Tutti i limiti del (buon) regolamento UE su intelligenza artificiale - Agenda Digitale

l'analisi

Tutti i limiti del (buon) regolamento UE su intelligenza artificiale

Troppe eccezioni al riconoscimento facciale, nessuna tutela dei consumatori o sistemi di redress, secondo associazioni per i diritti. Mentre ci sono anche timori opposti, di frenare l’innovazione. Tutto sommato un regolamento non perfetto ma il migliore che abbiamo e forse potevamo avere ora. Di sicuro il primo al mondo

23 Apr 2021
Matteo Navacci

Data Protection Counsel & Co-founder Privacy Network

A pochi giorni dall’uscita della proposta della Commissione Europea per un Regolamento sull’intelligenza artificiale esperte ed esperti di tutto il mondo hanno iniziato a scrutinarne il testo, per comprendere la reale portata di questo primo tentativo al mondo di regolamentare l’intelligenza artificiale.

Anche alcuni parlamentari europei hanno fin da subito mostrato delle riserve nei confronti di questo Regolamento. Dopo il leak della bozza di testo risalente a gennaio, alcuni gruppi di hanno infatti inviato alla Presidente Ursula von der Leyen due lettere, con cui chiedevano di introdurre un divieto assoluto all’uso di sistemi di identificazione biometrica nei luoghi pubblici, dei sistemi di polizia predittiva, e dei sistemi di riconoscimento automatizzato di caratteristiche particolari delle persone, come il genere, la sessualità, o l’etnia.

Sistemi di AI vietati, limiti principali del regolamento

Il Regolamento, in effetti, ha diversi punti critici. Le prime criticità emergono proprio in relazione ai sistemi di intelligenza artificiale giudicati così pericolosi da dover essere vietati, come quelli oggetto delle lettere dei parlamentari europei.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

Tra questi, spicca l’identificazione biometrica, anche oggetto di importanti campagne e azioni a livello europeo. L’identificazione biometrica delle persone nei luoghi pubblici sembrerebbe vietata, salvo poi l’esistenza di alcune specifiche eccezioni che rischiano di svuotare di significato il divieto.

Intelligenza artificiale, i punti chiave del regolamento europeo

Sono molte infatti le ipotesi per le quali le forze dell’ordine possono usare questi sistemi, tra cui la ricerca di potenziali vittime di reato, o per la ricerca e identificazione di sospetti di reati punibili con una pena detentiva di almeno tre anni per il massimo edittale.

Sarebbe molto semplice per uno Stato Membro giustificare l’installazione di sistemi di identificazione biometrica nelle città per questi motivi, e al tempo stesso sarebbe molto difficile assicurare che tali sistemi vengano utilizzati esclusivamente in caso di necessità.

È vero che il Regolamento prevede di tenere in considerazione aspetti importanti, come le conseguenze dell’uso del sistema per i diritti e libertà delle persone interessate dalla sorveglianza, o l’autorizzazione da parte dell’autorità giudiziaria, ma è altrettanto vero che tutti questi paletti potrebbero tradursi in semplici orpelli burocratici.

Identificazione biometrica a posteriori

Va poi sottolineato che nulla viene detto per i sistemi di identificazione biometrica “a posteriori”, cioè quei sistemi che permettono il confronto di immagini con un database precostituito per identificare le persone. Il caso più famoso è Clearview AI, su cui il Garante Privacy ha recentemente aperto una istruttoria. La faccenda non è di poco conto, perché anche questi sistemi sono estremamente pericolosi per i diritti delle persone, e nei fatti realizzano un’attività di sorveglianza di massa, tanto quanto i sistemi in tempo reale.

Proseguendo sui divieti generali, vale la pena notare il divieto di immissione sul mercato di sistemi di IA per la valutazione e classificazione delle persone sulla base del loro comportamento (c.d. social scoring) da parte delle autorità pubbliche.

Il problema, in questo caso, è che il divieto riguarda esclusivamente quei sistemi che in qualche modo possono portare a discriminare alcune persone o gruppi di persone in contesti diversi da quelli dove sono stati raccolti i dati, o quando il trattamento è ingiustificato o sproporzionato.

Anche in questo caso quindi non assistiamo ad un vero e proprio divieto generale, ma anzi sembrerebbe che l’uso di questi sistemi sarebbe permesso in tutti gli altri casi. Il social scoring è stato per molti anni appannaggio della Cina, e visto da noi europei come qualcosa di estremamente lontano e impensabile. Eppure, potrebbe essere più vicino di quello che crediamo.

L’elenco dei sistemi vietati deve poi essere interpretato anche alla luce dell’articolo 22 del GDPR, che in alcuni casi sembrerebbe perfino più restrittivo di quanto previsto da questo Regolamento. Considerando che ancora oggi ci sono molti dubbi circa la reale portata dell’articolo 22 del GDPR, sarebbe opportuno un intervento chiarificatore da parte del legislatore, per evitare difformità interpretative nei diversi Stati Membri.

I sistemi ad alto rischio, dov’è la tutela dei consumatori?

Passando al cuore del Regolamento, cioè i sistemi ad alto rischio, si nota subito l’approccio orientato al mondo “business to business” e della pubblica amministrazione. Nonostante l’evidente sforzo per tutelare i diritti e libertà delle persone, da nessuna parte sono presi in considerazione i rischi legati al mercato “consumer”.

L’elenco dei sistemi ad alto rischio è così ristretto che lascia fuori un ampio ventaglio di sistemi destinati esclusivamente ai consumatori, che pur non essendo ad alto rischio, potrebbero comunque comportare rischi e discriminazioni per le persone.

Gli esempi concreti non mancano. Già lo scorso anno Airbnb ha dichiarato di voler implementare un sistema di scansione online intelligente per valutare l’affidabilità delle persone come ospiti delle strutture. Un sistema del genere potrebbe certamente discriminare ed escludere l’accesso ai servizi di Airbnb di interi gruppi di persone, ma non sarebbe coperto dalle tutele del Regolamento.

Oltre a questo, c’è da dire che sembra quantomeno peculiare che un regolamento espressamente incentrato anche sulla tutela dei diritti dei lavoratori e dei consumatori, oltre che dei diritti fondamentali, non preveda alcuna misura specifica per il risarcimento dei danni economici derivanti dall’applicazione di sistemi di intelligenza artificiale.

È chiaro che esistono già strumenti giuridici attraverso i quali le persone possono richiedere il risarcimento di un danno economico o biologico, ma è altrettanto chiaro che l’intelligenza artificiale è uno strumento atipico, che per sua natura potrebbe rendere difficile dimostrare il nesso causale in giudizio, a causa dell’effetto “scatola nera”.

Niente redress, sistemi per permettere agli utenti di rimediare

Che dire poi della completa assenza di meccanismi di “redress”? Non è previsto alcun meccanismo concreto per permettere ai consumatori che subiscono decisioni automatizzate discriminatorie o comunque errate di ottenere un rimedio diretto al pregiudizio subito (che non per forza si traduce in danni economici o biologici).

Le uniche misure che sembrano tutelare in qualche modo le persone in questo senso sembrano rivolte esclusivamente ai sistemi di intelligenza artificiale ad alto rischio. Purtroppo però, questi sistemi sono soltanto una minima parte dell’ecosistema. Il risultato è che le persone sono sostanzialmente scoperte contro gli abusi della maggior parte dei sistemi di intelligenza artificiale.

Nessuna misura è poi intrapresa per limitare l’asimmetria informativa tra azienda e consumatore, derivante dall’uso di sistemi di intelligenza artificiale non ad alto rischio.

Il problema dell’asimmetria informativa è da sempre centrale nella normativa europea per la tutela dei consumatori, eppure in questo regolamento è stranamente assente. Se le persone non capiscono cosa succede, e non hanno informazioni utili a capirlo, non potranno neanche tutelare i propri diritti.

L’unica nota positiva è che il GDPR offre una tutela parziale in questo senso, perché è previsto il diritto di chiedere il risarcimento del danno derivante dal trattamento di dati in violazione di legge e di contestare le decisioni automatizzate.

Però non sempre il danno derivante dai sistemi di intelligenza artificiale può collegarsi ad una violazione del GDPR, e il diritto di contestare una decisione automatizzata non equivale certamente a un diritto di redress effettivo.

Grande attenzione ai dati, ma l’UE non è pronta

Non è un caso se la maggior parte delle persone interessate a questo Regolamento sono esperte di privacy e protezione dei dati. Sono i dati infatti ad essere il motore dell’intelligenza artificiale, che non è altro che uno strumento per il trattamento automatizzato di dati (spesso su larga scala).

Il legislatore europeo sembra aver recepito l’importanza dei dati nel design e sviluppo dei sistemi di intelligenza artificiale, anche se forse con qualche falsa speranza.

L’articolo 10 prevede obblighi molto specifici per quanto riguarda i dati usati per allenare i modelli di intelligenza artificiale. I dati devono essere: rilevanti, rappresentativi, privi di errori,  completi, e in possesso di tutte le proprietà statistiche appropriate per il contesto e in riferimento agli specifici gruppi di persone verso i quali troverà applicazione il sistema di IA.

Oltre a questo, i dati devono comunque tener conto dello scopo del modello, e delle caratteristiche specifiche del contesto in cui verrà usato, come elementi geografici o comportamentali.

Queste disposizioni, per quanto meritevoli, rischiano di rimanere disattese. L’Unione Europea non è sufficientemente matura sul piano della governance dei dati, e se guardiamo all’Italia la situazione è semplicemente drammatica, come dimostrato più volte nell’ultimo anno e come affermato con forza da campagne sociali come “Dati Bene Comune”.

D’altro canto, i sistemi di intelligenza artificiale sviluppati in UE attraverso dataset statunitensi rischierebbero di non possedere le proprietà statistiche appropriate per il contesto europeo o del paese membro richieste dall’articolo 10 (per quanto FTC da qualche giorno sembrerebbe voler colmare questa lacuna, vedi articolo di seguito, Ndr.).

Regole su intelligenza artificiale: la Ue prende le distanze dal modello Usa

Da un lato, questo potrebbe essere un grande boost per la data-economy europea, perché si afferma con forza che i dati devono rispecchiare il contesto di applicazione. Modelli sviluppati negli Stati Uniti o in Cina non potrebbero mai essere rappresentativi della popolazione europea. Dall’altro, la scarsa maturità europea proprio in tema di dati potrebbe essere il nostro tallone d’achille. I dati di qualità sono il carburante dell’intelligenza artificiale, ma noi siamo in grado di produrre dati di qualità?

Un impasse che difficilmente potrà essere risolto nel breve termine, salvo una spinta europea verso un ecosistema digitale in grado di produrre dati di qualità e accessibili. Forse in questo senso potrà aiutare il Data Governance Act, che comunque è ancora al vaglio del Parlamento europeo.

Un bilancio

Il Regolamento è stato duramente criticato in questi giorni, soprattutto da attivisti e organizzazioni impegnate nella salvaguardia di privacy e diritti fondamentali. I motivi sono vari, ma a pesare è soprattutto l’assenza di veri divieti per i sistemi più pericolosi, come la sorveglianza biometrica.

Altri affermano che voler regolamentare il mercato dell’intelligenza artificiale è folle, e che l’Unione Europea sta tarpando le ali alle sue stesse startup innovative. Non sono mancati i paralleli con il GDPR, che a detta di alcuni avrebbe addirittura limitato l’innovazione e pesato sulle aziende.

Il mio parere è che questo regolamento è il primo tentativo al mondo di regolamentare una tecnologia che non è come le altre. L’intelligenza artificiale ha il potere di plasmare la realtà che ci circonda, ed è spesso usata come meccanismo di delega di potere (anche politico), che passa dall’umano alla macchina.

Il tentativo non è certo perfetto, e come visto ci sono diversi punti critici che dovranno essere considerati durante il processo legislativo. Bisogna però riconoscere la forza e intraprendenza del legislatore europeo, che invece di seguire l’esempio degli Stati Uniti e Cina ha deciso di affermare i principi fondamentali europei, anche ascoltando la voce della società civile che da anni ormai si batte proprio per vedere riconosciuti questi principi anche nel campo dell’intelligenza artificiale.

Non tutta l’innovazione è buona innovazione, e non credo che possa esserci buona innovazione senza rispetto dei diritti umani. La stessa posizione ha ispirato anche il GDPR, ed è ciò che a distanza di quattro anni dall’entrata in vigore ha reso l’Unione Europea un benchmark globale per quanto riguarda la protezione dei dati personali. Tanto che perfino la California, la patria occidentale dell’innovazione, si è dotata di un suo piccolo GDPR (il CCPA).

Nonostante i difetti, sono convinto che essere i primi a regolamentare l’uso dell’intelligenza artificiale possa portare un vantaggio competitivo all’Unione Europea.

Nei prossimi anni l’UE potrebbe diventerà il punto di riferimento per lo sviluppo di sistemi di intelligenza artificiale in grado di rispettare elevati standard qualitativi e normativi, e quindi in grado di essere competitivi in un mercato sempre più attento all’etica, alla sostenibilità, e all’essere umano come centro di un ecosistema digitale, e non come semplice consumatore da sfruttare.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Articolo 1 di 4