Rischi e responsabilità dell’AI, il punto di vista della Comunità Europea

Inquadramento generale

A differenza di altri ambiti disciplinari la definizione di intelligenza
artificiale è stata oggetto storicamente di lunghi ed interessanti
dibattiti che hanno via via coinvolto filosofi, scienziati, logici. Non
mancano ricadute letterarie di quanto si è aperto dopo i lavori di
Touring ed in particolare la sua formalizzazione di un test per
individuare una IA, test che ha fatto storia non solo nel dibattito
filosofico e scientifico ma anche nella letteratura fantascientifica, da
Asimov a Philip K. Dick, per citare solo i capostipiti. L’interesse per
l’IA di Dick ben approfondito ne “Il cacciatore di androidi” è stato
reso molto noto dalla versione cinematografica di grande successo del
film “Blade Runner” che dedica tutta la scena iniziale al test di
Touring. Non è quindi cosa facile definire l’intelligenza artificiale,
ricavandone una definizione generale. Per gli scopi di questo breve
articolo la possiamo considerare una vera e propria disciplina
appartenente principalmente all’informatica che si occupa di metodi e
tecniche per progettare hardware e software che possono simulare in modo
efficace prestazioni tipiche dell’intelligenza umana. Così possiamo dire
che viene considerata anche dalla Commissione Europea nel suo tentativo
di inquadrare normativamente il fenomeno, allargando oltre ai
presupposti metodologici e teorici dell’informatica, con l’estensione
esplicita alle applicazioni dell’IA nei principali settori sociali.
Nell’allegato alla proposta che analizzeremo nel dettaglio, citata più
avanti, si legge un interessante elenco di quelle che vengono
considerate tecniche e approcci id intelligenza artificiale:

​a) Approcci di apprendimento automatico, compresi l’apprendimento
supervisionato, l’apprendimento non supervisionato e l’apprendimento
per rinforzo, con utilizzo di un’ampia gamma di metodi, tra cui
l’apprendimento profondo (deep learning);

​b) Approcci basati sulla logica e approcci basati sulla conoscenza,
compresi la rappresentazione della conoscenza, la programmazione
induttiva (logica), le basi di conoscenze, i motori inferenziali e
deduttivi, il ragionamento (simbolico) e i sistemi esperti;

​c) Approcci statistici, stima bayesiana, metodi di ricerca e
ottimizzazione.

Ancora più complesso poi, è determinare eventuali responsabilità
giuridiche, in caso di incidenti provocati da problemi di sicurezza
legati ai prodotti IA. Non sempre è individuabile in modo chiaro una
responsabilità umana nel contesto dell’intelligenza artificiale,
potrebbe trattarsi di un prodotto che causa incidenti, oppure
dell’utilizzo che l’umano fa del prodotto, che di per sé è neutro in
fatto di sicurezza, non necessariamente consapevole. Come illustrato nel
corso vi è un dibattito acceso nell’individuare se all’IA vada
attribuita una personalità come al soggetto umano oppure una personalità
giuridica simile a quelle che il diritto attribuisce agli enti ed alle
società. Già nel 2017 la commissione europea aveva elaborato una
risoluzione preliminare che tentava di mettere ordine su questi temi,
con rilievo a possibili danni causati dall’intelligenza artificiale,
dove il problema principale è proprio individuarne la responsabilità.
Così come il nostro codice civile può essere interpretato in una
direzione che permette di inquadrare eventuali danni causati da
intelligenza artificiale.

Per quanto concerne i temi di sicurezza digitale che stanno sotto il
cappello della cybersecurity il 27 giugno 2019 è entrato in vigore il
Regolamento (UE) 2019/881 del Parlamento Europeo.

Il Regolamento in questione, denominato anche “Cyber Security Act”, fa
parte di un processo in atto a livello comunitario volto a rafforzare
sia il quadro giuridico che l’attenzione generale ai temi della
sicurezza informatica. Il regolamento nasce anche in risposta alla
continua progressione degli attacchi informatici, quantomeno dagli anni
2000 in avanti, la crescita dei danni collegati ad attività di crimini
informatici è sicuramente diventata una problematica molto seria e
sentita a tutti i livelli.

Come primo obiettivo, tipico degli atti europei, c’è quello di
sensibilizzare e cooptare gli stati membri in uno sforzo comune
sovranazionale sulle tematiche di difesa da attacchi digitali. Inoltre
vi è enfasi anche su uno sforzo generalizzato di formazione legato a
queste tematiche.

Si individua nell’ENISA (European Union Agency for Cybersecurity) l’ente
deputato alla messa in campo delle strategie europee, e si prevede un
suo rafforzamento ed una sua stabilizzazione. Si estendono i compiti già
in essere all’ENISA e si prevede che essa sia coinvolta dagli stati
membri nella gestione di incidenti di cybersecurity anche nazionali.

Oltre ai compiti già noti leggiamo che all’ENISA viene richiesto di:

  • assistere le istituzioni dell’Unione e gli Stati membri
    “nell’elaborazione e nell’attuazione di politiche relative alla
    cybersicurezza” (art. 4.2. Reg.)
  • “assistere gli Stati membri nell’impegno a migliorare la
    prevenzione, la rilevazione e l’analisi delle minacce informatiche e
    degli incidenti, come pure la capacità di reazione agli stessi,
    fornendo loro le conoscenze e le competenze necessarie”; (art. 6.1 a)
    Reg )
  • “assistere gli Stati membri nello sviluppo di strategie nazionali in
    materia di sicurezza delle reti e dei sistemi informativi (art. 6.1.
    e) Reg.)
    promuove un elevato livello di consapevolezza in materia di
    cybersicurezza, incluse l’igiene informatica (ossia quelle “misure di
    routine che, se attuate e svolte regolarmente da cittadini,
    organizzazioni e imprese, riducono al minimo la loro esposizione a
    rischi derivanti da minacce informatiche”) e l’alfabetizzazione
    informatica, tra cittadini, organizzazioni e imprese (art. 4.7 Reg.)
  • Viene inoltre affidata all’ENISA la promozione dell’uso della
    certificazione europea della cybersicurezza, proprio con l’obiettivo
    di evitare la frammentazione del mercato interno. (Art. 4.6 Reg.).

Attualizzando il dibattito a livello comunitario in fatto di produzione
legislativa la Commissione Europea sta affrontando il tema
dell’Intelligenza artificiale con particolare attenzione da quando la
presidenza vede protagonista Ursula von der Leyen, politica tedesca di
area CDU, precedentemente ministra tedesca sotto vari governi Merkel, e
da poco esiste una proposta di regolamento specifica. La proposta è
molto recente del 21/04/2021, data di trasmissione al Consiglio. Il
presente articolo si occuperà di analizzare alcuni punti salienti di
questa proposta per ricavarne gli spunti necessari a derivare una
definizione di IA e di cybersecurity di rilevanza comunitaria. Sono
consapevole che queste complesse tematiche tecnologiche hanno molti
livelli di approfondimento e campi di applicazione, con significativi
impatti anche a livello di infrastrutture critiche della convivenza
sociale, qui quindi mi limiterò a recepire e commentare quanto
rilevabile dalla lettura della proposta stessa. (Commissione Europea, Document 52021PC0206, Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO CHE STABILISCE REGOLE ARMONIZZATE SULL’INTELLIGENZA ARTIFICIALE (LEGGE SULL’INTELLIGENZA ARTIFICIALE) E MODIFICA ALCUNI ATTI LEGISLATIVI DELL’UNIONE, Reperibile sul sito https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:52021PC0206).

Nel preambolo della proposta denominato contesto si inquadrano i motivi
e gli obiettivi del documento comunitario:

(ndr, in tutti gli estratti, che avranno questo formato con margini ridotti, enfatizziamo con il colore rosso i passaggi a nostro avviso rilevanti allo scopo di questo articolo, che verranno commentati di seguito)
Con il termine intelligenza artificiale (IA) si indica una famiglia di
tecnologie in rapida evoluzione in grado di apportare una vasta gamma di benefici economici e sociali in tutto lo spettro delle attività industriali e sociali. L’uso dell’intelligenza
artificiale, garantendo un miglioramento delle previsioni,
l’ottimizzazione delle operazioni e dell’assegnazione delle risorse e
la personalizzazione dell’erogazione di servizi, può contribuire al
conseguimento di risultati vantaggiosi dal punto di vista sociale e
ambientale nonché fornire vantaggi competitivi fondamentali alle
imprese e all’economia europea. Tale azione è particolarmente
necessaria in settori ad alto impatto, tra i quali figurano quelli dei
cambiamenti climatici, dell’ambiente e della sanità, il settore
pubblico, la finanza, la mobilità, gli affari interni e l’agricoltura.
Tuttavia gli stessi elementi e le stesse tecniche che alimentano i
benefici socio-economici dell’IA possono altresì comportare nuovi rischi o conseguenze negative per le persone fisiche o la società. In considerazione della velocità dei cambiamenti
tecnologici e delle possibili sfide, l’UE si impegna a perseguire un
approccio equilibrato. L’interesse dell’Unione è quello di preservare
la leadership tecnologica dell’UE e assicurare che i cittadini europei
possano beneficiare di nuove tecnologie sviluppate e operanti in
conformità ai valori, ai diritti fondamentali e ai principi
dell’Unione.

Come si può chiaramente leggere, l’IA è vista come una grande
opportunità con potenzialità di innovare molti ambiti sociali ed
economici, allo stesso tempo c’è la consapevolezza che questo grande
potenziale porti con sé rischi o conseguenze negative, è quindi compito
dell’UE trovare il giusto equilibrio tra il perseguimento della
“leadership” tecnologica con il giusto equilibrio che garantisca
ricadute positive e coerenti ai valori ed ai diritti fondamentali per i
cittadini europei. Questa premessa colloca automaticamente la
cybersecurity sul lato della mitigazione di alcuni dei “rischi”
intrinseci all’IA, cioè tutti quei rischi legati all’ulteriore
accelerazione che l’IA darà al versante del cybercrimine volto a violare
identità, catturare informazioni sensibili, violare sistemi di pagamento
e diffondere virus e ramsomware.

Si cita inoltre come la proposta sia coerente con l’impegno politico
della presidente von der Leyen, che nell’agenda europea 2019-2024
prevede uno scatto di ambizione dell’Europa in questo settore, indirizzi
che hanno portato alla pubblicazione nel Febbraio 2020 al Libro bianco
sull’intelligenza artificiale (sottotitolato Un approccio europeo
all’eccellenza e alla fiducia) (Commissione europea, Libro bianco sull’intelligenza artificiale – Un approccio europeo all’eccellenza e alla fiducia (COM(2020) 65 final)

Commissione Europea ed IA

Per quanto concerne l’ambito normativo la commissione esplicita pià
volte che l’IA, così come tutti i temi di sicurezza che comporta, è un
ambito europeo e non nazionale (situazione a cui ci si sta piano piano
abituando, vista anche la lenta ma capillare diffusione del GDPR, che
aveva la medesima impostazione). Il documento che stiamo analizzando in
un suo passaggio chiave lo esplicita come segue:

Gli obiettivi della presente proposta possono essere meglio conseguiti
a livello dell’Unione per evitare un’ulteriore frammentazione del mercato unico in quadri nazionali potenzialmente contraddittori che impediscono la libera circolazione di beni e servizi in cui è integrata l’IA. Un solido quadro normativo europeo per un’IA
affidabile assicurerà altresì parità di condizioni e tutelerà tutte le
persone, rafforzando allo stesso tempo la competitività e la base
industriale dell’Europa nel settore dell’IA. Soltanto un’azione comune a livello di Unione può altresì tutelare la sovranità digitale dell’Unione e sfruttare gli strumenti e i poteri di regolamentazione di quest’ultima per plasmare regole e norme di portata globale.

Per quanto concerne poi i rischi legati all’IA oltre al documento che
stiamo analizzando la produzione comunitaria è significativa, si
affrontano aspetti etici in “Risoluzione del Parlamento europeo del 20
ottobre 2020 recante raccomandazioni alla Commissione concernenti il
quadro relativo agli aspetti etici dell’intelligenza artificiale, della
robotica e delle tecnologie correlate, 2020/2012(INL). La questione
della responsabilità civile è approfondita in una specifica Risoluzione
del Parlamento europeo sempre del 20 Ottobre ”Regime di responsabilità
civile per l’intelligenza artificiale“ (2020/2014(INL). Altro tema
importante e decisivo per la tutela del know how europeo è il diritto
d’autore, su questo aspetto si esprime, nella stessa data, la
Risoluzione ”Diritti di proprietà intellettuale per lo sviluppo di
tecnologie di intelligenza artificiale” – 2020/2015(INI). Infine per
completare i riferimenti utili a comprendere le posizioni dibattute si
rimanda alla risoluzione sull’IA in ambito penale e ai riferimenti in
ambito istruzione, cultura e settore audovisivo. Su tutti questi temi la
Commissione ha avviato una consultazione IA portatori di interessi in
ambito IA (aziende, istituzioni, enti, persone fisiche), che ha avuto un
riscontro unanime sull’esigenza di intervenire a livello europeo con la
specificazione, da più parti, di evitare duplicazioni, obblighi
contrastanti e eccesso di regolamentazione. Ampio risalto viene dato al
potenziale negativo di un uso non normato dell’IA in ambito di dati
personali (filone già ampiamente dibattuto da tempo con riferimento al
GDPR), si legge infatti al paragrafo 3.5:

L’utilizzo dell’IA con le sue caratteristiche specifiche (ad esempio
opacità, complessità, dipendenza dai dati, comportamento autonomo) può
incidere negativamente su una serie di diritti fondamentali sanciti
dalla Carta dei diritti fondamentali dell’Unione europea (“la Carta”).
La presente proposta mira ad assicurare un livello elevato di
protezione di tali diritti fondamentali e ad affrontare varie fonti di
rischio attraverso un approccio basato sul rischio chiaramente
definito.

L’impegno principale è quindi quello di fare chiarezza in un settore
molto complesso, andando a definire in modo il più possibile
inequivocabile tecnologie, ambiti di applicazione, prodotti,
responsabilità, e all’interno di questo sforzo individuare quali di
questi oggetti è ad alto rischio e va particolarmente regolamentato o
addirittura vietato, come si legge nell’articolo 16 del regolamento;

È opportuno vietare l’immissione sul mercato, la messa in servizio o l’uso di determinati sistemi di IA intesi a distorcere il comportamento umano e che possono provocare danni fisici o psicologici. Tali sistemi di IA impiegano componenti subliminali che i singoli individui non sono in grado di percepire, oppure sfruttano le vulnerabilità di bambini e persone, dovute all’età o a incapacità fisiche o mentali. Si tratta di azioni compiute con l’intento di distorcere materialmente il comportamento di una persona, in un modo che provoca o può provocare un danno a tale persona o a un’altra. Tale intento non può essere presunto se la distorsione del comportamento umano è determinata da fattori esterni al sistema di IA, che sfuggono al controllo del fornitore o dell’utente. Tale divieto non dovrebbe ostacolare la ricerca per scopi legittimi in relazione a tali sistemi di IA, se tale ricerca non equivale a un uso del sistema
di IA nelle relazioni uomo-macchina che espone le persone fisiche a
danni e se tale ricerca è condotta conformemente a norme etiche
riconosciute per la ricerca scientifica.

Si fa qui riferimento implicito a “distorsioni” in parte già viste sui
social network, come la profilazione subdola e non consensuale a
finalità pubblicitarie, l’innesco di reazioni comportamentali indotto da
“premi virtuali”, il generale intento manipolatorio di alcune delle
principali tecnologie di entertainment digitale presentate come social
network, per evitare che l’applicazione dell’IA ne risulti alla fine
come un potenziamento senza controllo.

Il tema della Cybersecurity, già di per sé complesso e con confini non
del tutto semplici da tracciare nel mondo delle tecnologie informatiche
convenzionali, diventa ancora più cruciale in ambito IA, tanto che il
documento che stiamo analizzando si preoccupa di approfondire,
quantomeno elencando tutti i risvolti, in modo esaustivo la portata del
tema sicurezza in un mondo che progressivamente convive con sistemi di
intelligenza artificiale; si vedano a questo proposito gli articoli
27-33, in cui si traccia una linea che va dal sistema sanitario,
all’identificazione tramite dati biometrici (quest’ultima tecnologia è
candidata ad essere considerata ad alto rischio, pur essendo una
tecnologia utilizzata proprio per contrastare il furto o scambio di
identità nell’utilizzo di sistemi digitali o nell’accesso fisico a
strutture critiche. Il rischio che si vede è nella forte rilevanza dei
dati registrati e manipolati dai sistemi biometrici), l’IA utilizzata
nella gestione e funzionamento di infrastrutture critiche (traffico
stradale, forniture di luce, acqua, gas, riscaldamento, etc…), nel
settore occupazionale, della gestione del personale, nella formazione,
accesso a prestazioni e servizi pubblici, Un lungo articolo è poi
dedicato ai mezzi di contrasto alla criminalità che intendano dotarsi di
IA per migliorare i loro risultati in termini di individuazione di
comportamenti criminali:

Le azioni delle autorità di contrasto che prevedono determinati usi
dei sistemi di IA sono caratterizzate da un livello significativo di
squilibrio di potere e possono portare alla sorveglianza, all’arresto
o alla privazione della libertà di una persona fisica, come pure avere
altri impatti negativi sui diritti fondamentali garantiti nella Carta.
In particolare, il sistema di IA, se non è addestrato con dati di
elevata qualità, se non soddisfa requisiti adeguati in termini di
accuratezza o robustezza, o se non è adeguatamente progettato e
sottoposto a prova prima di essere immesso sul mercato o altrimenti
messo in servizio, può individuare le persone in modo discriminatorio
o altrimenti errato o ingiusto.

L’accento qui va su eventuali decisioni di privazione di libertà di
persone fisiche, detenzione o altri impatti negativi sui diritti
fondamentali che vengano prese con un significativo ricorso a tecnologie
di IA. Risulta chiaro come queste tecnologie debbano essere
accuratamente testate e robuste, oltre che progettate con alta
affidabilità, è a questo livello come su altri temi molto delicati visti
sopra che si innesta il principio di Security by Design, principio che
sottende il fatto che la sicurezza del prodotto o del sistema non è un
mero test per quanto massivo di quando progettato e prodotto, ma essa
stessa una specifica di progetto, altamente impattante nel disegno del
prodotto stesso, soprattutto nei casi di IA ad alto rischio, dove la
sicurezza diventa uno dei capitoli fondamentali della corretta
progettazione, in gran parte condizionante tutto il contesto di sviluppo
prodotto.

Da questo velocissimo excursus in ambito normativo e regolatorio europeo
si evince per certo che la materia legata all’intelligenza artificiale è
assai complessa soprattutto quando dalle definizioni di principio si
passa all’analisi delle applicazioni concrete e dei potenziali impatti.
Il compito dell’unione risulta essere quindi tuttaltro che semplice, da
un lato cercare di tenere il punto sul fatto che, essendo queste
tecnologie transforntaliere e pervasive risulti illusorio pensare di
poter regolamentarle paese per paese con, per altro, differenze
legislative che renderebbero impossibile per molti aspetti,
l’integrazione comunitaria. Dall’altro lato dimostrare che la governance
europea di questa complessa materia, in forte e continua evoluzione,
risulti efficace ed efficente per ogni stato membro.

Riflessioni finali e conclusione

Da questa rapida lettura del lavoro della commissione europea in ambito
intelligenza artificiale con particolare attenzione agli aspetti della
sicurezza si evincono, semplificando e a fini di sintesi finale, i
seguenti punti:

  • L’IA è una tecnologia pervasiva, coinvolge sia aspetti legati
    all’innovazione ed alla competitività dei paesi, così come aspetti
    fondamentali della vita sociale, dalla sanità, all’istruzione, alla
    difesa.
  • La mappatura normativa del fenomeno IA è necessariamente un work in progress;
  • Si rende necessario, per gli aspetti di coinvolgimento globale del
    fenomeno oltre che di dimensioni, pensare ad un approccio europeo,
    sostanzialmente centralizzato e condiviso, evitando di affrontare
    localmente, stato membro per stato membro, sia gli aspetti
    regolatori che le strategie legislative.
  • Il tema della sicurezza (e quindi anche della cybersicurezza) delle
    applicazioni IA è presente in ognuna delle valutazioni della
    comunità in ambito regolatorio. Possiamo dire che è un tema
    intrisecamente collegato. Si parla in prevalenza di “rischio”, come
    parametro per classificare le applicazioni di IA. Il rischio può
    aumentare sia per la tipologia di prodotto IA che si sta
    considerando (Es: sistemi di autenticazione biometrici) che per il
    settore sociale in cui viene applicata l’IA (es: difesa, sanità). A
    livello regolatorio la comunità europea intende chiarire quanto
    prima, attraverso classificazione, quali di questi aspetti
    presentino rischi alti e, in questi casi, procedere con restrizioni
    specifiche o, in situazioni di elevato e non ancora mitigabile
    rischio, al divieto di introduzione della tecnologia stessa.

Il mio breve excursus si conclude con la constatazione, desunta da più
parti, compresa l’importanza che la comunità europea sta riservando alle
tematiche dell’IA, che questa innovazione tecnologica pervasiva
rappresenterà lo scenario principale su cui si giocheranno sia la
competitività dei paesi (militare, economica), sia lo “stile di vita”
che la popolazione avrà o non avrà, a seconda che il sistema
dell’istruzione, della ricerca, dell’innovazione complessiva del paese
in cui risiede, persegua o meno strategicamente lo sviluppo “accelerato”
di tecnologie basate sull’IA. L’auspicio è quindi che, per l’Italia,
l’adesione convinta alla comunità europea possa colmare un divario già
evidente con altri paesi membri. Ci si riferisce qui alla Francia ed
alla Germania, trascurando paesi Extra europei già molto avanzati come
USA e Cina dove lo spazio competitivo possibile può solo essere di
dimensione europea. Il salto in avanti necessario riguarda sia la
conoscenza generale che la ricerca che la penetrazione nel tessuto
economico sociale dell’IA, e su questi fronti solo la scala europea può
effettivamente accelerare i processi di adeguamento.

Luca Bonadimani