiano cambiato idea.
L’executive order di Biden nasconde una piacevole sorpresa
L’executive order non è particolarmente innovativo. Come può sembrare ovvio a chi si occupa di regolamentazione digitale da qualche tempo, richiede “che gli sviluppatori condividano i risultati dei loro test di sicurezza e altre informazioni critiche con il governo degli Stati Uniti; che si sviluppino standard, strumenti e test per garantire che i sistemi di IA siano sicuri, protetti e affidabili; che l’AI sia usata con cautela quando utilizzata per progettare materiali biologici pericolosi; che sia stabilito un programma di cybersecurity avanzato per sviluppare strumenti di IA per trovare e correggere le vulnerabilità nei software critici”.
Si chiede poi più trasparenza a tutela degli americani che possono essere vittime di frodi per l’uso ingannevole dell’IA, stabilendo standard e best practice per il rilevamento dei contenuti generati dall’IA e per l’autenticazione dei contenuti ufficiali del Governo, per combattere la disinformazione che i deep fake contribuiscono ad alimentare.
Rispetto all’AI Act, è interessante vedere come, a differenza dell’approccio europeo dove si prevede una autorità ad hoc di coordinamento, anche se poi starà ad ogni stato membro decidere come sarà composta, qui si mette già nero su bianco che ciascun dipartimento governativo sarà chiamato a vigilare sull’uso responsabile e sicuro dell’AI nel proprio settore.
Finalmente spunta la privacy in fondo al tunnel
Se quel processo verso una qualche forma di regolamentazione è iniziato anche negli Stati Uniti, lo dobbiamo forse anche all’attenzione del nostro Garante italiano della privacy, che ha innescato un processo virtuoso di confronto tra le Autorità e le aziende americane che sviluppano AI, il tutto partendo proprio dall’applicazione del GDPR, che al momento non ha un suo corrispondente negli Stati Uniti, le cui conseguenze sono state ben evidenziate dai casi Schrems I e II.
A quanto pare sarà proprio l’AI a favorire l’accelerazione verso l’approvazione di una legge bipartisan federale sulla privacy. Come evidenziato nell’executive order, il rischio della privacy legato all’AI è esponenzialmente maggiore vista la facilità, e la necessità per addestrare i large language model delle AI generative, che questi sistemi hanno nell’estrarre dati personali a proprio beneficio, a volte con conseguenze nefaste per i cittadini americani, in assenza di salvaguardie appropriate. Per questo Biden insiste sull’adozione e lo sviluppo di tecnologie che permettano di usare i dati garantendo la massima protezione della privacy.
Da ultimo non manca la necessità di rivedere anche come le agenzie governative usano i dati personali degli americani, specialmente quando questi sono ottenuti da data broker.
Più attenzione ai diritti senza tralasciare l’innovazione
Si continua poi puntando sul bisogno di evitare rischi di discriminazione nel settore pubblico, sia per quanto riguarda l’uso di algoritmi ed AI per assegnare benefit sociali (si pensi in Europa al celebre caso olandese), sia quando queste tecnologie sono usate nelle aule di tribunale. Con un paragone con l’AI act europeo, questi costituiscono alcuni casi considerati ad alto rischio, che comportano pertanto un livello di compliance più elevato. Maggiore attenzione dovrà essere indirizzata verso i consumatori, i pazienti e i lavoratori, per i quali è previsto uno studio di impatto per prevenire destabilizzazioni e licenziamenti di massa in seguito all’adozione dell’AI.
Se da un lato le agenzie governative dovranno mettersi al passo assumendo esperti che le aiutino a governare e non essere governati dal cambiamento, aiuti e agevolazioni sono previste anche per le aziende, che negli Stati Uniti trovano ancora terreno fertile per crescere e scalare il mercato rapidamente.
Il summit mondiale a Londra sull’AI
Tuttavia, come ha dichiarato la vice presidente Kamala Harris a Londra mercoledì al summit sull’AI: “Rifiutiamo la falsa scelta che suggerisce che possiamo o proteggere il pubblico o promuovere l’innovazione. Possiamo – e dobbiamo – fare entrambe le cose. E dobbiamo farlo rapidamente, visto il rapido progresso di questa tecnologia”.
La presenza di Harris a Londra è legata ad un altro punto importante dell’executive order, la necessità di agire e coordinarsi a livello internazionale, aspetto che forse gli Stati Uniti, vista la loro ritrosia alla regolamentazione, si sono accorti di aver lasciato per strada in questi anni in cui l’Unione europea ha lavorato a testa bassa per trovare la quadra nell’AI act in via d’approvazione, dopo anni di confronti con gli stakeholder.
Che cos’è la Bletchley Declaration
A proposito del Summit di Londra: il primo novembre, appunto, 28 stati tra cui Stati Uniti, EU, Cina e Regno Unito, hanno firmato una Dichiarazione congiunta sui rischi e le opportunità dell’AI. Tra i Paesi che hanno sottoscritto la Dichiarazione figurano Brasile, Francia, India, Irlanda, Giappone, Kenya, Arabia Saudita, Nigeria, Emirati Arabi Uniti e, ovviamente, l’Italia, rappresentata dal presidente del consiglio Giorgia Meloni, a riprova del ruolo che l’AI può giocare nel nostro Paese.
Scopo di questa comunione di intenti sarà quello di:
- “identificare i rischi per la sicurezza dell’IA di interesse comune, costruire una comprensione condivisa di tali rischi basata su dati scientifici e sostenere tale comprensione man mano che le capacità continuano ad aumentare, nel contesto di un approccio globale più ampio alla comprensione dell’impatto dell’IA nelle nostre società.
- costruire politiche basate sul rischio nei nostri Paesi per garantire la sicurezza alla luce di tali rischi, collaborando se necessario e riconoscendo che i nostri approcci possono differire in base alle circostanze nazionali e ai quadri giuridici applicabili. Ciò include, oltre a una maggiore trasparenza da parte degli attori privati che sviluppano capacità di IA di frontiera, metriche di valutazione adeguate, strumenti per la verifica della sicurezza e lo sviluppo di capacità e ricerca scientifica del settore pubblico”.
Ci sono già molto gruppi di lavoro internazionali sull’AI
Si tratta, senza dubbio, di un passo avanti importante ma non bisogna dimenticare che esistono diversi gruppi di lavoro internazionali come l’OECD, il Consiglio d’Europa, il G7, le Nazioni Unite, che hanno già pubblicato ben più che qualche dichiarazione di buone intenzioni.
Fa pertanto quasi tenerezza la dichiarazione del primo ministro inglese Sunak secondo il quale: “Il Regno Unito sta ancora una volta guidando il mondo all’avanguardia di questa nuova frontiera tecnologica dando il via a questa conversazione, che ci vedrà lavorare insieme per rendere l’IA sicura e realizzare tutti i suoi benefici per le generazioni a venire”.
Se accogliamo con enorme piacere che due potenze indiscusse come Stati Uniti e Regno Unito siano tornate al tavolo dei grandi leader, non dobbiamo dimenticare che il ruolo dell’Unione europea, tanto con l’AI Act che con il GDPR, è stato, e di sicuro continuerà ad essere, indiscutibilmente prezioso per porre le basi di una regolamentazione equilibrata e duratura, capace di adattarsi alle nuove sfide che l’AI ci porterà.
