Regole su intelligenza artificiale: la Ue prende le distanze dal modello Usa - Agenda Digitale

il quadro normativo

Regole su intelligenza artificiale: la Ue prende le distanze dal modello Usa

Con la proposta di regolamento sull’intelligenza artificiale, come col Gdpr, l’Ue ha avuto il coraggio di proporre una strada alternativa per trovare un equilibrio tra forti interessi in gioco, con un quadro normativo volto a tutelare i consumatori e responsabilizzare le imprese. Così si è allontanata dal “modello” soft Usa

22 Apr 2021
Diletta De Cicco

Associate, Cybersecurity, Data & Privacy, Steptoe & Johnson LLP

Come diventare leader nel campo delle nuove tecnologie liberando il potenziale dell’intelligenza artificiale (IA) e garantendo all’essere umano e alla tutela dei suoi diritti fondamentali un ruolo centrale nel quadro regolatorio?

La risposta targata Ue a questo complesso quesito è appena arrivata nella proposta di Regolamento sull’Intelligenza Artificiale pubblicata il 21 aprile dalla Commissione europea, che delinea un quadro normativo firmato Ue che si discosta dal “modello americano” di soft-law basato su principi e standard non vincolanti.

Intelligenza artificiale, i punti chiave del regolamento europeo

Intelligenza artificiale: la visione antropocentrica della Ue

Negli ultimi anni, il tema dell’intelligenza artificiale e del se e come regolarla è stato al centro del dibattito europeo e non solo. Sin dall’inizio del suo mandato, la Presidente della Commissione europea Ursula von der Leyen aveva promesso ai cittadini europei di presentare la sua alternativa all’approccio statunitense e cinese alla (non) regolamentazione dell’IA. Tanto gli Stati Uniti quanto l’Unione europea hanno infatti affermato la necessità di proporre una via di sviluppo delle tecnologie emergenti che si contrapponesse in maniera netta a quella portata avanti dalla Cina.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity

Molte sono state in effetti le pratiche di uso indiscriminato di sistemi di IA da parte dello stato cinese che hanno fatto e fanno discutere, dall’uso del riconoscimento facciale per individuare i partecipanti alle proteste di Hong Kong all’utilizzo del cosiddetto “social scoring”, il sistema usato dal governo cinese che classifica la reputazione dei propri cittadini sulla base di un punteggio di “credito sociale”, che tiene conto di informazioni possedute dal governo. Tuttavia, questa comunione di interessi non è bastata.

Intelligenza artificiale, a cosa mira la Commissione UE con le nuove regole

Di fronte alla crescita esponenziale dell’uso di sistemi di IA in ogni campo, dalla finanza, all’agricoltura, all’ambito sanitario, l’Unione europea cerca di farsi spazio nel panorama mondiale dominato dagli Stati Uniti e dalla Cina, costruendo un impianto legislativo che guadagni la fiducia di consumatori e imprese nell’IA. In questo contesto, si è fatta dunque sempre più stringente per l’Europa la necessità di trovare un punto di equilibro tra limitare i rischi posti dalle tecnologie emergenti, che possono pregiudicare i valori su cui si fonda l’Unione e causare violazioni dei diritti fondamentali, e la necessità di creare condizioni di mercato capaci di cogliere opportunità di sviluppo e rendere l’Europa competitiva nei mercati mondiali.

Alla base di questo equilibrio vi è una visione antropocentrica dello sviluppo di nuove tecnologie, che poggia sull’idea per cui l’IA “non è un fine ma un mezzo” che deve essere messo a servizio del benessere dell’uomo. Tale approccio, già chiaro nella prima strategia europea sull’IA del 2018, si è delineato in maniera ancor più limpida nella proposta di oggi della Commissione europea.

Il Social Credit System cinese: un esempio di big data al servizio del potere

Tecnologie vietate e “ad alto rischio”, le disposizioni per produttori e fornitori

Fondandosi su un modello basato sul rischio, il Regolamento proibisce usi pericolosi di sistemi di IA e impone obblighi stringenti a quelli considerati ad alto rischio. Se tra i sistemi di IA oggetto di divieto assoluto figurano quelli in grado di manipolare i comportamenti umani, quelli utilizzati in luoghi pubblici per il riconoscimento biometrico in tempo reale al fine di garantire l’applicazione della legge (con alcune eccezioni), o quelli usati per il “social scoring”, tra i sistemi “ad alto rischio” compaiono invece quelli usati in determinati settori (come quello dei trasporti o dei dispositivi medici), i sistemi utilizzati per i processi di selezione del personale, quelli usati nell’ambito della valutazione della solvibilità creditizia o per prendere decisioni in ambito giudiziario.

A queste tecnologie il Regolamento dedica una serie di disposizioni a cui i produttori e fornitori di sistemi di IA devono conformarsi: si passa dall’obbligo di garantire la qualità dei dati utilizzati per addestrare i sistemi di IA agli obblighi di robustezza tecnica, cybersicurezza e precisione, passando per doveri di trasparenza (che comprendono l’obbligo di fornire “istruzioni d’uso”) e per quello di garantire l’intervento umano, in grado di correggere eventuali distorsioni nelle decisioni del sistema.

Il ricco corpus di prescrizioni giuridiche continua poi con vari doveri in materia di documentazione: sulla base del principio di accountability, il produttore deve essere in grado di dimostrare che le caratteristiche e le funzioni del sistema di IA siano in linea con il Regolamento. Per far ciò, il legislatore europeo propone una valutazione di conformità al Regolamento, seguita da un’apposita dichiarazione Ue, dall’affissione di un marchio di conformità Ue e infine dall’obbligo di registrare il sistema nel database europeo (il tutto accompagnato da apposita documentazione tecnica e da procedure aziendali interne). Gli adempimenti per gli operatori del settore non finiscono però con l’immissione del sistema di IA sul mercato. Il Regolamento prevede, infatti, il dovere di implementare sistemi di monitoraggio ex post, tra cui quello di notifica di eventuali anomalie o malfunzionamenti all’autorità competente entro 15 giorni dal momento in cui se ne è venuti a conoscenza.

Intelligenza artificiale, obiettivo regole privacy per renderla “umana”

Il legislatore non si è fermato qui. Agli obblighi giuridici sopra citati si aggiungono quelli che ricordano il GDPR (il regolamento europeo sulla privacy) e che fanno pensare che gli sforzi di compliance per le aziende non saranno meno gravosi. Tra questi, oltre all’ambito di applicazione extraterritoriale, si notano l’obbligo di nominare un rappresentante nel caso in cui l’impresa sia basata al di fuori del territorio dell’Unione (e non sia possibile individuare un importatore), sanzioni che possono arrivare fino a 30 milioni di euro o al 6 per cento del fatturato mondiale annuo, autorità nazionali dotate di poteri di controllo e l’istituzione di uno European Artificial Intelligence Board che si occupi, tra le altre cose, di emanare raccomandazioni e linee guida.

La “via” americana all’intelligenza artificiale

Se l’Unione europea ha dunque optato per obblighi stringenti, gli Stati Uniti sono (ancora) fermi ad una politica normativa fatta di principi e standard non vincolanti. È infatti evidente che le recenti iniziative americane si siano concentrate per lo più su come potenziare investimenti e ricerca nel settore dell’IA. In questo senso, le linee guida dell’Office Management of Budget (OMB) dello scorso novembre, pubblicate sulla base dell’ordine esecutivo 13859 “Mantaining American Leadership in Artifical Intelligence” firmato da Trump, si preoccupano di (e si limitano a) individuare i principi cardine che le agenzie federali americane devono prendere in considerazione nel regolare l’uso di queste tecnologie nel settore privato.

Tra questi compaiono l’affidabilità dei sistemi di IA, la partecipazione collettiva al processo legislativo, la qualità dei dati utilizzati, e la necessità che le misure adottate siano flessibili e in grado di tener conto del costante evolversi della tecnologia. Su tali principi si incardina la filosofia che ispira le linee guida, quella di evitare un sovraccarico normativo per le imprese. Il documento ricorda alle agenzie federali che “non è necessario mitigare ogni prevedibile rischio” e che, alla base di ogni politica normativa, vi è il principio per cui “ogni attività richiede un compromesso”. Partendo da queste premesse, l’OMB invita le agenzie federali ad evitare di introdurre misure legislative che possano ostacolare l’innovazione e la crescita degli Stati Uniti nel campo dell’intelligenza artificiale e di farlo solo ove strettamente necessario. Piuttosto, le agenzie federali dovrebbero preferire, coerentemente con la cultura americana nell’ambito delle tecnologie, lo sviluppo di linee guida, best practices, raccomandazioni settoriali e standard non vincolanti a cui le imprese possono aderire su base volontaria (e a cui sta già lavorando il National Institute of Standard and Technology (NIST)).

Altre iniziative sono state prese dagli Stati Uniti. Tra queste, l’ordine esecutivo 13960 che fissa i principi per l’uso di sistemi di IA in ambito governativo e attribuisce al Federal Chief Information Officers Council il compito di stilare un inventario dei sistemi di IA utilizzati nel settore pubblico, e il “National Defense Authorization Act for Fiscal Year 2021”, che istituisce il National Artificial Intelligence Iniziative Office e stanzia ingenti risorse per investimenti pubblici nel settore. Infine, è vero che si sono registrati alcuni più audaci tentativi da parte di singoli stati. Si pensi ad esempio al “Bolstering Online Transparency Act” adottato dalla California, che prevede l’obbligo di informare i consumatori nel caso di utilizzo di bots, o all’ “Artificial Intelligence Video Interview Act”, introdotto in Illinois e che limita l’utilizzo di tecnologie di IA nei processi di assunzione.

Raccomandazioni Ftc su intelligenza artificiale

È evidente però che l’America stia osservando attentamente ciò che accade dall’altra parte dell’Atlantico. Solo pochi giorni prima dell’arrivo della proposta Ue, la Federal Trade Commission (FTC) ha voluto ricordare alle imprese che fanno uso di tecnologie di IA che, nonostante non vi sia ancora una specifica legislazione in materia, allo sviluppo di questi sistemi si applicano le norme americane a tutela dei consumatori e che, qualora i sistemi dovessero ledere diritti tutelati dalla legge come quello di non discriminazione, la FTC godrebbe di tutti i poteri necessari per garantirne l’enforcement.

“La FTC ha decenni di esperienza nell’applicazione di tre leggi importanti per gli sviluppatori e gli utenti di IA”, dice l’Authority.

  • Sezione 5 del FTC Act. Il FTC Act vieta le pratiche sleali o ingannevoli. Questo includerebbe la vendita o l’uso – per esempio – di algoritmi razziali.
  • Fair Credit Reporting Act. Il FCRA entra in gioco in alcune circostanze in cui un algoritmo viene utilizzato per negare alle persone il lavoro, l’alloggio, il credito, l’assicurazione o altri benefici.
  • Equal Credit Opportunity Act. L’ECOA rende illegale per un’azienda l’uso di un algoritmo che risulti in una discriminazione del credito sulla base di razza, colore, religione, origine nazionale, sesso, stato civile, età o perché una persona riceve assistenza pubblica.

“Se una serie di dati manca di informazioni da popolazioni particolari, l’uso di quei dati per costruire un modello di IA può produrre risultati che sono ingiusti o iniqui per i gruppi legalmente protetti. Fin dall’inizio, pensate a come migliorare il vostro set di dati, progettate il vostro modello per tenere conto delle lacune dei dati e – alla luce di qualsiasi carenza – limitate dove o come usate il modello”.

“Attenzione ai risultati discriminatori. È essenziale testare il vostro algoritmo – sia prima di usarlo che periodicamente dopo – per assicurarsi che non discrimini sulla base della razza, del sesso o di altre classi protette”.

“Abbracciare la trasparenza e l’indipendenza. Mentre la vostra azienda sviluppa e usa l’IA, pensate a modi per abbracciare la trasparenza e l’indipendenza – per esempio, usando strutture di trasparenza e standard indipendenti, conducendo e pubblicando i risultati di audit indipendenti, e aprendo i vostri dati o il codice sorgente all’ispezione esterna”.

“Non esagerate ciò che il vostro algoritmo può fare o se può fornire risultati equi o imparziali. Secondo il FTC Act, le vostre dichiarazioni ai clienti commerciali e ai consumatori devono essere veritiere, non ingannevoli e supportate da prove. Nella fretta di abbracciare la nuova tecnologia, fate attenzione a non promettere troppo su ciò che il vostro algoritmo può fornire”.

“Dite la verità su come usate i dati. Nella nostra guida sull’IA l’anno scorso, abbiamo consigliato alle aziende di fare attenzione a come ottengono i dati che alimentano il loro modello”.

“Fare più bene che male. Per dirla nei termini più semplici, secondo il FTC Act, una pratica è sleale se causa più danni che benefici. Diciamo che il tuo algoritmo permetterà a un’azienda di mirare ai consumatori più interessati a comprare il loro prodotto”.

“Rendetevi responsabili – o siate pronti che la FTC lo faccia per voi. Come abbiamo notato, è importante che tu ti ritenga responsabile delle prestazioni del tuo algoritmo. Le nostre raccomandazioni per la trasparenza e l’indipendenza possono aiutarvi a fare proprio questo. Ma tenete a mente che se non vi ritenete responsabili, la FTC potrebbe farlo per voi. Per esempio, se il vostro algoritmo provoca una discriminazione creditizia contro una classe protetta, potreste trovarvi di fronte a una denuncia per violazione del FTC Act e dell’ECOA. Che sia causato da un algoritmo distorto o da una cattiva condotta umana della varietà più prosaica, la FTC prende molto sul serio le accuse di discriminazione creditizia, come dimostra la sua recente azione contro Bronx Honda”.

Conclusioni

Le scelte compiute dai legislatori europeo e americano sopra delineate mostrano dunque che, partendo da premesse e valori (quasi) comuni, si può arrivare a risultati molto diversi. Invero, nonostante i due continenti condividano l’idea per cui queste tecnologie devono essere sviluppate in linea con i valori di uno stato democratico (concetto recentemente espresso anche dal nuovo presidente Biden) e affermino con forza l’importanza di contrapporsi al modello cinese, l’Ue ha intrapreso una strada certamente più audace di quella americana. Se la Commissione europea non ha avuto paura di compiere il primo passo e proporre l’adozione di un quadro normativo in cui divieti assoluti di alcuni sistemi di IA si alternano a stringenti obblighi ex ante ed ex post per sistemi considerati ad alto rischio, gli Sati Uniti restano per ora ancorati a un approccio pragmatico e ad un modello “light-touch” di politica normativa delle nuove tecnologie.

Nonostante i recenti sviluppi con FTC, è lecito nutrire qualche dubbio sulla partnership italo-americana sul tema dell’IA tanto auspicata dai politici sulle due sponde dell’Atlantico. Ciò che è certo è che, dopo l’esperienza del GDPR, con cui l’Ue si è erta a baluardo di un nuovo standard per la protezione dei dati personali e che ha influenzato le legislazioni di molti paesi nel mondo, l’Europa ha ancora una volta avuto il coraggio di proporre una strada alternativa per trovare un equilibrio tra forti interessi in gioco, come la protezione dei diritti fondamentali, l’innovazione e il progresso tecnologico, attraverso un quadro normativo volto a tutelare i consumatori e responsabilizzare le imprese. Resta ora solo da vedere se, anche questa volta, l’Europa sarà fonte di ispirazione per la legislazione oltreoceano.

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3