Intelligenza Artificiale, dove va il quadro giuridico internazionale e i passi necessari | Agenda Digitale

la panoramica globale

Intelligenza Artificiale, dove va il quadro giuridico internazionale e i passi necessari

La necessità di un quadro giuridico che consenta di sfruttare le potenzialità dell’intelligenza artificiale tutelando i diritti dei cittadini è ormai una costante nel panorama mondiale. L’auspicio è di giungere a un dialogo sempre più avanzato tra i vari stakeholders per garantire maggiore uniformità e standard globali

11 Giu 2021
Roberto Jacchia

Socio co-fondatore, Studio De Berti Jacchia Franchini Forlani

Le intelligenze artificiali (IA) possono comportare numerosi benefici dal punto di vista sociale ed ambientale e fornire vantaggi competitivi alle imprese, ma il loro impiego può anche rivelarsi rischioso per gli individui e la società, dando luogo a potenziali problematiche di tipo etico e nell’ambito della protezione dei dati personali.

È guardando a questo più ampio orizzonte che, negli ultimi anni, sempre più Stati ed organizzazioni internazionali hanno avvertito la necessità di un approccio che possa promuovere l’adozione delle IA affrontandone e gestendone i relativi rischi, di modo tale da delineare un quadro giuridico uniforme per il loro sviluppo, la loro commercializzazione ed il loro utilizzo in grado, al contempo, di garantire la sicurezza e i diritti fondamentali delle persone e delle imprese.

Le norme mondiali sull’intelligenza artificiale: a che punto siamo

L’Unione Europea e il nuovo Regolamento in materia di IA

La proposta di Regolamento presentata dalla Commissione Europea in data 21 aprile 2021 stabilisce, appunto, un’infrastruttura giuridica omogenea per lo sviluppo, la commercializzazione e l’utilizzo delle IA in grado di garantire la sicurezza e i diritti fondamentali, che troverà applicazione ai soggetti pubblici e privati, alla sola condizione che il sistema sia immesso sul mercato dell’Unione o che il suo utilizzo abbia effetti sulle persone ivi situate (potendo perciò riguardare sia i fornitori che gli utenti). Questo nuovo quadro di riferimento si fonda su una classificazione dei sistemi di IA basata sul rischio.

WHITEPAPER
Come far crescere il business? Fai emergere tutto il potenziale dei dati!
Intelligenza Artificiale

In primo luogo, i sistemi di IA che comportano un rischio minimo per i diritti o la sicurezza dei cittadini possono essere liberamente sviluppati ed utilizzati nel rispetto delle norme vigenti, con la possibilità per i fornitori di aderire a codici di condotta volontari redatti sulla base degli stessi criteri previsti per i sistemi ad alto rischio.

In secondo luogo, i sistemi a rischio limitato sono sottoposti ad obblighi di trasparenza qualora interagiscano con le persone, secondo meccanismi tali da rendere gli individui consapevoli di interagire con una macchina e consentire sempre loro di scegliere liberamente se proseguire o meno nel loro utilizzo.

In terzo luogo, i sistemi di IA che comportano un rischio inaccettabile sono vietati in quanto considerati una minaccia per la sicurezza, i mezzi di sussistenza e i diritti fondamentali delle persone. Nello specifico, non saranno ammessi quei sistemi che, tra le altre cose, manipolano il comportamento umano attraverso tecniche subliminali per aggirare il libero arbitrio degli utenti, sfruttano le vulnerabilità di specifici gruppi di individui a causa della loro età o di loro particolari caratteristiche, oppure consentono ai governi di attribuire un “punteggio sociale” agli individui. Anche l’uso dell’identificazione biometrica remota in tempo reale in spazi accessibili al pubblico con finalità di contrasto è in linea di principio vietata, salvi gli usi per la ricerca mirata di potenziali vittime specifiche di un reato, per la risposta ad una minaccia imminente di attacco terroristico o per l’individuazione degli autori di reati gravi.

Infine, un numero limitato di sistemi di IA sono considerati ad alto rischio a causa delle loro ripercussioni potenzialmente negative sulla sicurezza delle persone o sui loro diritti fondamentali. Più particolarmente, la proposta individua due categorie di sistemi IA ad alto rischio, quelli destinati ad essere utilizzati come componenti di sicurezza di prodotti soggetti ad una valutazione di conformità ex ante da parte di terzi, e quelli indipendenti (ossia non integrati in prodotti), di cui all’Allegato III della proposta di Regolamento, identificati sulla base di criteri quali, tra gli altri, il livello di utilizzo dell’applicazione di IA, la sua finalità prevista, il numero di persone potenzialmente interessate, la dipendenza dai risultati e l’irreversibilità dei danni. Onde poter essere immessi sul mercato, questi sistemi dovranno rispettare gli obblighi specifici previsti dalla proposta, relativi i) ad un sistema di valutazione e attenuazione dei rischi, consistente in un processo continuo eseguito durante l’intero ciclo di vita del sistema, di modo da rendere i rischi residui accettabili, ii) all’utilizzo di insiemi di dati di elevata qualità che riducano al minimo i rischi di risultati discriminatori, iii) alla conservazione e all’aggiornamento dei documenti necessari per dimostrare che il sistema è conforme ai requisiti della proposta, iv) alla predisposizione di strumenti che consentano la registrazione automatica degli eventi durante l’utilizzo del sistema, v) alla trasparenza e alla fornitura di informazioni che ne consentano un utilizzo appropriato da parte degli utenti, vi) alla sorveglianza umana, di modo da prevenire o ridurre al minimo i rischi per la sicurezza e la salute degli individui, e vii) ad un livello di robustezza, accuratezza e cybersicurezza appropriato.

La proposta prevede anche diversi obblighi per i fornitori dei sistemi di IA ad alto rischio, che dovranno essere soddisfatti prima della loro immissione sul mercato europeo. Più particolarmente, oltre ad attuare sistemi di gestione della qualità per garantire la conformità ai nuovi requisiti e ridurre al minimo i rischi per gli utenti e gli interessati, a conservare tutta la necessaria documentazione nonché a collaborare con le autorità nazionali competenti, i fornitori dovranno sottoporre il sistema ad una valutazione di conformità, di modo da dimostrare che lo stesso rispetta i requisiti previsti.

Vale la pena di soffermarsi brevemente sul livello di elaborazione in materia raggiunto in talune altre società avanzate

Il Canada e le raccomandazioni del Commissario federale per la privacy

In Canada, a seguito di una consultazione pubblica avviata nel gennaio 2020, in data 12 novembre dello stesso anno il Commissario federale per la privacy ha pubblicato una relazione contenente delle raccomandazioni sul modo in cui le IA dovrebbero essere regolate e sulle misure necessarie per garantire che le stesse siano in grado di esprimere il loro potenziale senza influire negativamente sui diritti dei cittadini.

Più particolarmente, la relazione si concentra su quattro aree.

In primo luogo, nonostante siano potenzialmente in grado di arrecare diversi benefici alla società, soprattutto per quanto riguarda la gestione delle informazioni personali degli utenti, le IA potrebbero risultare problematiche dal punto di vista della prestazione del loro consenso. Di conseguenza, la relazione incoraggia l’introduzione di tre nuove eccezioni all’obbligo del consenso al fine di conseguire i benefici legati alle IA garantendo, allo stesso tempo, il rispetto dei diritti individuali. Secondo la prima eccezione, i dati personali sarebbero esentati dai requisiti relativi al consenso, all’individuazione dello scopo del trattamento e alla minimizzazione se utilizzati per scopi di ricerca e statistici interni all’organizzazione, di modo da agevolare lo sviluppo delle IA, che si basano su funzioni statistiche, ed incoraggiarne la diffusione. La seconda eccezione, invece, garantirebbe maggiore flessibilità nell’utilizzo dei dati personali rendendo non necessario il consenso qualora la nuova finalità dell’IA sia compatibile con quella originaria. Infine, la relazione prevede un’eccezione al consenso in caso di interesse commerciale legittimo, formulata in termini sufficientemente generali da garantire flessibilità nell’impiego delle IA per scopi ricadenti nel concetto di ragionevole imprevisto.

In secondo luogo, quasi a bilanciare le nuove eccezioni, la relazione propone l’introduzione di misure che riconoscano maggiore tutela alla privacy. Dati i rischi che l’impiego delle IA comporta, infatti, è necessario che queste ultime vengano utilizzate nel rispetto dei diritti dei cittadini, incoraggiandone uno sviluppo responsabile e promuovendo la fiducia dell’opinione pubblica. Poiché, inoltre, i dati personali possono essere utilizzati per creare profili ed elaborare modelli suscettibili di influenzarne il comportamento, il rapporto propone di modificare la definizione di informazioni personali contenuta nella legge sulla protezione dei dati personali e sui documenti elettronici (Personal Information Protection and Electronic Documents Act, PIPEDA) in modo da includervi le implicazioni per gli individui.

In terzo luogo, invece di regolamentare direttamente la tecnologia stessa, il PIPEDA dovrebbe affrontare l’impatto delle IA sul diritto alla privacy prevedendo garanzie nell’ambito dei processi decisionali automatizzati. Nello specifico, il PIPEDA non solo dovrebbe definire questi ultimi, e bensì anche introdurre due nuovi diritti per i cittadini, ossia i) il diritto ad una spiegazione esauriente, che consenta loro di comprendere le decisioni ad essi relative facilitando l’esercizio dei loro ulteriori diritti, e ii) il diritto di contestare le decisioni automatizzate, che si applicherebbe sia nei casi in cui un individuo abbia fornito il consenso per il trattamento dei propri dati personali sia in quelli in cui un’organizzazione possa avvalersi di una delle eccezioni normativamente previste.

Infine, il PIPEDA dovrebbe introdurre un regime di responsabilità per tutti i trattamenti di informazioni personali, che potrebbe essere sviluppato, tra le altre cose, i) integrando la privacy e i diritti umani nella progettazione degli algoritmi e dei modelli delle IA al fine di prevenire eventuali effetti negativi a valle sugli individui, ii) richiedendo alle organizzazioni di registrare e tracciare la raccolta e l’uso delle informazioni personali di questi ultimi, e iii) conferendo alle autorità preposte il potere di verificare il rispetto della normativa in materia di protezione dei dati personali da parte di un’organizzazione.

L’Australia ed il programma di lavoro 2020-2025

Anche l’Australia non dispone, attualmente, di una legge ad hoc che disciplini l’uso delle IA.

In data 5 aprile 2019, tuttavia, il Ministro dell’industria, della scienza e della tecnologia ha pubblicato un documento di lavoro al fine di stimolare un dialogo sulle modalità con cui le IA dovrebbero essere progettate, sviluppate ed impiegate in Australia. Più particolarmente, dopo aver ricevuto osservazioni dai diversi stakeholders, il Ministro ha sviluppato otto principi da utilizzare, su base volontaria, durante la progettazione, lo sviluppo e l’utilizzo di sistemi di IA, di modo da assicurarsi che gli stessi i) siano utilizzati a vantaggio dei cittadini, della società e dell’ambiente, con obiettivi chiaramente identificati e giustificabili, ii) siano in linea con i valori umani, iii) consentano l’integrazione durante il loro intero ciclo di vita, iv) rispettino la privacy e la protezione dei dati dei cittadini, v) operino in conformità con lo scopo originariamente previsto, vi) siano adeguatamente pubblicizzati quando hanno un impatto significativo sulla vita dei cittadini, viii) dispongano di meccanismi efficienti e accessibili che consentono agli utenti di monitorarne ed eventualmente contestarne i risultati, e viii) consentano di identificare i responsabili di questi ultimi.

Nel dicembre 2019, inoltre, l’Australian Law Reform Commission (ALRC) ha pubblicato un rapporto che identifica le cinque aree più urgenti per una riforma legislativa nel periodo 2020-2025, tra cui quella relativa ai processi decisionali automatizzati.

Più particolarmente, il rapporto valuta le eventuali riforme alle leggi esistenti e le nuove norme di futura introduzione al fine di regolamentare adeguatamente i processi decisionali automatizzati delle agenzie governative garantendone l’equità, la trasparenza e la tempestività. Le IA, infatti, hanno agevolato la diffusione e l’implementazione di processi decisionali automatizzati per un’ampia gamma di scopi e servizi governativi. Tuttavia, sebbene tali software siano potenzialmente più efficaci in termini di costi e di tempi nonché più accurati rispetto alle decisioni umane, essi possono nondimeno fallire, e quand’anche vengano utilizzati in maniera adeguata, dei dubbi permangono in merito alla loro compatibilità con i principi fondamentali dello Stato di diritto. Di conseguenza, il rapporto valuta, tra le altre cose, i) come la legge possa garantire una maggiore certezza in merito allo status giuridico e agli effetti delle decisioni automatizzate, ii) come agevolare lo sviluppo di sistemi automatizzati adeguati, nonché il modo in cui i principi dello Stato di diritto possano adeguarsi ai più recenti sviluppi tecnologici, e iii) se l’automazione debba essere consentita anche per le decisioni che implicano un giudizio discrezionale o se, piuttosto, spetti alla legge fissarne gli standard.

La Nuova Zelanda ed i principi per delle IA affidabili

Invece di una legge ad hoc sulle IA, la Nuova Zelanda si propone di regolamentarne l’uso incorporando progressivamente i relativi principi nelle normative esistenti, man mano che le stesse vengono modificate ed aggiornate. Di conseguenza, nell’ambito della strategia del governo per un servizio pubblico digitale del novembre 2019, nel marzo 2020 il Forum sulle IA ha pubblicato una serie di principi al fine di aumentare la fiducia dei cittadini nello sviluppo e nell’uso delle IA in Nuova Zelanda.

Più particolarmente, questi principi trovano la loro ratio nella necessità di fornire una guida a tutti coloro che, tanto nel settore privato quanto in quello pubblico, sono coinvolti nella progettazione, nello sviluppo e nell’utilizzo delle IA, di modo tale da garantire ai cittadini l’accesso a sistemi sicuri ed affidabili. Nello specifico, gli sviluppatori, i programmatori e gli utenti devono rispettare le leggi applicabili in Nuova Zelanda nonché i diritti umani riconosciuti dalle norme nazionali ed internazionali, assicurandosi che i sistemi di IA non danneggino, escludano o discriminino ingiustificatamente individui o loro gruppi specifici. Inoltre, essi devono, da un lato, garantire che i sistemi di IA e i relativi dati siano affidabili, accurati e sicuri e che la privacy dei cittadini sia protetta durante tutto il ciclo di vita degli stessi e, dall’altro lato, mantenere un livello appropriato di supervisione sulle loro azioni. Infine, le informazioni relative al funzionamento e alle implicazioni dei sistemi di IA dovrebbero essere trasparenti, verificabili ed adeguate tanto al loro utilizzo quanto ai potenziali profili di rischio, in modo che i risultati possano essere compresi ed eventualmente contestati da parte dei soggetti danneggiati.

Il dialogo tra l’Unione e gli altri Stati

Poiché è sempre più diffusa la preoccupazione che le IA possano essere sviluppate ed utilizzate in maniera contraria ai valori e all’etica democratica liberale, garantendo alle imprese vantaggi significativi senza appropriati controlimiti, negli ultimi tempi l’Unione Europea ha avvertito la necessità di instaurare un dialogo con gli Stati Uniti, da sempre punto di riferimento in materia di IA, dove il dibattito sulla loro regolamentazione ha avuto luogo tanto a livello statale che federale, portando così all’introduzione, nel 2021, di progetti di legge o risoluzioni in almeno 16 Stati.

Nella sua comunicazione del 2 dicembre 2020 relativa alla nuova agenda UE-USA per il cambiamento globale, la Commissione Europea ha ribadito l’importanza di interventi comuni in materia di IA fondati sull’idea che sia necessario un approccio antropocentrico, e che affrontino aspetti potenzialmente critici per le libertà democratiche, quali il riconoscimento facciale, proponendosi di avviare trattative per un accordo transatlantico sull’intelligenza artificiale e per definire un progetto di norme regionali e globali in linea con i valori comuni.

Nel giugno 2020, inoltre, è stata istituita la Global Partnership on Artificial Intelligence (GPAI), un’iniziativa multilaterale che riunisce i principali esperti in diversi settori al fine di colmare il divario tra teoria e pratica attraverso la ricerca avanzata ed attività incentrate sulle priorità legate alle IA. Promossa da Canada e Francia durante la loro presidenza del G7, l’iniziativa, che conta 19 membri tra cui Australia, Nuova Zelanda e, per l’appunto, Unione Europea e Stati Uniti, mira a fornire un foro di condivisione della ricerca multidisciplinare e per identificare le questioni chiave in materia di AI, con l’obiettivo di facilitare la collaborazione internazionale, ridurre le duplicazioni, fungere da modello di riferimento e promuovere la fiducia nell’adozione di IA affidabili.

Conclusioni

Sebbene una normativa articolata in materia di IA come quella di recente introdotta dall’Unione non sia ancora prevista in molti Stati, la necessità di un quadro giuridico che consenta di sfruttarne al massimo le potenzialità salvaguardando al tempo stesso i diritti dei cittadini è divenuta una costante nel panorama mondiale. L’auspicio è che, nel prossimo futuro, la volontà condivisa di una regolamentazione delle IA conduca ad un dialogo sempre più avanzato tra i vari stakeholders per garantire la maggiore uniformità possibile e standard globali rispetto ad un fenomeno destinato ad assumere un peso sempre più importante nella vita dei cittadini e delle imprese.

DIGITAL EVENT, 16 GIUGNO
Smart Supply Chain: problemi risolti con le tecnologie intelligenti. E tu a che punto sei?
Blockchain
Fashion
@RIPRODUZIONE RISERVATA

Articolo 1 di 4