Immagine creata con Dall-E
Prima puntata del punto di vista dell’Osservatorio dedicato alla regolazione dei sistemi di intelligenza artificiale tra tutela della riservatezza e tutela dell’ambiente.
L’Unione europea interviene sul rischio inaccettabile generato dalle intelligenze artificiali, provando garantirne uno sviluppo e utilizzo in linea con i valori fondamentali europei: la dignità umana, la protezione dei diritti fondamentali e la sicurezza. Le linee guida della Commissione si misurano con problemi noti (la durabilità dei regimi normativi delle tecnologie) e meno noti (il tasso di adattamento dei soggetti pubblici e privati, il monitoraggio dei risultati).
Tra le molte sfide che le tecnologie pongono ai regolatori pubblici, quella della durabilità delle norme è particolarmente insidiosa. La progressione geometrica dell’innovazione in numerosi settori tecnologici – primo tra tutti proprio quello dell’intelligenza artificiale – costringe i regolatori pubblici a definire perimetri normativi adattabili. Il rischio di regole troppo scrupolose nel disciplinare profili tecnici delle tecnologie è l’inadeguatezza rispetto a trasformazioni successive e ai problemi inediti che generano.
Sono noti, tra i molti, i casi dell’Electronic Communication Privacy Act statunitense del 1986 (che omise di considerare l’ipotesi di un cloud storage illimitato, esponendo gli utenti al rischio di sorveglianza indiscriminata) e delle normative in tema di trasporto automobilistico che, negli anni Sessanta del Secolo scorso, rallentarono con divieti la commercializzazione di fari adattivi intelligenti, con conseguenze importanti per il numero di incidenti e vittime.
Tra le soluzioni utilizzate per tutelare le norme dal rischio di obsolescenza o inadeguatezza rispetto alle trasformazioni tecnologiche, ci sono le “regulatory sandboxes” – spazi di sperimentazione controllata, in cui imprese, attori civici e autorità pubbliche collaborano per valutare i profili di rischio dei sistemi di intelligenza artificiale prima della loro commercializzazione e diffusione su larga scala.
Altra possibile soluzione al problema dell’obsolescenza normativa è quella offerta dal regolamento europeo sull’intelligenza artificiale, che sceglie di non disciplinare le tipologie di intelligenza artificiale, ma di classificarle in quattro categorie di rischio: minimo, limitato, alto rischio e rischio inaccettabile. Il divieto ai sistemi considerati a rischio inaccettabile è dovuto alle minacce che questi pongono alla sicurezza, ai mezzi di sostentamento e ai diritti delle persone. Ne sono esempio la manipolazione comportamentale tramite tecniche subliminali o ingannevoli, lo sfruttamento delle vulnerabilità di alcuni gruppi sociali (tra questi, i bambini e le persone con disabilità), i sistemi di punteggio sociale (social scoring) e la raccolta di dati biometrici in tempo reale negli spazi pubblici svolta senza adeguate garanzie.
Al netto dunque della tassonomia di rischi definita nel regolamento, le linee guida della Commissione Europea offrono un’interpretazione delle disposizioni dell’articolo 5 del regolamento. Si tratta, in particolare, dell’applicazione dei divieti e del coordinamento con altre normative europee, come il GDPR e il Digital Services Act. Le linee guida stabiliscono anche criteri cumulativi per identificare le pratiche vietate e delineano eccezioni specifiche, ad esempio per l’uso limitato di identificazione biometrica da parte delle forze dell’ordine.
Tre considerazioni di fondo:
- La prima riguarda la protezione dei diritti fondamentali. Il divieto mira a prevenire abusi che potrebbero minare la dignità umana o causare danni significativi, come manipolazioni psicologiche o discriminazioni sistemiche. Un esempio è la prevenzione della discriminazione algoritmica. Alcuni sistemi di valutazione del credito o di selezione del personale potrebbero penalizzare specifiche categorie di individui (donne, minoranze etniche o persone con disabilità) se addestrati su dati storici contenenti bias. Un altro esempio è il sistema di riconoscimento e analisi delle emozioni, integrato nelle telecamere di sicurezza di edifici pubblici. Quest’ultimo, se non opportunamente regolato, potrebbe ledere la privacy e la libertà di comportamento dei cittadini.
- Un capitolo a parte riguarda le imprese. Alle aziende è richiesto di adattarsi al nuovo quadro normativo, garantendo che i loro sistemi di intelligenza artificiale rispettino i requisiti di conformità. Questo include valutazioni del rischio più rigorose e investimenti in competenze tecniche per comprendere gli impatti sociali ed etici dell’intelligenza artificiale. Andranno considerati, nel novero degli sviluppi futuri, i costi di compliance e le opportunità di mercato. Quanto ai primi, le imprese dovranno investire in formazione del personale, adeguamento dei processi di sviluppo e predisposizione di documentazione tecnica a fini ispettivi. In merito invece alle opportunità di mercato, imprese che anticipano i requisiti normativi e integrano principi etici e di responsabilità sociale nella progettazione dell’intelligenza artificiale potrebbero beneficiare di un vantaggio competitivo, anche in termini di reputazione.
- C’è da considerare, infine, il ruolo delle autorità nazionali. Durante il periodo transitorio, fino ad agosto 2025, gli Stati membri dovranno designare autorità competenti per l’applicazione delle norme e la gestione delle sanzioni. Il tema solleva questioni non nuove alla regolazione tecnologica. Anzitutto, in materia di formazione e coordinamento. Le autorità nazionali dovranno formare il proprio personale per affrontare sfide altamente tecniche. Sarà determinante la cooperazione transfrontaliera e il dialogo con la Commissione europea per assicurare uniformità di interpretazione e di enforcement. C’è poi un tema di sanzioni: si prevede un sistema di sanzioni proporzionato alla gravità dell’infrazione e alla recidiva, simile al modello adottato dal GDPR, con multe che possono raggiungere importi molto elevati.
Permangono alcune sfide operative. Prima tra tutte la necessità di maggiore chiarezza su alcune disposizioni e l’equilibrio tra innovazione tecnologica e protezione dei diritti fondamentali. Preoccupano soprattutto il coordinamento con altri regimi normativi. Il GDPR, anzitutto. Il principio di minimizzazione dei dati e di limitazione delle finalità troverà un nuovo livello di applicazione quando i dati biometrici o sensibili sono utilizzati da sistemi di intelligenza artificiale. In seconda battuta, rimane aperta la questione dell’interoperabilità con il Digital Services Act. Piattaforme e fornitori di servizi digitali dovranno assicurarsi che i sistemi di intelligenza artificiale che rientrano nella loro attività rispettino non solo le previsioni di questo regolamento (soprattutto in tema di moderazione dei contenuti) ma anche i vincoli previsti dall’AI Act.
In conclusione, l’approccio europeo si distingue per una forte tutela dei diritti fondamentali, posizionandosi come modello di riferimento per altre giurisdizioni. Le sfide sono molteplici: dal bilanciare la competitività delle imprese alla promozione di standard etici elevati, passando per la tutela effettiva delle libertà individuali. Occorrerà a tal fine un monitoraggio costante, il dialogo tra le istituzioni europee, le autorità nazionali e gli operatori economici, nonché una costante attività di formazione e sensibilizzazione per professionisti e cittadini.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
