L’evoluzione delle normative sull’intelligenza artificiale evidenzia un crescente interessamento delle istituzioni rispetto ai rischi legati ai possibili usi distorti della tecnologia.
Dall’“AI Risk Management Framework” pubblicato dal NIST negli Usa all’osservatorio sull’IA dell’OECD, ecco le soluzioni proposte.
Boom dell’intelligenza artificiale, ma i nodi etici restano irrisolti: eccoli
Una definizione di intelligenza artificiale
Per comprendere meglio di cosa andrea a parlare, partiamo dalle basi: di cosa parliamo quando parliamo di IA?
In effetti, si sente sempre più parlare di Intelligenza Artificiale (IA), senza capire di cosa si stia parlando. Difficile è trovare una definizione di IA e comprendere quali siano gli scopi di questa tecnologia. Si potrebbe partire sottolineando cosa si intenda per “intelligenza”, caratteristica tipica di animali e non cose o tecnologie: questa è la capacità di raggiungere obiettivi nel mondo. Applicando questo concetto all’IA si può dire che sia l’insieme di diverse tecnologie che, lavorando assieme in ambienti appropriati, generano un comportamento intelligente.
La proposta “The AI Act” della Commissione Europea, nell’Art. 3 comma 1. dà un ulteriore definizione che vede i sistemi di IA come software sviluppati con una o più delle tecniche e degli approcci elencati nell’allegato I dello stesso documento e in grado, per una determinata serie di obiettivi definiti dall’uomo, di generare risultati quali contenuti, previsioni, raccomandazioni, o decisioni che influenzano gli ambienti con cui interagiscono. Seguendo quanto detto, la Commissione Europea, non solo comprende il comportamento dell’IA nella definizione, ma anche gli strumenti utilizzati per programmare questi software. Questo risulta molto importante per leggere i diversi standard che si rifaranno a questo Act, come per esempio il Nuovo Regolamento Macchine.
Tre tipologie di intelligenza artificiale
Partendo da queste definizioni, si possono identificare tre tipologie di Intelligenza Artificiale basandosi sulla capacità di ragionamento che il software può raggiungere:
La prima, quella comunemente usata da tutti noi nel quotidiano, detta “Artificial Narrow Intelligence” (o “Narrow Intelligence”), la quale sviluppa un’intelligenza che supera quella umana in un determinato compito; un esempio è l’antispam che utilizzano le caselle di posta elettronica, o il riconoscimento facciale.
La seconda tipologia di IA è detta “Artificial General Intelligence”, quindi una macchina che riesce a sviluppare un’intelligenza simile a quella umana in ogni campo della ragione. Questo tipo di IA non esiste ancora; un esempio concreto di tentativi in merito è rappresentato dalla celeberrima ChatGPT, recentemente bloccata in Italia dal Garante privacy. Questa tecnologia messa a disposizione di tutti continua ad imparare richiesta dopo richiesta grazie agli algoritmi di Machine Learning su cui si basa. Il fine ultimo è, appunto, raggiungere un comportamento intelligente in qualsiasi sfera del ragionamento.
La terza ed ultima categoria di IA è chiamata “Artificial Superintelligence”, una nuova generazione di IA che può superare l’intelligenza umana in ogni settore. Questa tecnologia è ancora solo immaginata, ma apparentemente preoccupa già gli Stati, che si sono mossi per controllare il suo sviluppo pubblicando framework e standard che sottolineino i rischi e le implicazioni che l’utilizzo della Narrow Intelligence può portare. Il “The AI Act” già citato ed i framework che verranno analizzati sono delle importanti linee guida che si rifletteranno sugli strumenti che usiamo quotidianamente, comprendendo elettrodomestici, automobili, ma anche sistemi di intelligenza come ChatGPT che verranno sviluppati negli anni a venire.
NIST AI Risk Framework
Il 26 gennaio 2023 il NIST (National Institute of Standards and Technology) statunitense pubblicava la prima versione dell’“AI Risk Management Framework” che, similarmente a quanto già fatto dal più celebre framework per la cybersecurity, mira a fornire una consapevolezza generale sull’utilizzo dell’intelligenza artificiale, mostra i principi cardine che la devono regolare e spiana la strada a linee guida e futuri standard per le applicazioni. Il documento è pensato per tutti quegli attori che interagiscono con l’intero ciclo produttivo dell’IA, dalle aziende ai ricercatori, con un focus sui “decision-makers”.
Dal documento emerge prontamente l’importanza che il NIST dà al calcolo del rischio (“risk”) ed al concetto di “trustworthiness” (affidabilità) per ogni possibile applicazione dell’IA, seppur riconoscendo le differenze tra le possibili implementazioni. Non a caso questi sono temi parecchio dibattuti anche dall’opinione pubblica, ed è piuttosto comune incappare in discorsi relativi alla “perdita di controllo” dell’IA ed a possibili “rivoluzioni delle macchine”, già parte dell’immaginario di alcuni film.
Le le caratteristiche socio-tecnologiche di un sistema “affidabile”
Il NIST delinea le caratteristiche socio-tecnologiche di un sistema “affidabile”, che minimizzi dunque i rischi di danneggiare persone o sistemi:
- Valido e attendibile (valid and reliable), accompagnato dai concetti di robustezza e accuratezza. Si intende un sistema che operi come previsto, e che rispetti i requisiti e le limitazioni su cui si basa;
- Sicuro (safe), e resiliente (secure and resilient) sia in termini di postura cyber che di possibili danni all’uomo o ad altri sistemi. Ciò comporta informazioni chiare agli sviluppatori e gli utenti ed un utilizzo delimitato al campo di applicazione;
- Responsabile e trasparente (accountable and transparent). Il NIST specifica che la responsabilità presuppone la trasparenza durante l’intero ciclo di vita dell’IA: i dati utilizzati, i modelli e la loro struttura, gli obiettivi, le applicazioni e le conseguenze dell’utilizzo. Riconosce inoltre che questi principi siano affetti da fattori culturali e che perciò sia fondamentale regolamentare il rapporto uomo-macchina per tutti gli attori coinvolti;
- Spiegabile, in termini di modelli utilizzati, ed interpretabile in termini di output (explainable and interpretable). Questo principio è particolarmente importante per l’utente, in modo che comprenda l’interazione con l’IA, e per chi supervisiona o controlla il funzionamento;
- che rispetti la privacy (privacy-enhanced) e dunque tratti i dati in maniera apposita con tecniche di anonimizzazione o pseudonimizzazione, qualora fossero personali;
- corretto e che tenga conto di pregiudizi pericolosi (fair with harmful bias managed). Il NIST in particolare parla di 3 tipologie di bias: sistemico, computazionale e statistico e umano-cognitivo. Quest’ultimo principio è particolarmente insidioso e discusso, perché riflette problematiche sociali, spesso radicate da tempo, e che differiscono tra le culture dei diversi paesi. Non a caso, si sono già verificati fenomeni di “algoritmi razzisti” o in altri modi discriminatori nel caso di predizioni.
Il “core” del Framework NIST
La seconda parte del documento riguarda il “core” del framework, che consiste in quattro funzioni:
Govern: riguarda le politiche da adottare nella propria organizzazione per assicurarsi uno sviluppo dell’IA consapevole, e prevede dunque di promuovere una cultura che rispetti i principi di cui sopra, preparare tutta la documentazione necessaria riguardo la gestione dei rischi, prevedere meccanismi di revisione e monitoraggio e adottare misure per quadrare l’inserimento dell’IA all’interno della struttura aziendale. Questa funzione è essenziale in quanto governa le altre tre.
Map: consiste nel contestualizzare lo sviluppo dell’IA, tenendo conto soprattutto dell’interdipendenza dei processi e della difficoltà, a causa di questo, di prevedere l’impatto delle interazioni. Fondamentale in questo punto è includere nella mappatura le terze parti e le interdipendenze tra i sistemi interessati dall’applicazione
Measure: tratta delle tecniche e strumenti usati per misurare i rischi che emergono dalla funzione MAP. Questi possono essere quantitativi o qualitativi. Il NIST riconosce che la scelta stessa delle metriche è di per sé non un compito facile, seppur fondamentale; suggerisce inoltre la creazione di benchmarks comparativi, utili nell’ottica della creazione di standard.
Manage: concerne la gestione dei rischi dell’IA in merito alla risposta e recupero da incidenti, nonché le comunicazioni e le notifiche. Questa sezione è piuttosto simile alla gestione degli incidenti cyber, e fornisce linee guida onde garantire la continuità del servizio e la gestione delle risorse a livello organizzativo di un possibile incidente
L’Intelligenza Artificiale in Europa
Se da un lato il framework per la cyber prodotto dal NIST è stato preso come modello in Europa per moltissimi standard, bisogna notare che per quanto concerne l’IA diverse sono state le spinte e le ispirazioni provenute dall’Europa. In primis, come riconosciuto dal NIST stesso, l’osservatorio sull’IA dell’OECD ha fornito le basi per la stesura del framework. L’osservatorio racchiude tutta una serie di validi strumenti e linee guida, oltre a principi e raccomandazioni per i policy-makers; tra queste, si chiama a maggiori investimenti nel settore, tesi anche a preparare il mercato del lavoro. Inoltre, a differenza del framework NIST, l’OECD suddivide le raccomandazioni per settori, spaziando dalla sanità all’industria, passando per il mercato del lavoro e questioni sociali. Infine, nella sezione “Trends & data”, l’osservatorio ha creato un punto di raccolta di statistiche utili per la ricerca accademica e non solo.
In Unione Europea è attualmente in corso la revisione della “proposta di regolamento del parlamento europeo e del consiglio che stabilisce regole armonizzate sull’intelligenza artificiale”, preparata già nel 2021 da cui si evidenziano diverse similitudini con il framework statunitense.
La proposta, si legge, ha i seguenti “obiettivi specifici”:
- assicurare che i sistemi di IA immessi sul mercato dell’Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell’Unione;
- assicurare la certezza del diritto per facilitare gli investimenti e l’innovazione nell’intelligenza artificiale;
- migliorare la governance e l’applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA;
- facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato.
Prevede ragionevolmente di essere applicata in maniera sinergica al GDPR e, similarmente a questo regolamento, include le definizioni dei concetti principali, introduce nuovi termini e definisce figure che probabilmente acquisiranno sempre più importanza, quali “organismo di valutazione della conformità” e “autorità nazionale di controllo”.
Conclusioni
La legislazione in Europa e negli Stati Uniti sta facendo discreti progressi per rimanere al passo con le innovazioni tecnologiche che interessano l’IA; lo stesso stanno facendo altri paesi come il Canada con l’ “Artificial Intelligence and Data Act” e la Cina, che ha recentemente imposto con un nuovo regolamento l’uso di un “watermark” contro la diffusione di tecnologie come i deepfakes. L’UNESCO ha proposto il primo accordo globale “Ethics of Artificial Intelligence” che sottolinea le problematiche etiche dell’IA. Se da un lato si può notare una certa uniformità nei principi tra i vari paesi citati, difficilmente questa si riscontrerà sul piano normativo, dove altri fattori (soprattutto di carattere politico e culturale) entrano in gioco e la competizione potrebbe prevalere, come nel cyber-spazio, sulla collaborazione.
Queste soluzioni proposte dalle Istituzioni impatteranno sulla vita dei cittadini in diversi modi, si impegneranno nel garantire la privacy e salvaguardare la sicurezza dei lavoratori e cercheranno di gestire l’utilizzo di questa tecnologia in accordo coi diritti fondamentali, probabilmente la sfida più grande vista la complessità di gestire bias largamente diffusi.
L’evoluzione verso norme e standard sull’IA fa sperare in un aumento della consapevolezza delle istituzioni riguardo l’argomento, con l’auspicio che questa sia diffusa in tutti gli ambienti produttivi del settore privato sottolineando i rischi e le implicazioni che l’IA comporta.