Intelligenza artificiale, obiettivo regole privacy per renderla "umana" - Agenda Digitale

il nuovo Regolamento Ue

Intelligenza artificiale, obiettivo regole privacy per renderla “umana”

Arriva il Regolamento Ue sull’intelligenza artificiale. Il focus è sulla protezione dei dati, che può garantire la creazione di macchine che somiglino sempre di più all’uomo, che si avvicinino al suo modo di ragionare, senza coup de théâtre non comprensibili dalla ragione umana. Le sfide

20 Apr 2021
Giuseppe D'Acquisto

Funzionario del Garante per la protezione dei dati personali, Titolare dell’insegnamento di intelligenza artificiale presso il Dipartimento di Giurisprudenza dell’Università LUISS Guido Carli

È attesa a ore la pubblicazione da parte della Commissione Europea del draft di Regolamento sull’intelligenza artificiale, che è stato preceduto da un corpus di lavori preparatori nell’ultimo biennio sui temi dell’etica[1], della responsabilità (liability)[2] e della sicurezza[3].

Dalla lettura di questa documentazione possiamo comprendere tutte le aspettative e le preoccupazioni che hanno alimentato questo dibattito, e provare a intuire, almeno nelle linee generali, gli obiettivi regolatori che stanno ispirando le scelte della Commissione.

Le aspettative si comprendono tutte se osserviamo le previsioni economiche, ad esempio quelle fatte dal Parlamento UE nel 2020[4], che stimano per il 2025 un impatto dell’intelligenza artificiale sulla produttività globale intorno a 10.000 miliardi di euro (circa un decimo del PIL mondiale). Si tratta dunque di un’area di grande importanza strategica e di un fattore chiave per la crescita economica, anche in vista di un rilancio post-Covid. Le preoccupazioni invece riguardano gli impatti sul tipo di relazioni tra uomini e macchine, e tra uomini e uomini, in una società in cui macchine sempre più intelligenti avranno un ruolo crescente nei processi decisionali ad ogni livello.

È dunque importante costruire un sistema di regole in grado di promuovere lo sviluppo, preservare la centralità della persona e allo stesso tempo creare fiducia sull’impiego dell’intelligenza artificiale.

Intelligenza artificiale, a cosa mira la Commissione UE con le nuove regole

Il concetto di autonomia decisionale della macchina

In questo difficile esercizio il concetto di autonomia decisionale della macchina, che è il tratto distintivo dell’intelligenza artificiale rilevato dalla Commissione Europea[5], è cruciale. Se abbiamo l’ambizione di regolamentare l’intelligenza artificiale, dobbiamo infatti comprendere bene in cosa si esplica l’autonomia della macchina, il suo campo di applicazione, e il tipo di regole che possono essere immaginate per regolamentarne il funzionamento. Individuare regole che non confliggano con il modo di funzionare di macchine autonome è un passaggio fondamentale se si vuole garantire effettività delle tutele.

WEBINAR
27 Settembre 2021 - 18:00
360ON Tv - Via al nuovo “Gdpr” cinese: quali impatti sul business delle aziende italiane?
Legal
Sicurezza

È bene osservare che l’autonomia decisionale della macchina non è legata al concetto di necessità della macchina per il conseguimento di un risultato, e neppure alla complessità del risultato stesso. A ben riflettere, ci sono molte situazioni (e, in vero, ve ne sono da diversi decenni ormai) in cui l’impiego di uno strumento di calcolo automatico è necessario per raggiungere un risultato, eppure l’azione dello strumento non può essere qualificata come autonoma. Pensiamo a progetti molto articolati, con calcoli molto complessi. In tutti questi progetti c’è un momento a partire dal quale la capacità computazionale dell’uomo si arresta e lascia il passo all’intervento della macchina che esegue tutti i calcoli al posto dell’uomo. Però non dobbiamo confondere questa necessità legata alla complessità computazionale con il concetto di autonomia decisionale. Se il risultato è corretto grazie ai calcoli eseguiti dalla macchina non posso dire che questo è il risultato dell’autonomia della macchina. E, per contro, se il risultato è sbagliato per un errore di calcolo non posso affermare che l’uomo non sia responsabile dell’errore perché i calcoli sono stati eseguiti da una macchina.

L’uomo è sempre pienamente responsabile, anche se è la macchina ad arrivare al risultato, corretto o sbagliato che sia, in quanto è l’uomo che sceglie i criteri di progetto e i modelli matematici, ovvero gli algoritmi, che descrivono il problema che si vuole risolvere. Fintanto che l’uomo è in grado di spiegare con una teoria il funzionamento di un algoritmo non siamo in presenza di una decisione autonoma, e possiamo ricondurre il risultato ottenuto dalla macchina interamente alla responsabilità dell’uomo. Dunque, se c’è una teoria sviluppata dall’uomo non c’è autonomia decisionale da parte della macchina. La presenza di una teoria è una forte tutela, dal momento che rende possibile una piena trasparenza sul processo decisionale e una piena accountability sui risultati. Non è di questo che parliamo quando ci riferiamo all’autonomia decisionale dell’intelligenza artificiale.

I conflitti tra regolamentazione e funzionamento delle tecnologie

I conflitti tra regolamentazione e funzionamento delle tecnologie affiorano quando l’azione della macchina diventa realmente autonoma, ossia quando l’intervento della macchina non è sorretto da una teoria che spieghi i fenomeni. Questo è il campo di applicazione dell’intelligenza artificiale, già oggi molto ampio e certamente destinato a crescere in futuro: l’impiego di strumenti di calcolo in tutte quelle situazioni in cui manca del tutto, o manca ancora, la spiegazione del fenomeno, ma vogliamo comunque conseguire il risultato.

Questo obiettivo con l’intelligenza artificiale è in effetti raggiungibile: possiamo ottenere risultati in situazioni nelle quali non abbiamo ancora una scienza consolidata, o nelle quali il livello di complessità dei fenomeni è tale da rendere praticamente impossibile avere una teoria sullo sfondo degli algoritmi.

Questo non significa che con l’intelligenza artificiale entriamo in una sfera di decisioni illogiche e ci consegniamo all’arbitrio della macchina. Però dobbiamo essere consapevoli che con l’intelligenza artificiale assistiamo a un cambiamento profondo del paradigma conoscitivo. Da una parte abbiamo macchine non autonome che funzionano sulla base di una teoria sviluppata dall’uomo, dall’altra abbiamo macchine autonome che funzionano unicamente sulla base dei dati che ricevono in ingresso e di un solo paradigma conoscitivo di tipo quantitativo: la ricerca di correlazioni tra dati. Sono due modi razionali di procedere, ma incommensurabili: uno a misura d’uomo, l’altro a misura di macchina.

Autonomia decisionale e correlazione tra dati

Questa è la principale novità introdotta dal concetto di autonomia decisionale applicato alle macchine, ed esistono moltissime situazioni in cui i dati sono presenti in abbondanza ma non disponiamo affatto, o non disponiamo ancora, di una teoria che spieghi i fenomeni che hanno generato quei dati. La medicina digitale e la diagnostica per immagini, per esempio, sono interamente basate sulle correlazioni tra dati, così come l’interpretazione della voce alla base del funzionamento dei tanti assistenti domotici che usiamo ogni giorno, o ancora il riconoscimento facciale impiegato nella videosorveglianza, e l’individuazione di anomalie per la prevenzione delle frodi nei sistemi di pagamento online.

Sono tutte situazioni nelle quali abbiamo moltissimi dati, non abbiamo una teoria, ed è improbabile che ne avremo per via dell’ampia variabilità dei casi, ma vogliamo ottenere dei risultati. In questi e tanti altri casi la macchina può intervenire in piena autonomia cercando correlazioni tra i dati e offrendoci dei risultati che con l’approccio teorico umano non riusciremmo ad avere. Solo la macchina può arrivare a quei risultati. L’uomo non può arrivarci, o forse ci arriverebbe troppo tardi. E non si tratta di un approccio irrazionale: questi risultati infatti sono nella maggior parte dei casi corretti, ovvero utili, cioè diagnosticano la patologia, riconoscono il significato della parola, riducono i rischi, ma non spiegano il fenomeno. O meglio ci danno per i diversi fenomeni una sola spiegazione universale: c’era una correlazione tra i dati.

Grazie all’autonomia decisionale delle macchine abbiamo dunque la prospettiva di poter ottenere qualsiasi tipo di risultato che ci è utile per ogni possibile scopo partendo dalla semplice osservazione di dati e senza la necessità di sviluppare una teoria.

AI, serve una regolamentazione che parli anche alle macchine: gli scenari

Lo slancio creativo che manca all’intelligenza artificiale

Ma questa possibilità ha un prezzo molto elevato. A fare le spese è infatti la capacità di spiegare i fenomeni attraverso un ragionamento causale. E non è poco. L’intero metodo scientifico è infatti fondato sulla ricerca di un nesso di causalità che cerchi di interpretare con congetture sempre falsificabili, come ha spiegato benissimo Karl Popper[6], la ragione dei fenomeni.

Se l’uomo, grazie alle sue teorie, osserva il sorgere del sole e sente il canto del gallo non ha nessun dubbio su quale fenomeno sia la causa e quale l’effetto. Se la macchina autonoma, in assenza di teorie, osserva oggi il sorgere del sole e sente oggi il canto del gallo, domani sarà certa che uno dei due fenomeni annuncia certamente l’altro, cioè saprà fare previsioni, ma non sarà in grado di dirci quel dei due fenomeni determina l’altro, cioè non saprà fare scoperte. Bisogna non sottovalutare questa limitazione.

Un paradigma conoscitivo guidato da macchine che agiscono senza intervento dell’uomo e interamente basato sulla ricerca delle correlazioni scandaglia tutti i dati esistenti e ci mostra legami tra fenomeni assolutamente invisibili all’uomo, consentendo di ottenere risultati impensabili, ma in definitiva lascia il mondo invariato, venendo a mancare ogni slancio creativo. Anche l’approccio creativo umano alla decisione, a dire il vero, non è privo di rischi, ma esistono molti meccanismi di tutela oltre alla sussistenza di una teoria spiegabile, quali l’assunzione di precise responsabilità sui risultati, la possibilità di ricorrere in giudizio. Un analogo insieme di garanzie per le decisioni assunte da una macchina autonoma non esiste ancora ed è tutto da costruire. Questo il fenomeno tecnologico che vogliamo regolamentare quando parliamo di intelligenza artificiale.

Protezione dei dati perno della regolamentazione sull’AI: il concetto di privacy by design

In un contesto come questo, nel quale la ricerca di correlazioni tra dati è il presupposto unico per le decisioni, la protezione dei dati riveste un ruolo estremamente importante come perno della regolamentazione. Infatti, se nella fase in cui la macchina agisce in autonomia il margine per l’intervento regolatorio dell’uomo è limitatissimo, e forse inesistente, lo spazio di regolamentazione si sposta tutto sulla fase immediatamente precedente alla decisione, ossia quella della raccolta e della strutturazione del dato, e sulla fase successiva, ossia quella delle conseguenze sulla persona.

Dunque, prima che la macchina agisca, è necessario rafforzare le tutele intervenendo direttamente sul dato, che deve risultare ben protetto in modo da non indurre risultati sbagliati. In altri termini, condizione necessaria, ma non sufficiente, per potersi fidare dei risultati di una macchina è che i dati abbiano un livello di qualità adeguato allo scopo per cui il risultato che da essi verrà desunto sarà impiegato.

L’importanza dei dati di partenza

Non si può pensare di avere risultati accurati se i dati di partenza non sono accurati. La qualità del dato si può solo disperdere, non si crea cammin facendo. Si tratta di un obiettivo molto complesso da raggiungere, che richiede considerazioni a più livelli e che non può essere raggiunto unilateralmente.

Qui si possono solo richiamare alcune questioni che devono essere affrontate per avvicinarsi a questo obiettivo.

  • Cosa è una fonte di dati attendibile?
  • Chi ne certifica la qualità per lo scopo per cui i dati saranno impiegati?
  • Come verificare che i dati siano utilizzati per ottenere risultati non discriminatori e per non avvantaggiare un soggetto a discapito di un altro?
  • Come organizzare, su un piano più tecnico, un processo decisionale automatizzato in modo da non disperdere la qualità del dato in trattamenti che coinvolgono più soggetti?
  • Come evitare che dal trattamento emergano più risultati di quelli strettamente necessari?

A ben vedere sono modi diversi per ribadire i principi (di accuratezza, correttezza, minimizzazione, necessità) della protezione di dati personali.

Privacy by design

Nel contesto dell’intelligenza artificiale essi dovranno essere declinati in una forma tecnologica adeguata a essere compresa dalle macchine. È il concetto di privacy by design, la cui essenza è proprio l’integrazione dei principi per via tecnologica all’interno dei trattamenti. Inoltre, poiché il dato determina le sfumature del risultato, e nelle sfumature risiede la tutela, il dato prima di essere trattato deve assumere tutte le possibili sfaccettature per consentire risultati calibrati. Oggi il dato può essere pseudonimizzato, generalizzato, randomizzato, cifrato (e addirittura cifrato in modo omomorfo), e infine anonimizzato. Sono tutte forme nuove che i dati possono assumere e che stiamo imparando a conoscere, ognuna delle quali incorpora già una precisa forma di tutela. Occorre, e lo si sta facendo, comprendere cosa significa impiegare questi tipi di dati nel contesto dell’intelligenza artificiale. C’è un promettente settore che studia l’impiego di tecniche di anonimizzazione nell’ambito del machine learning. Questi studi vanno seguiti molto attentamente[7]. Magari potremmo scoprire che attraverso l’impiego di un certo tipo di dati tra quelli richiamati si può mantenere l’efficacia dei risultati riducendo però significativamente gli impatti sui diritti e le libertà della persona. Quanto più cresce l’autonomia decisionale della macchina tanto maggiore è dunque la necessità di rafforzare la protezione intervenendo direttamente sul dato.

Intelligenza artificiale, il regolamento della Commissione UE: una sfida complessa

I meccanismi di tutela ex-post

Sull’impatto che deriva dal risultato, il rischio connesso alle conseguenze di ogni tipo di decisione è ineliminabile, anche se è l’uomo ad assumerla, e con uno spirito privo di preconcetti dobbiamo riconoscere che l’uomo con le sue decisioni è spesso un generatore di disuguagliane e discriminazioni. Si parla molto di intervento umano come elemento di salvaguardia rispetto alle decisioni automatizzate, ma questo ci indurrebbe a domandarci a quale archetipo ideale di uomo ci si riferisca. Più pragmaticamente, piuttosto, è necessario, di pari passo con l’applicazione sempre più diffusa di decisioni assunte dalle macchine in autonomia, prevedere meccanismi di tutela ex-post che riducano i rischi che derivano da risultati già ottenuti, e che per loro natura sono incontrollabili.

Anche qui il GDPR ci dà ottimi spunti di riflessione da cui vale la pena partire. Esiste l’istituto della notifica dei data breach, che è proprio una misura ex-post di mitigazione dei rischi a incidente avvenuto. In ugual modo, anche per le decisioni già assunte dalle macchine in autonomia dovrebbe essere lasciata alla persona la facoltà di notificare situazioni penalizzanti a un soggetto super partes, con adeguati poteri di intervento tecnico e giuridico capaci di invalidare la decisione della macchina. Sarebbe una forma di notifica distribuita rispetto a quella prevista dal GDPR, oggi limitata ai titolari, che naturalmente richiederebbe ragionati interventi regolatori di incentivazione e ingegnerizzazione, che sarebbe effettuata nell’interesse collettivo di limitare, anche se soltanto ex-post, l’asimmetria ineliminabile tra uomo e macchina sul modo in cui dai dati si perviene ai risultati.

Il “senso” da attribuire ai risultati dell’AI

Ma oltre a questi interventi di carattere procedurale è sicuramente necessaria, e forse decisiva, una riflessione più generale, di carattere culturale, sul “senso” che si può attribuire ai risultati prodotti dall’intelligenza artificiale. L’assenza di una teoria spiegabile nei termini causali tipici del ragionamento umano dovrebbe farci sempre assumere un atteggiamento critico nei confronti dei risultati prodotti da una macchina che agisce in autonomia.

A metterci in guardia è la stessa comunità scientifica che oggi studia le possibili evoluzioni dell’intelligenza artificiale. Nel mondo della ricerca c’è un detto: “artificial intelligence is doing more with less”.

È proprio così: l’intelligenza artificiale consente di fare un passo in più di più rispetto all’osservazione dei dati, ma bisogna stare attenti sulla valenza conoscitiva di questo passo ulteriore. Perché ci sia il “più” è sempre necessario il “meno”, ossia la creatività umana che ha generato i dati osservati che la macchina riceve in ingresso, e questo “meno” è un grande margine di manovra che l’uomo ha per indirizzare l’azione autonoma della macchina.

Noi spesso ci soffermiamo sul “più”, perché lì si concentra l’aspetto teatrale dell’intelligenza artificiale, ma il risultato del “più” molto spesso è già iscritto ed evidente nel “meno”. Se il “meno”, ossia il primo passo verso l’interpretazione dei fenomeni compiuto dall’uomo, è di qualità, allora il “più” ottenuto in autonomia dalla macchina diventa un vero valore aggiunto sulla conoscenza del mondo. Se noi ci concentriamo troppo sul “più” rischiamo di lasciarci abbagliare dall’effetto, e se divarichiamo la distanza tra il “più” e il “meno” allora il risultato diventa un fake sganciato dalla realtà, un abbaglio che non genera fiducia sull’impiego della macchina, e finiamo per consegnarci all’arbitrio della macchina.

Non è un caso che la frontiera della ricerca scientifica oggi sia maggiormente concentrata sul “meno”, ossia sui fondamenti causali del ragionamento per verificare se sia possibile ipotizzare una macchina creativa[8]. La ricerca più avanzata sembra dirci che c’è un limite oltre il quale l’intelligenza artificiale rischia di diventare maniera, un puro esercizio di stile che potrebbe non trovare il favore collettivo e la necessaria fiducia sui risultati.

Conclusioni

Siamo dunque in presenza di un settore strategico, in grandissimo fermento sul piano della ricerca scientifica, ma anche desideroso di buone regole. Grande e motivata è dunque l’attesa per il Regolamento che la Commissione sta per presentare.

L’analisi del fenomeno che è stata qui condotta dal punto di vista della persona ci porta a concludere che ciò che occorre non sono macchine che puntino su coup de théâtre non comprensibili dalla ragione umana, ma macchine che somiglino sempre di più all’uomo, che si avvicinino al suo modo di ragionare.

E una protezione dei dati che punti sui principi e che sappia guardare negli occhi l’intelligenza artificiale offrendo soluzioni tecnologiche per mantenere al centro la persona anche in presenza di macchine con capacità di decisione autonoma è assolutamente indispensabile per costruire uno spirito di fiducia e di ottimismo nei confronti di questi strumenti che, se saggiamente impiegati, possono costituire un reale fattore di progresso e di crescita per l’umanità.

Bibliografia

  1. High-Level Expert Group on Artificial Intelligence set up by the European Commission: The Assessment List For Trustworthy Artificial Intelligence (ALTAI), July 2020
  2. European Parliament resolution of 20 October 2020 with recommendations to the Commission on a civil liability regime for artificial intelligence
  3. ENISA AI Threat Landscape, 15 December 2020
  4. https://www.europarl.europa.eu/news/en/headlines/society/20201015STO89417/ai-rules-what-the-european-parliament-wants
  5. A European approach to Artificial intelligence, European Commission 9 March 2021, https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence
  6. K. Popper, Congetture e confutazioni, Lo sviluppo della conoscenza scientifica, Il Mulino, 2009.
  7. E. De Cristofaro An Overview of Privacy in Machine Learning, ArXiv:2005.08679, 18 May 2020. http://arxiv.org/abs/2005.08679
  8. Si vedano J. Pearl, D. Mackenzie, The Book of Why: The New Science of Cause and Effect, Penguin 2019 (Judea Pearl è il vincitore del premio Turing, l’equivalente del premio Nobel dell’informatica, nel 2011) e B.A Richards, T.P Lillicrap, P Beaudoin, Y Bengio et alii, A deep learning framework for neuroscience, Nature neuroscience, 2019 (Yoshua Bengio è invece il vincitore del premio Turing nel 2018).
WHITEPAPER
Difendere le organizzazioni dal crimine informatico: una guida pratica.
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4