Dopo tre anni di lavori preparatori, i legislatori dell’Unione europea hanno aperto la strada a un’Intelligenza Artificiale (IA) europea etica. Ora ci vorranno due anni perché la proposta, pubblicata il 21 aprile, possa entrare in vigore e imprimere una direzione specifica sui sistemi di IA: «Queste regole rappresentano una svolta, che consentirà all’Ue lo sviluppo di nuove norme globali per un’IA affidabile», ha dichiarato la vicepresidente della Commissione, Margrethe Vestager, che ha ribadito come «per l’intelligenza artificiale, la fiducia non è facoltativa, è indispensabile».
La proposta dell’Ue è l’ultima tappa di un cammino che il Consiglio ha intrapreso nel 2017 sulla scia del regolamento generale per la protezione dei dati (GDPR), recepito in Italia nel 2018. Mentre la Commissione europea creava un gruppo di lavoro formato da 52 membri, inclusi esperti di IA, accademici e parti sociali, nel primo Piano per lo sviluppo e l’utilizzo dell’IA in Europa faceva capolino la definizione di «tecnologia ad alto rischio», concetto chiave dell’ultimo documento. Nei lavori preparatori, infatti, il Consiglio ha affrontato le questioni di opacità e complessità di alcuni sistemi, stridenti con la tutela delle libertà e dei diritti fondamentali dell’Unione europea.
Si tratta di un passo decisivo verso quella che il giurista Stefano Rodotà ha chiamato RoboLaw: «Per affrontare questo problema, il riferimento non può essere cercato nell’intelligenza artificiale, ma in quella collettiva, dunque nella politica e nelle decisioni che questa è chiamata ad assumere», scriveva Rodotà su MicroMega nel 2015. A distanza di sei anni, nel primo quadro giuridico sull’IA realizzato dall’Ue, la tutela e la sicurezza dei cittadini europei diventa la chiave di lettura dello sviluppo tecnologico con l’obiettivo di facilitare un mercato europeo unitario e competitivo: «L’intervento legale si adatta a quelle situazioni in cui esiste una preoccupazione giustificata, ma questo approccio non crea restrizioni inutili al commercio» si legge nel documento.
Definendo regole «proporzionate e flessibili», l’Europa intende anche rafforzare la sua posizione nello sviluppo di una «IA antropocentrica, sostenibile, sicura, inclusiva e affidabile e in maniera adeguata alle esigenze future», ponendosi come ago della bilancia fra i sistemi altamente pervasivi utilizzati in Cina e le tecnologie d’Oltreoceano, che non si basano sulle linee guida del Regolamento generale sulla protezione dei dati europeo. Con questo approccio, il Vecchio Continente chiarisce le regole di un mercato tecnologico, sgombrando il campo a restrizioni inutili e dannose per distributori e utenti. Per farlo, i sistemi di IA dovranno, però, rispettare i requisiti basati sui trattati europei prima di essere immessi nel mercato.
Il documento classifica i sistemi di IA sulla base di basso, medio o alto rischio. Un’IA «ad alto rischio» è tale se minaccia la sicurezza e i diritti delle persone: la proposta ne dà una definizione precisa, intendendo quei sistemi che «manipolano il comportamento umano per aggirare il libero arbitrio degli utenti» come il social scoring utilizzato in Cina, per esempio. Per la Commissione, le tecnologie ad alto rischio non sono solo i sistemi di sorveglianza, ma tutti quei tool che mettono a repentaglio la vita dei cittadini e la loro formazione.
Sono incluse quelle IA utilizzate nell’ambito delle infrastrutture, della chirurgia, della gestione dei flussi migratori, come anche nell’amministrazione della giustizia. Per questo, ogni tecnologia andrà vagliata in modo meticoloso con una valutazione non solo dei rischi, ma anche dei risultati (dalla tracciabilità dei dati a eventuali esiti discriminatori). Il documento considera essenziali anche due fattori: la chiarezza delle informazioni fornite all’utente e la cosiddetta «robustezza tecnica». Quest’ultimo criterio diventa un requisito importante, perché legato al concetto di cyber-security e alla sicurezza dei dati forniti dagli utenti.
Oltre al concetto di vulnerabilità delle tecnologie, e l’acquisizione illecita di dati, il documento mette in luce la vulnerabilità degli utenti stessi. Per questo, vieta categoricamente quelle tecnologie che utilizzano «tecniche subliminali» per avvantaggiarsi «materialmente» del comportamento di una persona. Il criterio di vulnerabilità non riguarda solo le IA ad alto rischio, ma anche sistemi come i chatbot, per esempio, che hanno così l’obbligo di informare gli utenti «in modo da poter decidere con cognizione di causa se continuare a usarli oppure no». Eppure, menzionando il concetto di «intenzione», la bozza sottolinea che essa non può essere presunta se il comportamento “distorto” avviene fuori dalla tecnologia.
La proposta pone un duro veto sulle tecnologie che fanno uso dell’identificazione biometrica in luoghi pubblici a distanza, come il riconoscimento facciale. Per l’Ue si tratta di sistemi intrusivi perché «evocano un sentimento di sorveglianza costante e indirettamente dissuadono dall’esercizio della libertà di assemblea e altri diritti fondamentali». Sono previste solo rare eccezioni al loro utilizzo, rigorosamente definite e regolamentate.
Ad esempio, nel caso della ricerca di un minore scomparso, della prevenzione di una minaccia terroristica specifica e imminente o nell’individuazione, localizzazione e identificazione di autori sospettati di specifici crimini, dalla frode all’omicidio. In tutti questi casi, comunque, il documento ritiene necessaria l’autorizzazione di un giudice o di un altro organo indipendente, purché vengano specificati i precisi limiti temporali dell’utilizzo della tecnologia.
Sono, invece, considerati a medio o basso rischio le tecnologie del settore gaming. La proposta di legge non interviene in questi casi, perché l’IA utilizzata rappresenta un rischio minimo alla sicurezza dei cittadini. Tuttavia, secondo quanto specifica l’art. 52, tutti i distributori di sistemi di IA progettati per interagire con persone fisiche hanno l’obbligo di trasparenza: per la Commissione ciascun utente ha il diritto di essere informato del funzionamento di tecnologie che manipolano contenuti, come nel caso dei deep fake, cioè di software che sovrappongono il viso di una persona ad altre immagini.
Come rivela il Wall Street Journal, alcune startup che producono app per smartphone, come l’ucraina NeoCortext Inc., si stanno già conformando alle linee guida dell’Ue. Per rendere esecutivo il suo ambizioso piano, si propone l’istituzione di un organismo, l’European artificial intelligence board, con lo scopo di rendere applicabile il regolamento in sintonia con il già presente GDPR. Per rendere efficiente il rispetto delle norme a livello locale, il piano prevede anche la presenza di misure di sostegno per gli Stati membri e l’istituzione di sportelli unici per incentivare la competitività delle pubbliche amministrazioni e delle PMI attraverso finanziamenti specifici.
L’obiettivo di queste misure è instillare la fiducia nei cittadini per le tecnologie di IA e rendere un mercato efficiente grazie a regole trasparenti. La proposta, infatti, è diretta non solo alle aziende che operano nell’Unione europea ma a tutte quelle realtà che intendono distribuire o vendere i loro prodotti al suo interno: in altre parole, non sono immuni al documento quelle società che mantengono un’entità extraterritoriale, ma vendono nell’Ue: in questo modo, si promuove l’adozione di tecnologie trasparenti. Nel caso di violazioni da parte delle aziende, infatti, l’Ue impone sanzioni fino al 6 per cento del fatturato annuo globale.
«Il documento è frutto di un’analisi molto ponderata, ora toccherà vedere quale direzione prenderà nei prossimi due anni», sottolinea Antonio Ravenna, privacy & tech specialist ed ex responsabile della protezione dei dati in una società di IA. «Il documento ricalca l’approccio del GDPR, fa sua l’analisi sui rischi e i potenziali effetti negativi e intende contrapporsi sotto molti aspetti a un modello cinese che utilizza sistemi di video-sorveglianza e social-scoring: a questo, infatti, contrappone un framework trasparente delle tecnologie», aggiunge.
La proposta europea punta a un’IA adempiente verso l’utente. Su questa linea si stanno muovendo diverse realtà, come l’italiana Togggle, una startup che offre un nuovo approccio alla gestione dei dati personali: «In questo modo, gli utenti possono essere in grado di decidere quali servizi possono utilizzare i loro dati personali, proteggendosi da tecniche di tracciamento e profilazione illegali che mirano a eludere i principi chiave della protezione dati», spiega Michelangelo Frigo, ceo di Togggle. «A partire dal regolamento europeo sull’IA dello scorso gennaio, gli articoli 9 e 10 prevedono obblighi specifici di tracciabilità e trasparenza da parte dei produttori: noi abbiamo così pensato a un sistema che assicuri a ciascun utente operazioni sufficientemente trasparenti e comprensibili», aggiunge.
La proposta sull’utilizzo etico delle tecnologie di IA implica la ricerca di standard che tutelino le libertà fondamentali in un sistema democratico. Per questo, in occasione della presentazione del documento, oltre 100 eurodeputati hanno rivolto alla presidente della Commissione europea, Ursula Von der Leyen, un invito a considerare il pieno rispetto dei diritti del cittadino: «La sorveglianza di massa figurerebbe tra le pratiche espressamente proibite dal Regolamento, ma con discutibili eccezioni in casi di necessità di pubblica sicurezza, che possono aprire la strada a interpretazioni pericolose e delle libertà fondamentali», ha dichiarato al Foglio Brando Benifei, capo delegazione del Pd al Parlamento europeo: «Sbagliare la regolazione di questo fronte dell’innovazione rischia di indebolire i pilastri della nostra democrazia, in un momento in cui i modelli autoritari nel mondo propongono le proprie soluzioni illiberali anche in questo campo».
Per il presidente francese, Emmanuel Macron, eventuali dissonanze si superano con il dialogo tra gli attori coinvolti, dagli Stati membri alle realtà del tech. A questo proposito è stata istituita Tech for good, un’iniziativa con sede a Parigi che oggi coinvolge società private e istituzioni pubbliche nell’edificazione di una società europea più tecnologica e inclusiva: «Spesso vediamo consumatori europei contro compagnie tech statunitensi, ma il punto non è tanto rimproverare le compagnie, quanto capire cosa vogliamo tutti dall’utilizzo di tali tecnologie», spiega Eric Salobir, fondatore di Optic e membro della sub-commission voluta da Macron: «Non si tratta di mettere i capi delle big tech in un angolo», aggiunge, «ma di trovare insieme delle soluzioni, sviluppando tecnologie e definendo bene cosa s’intende per inclusività in un mondo sempre più digitale».