L’ampia diffusione di sistemi di intelligenza artificiale capaci di generare output sulla base di input forniti dall’essere umano e in grado di influenzare l’ambiente esterno e la società, ha portato in luce la necessità di regolamentare la produzione, l’addestramento, l’uso e lo sviluppo di tali sistemi. In particolare, l’Unione Europea si è posta in prima linea a livello internazionale nella definizione di norme comuni di regolamentazione della AI anche di tipo generativo, come ChatGPT e altri.
Il regolamento AI Act, che secondo le intenzioni della Commissione europea dovrebbe essere definito entro la fine del 2023, si dovrebbe applicare sia per i fornitori di qualunque paese che immettono nel mercato UE sistemi di AI, sia per i cittadini dell’UE che utilizzano sistemi di AI, ma anche per gli utenti di altri paesi che utilizzano output prodotti dalla AI all’interno dell’UE. Sembra un percorso di regole e norme complesso per il legislatore. E in effetti lo è.
A cura di Luigi Simeone, Chief Technology Officer Moxoff
Regolamento dell’AI in Europa
Era il 2018 quando alla Commissione europea venne presentato per la prima volta il potenziale della AI per la società, le persone, le aziende e le istituzioni. Ancora non si parlava di AI generativa, ma già la Commissione europea aveva iniziato un lungo percorso verso l’identificazione di norme comuni per l’utilizzo e lo sviluppo di sistemi di AI sicuri e trasparenti.
Nel 2020 la Commissione avviò una consultazione online tra oltre 1200 persone fisiche, associazioni e imprese, che registrò un consenso pressoché unanime in merito alla necessità di intervenire per colmare le lacune legislative sull’intelligenza artificiale. Tutte le osservazioni andavano nella direzione di evitare obblighi contrastanti all’interno dei vari Paesi dell’Unione Europea o una regolamentazione eccessiva, ma sottolineando anche l’importanza di un quadro normativo proporzionato e neutro dal punto di vista tecnologico che tenesse conto, al tempo stesso, dei tanti contributi positivi e dei rischi potenziali dell’intelligenza artificiale.
Infatti, l’utilizzo della AI stava e sta già portando importanti contributi positivi in ambito sanitario per la diagnosi più accurata di molto malattie e per una migliore prevenzione, in ambito industriale per una maggiore efficienza nei sistemi produttivi e nella manutenzione predittiva, ma anche una serie di rischi potenziali quali «meccanismi decisionali opachi, discriminazioni basate sul genere o di altro tipo, intrusioni nelle nostre vite private o utilizzi per scopi criminali [1]».
Nel 2021, l’Europa propone che la prima normativa sul AI sia basata su un sistema di classificazione del rischio per gli utenti. Il 14 giugno 2023 il Parlamento europeo emana poi l’AI Act, dando inizio all’iter legislativo del primo insieme di disposizioni UE per regolamentare l’intelligenza artificiale. Il testo sarà quindi oggetto di un negoziato a tre col Consiglio europeo e con la Commissione europea, con l’obiettivo di giungere all’approvazione finale entro l’anno in corso, o comunque prima delle elezioni del 2024.
Si prevede però che l’entrata in vigore sarà rimandata almeno al 2025, allo scopo di concedere tempo agli operatori del settore economico di adattarsi alle norme, le quali, avendo carattere di regolamento europeo, saranno valide per tutti i paesi membri, con la possibilità di questi ultimi di apportare solo minime modifiche.
È importante mettere in luce che l’azione legislativa intrapresa pone l’UE all’avanguardia a livello mondiale per quanto riguarda la normativa sul tema dell’AI, difatti non si sono registrate iniziative analoghe in altri stati, oppure esse sono solo agli albori, come ad esempio negli USA [8].
Come detto, l’AI Act introduce regole diverse a seconda dei diversi livelli di rischio associati, ossia inaccettabile, elevato, limitato ed infine minimo o nullo, e stabilisce obblighi per i produttori, per i fornitori e per gli utenti a seconda del livello di rischio dell’AI.
In generale, e a titolo esemplificativo, sono considerati a rischio inaccettabile, e quindi soggetti a divieto, i sistemi di intelligenza artificiale quando costituiscono una “chiara minaccia per la sicurezza, i mezzi di sussistenza e i diritti delle persone”.
Secondo quanto espresso nel AI Act, il divieto all’uso dell’intelligenza artificiale di estende a tutti i sistemi che utilizzati per una “manipolazione comportamentale cognitiva di persone o gruppi vulnerabili specifici, la classificazione sociale e sistemi di identificazione biometrica in tempo reale e a distanza, come il riconoscimento facciale”. In merito ai sistemi di identificazione biometrica in tempo reale e a distanza, è stabilita un’eccezione in merito a quelli usati dagli organi di sicurezza come la Polizia di Stato, per perseguire reati gravi e, comunque, previa autorizzazione del tribunale.
Sono giudicati ad alto rischio, e di conseguenza subordinati a un processo di valutazione nonché di mitigazione dei potenziali effetti negativi sia prima di essere messi sul mercato sia durante tutto il loro ciclo di vita, i sistemi di intelligenza artificiale che hanno un impatto negativo sulla salute, sui diritti fondamentali e sulla sicurezza.
A tal proposito, la Commissione europea include un concetto più ampio di sicurezza personale, rispetto a quello già in uso da tempo all’interno del regolamentato europeo in materia di protezione dei dati, privacy, non discriminazione, responsabilità e sicurezza dei prodotti, e altre norme sulla tutela dei consumatori.
La necessità di ampliare il concetto di sicurezza è data dal fatto che potrebbero presentarsi in futuro rischi non contemplati dall’attuale norma sull’uso dell’AI, in prodotti come gli elettrodomestici, ad esempio, e per servizi che possono derivare dalla perdita di connettività o da upgrade del software o dall’apprendimento automatico dell’AI durante l’uso del prodotto/servizio stesso [2]. Esempi significativi di sistemi ad alto rischio sono costituiti dagli impieghi dell’AI nei campi delle infrastrutture critiche (quali i trasporti e le reti idriche o energetiche), della sicurezza dei prodotti, dell’istruzione, dei servizi essenziali e della selezione del personale a livello lavorativo [8].
L’obbligo di trasparenza e di comunicazione d’adeguate informazioni agli utenti sussiste poi per la categoria con livello di rischio limitato, cui appartengono le applicazioni di AI aventi lo scopo di creare o manipolare immagini, video e contenuti audio [9] e perciò tutti gli strumenti di AI generativa [10]. Essendo il tema di notevole interesse ed attualità, ad un suo approfondimento specifico è dedicato il successivo paragrafo.
Infine, per la classe a rischio minimo, nella quale rientrano ad esempio i videogiochi o i filtri per messaggi indesiderati (antispam) potenziati da AI, non sono previste limitazioni all’uso [8].
Per una valutazione obiettiva del processo di regolamentazione in atto in sede europea, va sottolineato che la versione dell’AI Act votata dal Parlamento di Strasburgo, pur rappresentando come detto un passo in avanti fondamentale a livello legislativo, secondo alcuni osservatori trascura o addirittura omette particolari questioni di primaria importanza connesse all’impiego dell’intelligenza artificiale.
A tal proposito, è stato rilevato da vari commentatori [8] [11] [12] [13] come manchi un’adeguata tutela dei migranti nei confronti di eventuali strumenti di AI volti a fini di controllo e di profilazione sulla base di caratteristiche sensibili, i quali potrebbero generare problematiche di tipo discriminatorio essendo in generale vietati per il resto della popolazione.
Un’altra opinione critica che è stata espressa riguarda il riconoscimento facciale, che è vietato in tempo reale ma consentito invece a posteriori, col conseguente rischio di errori giudiziari derivanti da casi di somiglianza o di travestimento [14].
Ha suscitato poi alcune perplessità la proposta del relatore del Parlamento europeo, Brando Benifei, di far entrare in vigore la parte del regolamento riguardante l’AI generativa prima della conclusione del normale processo di negoziazione [15] perché ciò costituirebbe un pericoloso precedente a livello di iter legislativo ed inoltre obbligherebbe le aziende ad adeguarsi, per giunta in tempi molto ristretti rispetto a quelli necessari, ad un complesso di norme soggette a possibili successive modifiche in un immediato futuro [16].
Regolamentazione dell’AI generativa
Dal lancio di ChatGPT di OpenAI, nell’ultimo anno diversi produttori di intelligenza artificiale generativa, tra cui anche Microsoft, sono stati oggetto di varie denunce per violazione di copyright.
Le accuse, che riguardano soprattutto l’addestramento dell’AI basato su dati, immagini, codici e testi protetti dalle leggi sul diritto d’autore, hanno dato vita a petizioni in diversi paesi del mondo, inclusi gli Stati Uniti, al fine di chiedere la sospensione dello sviluppo dell’intelligenza artificiale, compresa quella generativa, almeno finché non ci sarà una maggiore conoscenza e trasparenza su come l’AI prende le sue decisioni e su come proteggere i dati sensibili.
Per esempio, alcune piattaforme che utilizzano immagini e video come Adobe e Shutterstock hanno addestrato e implementato sistemi di AI basati solo su dati con licenza completa o di pubblico dominio [3].
La trasparenza in merito alla AI generativa, al suo addestramento e ai contenuti generati di ogni tipo e forma guida tutta la norma UE. L’obiettivo è di consentire agli utenti di essere informati quando stanno interagendo con una AI generativa e di prendere decisioni informate su quanto generato dall’intelligenza artificiale.
A tal proposito, l’AI Act prevede infatti l’obbligatorietà di «dichiarare se il contenuto è stato generato da un’intelligenza artificiale, nel pubblicare riepiloghi dei dati con diritti d’autore utilizzati per l’addestramento, ma anche nel progettare il modello in modo da impedire la generazione di contenuti illegali», con l’obiettivo di partire da questa base per raggiungere un accordo con tutti i Paesi dell’UE per la stesura finale della legge entro la fine del 2023 [4].
Regolamento dell’AI in Italia
Ad oggi, in Italia non esistono ancora leggi o decreti specifici che regolamentano l’uso dell’intelligenza artificiale. Tuttavia, esistono una serie di leggi e decreti generali che possono essere applicati all’AI, come la legge sulla privacy (GDPR), la legge sul copyright (legge 22-04-1941 n. 633) e la legge sulla sicurezza informatica (legge 109/2021) [5].
Esistono invece diverse proposte di legge sulla AI, una addirittura scritta da ChatGPT sulla domanda “provocatoria” di un consigliere lombardo [6], che però sono ancora in fase di discussione.
Ad esempio, dopo un primo blocco della più famosa AI generativa per la violazione delle norme in merito alla privacy e gestione dei dati personali secondo l’attuale GDPR, la discussione normativa in Italia, in linea con quella europea, ha come obiettivo di promuovere lo sviluppo e l’utilizzo dell’AI in modo responsabile e sostenibile, di prevedere una serie di misure per garantire la sicurezza, l’etica e la privacy, insieme alla trasparenza dell’AI, ovvero la comprensibilità, conoscibilità e spiegabilità del funzionamento degli algoritmi [7].
Il dibattito è aperto, per regolamentare senza vietare. E’ infine degna di nota la recente istituzione da parte del governo sia di una commissione di tredici esperti coordinata dal direttore del dipartimento di Matematica e Informatica dell’Università degli Studi di Reggio Calabria Gianluigi Greco, la quale entro il 31 gennaio 2024 dovrebbe formulare un insieme di linee guida da seguire a livello nazionale nel campo dell’intelligenza artificiale, sia d’un comitato, presieduto da Giuliano Amato, avente come compito la valutazione dell’impatto degli algoritmi di AI nel mondo dell’editoria [17] [18].
Bibliografia
[1] Libro bianco sull’intelligenza artificiale – un approccio-1_IT_ACT_part1_v2.pdf 2020
[2] https://www.cybersecurity360.it/legal/intelligenza-artificiale-le-nuove-regole-europee-che-disciplinano-luso-della-tecnologia/
[3] https://www.cio.com/article/650713/lincertezza-normativa-mette-in-ombra-lia-generativa-nonostante-gli-elevati-ritmi-di-adozione.html
[4] https://eur-lex.europa.eu/resource.html?uri=cellar:e0649735-a372-11eb-9585-01aa75ed71a1.0006.02/DOC_1&format=PDF 2021
[5] https://www.ildirittoamministrativo.it/Procedimento-amministrativo-evoluzione-digitale-e-suoi-sviluppi-era-Intelligenza-artificiale/stu937
[6] https://www.wired.it/chatgpt-legge-regionale-pd-lombardia-intelligenza-artificiale-astuti/
[7] https://www.milanofinanza.it/news/chatgpt-openai-trova-l-accordo-col-garante-garantira-una-maggiore-tutela-della-privacy-e-dei-dati-202304061043515084
[8] https://www.altalex.com/documents/news/2023/06/23/ai-act-ue-traccia-futuro-intelligenza-artificiale
[9] https://www.europarl.europa.eu/news/it/headlines/society/20230601STO93804/normativa-sull-ia-la-prima-regolamentazione-sull-intelligenza-artificiale
[10] https://ntplusdiritto.ilsole24ore.com/art/ai-act-gli-operatori-obblighi-differenziati-base-livello-rischio-AE8mRlyD?refresh_ce=1
[11] https://unoquattro.it/artificial-intelligence-act-regolamentazione-dellintelligenza-artificiale-tra-limiti-ed-opportunita/#:~:text=Nonostante%20il%20voto%20positivo%2C%20ci,tutti%20i%20sistemi%20di%20IA.
[12] https://www.amnesty.it/ai-act-il-parlamento-europeo-potrebbe-legittimare-luso-di-tecnologie-illecite/
[13] https://altreconomia.it/lai-act-non-si-applica-in-frontiera-un-rischio-per-i-migranti-e-non-solo/
[14] https://www.agendadigitale.eu/cultura-digitale/lai-act-approvato-dal-parlamento-ue-luci-e-ombre-di-un-regolamento-di-portata-storica/
[15] https://www.ansa.it/europa/notizie/rubriche/voceeurodeputati/2023/06/17/benifei-pd-accelerare-lentrata-in-vigore-dellai-act_34894f2d-80ff-4b79-87bb-a266e50112f8.html
[16] https://www.agendadigitale.eu/cultura-digitale/verso-lai-act-i-nodi-da-sciogliere-nel-trilogue/
[17] https://www.wired.it/article/intelligenza-artificiale-comitato-esperti-butti/
[18] https://www.wired.it/article/intelligenza-artificiale-comitato-esperti-butti/
