Il Parlamento europeo ha approvato, il 14 giugno, il Regolamento denominato “AI Act” (AIA), con un voto finale di 499 favorevoli, 28 contrari e 93 astenuti. L’iter istituzionale dell’AIA prevede adesso passaggi in Commissione e Consiglio e negoziati con gli Stati membri. Il voto finale dovrebbe arrivare, infine, entro quest’anno, mentre l’entrata in vigore dello stesso è prevista nel giugno 2024. Gli Stati membri avranno poi due anni di tempo per trasporre il Regolamento nel loro Paese dando così modo alle imprese e piattaforme di adeguarvisi in tempi utili.
In termini assai generali, l’AIA prevede tre livelli di rischio dell’AI in base alla loro funzione.
1) Un divieto di “rischio inaccettabile” in termini di privacy, non discriminazione e relativi diritti umani riferibile ad alcuni sistemi di punteggio sociale (social scoring), sorveglianza biometrica oppure sistemi che sfruttano le vulnerabilità di uno specifico gruppo di persone, dovute all’età o alla disabilità fisica o mentale. Alle autorità pubbliche è vietato valutare l'”affidabilità” delle persone in un aspetto della loro vita (ad esempio, la loro capacità di ripagare i debiti) per giustificare “un trattamento dannoso e sfavorevole … ingiustificato e sproporzionato rispetto al loro comportamento sociale o alla sua gravità”. Il Regolamento impone anche un divieto parziale all’utilizzo, da parte delle forze dell’ordine, di “sistemi di identificazione biometrica remota ‘in tempo reale'” in spazi pubblicamente accessibili a fini di attività di contrasto. Tale utilizzo viene consentito, invece, per svolgere specifiche funzioni di applicazione della legge come il rintracciare bambini scomparsi, prevenire attacchi terroristici o identificare individui sospetti solo previa autorizzazione giudiziaria, salvo nelle situazioni emergenziali.
2) Sistemi di AI “ad alto rischio”: il Regolamento designa un ampio elenco di tali sistemi la cui implementazione richiederebbe ulteriori misure di sicurezza, quali quelli utilizzati per identificare e classificare le persone in base ai loro dati biometrici (come i controlli di riconoscimento facciale) e software automatizzato nella selezione dei curricula. Tali sistemi sono tenuti a rispettare una serie di requisiti di mitigazione del rischio e misure per garantire la supervisione umana e la sicurezza informatica.
3) Sistemi di AI “non regolamentati” in quanto non ricadenti nelle altre due categorie summenzionate.
Il Regolamento AIA è piuttosto corposo, 108 pagine, e sollecita una riflessione meditata su molteplici aspetti la cui trattazione in questa sede non può essere svolta per ragioni di spazio. Quello che si intende qui fornire è una breve lettura dell’AIA in termini geopolitici e di strategia di alto livello.
Il primo punto da evidenziare è che, come gran parte della legislazione odierna che si occupa della regolamentazione di aree complesse e dinamiche, l’AIA persegue dei fini regolatori stabilendo dei requisiti essenziali per creare obblighi giuridicamente vincolanti e per costruire l’impalcatura istituzionale per l’applicazione e il mantenimento di tali standard. Gli standard che sono stati pubblicati finora, tuttavia, tendono a rimanere anch’essi di alto livello, evitando dettagli tecnici, così come fatto, ad esempio, dal National Institute for Standards and Technology (NIST), negli Stati Uniti, con il “AI Risk Management Framework”. L’obiettivo dell’AIA è di definire, anch’esso, i risultati da raggiungere, o i pericoli da affrontare, senza specificare in dettaglio le soluzioni tecniche. Tuttavia, gli standard dovranno essere sviluppati successivamente da degli enti di standardizzazione appositamente incaricati. Essi stabiliranno, difatti, il livello che i sistemi di AI dovranno soddisfare (definendo test e metriche) e delineeranno come tali sistemi dovrebbero essere sviluppati (descrivendo strumenti e processi che possono essere utilizzati). Già da questo aspetto si può facilmente ipotizzare che lo sviluppo di standard efficaci sarà un’operazione non del tutto facile e forse neppure verrà portata a termine in tempi brevi.
Un secondo aspetto da sottolineare è che l’AIA rappresenta il tentativo dell’Unione europea di stabilire, per se stessa e a livello globale, un quadro completo e unico per regolamentare l’IA in moltissime sfaccettature della società e dell’economia. Al centro del Regolamento, difatti, vi è la protezione dei diritti fondamentali degli individui con l’obiettivo ultimo di garantire che tale tecnologia, ubiquitaria al giorno d’oggi, aumenti il benessere degli esseri umani e non procuri, invece, danni agli stessi. In questo senso, l’AIA si propone di vietare i sistemi di AI che “manipolano le persone attraverso tecniche subliminali o sfruttano la fragilità di individui vulnerabili e potrebbero potenzialmente danneggiare l’individuo manipolato o terzi”. A questo riguardo, qui vale solo rilevare che l’efficacia degli stimoli subliminali nell’influenzare il comportamento umano non è chiara e non è stata stabilita in modo definitivo dalla letteratura scientifica sull’argomento.
In ultimo, l’aspetto geopolitico è forse quello più importante di tutti considerato che, storicamente, l’Ue è stata sempre disposta a dare la priorità alla protezione dei suoi cittadini anche a scapito dell’innovazione più spinta e deregolamentata. Gli Stati Uniti, la Repubblica Popolare Cinese e altre grandi potenze, invece, sembrano più inclini a consentire agli attori dell’AI di procedere con le sperimentazioni tecnologiche prima che possano essere fissati degli standard tecnicamente cogenti. Ciò rappresenta un potenziale rischio per l’Ue in quanto il suo attivismo regolatorio potrebbe indebolire la sua rilevanza di potenza globale. In questo senso, essa potrebbe essere presa tra due fuochi; da un lato, la riluttanza di dover scendere a compromessi sulla protezione dei suoi cittadini, dall’altro, la pressione geopolitica di cercare di favorire l’innovazione in un campo così strategico per gli equilibri prossimi venturi. In questo senso, l’approccio esplicitamente scelto dall’Ue è che l’AIA debba rappresentare il punto di riferimento globale per la regolamentazione dell’AI. Da adesso in poi, le autorità di regolamentazione di tutto il mondo guarderanno all’AIA come al primo e al più rilevante di questi sforzi: un esempio di come sia possibile raggiungere un difficile equilibrio in questo campo così strategico, dinamico e competitivo. Da oggi, l’AIA verrà considerata come l’asticella rispetto alla quale verrà misurata tutta la regolamentazione prossima ventura così come successo con il Regolamento generale sulla protezione dei dati (GDPR) prima di essa. Anche per una ragione pratica molto semplice in quanto tutti i software vengono sviluppati e implementati per operare nello spazio digitale, oltre i confini nazionali. Nel caso del GDPR, difatti, piuttosto che sviluppare processi separati per gli europei, molti siti web di tutto il mondo hanno adottato le regole più stringenti: quelle dell’Ue per chiedere agli utenti il consenso al trattamento dei dati personali e all’utilizzo dei cookie.
In definitiva, l’AIA ha l’ambizione esplicita di porsi nell’ottica di consolidare la leadership europea a livello normativo e di esportare i valori europei legati ai diritti civili. Del resto, anche sul terreno della regolazione, piuttosto che solo su quello dell’innovazione, si gioca la complessa partita della competizione globale. E certamente, tra l’AIA, il GDPR e il combinato disposto del Digital Services Act e del Digital Markets Act, la Commissione europea può vantare un approccio regolativo unico al mondo: una serie di strumenti enormemente influenti per governare le piattaforme online, ben al di là di qualsiasi altro Governo democratico. Ciò spiega anche l’attivismo lobbistico delle Big Tech statunitensi, vale qui citare solo Microsoft e Google, le quali hanno, negli ultimi tempi, ostinatamente esercitato pressioni sui responsabili politici dell’Ue per escludere l’AI generativa, bene esemplificata da ChatGPT di OpenAI, dagli obblighi imposti ai sistemi “ad alto rischio” con la motivazione che tali sistemi vengono utilizzati principalmente per redigere documenti e aiutare con la scrittura del codice di programmazione. Una situazione che, in seguito, dovrà trovare delle necessarie mediazioni tra Bruxelles e Washington e ciò dovrebbe avvenire attraverso il Consiglio UE-US per il commercio e la tecnologia (Trade and Technology Council, TTC), una sede ideale nella quale provare ad armonizzare i diversi approcci normativi all’AI dei due Paesi.
Quando ciò avverrà, si vedrà molto meglio come verrà regolata, a livello globale, la diffusione di una tecnologia ubiquitaria e a duplice uso (dual use), qual è per definizione l’intelligenza artificiale, e se prevarrà o meno la ragion di Stato, rispetto all’attivismo militante in favore della privacy e della non discriminazione algoritmica.
— — — —
Abbiamo bisogno del tuo contributo per continuare a fornirti una informazione di qualità e indipendente.
