Area giuridico-economica

La scorsa primavera, Commissione, Parlamento e Consiglio dell’Unione europea hanno finalmente approvato il “Regolamento UE 2024/1689 del Parlamento europeo e del Consiglio sull'intelligenza artificiale”, comunemente noto come “Artificial Intelligence Act” (AI Act). È stato un percorso lungo e complicato, tanto per la delicatezza della materia e delle sue implicazioni sulla vita di ognuno di noi quanto - forse soprattutto - per la sua continua evoluzione. Non a caso, nel corso dei circa tre anni di gestazione del provvedimento più volte il legislatore europeo è intervenuto per aggiornare parti di testo che erano già diventate obsolete. Ma che cos’è l’intelligenza artificiale? Quali effetti possiamo attenderci sul diritto e sull’economia e, soprattutto, che cosa prevede nello specifico la nuova normativa europea?

Nonostante ognuno pensi di sapere che cosa sia una “intelligenza artificiale” - più spesso indicata con l’acronimo AI, dall’espressione inglese “artificial intelligence” - tradurre questa convinzione in parole e, ancora più sfidante, in termini giuridici si rivela un’impresa non da poco. Ma è proprio la varietà di applicazioni pratiche, reali o più o meno fantascientifiche a rendere la definizione di questo concetto così ardua.

Che cos’è l’intelligenza artificiale e perché interessa così tanto
In prima battuta - ben sapendo di fare un torto alla complessità della materia - si potrebbe definire l’AI come l’abilità di un sistema di replicare azioni e compiti tipici di un essere umano, come, per esempio, imparare a fare qualcosa o a prendere una decisione. Tale definizione è però molto generica e, peraltro, nemmeno unanimemente condivisa. Provando a essere un po’ più specifici, si potrebbe definire l’AI rispetto a due processi principali di applicazione.
Il primo è il machine learning ovvero l’utilizzo di particolari algoritmi capaci di individuare in enormi quantità di dati relazioni altrimenti difficilmente rilevabili e imparare da queste informazioni, anche distinguendo la buona dalla cattiva informazione. Il secondo è quello dell’AI generativa, vale a dire la creazione di contenuti audio, video o testuali in maniera originale sulla base di indicazioni ricevute da un essere umano. Al momento, l’AI non è ancora autonoma: ogni processo ha cioè ancora bisogno di un’iniziativa umana. Addirittura, secondo alcuni critici senza questa autonomia non sarebbe nemmeno il caso di parlare di AI, ma semplicemente di tecnologia tradizionale avanzata.
Gli effetti delle applicazioni di AI riguardano, o possono riguardare, la vita di ognuno di noi. Gli esempi sono innumerevoli: si pensi alle auto a guida autonoma, ai sistemi di cura e telemedicina, agli assistenti domestici ecc.
Dal punto di vista giuridico, economico e politico, tuttavia, gli ambiti che probabilmente suscitano maggior interesse - o preoccupazione, a seconda del punto di vista - riguardano la tutela della privacy degli individui, la sostituzione dell’essere umano nei processi produttivi e l’influenza delle cosiddette fake news nei processi democratici. Non è certo questa la sede per una trattazione completa di questi problemi. Alcuni esempi, però, possono aiutare a cogliere la portata della questione.

La tutela della privacy
La questione principale riguarda l’acquisizione e l’utilizzo di informazioni sugli individui: da dove provengono questi dati? Chi li detiene? Chi li può leggere? Come vengono usati? Come vengono protetti? Per il legislatore gli elementi degni di attenzione sono moltissimi. Innanzitutto, la definizione precisa della causa degli eventuali problemi, cioè l’AI stessa; poi, la regolamentazione della raccolta dati, che potrebbe essere anche non consensuale (attraverso lo scraping), la distinzione tra il momento della raccolta e quello del trattamento dei dati, il loro utilizzo contro l’interesse, la libertà o la reputazione dell’individuo e così via.

Tradizionalmente, il legislatore ha utilizzato due approcci per gestire questi problemi:

• il modello “notice-and-choice” tipico degli Stati uniti, in base al quale le aziende devono dichiarare quali informazioni raccolgono e come verranno utilizzate. Tuttavia, è responsabilità dell’individuo quella di rifiutarsi di fornire i propri dati o, al limite, di non avere interazione con tali aziende;
• l’approccio europeo, esemplificato dal modello “opt-in”. In questo caso, il consenso deve essere esplicitamente fornito e in sua mancanza l’attività di raccolta e utilizzo non può essere effettuata.

L’esperienza degli ultimi anni ha mostrato che nessuno dei due risulta davvero efficace ed è per questo che il nuovo Regolamento UE utlizza un approccio differente e innovativo: suddividere i rischi dell’AI in quattro categorie, a seconda dei danni e delle conseguenze che tali rischi possono comportare.

Guardando alle questioni economiche, e in particolare a quelle collegate al mondo del lavoro, la tecnologia ha sempre suscitato reazioni opposte, tanto positive quanto, e forse più spesso, avverse. Ove non addirittura esplicitamente violente, come nel caso del luddismo nel XIX secolo. In effetti, le innovazioni possono avere conseguenze sia negative e positive. Queste ultime sono principalmente legate a questioni di efficienza, che portano a minori costi di produzione e maggiore crescita economica. Nel caso specifico, si prevede che l’AI creerà occupazione nei settori a più alto valore aggiunto, mentre eliminerà altri compiti più noiosi o pericolosi, liberando così forza lavoro per mansioni più qualificate.
Nel breve periodo, tuttavia, le conseguenze negative sembrano poter prevalere. Proprio secondo il Parlamento europeo, l’uso dell’AI potrebbe portare alla scomparsa di molti posti di lavoro. E in effetti, secondo l’Organizzazione per la cooperazione e lo sviluppo economico (Ocse), il 14% dei posti di lavoro nei Paesi che ne fanno parte risultano già automatizzabili da subito, mentre un altro 32% dovrebbe affrontare cambiamenti sostanziali. Una situazione aggravata dal fatto che il 60% degli adulti nei Paesi Ocse non sa usare il computer o non padroneggia le tecnologie di information and communication technology (Ict). L’Ocse stima così che l’AI distruggerà due miliardi di posti di lavoro nel mondo entro il 2030, creandone solo 375 milioni.
Infine, per quanto riguarda la qualità della vita democratica di un Paese, l’AI è stata usata per creare facilmente e, ancor più agevolmente, diffondere notizie false (fake news), atte a ledere la reputazione di personaggi pubblici o mistificare la lettura di alcuni fatti. Si tratta di un fenomeno ormai noto, presente non solo nelle dittature e nelle democrazie poco sviluppate, ma anche in quelle più mature.

Illustrare nel dettaglio i contenuti dell’AI Act è pressoché impossibile. Il Regolamento, composto da 113 articoli raggruppati in 13 capitoli, con l’aggiunta di altrettante appendici (“annessi”), è molto complesso e affronta numerosi temi, nonché questioni tecniche.
Al contrario, vale la pena di soffermarsi sugli aspetti normativi più rilevanti o innovativi, utili sia a comprendere l’impostazione scelta dal legislatore europeo sia a valutare se questo Regolamento possa essere davvero utile oppure sia solo l’ennesima complicazione burocratica che rallenterà lo sviluppo tecnologico del vecchio continente.
Innanzitutto l’AI è definita come «un sistema basato su macchine che è progettato per funzionare con diversi livelli di autonomia, che può mostrare capacità di adattamento dopo l’impiego e che, per obiettivi espliciti o impliciti, deduce, sulla base degli input ricevuti, come generare risultati quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali». (art. 3). Le attività che può svolgere sono quindi differenziate - e conseguentemente regolate - sulla base dei rischi che possono comportare. In particolare, il Regolamento distingue tre tipologie di rischio: “inaccettabile”, “alto” e “basso”. Un’ultima categoria di rischio, residuale, è collegata ad attività che non comportano rischi considerati degni di regolamentazione.

I rischi inaccettabili
L’AI che comporta rischi inaccettabili (capitolo 2, art. 5) è semplicemente vietata. Si tratta, per esempio, di sistemi di social scoring, che categorizzano e discriminano gli individui in base a comportamenti o a caratteristiche personali quali l’etnia, le opinioni politiche, l’orientamento sessuale e così via; oppure sistemi di identificazione biometrica negli spazi pubblici e di riconoscimento facciale attraverso la raccolta indiscriminata di immagini.

I sistemi ad alto rischio
La maggior parte del testo affronta i sistemi di AI ad alto rischio, che sono regolamentati nel capitolo 3 (artt. 6-49). Al di là di casistiche specifiche elencate nei relativi annessi e che sono, per definizione, sicuramente soggette ad aggiornamenti e integrazioni, i sistemi di AI vengono sempre considerati ad alto rischio quando prevedono una profilazione degli individui, cioè quando utilizzano dati personali per valutare vari aspetti della vita di una persona, come il rendimento lavorativo, la situazione economica, la salute ecc. I fornitori (provider) di sistemi di AI ad alto rischio devono sottostare a numerosi obblighi. Tra queste, quelli di garantire la gestione del rischio durante tutto il ciclo di vita del sistema di AI fornito e di redigere la documentazione tecnica per dimostrare la conformità del proprio sistema alle autorità.

I sistemi a basso rischio
Il capitolo 4 del Regolamento si concentra sui sistemi di AI a rischio basso (art. 50), che sono soggetti a obblighi di trasparenza più leggeri. In questo caso, è richiesto che gli utenti finali siano messi in grado di riconoscere che il prodotto che stanno osservando è frutto dell’AI. L’intero capitolo 5 (artt. 51-56) è dedicato ai cosiddetti “modelli di AI per scopi generali” (General purpose AI models o Gpai). Con questo appellativo ci si riferisce a modelli di AI che sono in grado di eseguire, con competenza, un’ampia gamma di compiti distinti, anche integrandosi con altri sistemi di AI, indipendentemente dal modo e dalla finalità con cui il modello di AI è stato immesso sul mercato. Anche i fornitori di modelli Gpai sono soggetti a specifiche richieste. Per esempio, devono redigere una determinata documentazione tecnica, compresa quella relativa al processo di creazione, ai test di funzionamento e ai risultati della valutazione del rischio. Sono inoltre tenuti a fornire informazioni e documentazione ai fornitori che intendono integrare il modello Gpai nel proprio sistema di AI, nonché a garantire un adeguato livello di cybersecurity.

Le regulatory sandbox
Per evitare che la regolamentazione introdotta limiti la possibilità di sviluppo e sperimentazione tecnologica delle aziende, al capitolo 6 (artt. 57-63) l’AI Act prevede l’utilizzo delle cosiddette regulatory sandbox ovvero spazi di lavoro virtuali controllati da autorità competenti, in cui i fornitori possono sviluppare, testare, addestrare e provare i propri sistemi di AI per un periodo di tempo limitato, prima della loro immissione sul mercato, in un contesto in cui i rischi normativi sono ridotti, ma non sempre annullati. È quindi previsto che ogni Stato membro si doti a livello nazionale - ed eventualmente anche a livello regionale e locale - di una regulatory sandbox.

Gli strumenti per l’implementazione delle misure
Il capitolo 7 (artt. 64-70) definisce infine un’architettura di governance assai complessa, che richiede interventi integrativi da parte sia delle istituzioni europee sia dei legislatori nazionali. A livello europeo dovranno essere istituiti:

• un AI Office (art. 64), che fornirà linee guida per facilitare l’applicazione dell’AI Act e la creazione dei regulatory sandbox nell’Unione;
• uno European Artificial Intelligence Board (artt. 65 e 66) composto da un rappresentante per Stato membro, che assisterà Commissione e Stati membri nell’applicazione dell’AI Act e contribuirà all’armonizzazione delle pratiche tra le autorità nazionali responsabili dell’applicazione del Regolamento;
• un Advisory Forum (art. 67) composto da specialisti dell’AI, con funzione di consulenti e un Comitato scientifico (art. 68), formato da esperti indipendenti nominati dalla Commissione, che dovrà supportare l’AI Office nell’implementazione del regolamento.

A livello nazionale, invece, ciascuno Stato membro dovrà istituire (art. 70):

• un’autorità “di notifica”, responsabile di istituire e attuare le procedure necessarie per la valutazione e la notifica degli organismi di valutazione della conformità dei sistemi ad alto rischio e per il loro monitoraggio;
• un’autorità di sorveglianza del mercato, con poteri investigativi e correttivi, compreso quello di accedere ai dati personali in fase di elaborazione.

Vale infine la pena di notare come tutta la regolamentazione contenuta nell’AI Act prevede tempistiche di entrata in vigore differenti. Per la precisione, la legge sull'AI si applicherà entro le seguenti scadenze (art. 113): 6 mesi per i sistemi di IA vietati; 12 mesi per i modelli Gpai e, infine, 24 o 36 mesi per i sistemi di IA ad alto rischio, a seconda della specifica modalità individuata.

L’AI Act è in grado di rispondere a tutte le paure, i timori e le perplessità che la sfida dell’AI sta lanciando?
Ovviamente, è ancora troppo presto per dirlo. Da un lato, come illustrato, il processo di implementazione del Regolamento è ancora molto lungo e la legislazione rischia di essere presto già obsoleta, a causa delle continue innovazioni nel settore. Tuttavia, un unico Regolamento europeo è certamente preferibile a ventisette legislazioni diverse, con il rischio che emergano confusione e incoerenze tra le varie legislazioni nazionali.
Infine, le sandbox sembrano una buona soluzione per mantenere elevato il grado di innovazione dei provider e, ancora una volta, l’Unione europea si è dimostrata all’avanguardia nella regolamentazione rispetto al resto del mondo.

L’approvazione dell’Artificial Intelligence Act, come ogni Regolamento europeo, ha suscitato un animato dibattito. Nel rispetto di un ragionevole principio di precauzione, vi è infatti un ampio consenso sulla necessità di regolare una tecnologia così potente e dalle conseguenze non facilmente prevedibili; tuttavia, per la complessità della materia e delle sue implicazioni nella vita delle persone, le diverse posizioni emerse hanno oscillato tra due opposti poli, che possiamo riassumere così.

Esprimo un’opinione favorevole, perché…

• L’AI Act rappresenta un ragionevole compromesso tra l’esigenza di favorire lo sviluppo di un’industria europea dell’intelligenza artificiale e quella di tutelare i basilari diritti umani e di cittadinanza, in coerenza con un principio guida del diritto europeo.
• È apprezzabile che il Regolamento non indirizzi lo sviluppo dell’AI partendo da premesse etiche - indentificando cioè ciò che è “giusto” e ciò che è “sbagliato” - bensì individuando in maniera più pragmatica livelli di rischio, facilmente valutabili a priori da imprese e sviluppatori, che possono così valutare ciò che è consentito fare e ciò che non lo è.
• Avendo agito in anticipo rispetto ad altri soggetti nazionali e internazionali, l’AI Act può rappresentare un modello verso cui anche altri Paesi possano convergere nella definizione delle proprie legislazioni, in modo da favorire la conciliazione tra interoperabilità dei software, sviluppo dei mercati e rispetto dei diritti umani.

Esprimo un’opinione critica, perché…

• Pur riconoscendo la necessità di regole, l’AI Act rischia di rivelarsi un freno allo sviluppo di un’industria europea dell’intelligenza artificiale, già in forte ritardo, ponendo limiti stringenti alla libertà di sperimentare e quindi di innovare.
• Il Regolamento impone alle imprese una mole di adempimenti burocratici complessi, mentre il sistema delle sandbox non garantisce che i prodotti testati in questi ambienti possono alla fine essere immessi nel mercato: tutto ciò agirà da freno agli investimenti delle imprese, in un settore che invece ne necessita di ingenti.
• L’AI Act rappresenta una “fuga in avanti”, poiché ha la pretesa di normare una materia che è in continua evoluzione. Inoltre, l’idea che il Regolamento possa fungere da standard internazionale è solo un’illusione, visto che i protagonisti mondiali dell’AI - Stati Uniti e Cina - non hanno certo intenzione di adeguarvisi.

Dopo aver letto ed eventualmente approfondito l’articolo, dividete la classe in due squadre che sostengano rispettivamente l’una e l’altra tesi sopra esposte. Avviate quindi un dibattito in cui si alterneranno gli interventi a favore dell’una o dell’altra posizione. Ricordatevi di essere sempre rispettosi nei confronti degli “avversari”, rispettando pazientemente il proprio turno e esprimendovi in maniera appropriata.