mercoledì, Giugno 19, 2024
Uncategorized

L’AI Act è ad un passo. Noi siamo pronti?

L’AI Act è ad un passo. Noi siamo pronti?
Prospettive critiche ed alternative alla luce della proposta di regolamento europeo del 21 aprile 2021.

 

a cura di Alessandro Signorini

Sommario:

1. Introduzione e premessa metodologica; 2. Un compromesso tra scelte di policy: il “Risk-based approach”; 2.1 Contesto applicativo, 2.2 Criticità; 3. AI Act e mercato digitale: tra DSA e DMA. Conflitto o possibile integrazione? Percorsi alternativi di regolamentazione; 4. Considerazioni conclusive

1. Introduzione e premessa metodologica

L’intelligenza artificiale corrisponde alla versione definitiva di Google: l’ultimo motore di ricerca che capirebbe tutto sul web”, in questo modo iniziava una conferenza tenuta da Larry Page[1] sulle potenzialità del c.d. “Deep learning[2].

Si ritiene utile richiamare la precedente citazione in quanto, non solo dà un’idea della complessità di ciò di cui si sta parlando ma traccia anche un filo preciso nello sviluppo della trattazione.

Generalmente, al di là delle critiche che possono essere mosse a parere di alcuni autori, un dato incontestabile è che siamo quotidianamente e costantemente rapportati con le moderne tecnologie che diventano sempre più a portata di tutti.

Un ulteriore aspetto che occorre essere preso in considerazione riguarda la potenzialità dell’intelligenza artificiale (da ora in avanti si userà l’abbreviazione AI) di abbracciare materie tra loro diversissime, rendendo così estremamente benefica la sua pervasività.

Non si vuole in questa sede delineare le potenzialità lato sensu esprimibili dall’AI, ma, secondo una diversa impostazione, prospettare le previsioni per una regolamentazione giuridica di un fenomeno così complesso e sfuggevole.

Il punto di partenza riguarda l’analisi dell’approccio utilizzato nella proposta di regolamento europeo in tema di intelligenza artificiale[3] (AI Act), che proprio in questi mesi è in via di discussione presso le istituzioni europee, facendo emergere le difficoltà applicative e le integrazioni necessarie.

Si prosegue poi, evidenziando i termini con la quale la recente proposta si intreccia ai regolamenti già vigenti nel settore del servizio digitale, quali il Digital Service Act[4] e il Digital Markets Act[5].

Da ultimo si vogliono indicare alcune prospettive alternative di regolamentazione nell’ottica di una maggiore tutela e di un opportuno bilanciamento dei diritti, soprattutto nei confronti dei consumatori.

 

2. Un compromesso tra scelte di policy: il “Risk-based approach”

2.1 Contesto applicativo

Il primo tentativo che si propone di rispondere alle esigenze di completezza e concretezza in tema di intelligenza artificiale è rappresentata senza dubbio dalla Proposta di regolamento europeo del 21/04/2021, la cui formulazione risulta essere suddivisa in 12 titoli.

Come si legge nella relazione di accompagnamento: “la proposta si basa sul rispetto dei diritti fondamentali e si prefigge di dare alle persone e agli utenti la fiducia di adottare le soluzioni basate sull’IA”. L’idea iniziale sarebbe di sviluppare un quadro normativo che assicuri la certezza del diritto, che migliori la governance e che infine, faciliti lo sviluppo di applicazioni di AI lecite, sicure e affidabili all’interno del mercato unico.

Al fine di rispondere al meglio alle moderne esigenze, la Commissione ha confrontato divergenti opzioni strategiche, prevedendo per ciascuna un diverso grado di intervento normativo, al fine di garantirne il miglior funzionamento.La soluzione adottata, che unisce insieme necessità di flessibilità e di bilanciamento, è stata individuata nell’utilizzo di uno strumento normativo orizzontale che segue un approccio proporzionato basato sul rischio.[6] Dopo la definizione nel titolo I dell’ambito di applicazione, la proposta individua all’art. 5 le c.d “pratiche di intelligenza artificiale vietate”.

In questo senso, il legislatore comunitario si interessa a quelle attività che rientrano in un livello di rischio ritenuto inaccettabile in quanto contrario ai valori dell’Unione, tra cui l’uso di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico, pratiche di “social scoring[7] da parte delle autorità pubbliche.

Nel novero delle attività ammesse, invece, la proposta individua nel titolo III le categorie di sistemi di “IA ad alto rischio”, le quali rilevano un elevato pericolo di danno verso la salute e la sicurezza con rischio di impatto negativo sui diritti fondamentali delle persone fisiche.[8]

La centralità delle attività ad alto rischio nella proposta di regolamento è evidente.

All’art. 6, infatti, vengono chiaramente scandite le condizioni che permettono di identificare propriamente un sistema di AI ritenuto ad “alto rischio”: in primo luogo, il sistema di AI deve essere usato come prodotto o come componente di sicurezza di un prodotto, in secondo luogo, è necessaria una valutazione positiva di conformità da parte di terzi.

Particolarmente importanti sono, per i fini che in questa sede interessano, le previsioni di cui dagli articoli 9 fino al 15 della proposta di regolamento, in quanto predispongono veri e propri obblighi e requisiti per i suddetti sistemi di AI, il cui rispetto è soggetto ad una precisa valutazione di conformità per la successiva immissione nel mercato interno.

Nello specifico si è prospettato di impostare un accurato sistema di gestione dei rischi (art. 9), prevedendo una puntuale regolamentazione in tema di: data governance (art. 10), documentazione tecnica (art. 11), conservazione delle registrazioni (art. 12), trasparenza e forniture di informazioni agli utenti (art. 13), sorveglianza umana (art. 14), accuratezza, robustezza e cybersicurezza (art. 15).

Si tratta in tal senso di obblighi di natura sostanziale, ai quali seguono specifici obblighi di natura prettamente formale (registrazione nel database europeo, dichiarazione di conformità e apposizione del marchio CE), il cui rispetto rimane comunque necessario ai fini dell’immissione nel mercato interno.

In ultima istanza, ci si vuole concentrare sui sistemi a c.d. “Basso rischio”, previsti nel titolo IV. I
l legislatore europeo, in questa direzione, ha voluto apprestare una tutela incentrata su precisi obblighi di trasparenza.[9]

Nello specifico, le persone fisiche andranno informate in circostanze ben delineate:

  • Interazione con sistemi AI.
  • Esposizione a sistema di riconoscimento delle emozioni o categorizzazione biometrica.
  • Casi di “deep-fake”[10].

Non si può prescindere, da ultimo, dall’analisi dei titoli finali che si concentrano in primo luogo sull’attuazione di sistemi di governance adeguati sia a livello di Unione[11], sia a livello dei singoli stati membri.

Il titolo VII prevede poi, al fine di facilitare il lavoro di monitoraggio della Commissione e delle autorità nazionali, la creazione di una banca dati per i sistemi AI ad alto rischio che possono presentare implicazioni con i diritti fondamentali.

In conclusione, le “disposizioni finali”[12], sanciscono in via di chiusura obblighi di riservatezza delle informazioni ed un meccanismo di valutazione periodica dell’efficacia del regolamento.

 

2.2 Criticità

Enucleato, in termini per lo più sintetici, l’oggetto dell’odierna proposta di regolamento europea in tema di intelligenza artificiale, si vogliono ora delineare in chiave critica le difficoltà e, tra gli altri, i possibili difetti di questo tipo di regolamentazione.

In prima battuta, si ritiene opportuno soffermarsi sul problema, in sé anche ontologico, legato alla definizione di sistema di AI. L’art. 3 comma 1, infatti, afferma che: “un sistema AI è un software sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I, che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono”.

Da questo angolo visuale ed alla luce del dettato testuale, emerge una certa “ampollosità” della norma al punto tale da considerarsi vuota sul piano concreto.

Infatti, il ricomprendere nell’alveo della definizione anche gli “strumenti informatici” prediligendo un approccio legislativo di rinvio ad un allegato, hanno reso la presente formulazione soggetta a forti critiche.[13]

La medesima questione si inserisce nell’individuazione di quali sistemi di intelligenza artificiale debbano considerarsi a “rischio proibito” e ad “alto rischio”.

Riprendendo la formulazione del già citato art. 5, si può notare che sono previste pratiche per le quali il testo non sembra “brillare” per chiarezza espositiva. Si consideri poi che, logicamente, un minor grado di esplicitazione normativa comporta una maggiore possibilità di pregiudicare l’applicabilità del divieto.

Si sottolinea infatti che, tali definizioni, nel momento in cui non vengono accuratamente integrate, possono dare adito ad interpretazioni eccessivamente estensive, andando ad espandere a dismisura l’area di rilevanza del divieto. Si pensi alle implicazioni in settori come quello del commercio elettronico o di advertising. [14]

Per quanto concerne quei sistemi ad “alto rischio”, le considerazioni sono analoghe calate in una prospettiva diversa.

La definizione che emerge dalla proposta di “Artificial Intelligence Act” rischia di risultare carente della necessaria flessibilità per potersi adeguare ad un settore in costante evoluzione.

In questa linea non si vuole criticare l’impostazione generale in sé, quanto invece mostrare altre perplessità, tra cui il tema della previsione di sistemi AI ad alto rischio c.d. “Indipendenti”[15].

Infatti, questi ultimi, sarebbero continuamente aggiornati volta per volta tramite allegati, di cui si avvale la Commissione abitualmente nell’esercizio della sua funzione propulsiva.

La criticità stricto sensu sarebbe quella di una previsione essenzialmente tautologica con possibili ricadute negative sull’operato della Commissione e sulla certezza del diritto.

Proseguendo nella dissertazione, ci si vuole concentrare ora su un elemento tanto centrale ma che spesso viene trascurato in ottica di regolazione: la capacità di apprendimento dell’AI.

Nonostante le peculiarità di questa tecnologia si siano mostrate per lo più nell’esponenziale moltiplicazione della sua capacità computazionale, non bisogna commettere l’errore di dimenticarsi dell’implementazione della stessa in termini di “capacità di apprendimento” così come di “imprevedibilità” ed “inesplicabilità” degli outcome.[16]

Con riguardo alla proposta odierna, sembrerebbe che all’interno del panorama europeo si sia adottato un approccio tendenzialmente “remissivo”.

Infatti, non viene dedicato sufficiente spazio alle problematiche poste dall’apprendimento automatico o al tema del blocco dell’algoritmo inserito nella macchina, preferendo invece tema di data governance e controllo qualità dei training e dataset.[17]

Una misura residuale su cui vale la pena soffermarsi e che si inserisce perfettamente nell’analisi di specie, riguarda l’istituzione di apposite “mitigation measures”, le quali, nonostante le notevoli incertezze applicative, istituiscono obblighi di sorveglianza e monitoraggio per prevenire esiti indesiderati nello sviluppo evolutivo della macchina.

Da ultimo, considerato la centralità del ruolo svolto, si vuole portare una considerazione in merito agli attori che operano nella filiera dell’intelligenza artificiale alla luce della proposta.

Infatti, l’art. 2 (“Ambito di applicazione”) individua rispettivamente nel fornitore e nell’utente i destinatari delle previsioni che seguono agli articoli successivi.

La criticità che emerge da questo punto di vista riguarda la difficoltà nel discernere correttamente tra fornitore ed utente, individuandone correttamente gli obblighi.

A complicare il quadro, rileva in tal senso il punto c) del primo comma, che cita: “ai fornitori e agli utenti di sistemi di IA situati in un paese terzo, laddove l’output prodotto dal sistema sia utilizzato nell’Unione.”. [18]

La problematica sottesa all’individuazione del fornitore e dell’utente ha, ovviamente, rilevanti ripercussioni in tema di responsabilità civile, per le quali sarebbe auspicabile un migliore coordinamento tra AI Act, Product Liability Directive[19] e AI Liability Directive.[20]

3. AI Act e mercato digitale: tra DSA e DMA. Conflitto o possibile integrazione? Percorsi alternativi di regolamentazione.

Intelligenza artificiale e dati sono diventati ormai il carburante del mercato digitale, costituendo la base di appoggio per l’erogazione dei principali servizi tecnologici in un mondo in fulminea evoluzione.

La particolare complessità del settore analizzato, però, non deve indurre il lettore a prendere in considerazione solo una limitata area delle applicazioni dell’intelligenza artificiale, rinunciando così all’approfondimento della rimanente parte del mercato.

In questo capitolo, l’indagine si estende al pacchetto di misure prese a livello europeo che interessa particolarmente il servizio digitale: si tratta del c.d. “Digital Services Package”, che riunisce insieme due regolamenti, il Digital Services Act e il Digital Markets Act.

Le proposte evidentemente si focalizzano sul ruolo che viene svolto, nel loro incarico di intermediari, dalle piattaforme che oramai stanno conquistando progressivamente una posizione centrale all’interno della rete, offrendo le possibilità più disparate in termini di beni e servizi.

Nel mutevole scenario anzi citato ed alla luce di quanto sottolineato, si vogliono muovere due fondamentali riflessioni sul punto: in primo luogo, delineare un possibile confronto tra proposta di regolamento europeo in tema di intelligenza artificiale e i regolamenti in tema di regolazione delle piattaforme e servizi digitali (DSA e DMA); in secondo luogo, alla luce delle criticità già espresse in tema di regolamentazione dell’intelligenza artificiale, si vuole prospettare un possibile nuovo approccio alla disciplina.

Per quanto concerne il primo punto, è scontato sottolineare che la previsione di una disciplina regolativa in tema di AI avrà sicuramente un impatto sul mondo delle piattaforme, dal momento che le stesse si avvalgono, nel loro funzionamento e nell’erogazione di servizi, di sistemi AI.

Per questi motivi, appare un controsenso non aver previsto all’interno del DSA riferimenti espliciti ai sistemi AI, nonostante la consapevolezza generale del ruolo cruciale che gli stessi assumono nel funzionamento delle piattaforme.

Infatti, se la speranza era quella di colmare la lacuna attraverso una proposta specifica in tema di intelligenza artificiale che intervenisse puntualmente sul tema, non solo ciò non è avvenuto, ma ha accentuato ulteriormente i problemi di coordinamento tra le varie discipline.

Infatti, secondo l’opinione maggiormente accreditata[21], la proposta di AI Act sembra prendere in considerazione e disciplinare i soli prodotti AI piuttosto che i sistemi di AI incorporati nei servizi digitali.

Questa questione, assume valore centrale nel delineare i problemi di coordinamento, in termini di obiettivi ed effettività della tutela, con le proposte DMA e DSA.

Si prendano ad esempio le attività di filtraggio dei contenuti delle grandi piattaforme ed i relativi regimi di responsabilità previsti dal DSA: un maggior grado di coordinamento con la proposta AI Act potrebbe chiarire il livello di rischio del sistema preposto all’attività di filtraggio.

La seconda questione, invece, muove dall’esigenza di promuovere tentativi di regolamentazione alternativi al mero approccio normativo.

In questa direzione, occorre tenere in considerazione l’impatto che hanno le caratteristiche dell’intelligenza artificiale sul nostro mondo, tra cui la complessità, rapidità e despazializzazione del fenomeno tecnologico. Ci si riferisce in particolare alla possibilità di regolare l’intelligenza artificiale andando oltre la dimensione strettamente giuridica.

In primo luogo, al fine di superare le criticità sopra espresse, la tecnologia stessa potrebbe inserirsi come strumento sia di supporto nell’implementazione delle regole giuridiche, sia di regolazione “by design” dei comportamenti intervenendo ex ante.[22]

Una potenzialità potrebbe essere quella di imprimere al sistema, in via ex ante, la capacità di apprendere dall’esperienza, imprimendo così una sorta di “etica della cosa”.[23]

Inoltre, un ulteriore opportunità potrebbe essere quella prevedere apposite forme di “self-regulation” per la disciplina AI.

In questo modo, l’affidare a soggetti di natura privata la produzione di regole, norme e standard tecnici per regolare l’Intelligenza artificiale può risultare sicuramente benefico in termini di flessibilità regolatoria, “expertise tecnica” e transnazionalità delle regole.

Da un diverso angolo visuale, questa impostazione pecca in quanto si tratta di una attuazione ed applicazione di regole su mera base volontaria, in assenza di un consenso sociale e del necessario circuito democratico.

Si consideri inoltre che il più delle volte queste ipotesi fanno inevitabilmente capo ad aziende private, le Big Tech, che detengono diritti di privativa industriale sul marchio ed interessi specifici non rappresentativi dell’intero mercato.

Un’ultima idea che si vuole approfondire trova la sua base nel tentativo, prettamente moderno, di avvalersi di spazi come “sandbox” regolamentari al fine di costruire regole condivise i cui effetti giuridici possono essere testati prima del loro ingresso nell’ordinamento.

Un vero e proprio spazio sicuro che, nella via dell’interlocuzione tra regolazione “algoritmica” e regolazione europea, permetterebbe di aprire la strada ad un impiego dell’AI per scopi normativi.

4. Considerazioni conclusive

Oramai, l’intelligenza artificiale condiziona le nostre vite in maniera determinante. Arriveremo al punto in cui le sue applicazioni avranno invaso completamente la nostra quotidianità. Naturalmente, la velocità di tale rivoluzione tecnologica non favorisce l’elaborazione di un quadro regolatorio specifico. Nonostante i rischi e le difficoltà riportate, quindi, non si può negare come la scelta dell’Unione Europea di dotarsi di un regolamento generale sia coraggiosa e certamente apprezzabile.

Infatti, al di là dei tentativi di regolamentazioni alternativi di cui si è accennato nella trattazione, pare condivisa la necessità di dotarsi a livello generale di un intervento giuridico normativo. Inoltre, al fine di esaurire le criticità legate alla eccessiva flessibilità, i codici di condotta e le c.d. “Sandboxes” potranno avere un ruolo cruciale nell’adattare le disposizioni ad una realtà in continua espansione.[24]

Da ultimo, si ritiene importante favorire un confronto tra diverse forme di sapere in modo che la interdisciplinarità possa assurgere da guida nello sviluppo di un sistema il più possibile sostenibile. Anche modelli di formazione e di carriera universitaria possono avere un ruolo cruciale, al fine di aprire le porte dei propri settori scientifico-disciplinari ad una realtà che può essere capita, interpretata e disciplinata solo se approcciata in via di relazione e comunicazione.

 

[1] Imprenditore statunitense e co-fondatore di Google.

[2] In Treccani, “Classe di algoritmi di apprendimento automatico che utilizza livelli multipli di reti neurali per generare un out-put”.

[3] Proposta di Regolamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale e modifica di alcuni atti legislativi dell’Unione, 21/04/2021.

[4] Regolamento europeo del Parlamento europeo e del Consiglio relativo a un mercato unico di servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali), 19/09/2022.

[5] Regolamento europeo del Parlamento e del Consiglio relativo a mercati equi e contenditi li nel settore digitale e che modifica le direttive (UE) 2019/1937 e 2020/1828 (regolamento sui mercati digitali), 12/10/2022.

[6] In tal senso, gli addetti ai lavori parlano propriamente di “Piramide del rischio”.

[7] Con tali, si intendono pratiche “a credito sociale” che valutano il comportamento virtuoso dei cittadini attraverso un sistema di monitoraggio.

[8] Come si può desumere dalla proposta di regolamento, all’interno del novero delle attività in oggetto vengono fatte ricomprendere: identificazione biometrica, gestione e funzionamento delle infrastrutture critiche, istruzione e formazione professionale, occupazione e gestione dei lavoratori, accesso a prestazioni e servizi pubblici e a servizi privati essenziali e loro fruizione, attività di contrasto, gestione della migrazione e amministrazione della giustizia e processi democratici.

[9] Si veda in tal proposito l’art. 52 della proposta di regolamento.

[10] Si intende la pratica per cui, sfruttando sistemi di IA, si sintetizza un’immagine o un video catturato in Internet rielaborandolo in un contesto diverso.

[11] Il titolo VI in tal senso parla esplicitamente di “Comitato europeo per l’intelligenza artificiale”.

[12] Con tali si intendono i titoli X, XI e XII del regolamento europeo.

[13] Nel dibattito, sono intervenuti successivamente proposte di emendamento della disposizione in esame ad opera rispettivamente del Consiglio, del Parlamento europeo (per il tramite di un report congiunto) e dell’OCSE.

[14] Si veda a proposito, C. Ernst, Artificial Intelligence and Autonomy: self-determination in the Age of Automated Systems, in Wischmeyer e Rademacher, Regulating Artificial Intelligence, cit., pp. 53 ss.

[15] Sistemi c.d. “stand-alone” non costituenti prodotti o componenti di sicurezza di prodotti reputati ad alto rischio per il forte impatto sulla salute, sicurezza e diritti fondamentali.

[16] In termini si veda, di P. Traverso, Breve introduzione tecnica all’Intelligenza Artificiale, in DPCE Online, 2021.

[17] Si noti il rinvio a U. Ruffolo, Le responsabilità da “artificial intelligence”, algoritmo e “smart product: per i fondamenti di un diritto dell’intelligenza artificiale “self-learning”, in Intelligenza artificiale. Il diritto, i diritti, l’etica, Milano, 2020, pp. 96 ss.

[18] In dottrina, in riferimento al parametro considerato, si è parlato propriamente di “Brussels Effect”.

[19] Si tratta della proposta di direttiva europea in tema di responsabilità da prodotto difettoso.

[20] Trattasi della proposta di direttiva europea in tema di adeguamento all’intelligenza artificiale delle norme in materia di responsabilità extracontrattuale.

[21] Si veda sul tema, A. Pajno, F. Donati, A. Perrucci, Intelligenza artificiale e diritto: una rivoluzione? Volume 1 Diritti fondamentali, dati personali e regolazione, 2022, Il Mulino.

[22] In questo senso, si fa riferimento alla possibilità di incorporare nel sistema un idoneo codice o una qualsiasi fonte di blocchi capace di prevenire eventuali outcome lesivi.

[23] In questo senso, si veda A. Nuzzo, Algortimi e regole, in “Analisi Giuridica dell’Economia”, 2019; F. Pasquale, Le nuove leggi della robotica, Roma, 2021.

[24] Si veda in questo senso, A. Santosuosso, Intelligenza artificiale e diritto. Perché le tecnologie IA sono una grande opportunità per il diritto, cit, p.149-175; anche C. Casonato, B. Marchetti, Prime osservazioni sulla proposta di regolamento dell’Unione europea in materia di intelligenza artificiale, in Rivista di Biodiritto, 03/2021

Lascia un commento