La situazione è la seguente: negli Stati Uniti ci sono lavori in corso per arrivare a un testo di legge sull’intelligenza artificiale, ma al momento non esiste una normativa federale. C’è un punto di riferimento, rappresentato dall’AI Bill of Rights del 2022, che fissa i principi basilari. E ci sono un testo di autoregolamentazione firmato da sette grandi produttori di software (Amazon, Anthropic, Google, Inflection, Meta, Microsoft e OpenAI) e una proposta di legge bipartisan con norme che riguardano sia le aziende che sviluppano la tecnologia (per esempio, proponendo di eliminare l’immunità sulla pubblicazione di contenuti), sia l’utilizzo del prodotto finale (i programmi e i tool di Ai) e le tutele per i consumatori. In Europa, invece, c’è un testo legislativo proposto dalla Commissione sin dal 2021 ma a tutt’oggi all’esame del Consiglio e del Parlamento europeo. Nel caso, probabile, in cui tutti fili liscio, l’AI Act, in forma di regolamento e dunque direttamente applicabile negli Stati membri, entrerà in vigore non prima del 2025. Questi dati indicano già una serie di elementi fondamentali: le tecnologie sono molto più veloci delle leggi.
Le istituzioni stanno affrontando il problema cercando di proporre testi con il più ampio raggio d’azione possibile: non sono i singoli stati europei a legiferare, ma l’Unione europea. E rispondono alla veloce evoluzione in modi diversi. Il Congresso Usa ha svolto un’inchiesta interpellando tutte le più grandi aziende che sviluppano intelligenza artificiale. La proposta di Regolamento europeo stabilisce norme armonizzate per lo sviluppo, l’immissione sul mercato e l’uso di sistemi d’Intelligenza Artificiale nell’Unione, secondo un approccio proporzionato basato sul rischio per i cittadini. Esso propone una definizione unica di IA che valga anche nel futuro e stabilisce una solida metodologia di rischio per definire i sistemi di IA “ad alto rischio” per la salute e la sicurezza o per i diritti fondamentali delle persone. È un’impostazione che si propone di incrementare la fiducia dei cittadini europei verso simili strumenti e di garantire che l’utilizzo degli stessi non costituisca una violazione dei diritti fondamentali, sottolinea Francesca Ferrari, professore di diritto processuale civile presso il dipartimento Dieco dell’Università dell’Insubria ed esperta in materia di proprietà intellettuale e tutela dei consumatori alla Rappresentanza italiana permanente presso l’Unione Europea, intervistata da Industria Italiana. «La volontà è proprio quella di creare un ecosistema di fiducia nei confronti dell’intelligenza artificiale, che necessariamente passa attraverso una visione antropocentrica».
Del resto, come si sta studiando anche nell’ambito del Centro di ricerca sull’intelligenza artificiale dell’Insubria, la proposta di regolamento sull’IA avrà un impatto importante sia per le aziende che producono sistemi e servizi di IA che per quelle che li utilizzano. In particolare, per i prodotti ed i servizi che utilizzano strumenti e modelli di IA per prendere decisioni o fanno previsioni e simulazioni, che possono impattare sulla vita ed i diritti del cittadino. Negli Usa, la strada sembra più in salita. Oreste Pollicino, ordinario di diritto costituzionale all’Università Bocconi e membro italiano del cda dell’agenzia europea per i diritti fondamentali di Vienna, ritiene positiva la proposta di legge bipartisan, perché è federale, e di conseguenza supera l’attuale frammentazione rappresentata da regolamenti sulle tecnologie approvati dai diversi Stati. Va anche incontro a una ragione di carattere politico: «gli Usa non vogliono rimanere indietro, ma avere un atteggiamento proattivo» nei confronti della regolamentazione delle tecnologie. Ma restano alcune domande di fondo: quanto sono efficaci queste leggi, vista la difficoltà di prevedere le evoluzioni tecnologiche? E perché sono necessarie, a tutela di diritti come la privacy, o il diritto d’autore, che sono già abbondantemente normati? Qualche risposta, e molti spunti di analisi, sono stati forniti dai già citati Francesca Ferrari e Oreste Pollicino nel corso dell’AI e Robotics Conference 2023 organizzata da Assolombarda, Rta e Sea Vision.
Le leggi Ue sull’intelligenza artificiale, come si è arrivati all’AI Act
Partiamo dal contesto. Sono in realtà diversi anni che su entrambe le sponde dell’Atlantico si predispongono leggi e regolamenti sull’intelligenza artificiale, così come sulle nuove tecnologie in generale. L’Europa ha istituito il primo gruppo di esperti nel 2018, anno in cui ha anche lanciato l’AI Alliance, una sorta di consultazione pubblica sull’IA. Gli step successivi: nel giugno del 2019 il gruppo di esperti ha pubblicato le linee guida etiche sull’IA, nel febbraio del 2020 la Commissione Ue ha diffuso il “Libro bianco sull’intelligenza artificiale Un approccio europeo all’eccellenza e alla fiducia”, nell’aprile del 2021 sono uscite le valutazioni d’impatto di una normativa sull’IA e nel novembre dello stesso anno è uscito il primo testo del Regolamento sull’IA. Prevedibilmente, l’iter del Regolamento potrebbe terminare entro la fine dell’anno, o all’inizio del 2024, ma ci sono poi due anni di tempo per adeguarsi alle Regole (alcune specifiche disposizioni prevedono anche tempi più lunghi).
Le leggi Usa sull’intelligenza artificiale, verso un testo federale
Negli Stati Uniti il tema di una legislazione sull’IA a livello federale è invece stato affrontato solo negli ultimi anni. C’è una sorta di carta dei diritti, rappresentata dall’AI Bill of Rights dell’ottobre del 2022. Questo testo identifica cinque principi cardine: sicurezza, con riferimento allo sviluppo nel rispetto dell’impatto che il sistema è destinato ad avere sugli utenti (valutazione dei rischi). Protezione dalla discriminazione nello sviluppo degli algoritmi. Attenzione alla privacy dei dati. Diritto all’informazione sul funzionamento e l’utilizzo dei sistemi di IA. Adeguato intervento umano, anche a livello di governance, soprattutto in settori sensibili (come salute, giustizia, istruzione). Il Bill of Rights non è una legge, ma una sorta di cornice di riferimento a cui gli operatori del settore sono chiamati ad adeguarsi. Più stringente l’accordo sottoscritto fra la Casa Bianca e Amazon, Anthropic, Google, Inflection, Meta, Microsoft e OpenAI, in cui le aziende si impegnano a rispettare una serie di principi: testare i prodotti prima di immetterli sul mercato per verificarne la sicurezza, dare adeguata informazione sui rischi legati all’IA, investire costantemente nella sicurezza informatica e abilitare community che segnalino eventuali falle, intraprendere una serie di azioni per garantire trasparenza.
Infine, la proposta di legge bipartisan, presentata da due senatori, Josh Hawley e Richard Blumenthal, che propone la creazione di un sistema di licenze rilasciate da un organismo indipendente, regole di chiarezza e garanzie sul controllo dei propri dati per gli utenti, e l’esclusione dell’utilizzo dell’intelligenza artificiale dalla protezione prevista per le piattaforme online rispetto ai contenuti inseriti dagli utenti. Oreste Pollicino sottolinea come da parte del Parlamento americano ci sia l’interesse a produrre normative federali, che superino la frammentazione delle legislazioni statali (ce ne sono parecchie sulle tecnologie, anche sull’IA). «E’ già successo in passato, ad esempio con lo sviluppo di Internet negli anni ‘90», e si cerca di non ripetere l’errore. D’altro canto, evidenzia una serie di rischi: le audizioni effettuate sia dal Governo sia dal Congresso si sono concentrate sui big del settore, lasciando quindi fuori ad esempio le piccole imprese, e non valorizzando adeguatamente la componente femminile. In generale, comunque, è positivo il commento dell’esperto sulla volontà di regolazione e sull’accento messo sulla volontà di «proteggere dai rischi di disinformazione legati all’IA». Ma c’è il rischio di «un’operazione di facciata», che si risolva in un accordo fra big pubblici e privati.
L’approccio antropocentrico
L’accento sulla fiducia degli utenti viene messo sia dalla legislazione Ue sia dalle diverse iniziative americane. Lo scopo dell’AI Act europeo è «promuovere l’adozione di un’intelligenza artificiale affidabile e incentrata sull’uomo e garantire un elevato livello di protezione della salute, della sicurezza, dei diritti fondamentali, della democrazia, dello Stato di diritto e dell’ambiente dagli effetti dannosi dell’intelligenza artificiale nell’Unione, sostenendo nel contempo l’innovazione e migliorando il funzionamento del mercato interno» si legge nel testo. Il Regolamento «stabilisce un quadro giuridico uniforme in particolare per lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso dell’intelligenza artificiale in conformità con i valori e le norme dell’Unione, garantisce la libera circolazione transfrontaliera di beni e servizi basati sull’intelligenza artificiale, impedendo così agli Stati membri di imporre restrizioni allo sviluppo, alla commercializzazione e all’uso di sistemi di intelligenza artificiale (sistemi di intelligenza artificiale), se non espressamente autorizzati dal presente regolamento».
L’AI Act e il criterio del rischio: impatto sulle imprese
Molto in sintesi, l’impianto dell’AI Act si basa sul concetto di rischio. Sono previsti tre
diversi livelli:
Rischio inaccettabile: (ad esempio, non si possono immettere sul mercati prodotti che possano comportare rischi di manipolazione comportamentale, piuttosto che non si possono usare sistemi di identificazione biometrica in tempo reale e a distanza.
Alto rischio: tutti i sistemi che rientrano in questa categoria devono essere preventivamente valutati prima dell’immissione sul mercato e successivamente costantemente monitorati. In questa categoria si inseriscono sistemi di intelligenza artificiale utilizzati in prodotti soggetti alla direttiva dell’UE sulla sicurezza generale dei prodotti (come giocattoli, aviazione, automobili, dispositivi medici, ascensori), e sistemi che rientrano in otto aree specifiche. Fra quelle che interessano specificamente le aziende: identificazione e categorizzazione biometrica, gestione e funzionamento di infrastrutture critiche, istruzione e formazione professionale, occupazione, gestione dei lavoratori e accesso all’autoimpiego.
Rischio limitato: questo utilizzo dell’Ai deve prevedere sempre adeguata informazione da parte dell’utente, e la possibilità di scegliere se continuare o meno ad utilizzare una determinata applicazione. Sono inclusi in questo capitolo i sistemi di intelligenza artificiale che generano o manipolano contenuti di immagini, audio o video (ad esempio deepfake).
C’è poi una quarta categorizzazione, che riguarda i rischi legati in particolare all’IA generativa, con determinati requisiti di trasparenza relativi in particolare al copyright.
L’AI Act, secondo Francesca Ferrari, si caratterizza per una visione antropocentrica, che ha l’obiettivo di rassicurare gli utenti.
D: Professoressa, perché lei ritiene che l’AI Act abbia un’impostazione che rassicura le persone dall’impatto dell’intelligenza artificiale?
R: «Li rassicura perché mette regole basate sul rischio relativo all’utilizzo che si fa dell’intelligenza artificiale. La legge è fondata su una categorizzazione dei rischi. E questo testimonia la volontà di creare un ecosistema di fiducia nei confronti dell’AI. L’obiettivo non è quello di sostituire l’uomo, semmai di utilizzare i sistemi di intelligenza artificiale ad ausilio dell’uomo. Per esempio ben si sottolinea che, a livello di tutela giurisdizionale, non è mai un’alternativa rispetto alla funzione giudiziaria, non esiste la possibilità del giudice robot fino in fondo, ma l’IA può essere un valido ausilio per il giudice e il sistema giudiziario».
D: Un altro tema, fra l’altro sottolineato anche dal legislatore, riguarda la difficoltà di predisporre leggi su tecnologie in forte e veloce evoluzione. Nel dibattito sul palco dell’IA & Robotics Conference 2023 ci si è anche interrogati sull’opportunità di farlo, a fronte del fatto che le leggi sui temi di fondi esistono già (proprietà intellettuale, privacy, diritti fondamentali). Si può dire che l’approccio antropocentrico, basato sul concetto di rischio, coniuga questi due aspetti?
R: «A mio giudizio sì. Ho la fortuna di lavorare da qualche mese alla Rappresentanza permanente italiana nella UE, che sta facendo un eccellente lavoro nell’ambito del Consiglio europeo. Quello che mi sembra di poter dire, è che questo regolamento forse non sarà più la prima legge sull’IA, quando entrerà in vigore forse non avrà più questo primato. Ma ha un grosso pregio: l’aver individuato modalità di approccio a un tema estremamente tecnico, anche per il giurista (un professionista che non ha l’approccio tecnico). Il dato tecnico viene utilizzato per dare regole di trasparenza, volte a tutelare il consumatore, senza peraltro creare un atteggiamento di chiusura rispetto all’intelligenza artificiale. Noi dobbiamo promuovere l’utilizzo dell’IA con una visione antropocentrica. L’apporto umano va tutelato e posto al centro».
D: Su alcuni temi specifici, come il copyright, non c’è una difficoltà reale nel coniugare l’evoluzione digitale con le leggi di fondo già esistenti, determinata dal fatto che ci la tecnologia (per esempio, Chat Gpt) cambia un paradigma?
R: «Non credo che cambi il paradigma, ma impone nuove regole del gioco. Che vanno condivise sia da parte di chi sviluppa il sistema sia da parte del soggetto i cui prodotti vengono utilizzati per addestrare il sistema di IA. I principi generali in materia di diritto d’autore ci sono, la legge italiana è perfettamente aderente alla realtà, nonostante sia risalga al 1941. Questo vale anche per il Copyright Act negli Usa. I principi generali sono compatibili. Chiaramente vanno fatte operazioni chirurgiche, nel senso che oggi il principio generale va adattato a una realtà diversa. Condivido l’idea che non si possa continuare a rincorrere l’ultima innovazione tecnologica. Un sistema giuridico, proprio per creare un ecosistema di fiducia, deve esser certo, non inseguire la singola tecnologia. Deve avere principi fondanti, l’innovazione deve essere tutelata attraverso questi principi fondanti».
D: Il regolamento UE è ancora in itinere, nel senso che non è ancora definitivamente approvato…
R: «Sì, c’è un general approach del dicembre 2022, il voto del Parlamento nel giugno scorso e dunque una nuova versione di compromesso, e in questo momento prosegue il dialogo fra Parlamento e Consiglio».
D: E anche gli Stati Uniti stanno predisponendo un testo federale. Abbiamo diverse leggi a fronte di una tecnologia che abbatte le frontiere. Come si coniugano questi due aspetti?
R: «Il Regolamento UE si applica anche ai fornitori e utilizzatori basati al di fuori dell’Unione europea, purché il prodotto venga utilizzato in un paese UE. Questa regola è fondamentale per le aziende, non solo per le imprese tecnologiche che sviluppano l’IA. Per esempio, riguarda anche i produttori di auto, che installano sistemi di IA. E’ indubbio infatti che l’intelligenza artificiale è presente in molti settori produttivi e nella vita quotidiana della società ormai digitalizzata; basti pensare ai settori finanziario, assicurativo, infrastrutturale, medico, della sorveglianza e sicurezza, dei trasporti, dei social network, dei sistemi per la ricerca di informazioni online e chatbox, dell’ agricoltura, della difesa e dell’intrattenimento. Peraltro la formulazione attuale del Regolamento ne consente un’applicazione potenzialmente universale. Anche in questo siamo arrivati primi, così come per il Gdpr».
