“Regulatory Sandbox” per un’IA innovativa e a basso rischio: benefici e limiti - Agenda Digitale

intelligenza artificiale

“Regulatory Sandbox” per un’IA innovativa e a basso rischio: benefici e limiti

L’uso di “sandbox regolamentari” per regolamentare l’IA senza ostacolare l’innovazione è visto con sempre maggiore interesse. In molti lo considerano un passo nella giusta direzione, ma non tutti sono entusiasti. Una panoramica sullo stato dell’arte a livello globale

15 Giu 2021
Barbara Calderini

Legal Specialist - Data Protection Officer

Cresce l’interesse[1] verso l’utilizzo dello strumento giuridico denominato “regulatory sandbox” per disciplinare lo sviluppo dell’intelligenza artificiale e promuoverne l’implementazione senza ostacolare progresso ed innovazione

Tra i vantaggi più evidenti per le organizzazioni emerge proprio la possibilità di riuscire a far convergere le incertezze dell’innovazione con le incertezze della regolamentazione basata su principi e valori fondamentali in modo tale da riuscire a massimizzare i benefici minimizzando i rischi di non conformità delle relative applicazioni; oltre all’opportunità di essere inquadrati quali leader di mercato affidabili.

Regolamento AI, l’Europa per un’ecosistema dell’innovazione aperto e decentralizzato

Mentre per le autorità di regolamentazione e controllo è evidente il beneficio in termini di consapevolezza e innalzamento del livello di know-how tecnologico e accesso all’intelligence su ricerca e sviluppo come sui trend di sviluppo dell’innovazione, tali da poter fungere da utili parametri di giudizio e linee guida importanti per le rispettive funzioni.

Nonostante i benefici percepiti legati alla regulatory sandbox, il concetto varia notevolmente tra paesi e giurisdizioni anche all’interno dell’Unione Europea.

Le sandbox normative

Un po’ come nell’omonimo ambiente “demo informatico”, le sandbox normative vengono viste come uno spazio di sperimentazione “compliant”, un “porto sicuro” e stimolante in cui regolatori, autorità competenti, investitori, sviluppatori, organizzazioni e start up innovative selezionate sulla base di procedure/certificazioni/autorizzazioni previamente definite, si ritrovano a lavorare fianco a fianco per apprendere nozioni, progettare, sviluppare e testare nuove tecnologie, in modalità controllata e a basso rischio di violazioni, prima del lancio definitivo dei prodotti.

WHITEPAPER
SAP S/4HANA per il cost saving: quanto si risparmia con l’ERP SAP di nuova generazione
Amministrazione/Finanza/Controllo
Big Data

Così come nella sabbia i bambini possono giocare con molteplici risorse messe a loro disposizione senza pericolo, anche la sandbox rappresenta un perimetro regolamentato, ovvero un ecosistema normativo transitorio di confronto e crescita, sicuro e allettante tanto per le aziende e le start up tecnologiche quanto per le autorità di regolamentazione e gli investitori.

I sostenitori della regulatory sandbox

Già adottata in diverse giurisdizioni tra cui il Regno Unito (promosso dalla FCA – Financial Conduct Authority), Singapore (sotto il controllo della Monetary Authority of Singapore), Hong Kong, India, Finlandia, Germania, Paesi Bassi, Danimarca, Lituania, Polonia e Malta, la regulatory sandbox si distingue da altri sistemi di tutoraggio e finanziamento come gli incubators, accelerators, hubs, spesso finanziati dal settore pubblico o da istituzioni accademiche piuttosto che da partnership pubblico-private, ed è stata oggetto di specifica attenzione anche in Italia quando l’art. 36, comma 2-bis della Legge 58/2019 ha delegato al Ministero dell’economia e delle finanze (“MEF”), sentite le principali Autorità di vigilanza italiane il compito di procedere con la previsione di uno o più decreti per regolare la “sperimentazione FinTech volta al perseguimento, mediante nuove tecnologie quali l’intelligenza artificiale e i registri distribuiti, dell’innovazione di servizi e di prodotti nei settori finanziario, creditizio, assicurativo e dei mercati regolamentati”.

Anche la Commissione Europea con la proposta di regolamento sull’IA – nell’intento di favorire il giusto equilibrio tra esigenze di tutela dei diritti fondamentali, dei valori dell’UE e sviluppo tecnologico – ha deciso di investire in misure di promozione quali le regulatory sandbox destinate al sostegno dell’innovazione nel settore dell’IA. Peraltro, è questa una strategia già resa esplicita nel dicembre 2018, in occasione del “Piano Coordinato su Intelligenza Artificiale”. L’Allegato spiegava come le strutture di prova “potessero includere sandbox regolamentari… in aree selezionate in cui la legge fornisce alle autorità di regolamentazione un margine di manovra sufficiente”.

E in effetti, proprio in area diritti fondamentali, e protezione dei dati personali in modo particolare, il concetto di sandbox regolamentari sta evidenziando un livello crescente di interesse, a maggior ragione da quando l’Ufficio del Commissario per le informazioni del Regno Unito (“ICO”) ha promosso il suo programma pilota di sandbox regolamentari nel settembre 2020 dopo i risultati incoraggianti riscontrati in ambito finanziario, resi noti nel report “Financial Conduct Authority, October 2017”.

Tra i più attenti sostenitori delle sandbox può senza dubbio annoverarsi la CNIL che nel febbraio scorso ha avviato l’iniziativa CNIL Sandbox per i dati sanitari e la privacy-by-design il cui sviluppo durerà per tutto il 2021.

L’esempio della Norvegia

Ad ogni modo, al momento l’unico esempio di sandbox normativo al mondo specifico per l’IA appartiene alla Norvegia.

A marzo l’Agenzia norvegese per la protezione dei dati, Datatilsynet, ha attivato una sandbox normativa ispirata al modello britannico, dove quattro (tra queste Secure Practice, la startup di Infosec, con un progetto sulla trasparenza e la minimizzazione dei dati dei dipendenti; Age Labs, una startup che propone l’analisi dei campioni di sangue e la diagnostica predittiva per le malattie legate all’età focalizzata sulle tecniche di anonimizzazione; e due progetti educativi condotto da diversi enti pubblici, KS e MAV che pongono sfide di analisi predittiva in termini di trasparenza, correttezza, minimizzazione e consenso riguardo ai dati dei studenti l’uno e dei lavoratori in congedo per malattia l’altro) tra venticinque aziende selezionate sia pubbliche che private potranno ottenere consulenze specifiche in merito ai riflessi e all’impatto delle implementazioni di intelligenza artificiale in termini di accountability e protezione dei dati personali: dall’assistenza nell’esecuzione di una valutazione d’impatto sulla protezione dei dati (DPIA), all’analisi delle opzioni per l’implementazione della privacy by design, alle valutazioni e considerazioni sull’equilibrio tra opportunità e rischi per la privacy degli utenti.

Esattamente l’ambiente sandbox norvegese applica la definizione di intelligenza artificiale utilizzata nella Strategia nazionale norvegese per l’intelligenza artificiale e funziona secondo i principi dell’IA responsabile, ispirati alle raccomandazioni del gruppo di alto livello dell’UE sull’intelligenza artificiale affidabile verso la sostenibilità, la crescita e la competitività, nonché l’inclusione, e la salvaguardia dei diritti umani. Ogni progetto ammesso alla sandbox potrebbe, all’occorrenza, essere modificato o interrotto per un certo periodo. E ogni organizzazione partecipante può recedere dal progetto in qualsiasi momento.

Merita, inoltre, di essere menzionato negli USA il programma patrocinato da Meredith Broussard, ricercatrice di intelligenza artificiale e professore alla New York University, condotto in partnership con la Algorithmic Advisory Alliance della NYU, che lei dirige, e ORCAA, una società di auditing algoritmica fondata dalla matematica e autrice Cathy O’Neil che però al momento non vede la partecipazione di alcuna autorità legislativa.

Gli scettici

Non mancano le voci diffidenti delle organizzazioni circa la reale utilità delle sandbox normative applicate all’innovazione guidata dall’Intelligenza artificiale. I maggiori dubbi si concentrano su diversi fronti. Tra i più ricorrenti quelli legati al contesto normativo tipico di alcuni Stati, come gli Stati Uniti, dove sono ancora assenti leggi specifiche che governano l’intelligenza artificiale e autorità di regolamentazione espressamente destinate a farle rispettare che rendono tutto il progetto eccessivamente fumoso, o anche quelli sulla mancanza di adeguate risorse economiche e finanziamenti da destinare allo sviluppo dei piani di progetto che rischiano, in un caso come nell’altro, di vanificare o quantomeno rallentare ogni sforzo compiuto dalle organizzazioni aderenti.

E ancora, il livello di know-how tecnico messo a disposizione dall’istituzione promotrice, il rischio di una diffusione indiscriminata e prematura delle informazioni su prodotti e servizi innovativi, la gestione di eventuali richieste “top down” di perfezionamenti e modifiche irrealistici o poco pertinenti, l’incertezza sulla portata internazionale dei piani di progetto, la scarsa familiarità con lo specifico strumento giuridico della sandbox e la possibile mancanza di criteri chiari, oggettivi e trasparenti per i tipi di progetti innovativi foriere di “favoritismi” anticoncorrenziali.

“Il prototipo in una sandbox è come un’orchidea in una serra: prospera solo finché le condizioni sono giuste. Una sandbox nasce per testare un’idea, non per creare un’applicazione aziendale funzionante. Un modello di intelligenza artificiale (AI) derivato da un ambiente sandbox può funzionare perfettamente quando il problema è definito in modo ristretto e i dati accuratamente curati. Funzionare nella realtà in un mondo caotico e imprevedibile è un’altra storia” scrive Forbes, con ciò anticipando l’analisi critica resa nel 2018 nell’intervista a Lili Cheng, vicepresidente aziendale, divisione di ricerca e intelligenza artificiale di Microsoft, dove la stessa evidenzia la netta differenza sussistente tra un’applicazione sviluppata all’interno della sandbox e la stessa tecnologia resa operante fuori dalla sandbox, nel mondo reale quando cessa di essere un prototipo per divenire una promessa di business con effetti concreti, personalizzata da un copioso mix tra fornitori di tecnologia esterni, data scientist, ingegneri del software e designer, nonché la supervisione dell’azienda stessa.

Quale via per la regolamentazione proattiva dell’IA?

L’interazione tra regolamentazione e innovazione è da sempre una relazione complessa. È parte di una storia di reazione piuttosto che di anticipazione e pro-azione, che dura da decenni.

Senonché l’attuale sviluppo tecnologico, in quella che viene definita l’era della quarta rivoluzione industriale, si presenta con caratteristiche peculiari inedite: è estremamente veloce, scalabile; l’expertise richiesta dai player del settore si attesta ad altissimi livelli tecnici; è capace di generare opportunità irrinunciabili, ma anche rischi importanti. Alla velocità straordinaria del progresso non corrisponde però un analogo cambio di marcia dei regolatori che avanzano allo stesso ritmo di sempre, con ciò contribuendo alla rapida obsolescenza delle cornici normative preesistenti.

È per questo che l’approccio reattivo tenuto sino ad ora dalle autorità di regolamentazione si sta rivelando, ovunque, inadeguato, inaffidabile, relegato per lo più al ruolo di “anello di legittimazione” assoggettato alle esigenze di adeguamento della società immersa in nuove realtà disruptive, anziché assolvere alla propria funzione di interprete proattivo delle istanze di responsabilità e governance in vista del miglioramento delle condizioni di vita in ogni settore, dalla sfera personale, all’ambiente di lavoro, fino alle più ampie sfide globali.

Il percorso normativo, idealmente volto alla promozione di un sistema sociale libero ed equo per tutti, più sostenibile, resiliente e rispondente ai bisogni dei cittadini globali, che sia al passo con le trasformazioni sociali, frutto del processo innovativo e dello sviluppo dell’intelligenza artificiale, appare infatti in evidente ritardo, “irto di ostacoli” che impediscono il raggiungimento della corretta implementazione di quadri regolatori design thinking e human centred, così come il perseguimento di obiettivi politici trasparenti e il coinvolgimento attivo delle parti interessate utilizzando abilità e competenze appropriate nel progresso della regolamentazione.

Dunque, non stupisce che molte delle risposte delle autorità di regolamentazione si siano fin qui tradotte in mere strategie di difesa volte al frettoloso recupero del “terreno perso”, eccessivamente severe, quando non addirittura inutili e dannose poichè totalmente in balia dell’intersezione incontrollata tra intelligenza artificiale e comportamento umano.

Auto senza pilota, organi stampati in 3D, machine learning e analisi predittive portatrici di effetti personali rilevanti, riconoscimento facciale e altre tecnologie di sorveglianza biometrica ed emozionale, il monitoraggio dei dati su larga scala favorito dalle istanze di sicurezza e contenimento della crisi pandemica in atto: sono tutte manifestazioni importanti del “regno del non diritto” dove l’interazione tra tecnologia e natura umana rappresenta anche la misura del divario attualmente esistente tra tecnologia e regolamentazione, tra innovazione e responsabilità sociale.

In molti sono convinti che un modello normativo più efficace possa essere trovato in un nuovo equilibrio frutto di sinergie e progettazioni coordinate tra innovatori e regolatori. Vale a dire, un processo preventivo e anticipatorio, di revisione e adeguamento delle normative esistenti, estremamente dinamico, flessibile, aperto e all’avanguardia. Ovvero, una sfida per nulla facile specie quando la pandemia ha già spalancato le porte alla raccolta e al monitoraggio delle informazioni personali arrivando a lambire ogni ambito del sociale e a raggiungere livelli di infiltrazione impensabili fino a poco tempo fa, alimentando la sorveglianza capillare e diffusa degli individui e delle loro abitudini.

Il dominio della sorveglianza e del capitalismo dei dati

Nel frattempo, mentre da una parte le istituzioni si interrogano sulla possibilità che le metodologie di sperimentazione come la prototipazione delle politiche – policy prototyping (operanti nei casi in cui è attesa l’introduzione di nuovi quadri regolatori, ne è un esempio il progetto Open Loop di Facebook) – e le sandbox normative (che rispetto alle prime si svolgono invece nel contesto della legislazione esistente per testare prodotti innovativi specifici sotto la supervisione di un autorità dedicata) possano aiutare a creare i framework giusti per disciplinare l’Intelligenza Artificiale in modo tale che possa essere garantita un’innovazione responsabile e la corretta mitigazione dei rischi connessi, dall’altra, spinta dalla crisi epidemiologica in corso, la dipendenza della società dalla tecnologia aumenta drasticamente, condizionando ogni aspetto dell’agire: dalle comunicazioni e relazioni in ambito lavorativo, all’istruzione di ogni ordine e grado; dallo shopping alle modalità di fruizione dei servizi essenziali, fino alle forme pervasive tecnologie di riconoscimento facciale nei confronti delle quali molti stati nel mondo, compresi singolarmente quelli dell’Eurolandia, hanno già manifestato una propria peculiare posizione. Come in Francia dove l’uso della tecnologia di riconoscimento facciale nei trasporti pubblici per esigenze di salute pubblica è già stato oggetto di uno specifico provvedimento. In Danimarca e all’estero sono già operativi o si stanno sperimentando, nell’ambito della vendita al dettaglio, nei negozi di abbigliamento, nelle palestre e nei ristoranti, sistemi avanzati di scanner biometrici di riconoscimento facciale. O in Italia dove, invece, la recente proposta di legge per una moratoria sull’utilizzo dei sistemi di sorveglianza biometrica nei luoghi pubblici sta sollecitando i regolatori ad una riflessione sull’opportunità o meno di sospenderne temporaneamente l’uso fino a quando non sarà stata formulata un’adeguata legge nazionale. A riguardo il tool di ricercaTracing the Tracers, promosso da Algorithm Watch costituisce una buona occasione per apprendere quali sistemi decisionali automatizzati vengono utilizzati in Europa.

Se negli Stati Uniti le preoccupazioni per la tecnologia hanno spinto stati e città come Portland, nell’Oregon, ad optare per il divieto generale per l’uso della tecnologia di riconoscimento facciale, e anche New York City ne ha seguito l’esempio escludendo il riconoscimento facciale nelle sue scuole, in Europa, malgrado le ambizioni di “autonomia strategica” e la proposta di Regolamento sull’IA, le società di analisi dei dati statunitensi – come Palantir- e le società di videosorveglianza cinesi – come Hikvision – registrano negli stati membri un’impennata delle rispettive forniture su appalto pubblico per far fronte alle esigenze di monitoraggio e contenimento anti COVID-19.

E dunque, la crescente diffusione – malgrado la perdurante mancanza di cornici regolatorie adeguate – dei sistemi di apprendimento automatico solleva molti timori circa i vari impatti negativi sulla società e coinvolgono questioni fondamentali di potere e controllo; di sorveglianza biometrica e capitalismo dei dati; di estrazione e mercificazione di dati, richiamando prepotentemente l’attenzione sull’uso di big data e algoritmi come strumenti di controllo e di decisioni automatizzate ad alta incidenza, a maggior ragione poiché continuano a creare e perpetuare rilevanti rischi di discriminazione di razza, classe, genere e disabilità.

Nel triangolo tra diritto, democrazia, e tecnologia, sull’onda di innovazione e consapevolezza riassunti anche nelle parole della Presidente della Commissione europea Ursula Von Der Leyena Union that strives for more”, il ruolo e la validità di strumenti giuridici come le regulatory sandbox nella definizione di cornici normative equilibrate, robuste e flessibili, adattabili alle dinamiche dello sviluppo tecnologico in continua evoluzione, appare ovunque ancora piuttosto incerto, sebbene senz’altro stimolante.

Note

  1. Leggi l’articolo su Emerging Tech Brew
WHITEPAPER
Lead, ROI, Buyer journey: conquista il cliente con la Marketing Automation
Marketing
Advertising
@RIPRODUZIONE RISERVATA

Articolo 1 di 3