Gli USA ci restituiscono un interessante caso di diffamazione perpetrata da una chatbot in danno di una persona fisica. La problematica ha riguardato la senatrice repubblicana Marsha Blackburn nel momento in cui è stato chiesto a Gemma (un’IA sviluppata da Google, ndr) se la stessa fosse mai stata accusata di violenza sessuale. La chatbot ha risposto che nel 1987 un poliziotto statale aveva dichiarato che la donna “lo aveva indotto a procurarle farmaci soggetti a prescrizione e che la relazione aveva comportato anche atti sessuali non consensuali”: in realtà la senatrice non aveva non aveva mai affrontato una simile accusa.
Trattandosi di un’informazione gravemente diffamatoria, la Blackburn ha diffidato il gigante di Mountain View affinché disattivasse l’applicazione fino a quando non ne avesse avuto il “pieno controllo”. Dal canto suo Google, probabilmente per evitare ulteriori conseguenze legali, ha rimosso l’applicazione dalla sua offerta commerciale dichiarando che la stessa fosse, in realtà, destinata agli sviluppatori.
La questione è quella di capire se le aziende che offrono soluzioni IA possano essere ritenute responsabili per diffamazione.
Indice degli argomenti
Chatbot diffamatorio, il precedente: Meta
Anche Meta è stata costretta a raggiungere un accordo in relazione ad una causa intentata da un attivista di destra, dopo che uno dei suoi bot lo aveva falsamente accusato di avere partecipato all’attacco al Campidoglio il 6 gennaio 2021.
In ogni caso, bisogna tenere ben a mente che l’ordinamento giuridico statunitense prevede importanti risarcimenti “punitivi” anche nel caso di diffamazione: per esempio nel 2022 un teorico della cospirazione fu condannato a pagare 1,4 mld di dollari per sostenuto che la sparatoria in una scuola nel 2012 fosse una bufala
La sezione 230 del Communication Decency Act e il problema dei TOS
Va sottolineato che libertà di espressione nei USA rappresenta un “totem” spesso e volentieri difficile da abbattere e le condanne per diffamazione sono molto rare, tuttavia lo sviluppo dell’IA cd. “generativa” pone questioni etico-giuridiche difficilmente superabili dalla norma contenuta nella sezione 230 del Communication Decency Act del 1996 che ha posto le basi di internet così come lo conosciamo adesso.
Difatti la lett. c) al numero 1 sez. 230 stabilisce che nessun fornitore o utente dei servizi della società dell’informazione può essere considerato come responsabile quale editore o autore di una qualsiasi informazione fornita da terzi. L’aspetto sostanziale riguarda la stessa logica di funzionamento delle chatbot basate su tecnologia LLM (Large Language Learning) che, di fatto, costruiscono un concetto in relazione ad un prompt dopo una iniziale fase di addestramento basata su varie fonti.
Va detto che i fornitori di servizi basati su IA scrivono chiaramente che non si assumono la responsabilità in relazione all’uso delle informazioni tratte dai propri software che potrebbero essere non accurate, soprattutto per la facilità con cui tali sistemi confondono nomi e circostanze.
In ogni caso, la tendenza di molti studi legali statunitensi sarebbe quella di considerare le software house che investano nell’IA quali responsabili di diffamazione per i risultati inesatti forniti all’utenza, fenomeno che potrebbe espandersi a dismisura a meno di un intervento della Corte Suprema o dello stesso legislatore USA.
Il framework in Italia e in Europa
Va necessariamente chiarito che in Italia una condanna per diffamazione aggravata nei confronti dei manager (o dei programmatori?) delle big company che forniscono sistemi di IA sarebbe altamente improbabile, non essendoci sufficienti indici di rappresentazione del dolo in capo ai soggetti in questione, sia per il loro ruolo apicale, sia per la estrema frammentazione delle responsabilità aziendali delle big tech.
Neppure l’art. 40 cp cpv. ci sarebbe d’aiuto un quanto mancherebbe la base giudica per poter sostenere una ipotetica posizione di garanzia in capo al programmatore per non aver adeguatamente verificato il software posto alla base della risposta “diffamatoria”, in ogni caso non proveniente da un individuo (quel “chiunque” dell’incipit di ogni norma incriminatrice), ma pur sempre da una macchina.
Gli aspetti civilistici
Se il diritto penale non sembra essere d’aiuto, si può valutare la possibilità di agire in sede civile per il risarcimento del danno in quanto la norma generale di cui all’art. 2043 c.c. -in combinato disposto con l’art. 2 Cost.- è la base per tutelare la reputazione di una persona diffamata, anche a causa dell’errore commesso dall’IA.
Gli scenari possibili potrebbero essere due:
- Restituzione di false informazioni da chatbot, non ancora propalate.
- Diffamazione commessa utilizzando una informazione diffamatoria appresa da una chatbot.
Nel primo caso l’interessato può diffidare la software house, chiedendo la rimozione del risultato diffamatorio, anche avvalendosi della normativa privacy. Nel secondo caso, se si tratta di testata giornalistica, la stressa sarebbe responsabile del reato di diffamazione per non aver “verificato” la fonte, ferma restando l’esimente della buona fede di cui all’art. 59 c.p. cpv..
D’altro canto “è principio giurisprudenziale consolidato che, in tema di responsabilità civile per diffamazione, se il legittimo esercizio del diritto di cronaca esonera il giornalista dall’obbligo di verificare l’attendibilità della fonte informativa nel caso in cui questa provenga dall’autorità investigativa o giudiziaria, l’applicabilità della esimente del diritto di cronaca, quantomeno putativa, gli impone di verificare in modo completo e specifico, mediante un necessario aggiornamento temporale, la veridicità della notizia al momento della sua divulgazione (v. ex aliis Cass. Sez. 3 n. 21969-20)” (Cass. Civ. Ord. N. 29265/2022 pub. Il 7/10/2022).
Tuttavia, la responsabilità sarebbe solo testata e non anche della software house che ha fornito il dato incriminato, anche se un primo soccorso potrebbe arrivare dal Codice Privacy che definisce il trattamento dei dati personali quale “attività pericolosa” ex art. 2050 c.c.; nel caso di specie, il danneggiato dovrebbe “solo” provare il danno e la presenza di un trattamento sulla base dell’art. 15 D.Lgs 196/2003 secondo cui “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”. (art. 15 Codice Privacy)”.
La pronuncia del garante di Amburgo
Ma per definire i limiti interni della responsabilità del fornitore dei servizi di IA serve di più. A tal proposito è interessante un parere (n.28/2024) del Garante Privacy di Amburgo (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit) secondo cui “la memorizzazione di un LLM sul server di un’azienda o di un’autorità non è rilevante ai sensi della legge sulla protezione dei dati. Tuttavia, il sistema AI utilizzato deve in ogni caso consentire l’adempimento dei diritti degli interessati in termini di input e output“.
In buona sostanza, il Garante amburghese opera una minuziosa distinzione fra il sistema di IA e l’LLM contenuto in esso, basandosi sul fatto che lo stesso è solo una componente del sistema IA, al pari dell’interfaccia utente (o GUI) e dei filtri input ed output.
Diffamazione e chatbot, il ruolo della tecnologia
Più nel dettaglio, l’input dell’utente (il cd. prompt) viene pre-elaborato per farlo digerire all’LLM che avrà poi il compito di processarlo; stessa sorte tocca poi all’output che viene filtrato prima di essere restituito all’utente. Il complesso funzionamento dell’LLM si basa sulla scomposizione di una frase in c.d token, poi mappati poi con valori numerici che servono al sistema per “ricomporre” una frase “generata” in base al prompt.
Continuando, il database su cui lavora l’LLM non contiene più la frase originale, ma solo frammenti poi ricomposti su base probabilistica. Per esempio, il nome “Giorgio” è scomposto due frammenti linguistici “Gior” “gio” indi le relazioni vettoriali indicano che il frammento “Gior” è quasi sempre seguito dal frammento “gio”. In un sistema LLM, i dati personali utilizzati per l’addestramento perdono di semantica per divenire modelli matematici astratti.
In estrema sintesi, il modello non memorizzerebbe dati personali ma astrazioni linguistiche composte in relazione all’esigenza (rectius prompt), il che potrebbe fornire una sorta di immunità in capo alle società che forniscono servizi basati su IA in caso di generazione di contenuto diffamatorio.
Ma con un’eccezione: quando un sistema di intelligenza artificiale basato su LLM produce risultati che includono dati personali, la responsabilità ricade sull’utente che deve garantire la conformità al GDPR sia per gli input che per gli output.
La logica ci imporrebbe di sostenere che, se l’informazione relativa ad una persona (si ritorna al caso della senatrice) fosse falsa nonché diffamatoria, ci troveremmo innanzi ad un caso di gestione illecita di un dato personale in ordine a cui l’interessato potrà esercitare tutti i diritti che la legge gli fornisce a tutela della propria reputazione. Infine, anche il privato (con le dovute cautele) potrebbe essere chiamato a risarcire il danno, qualora commettesse diffamazione utilizzando informazioni fornire dall’IA, ferma restando la possibilità di provare la sua buona fede (cd. scriminante putativa).
Chatbot diffamatori, lo scenario futuro
La copiosa giurisprudenza ha affrontato più volte il tema della diffamazione on line, tuttavia, la base comune è sempre quella di un fatto commesso da una persona fisica.
Ma se la diffamazione parte dalla macchina dobbiamo arrenderci di fronte ad una sorta di impunità delle software house, spesso trincerate innanzi a generiche clausole di esenzione di responsabilità, oppure si deve iniziare a responsabilizzarle a tutela della dignità della persona e mai per limitarne lo sviluppo tecnologico?
Staremo a vedere, quindi, quale sarà l’evoluzione normativa e giurisprudenziale a riguardo.
