L’ampia diffusione dell’intelligenza artificiale (AI) nella vita quotidiana occidentale impone di riflettere su questo strumento rivoluzionario. Le istituzioni europee hanno raggiunto un accordo politico sui principi che dovranno regolamentare l’uso di tale tecnologia per un quadro normativo sicuro, trasparente ed equo.
L’intelligenza artificiale (AI) si sta rapidamente diffondendo nella vita quotidiana occidentale. Nell’industria, l’AI è utilizzata per il miglioramento dei processi produttivi e per generare reazioni automatiche a determinate sollecitazioni. Nel commercio aiuta le aziende a filtrare i dati necessari per le campagne marketing e a profilare gli utenti con sempre maggiore precisione. Nella realtà del privato cittadino, aiuta a scattare una foto migliore con lo smartphone, calcolando rapidamente la migliore combinazione tra velocità dell’otturatore, sensibilità ISO e apertura del diaframma.
In tutte le realtà in cui è necessario operare una scelta analizzando velocemente una grande quantità di dati, l’intelligenza artificiale è ormai presente e risulta utile al punto di non poterne ragionevolmente fare a meno. Più in dettaglio, l’AI può essere utilizzata in ambito economico, per migliorare la previsione della domanda, automatizzare le attività di routine e personalizzare le offerte di prodotti e servizi. Oppure può essere impiegata con fini sociali, per diagnosticare malattie, personalizzare l’apprendimento e fornire assistenza ad anziani e persone con disabilità. Infine, nel settore ambientale, aiuta a ottimizzare l’utilizzo delle risorse, ridurre le emissioni di gas serra e adattarsi ai cambiamenti climatici.
L’AI presenta tuttavia anche diversi rischi, perché può facilmente prestarsi anche all’utilizzo per finalità criminali o discriminatorie. Dopo una lunga trattativa, le istituzioni dell’Unione Europea hanno raggiunto un accordo politico sulla proposta di legge europea in materia di intelligenza artificiale (il cui testo potrà comunque essere modificato), che individua i principi da rispettare nella regolamentazione dell’AI per stabilire un quadro normativo sicuro, trasparente, equo e rispettoso dei diritti fondamentali dei cittadini.
Fondamenti, rischi e benefici
La proposta di Regolamento si basa su tre elementi fondamentali:
- Sicurezza, perché i sistemi di AI devono essere progettati e sviluppati in modo da evitare rischi per la salute, la sicurezza o i diritti fondamentali delle persone;
- Trasparenza, perché i sistemi di AI devono essere trasparenti e comprensibili per gli utenti, con riguardo alle fonti utilizzate per l’addestramento, ai risultati dei processi di elaborazione (che dovranno essere prevedibili), agli algoritmi che procedono all’analisi delle fonti e alla scelta di possibili soluzioni alternative;
- Equità, perché i sistemi di AI non dovranno discriminare le persone in base a sesso, razza, religione, orientamento sessuale, opinioni politiche, stato di salute ecc.
I sistemi vengono classificati in base a tre livelli di rischio:
- AI a basso rischio, che non presenta rischi significativi per la salute, la sicurezza o i diritti fondamentali delle persone. In tal caso il trattamento dei dati è considerato ammissibile senza prescrizioni;
- AI a rischio moderato, che presenta alcuni rischi per la salute, la sicurezza o i diritti fondamentali delle persone. I relativi trattamenti possono essere considerati ammissibili a condizione che vengano adottate adeguate misure di sicurezza e azioni correttive volte a far rientrare il rischio entro parametri accettabili.
- AI ad alto rischio, che presenta rischi significativi per la salute, la sicurezza o i diritti fondamentali delle persone. In questi casi, il trattamento dei dati dev’essere escluso, salvo in presenza di motivi di rilevante interesse pubblico come la prevenzione di reati particolarmente esecrabili, la sicurezza nazionale ecc.
Obiettivi e sistemi di protezione
Se approvato, il Regolamento entrerà in vigore due anni dopo la pubblicazione nella Gazzetta Ufficiale dell’Unione Europea. Durante il periodo di sospensione, gli Stati membri dovranno adeguare la legislazione interna affinché non contrasti con il Regolamento, dovendosi altrimenti procedere alla disapplicazione delle norme nazionali.
Sarà inoltre possibile, per i singoli Paesi, prevedere correttivi e ulteriori prescrizioni, a condizione che non violino i principi di base del Regolamento e non si pongano in contrasto con i principi generali del Trattato per il funzionamento dell’Unione Europea o altre norme europee.
Il Regolamento mira anche a raggiungere obiettivi sociali ed economici ben individuati, ossia:
- proteggere i diritti fondamentali delle persone, affinché i sistemi di AI non siano utilizzati per scopi dannosi o discriminatori;
- promuovere l’innovazione e creare un quadro normativo favorevole all’esercizio e alla crescita delle attività economiche, che consenta all’Europa di mantenere la propria posizione di vantaggio competitivo nel settore;
- creare nuovi posti di lavoro per compensare l’inevitabile perdita di occupazione che consegue a ogni innovazione tecnologica.
Privacy e sicurezza
Il Regolamento, infine, si preoccupa di vietare all’origine quelle attività che, attraverso l’uso di sistemi di AI, presentano rischi inaccettabili per la collettività, individuando come tali:
- sistemi di AI che, con la finalità di arrecare ad altri danni fisici o psichici, utilizzano tecniche subliminali per indurre comportamenti inconsapevoli nelle persone, spinte ad agire in modo distorto rispetto al comportamento che diversamente adotterebbero in situazioni analoghe;
- sistemi di AI in grado di sfruttare le vulnerabilità (derivanti dall’età o da disabilità fisiche o mentali) di uno specifico gruppo di persone, per distorcerne il comportamento al fine di arrecare ad altri danni fisici o psichici;
- sistemi di AI che consentono alla pubblica autorità di valutare o classificare l’affidabilità delle persone fisiche sulla base del loro comportamento sociale o di caratteristiche personali, così da effettuare una previsione di potenziale pericolosità o disvalore sociale (bilancio sociale o criminale).
I sistemi di identificazione biometrica real time mediante videosorveglianza o tecnologie analoghe, idonee a operare da remoto, devono essere rilevabili agevolmente dal cittadino, in spazi accessibili al pubblico, per finalità di prevenzione dei reati o contrasto alla criminalità, salvo che non riguardino specifici argomenti come:
- la ricerca mirata di potenziali vittime specifiche di reato, compresi i minori scomparsi; la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone o in caso di attacco terroristico;
- il rilevamento, la localizzazione, l’identificazione o l’azione penale nei confronti di un autore o un sospettato di un reato oggetto di mandato di arresto europeo, punibile con una misura privativa della libertà superiore a tre anni.
Le misure di sicurezza dovranno garantire integrità, riservatezza e disponibilità dei dati acquisiti. Per quanto riguarda gli algoritmi, dovranno essere introdotti controlli finalizzati a evitare scelte discriminatorie.
Quali sono i principi da rispettare?
I sistemi di videosorveglianza basati su AI dovranno essere installati e gestiti nel rispetto di alcuni principi. Il primo è quello della minimizzazione dei dati: i dati personali raccolti devono essere limitati a quelli effettivamente necessari per le finalità del trattamento. Con i sistemi di videosorveglianza, il raggiungimento di tale obiettivo è tutt’altro che secondario o da sottovalutare, poiché la quantità di informazioni (anche sotto forma di metadati) desumibili da ogni singolo fotogramma pone il titolare nella condizione di dover effettuare uno studio approfondito sulla tecnologia adottata, soprattutto se fornita da terze parti; un altro rischio da prendere in considerazione è quello di poter utilizzare le immagini del volto per un’eventuale identificazione biometrica.
Il secondo principio da rispettare è quello della limitazione della conservazione dei dati personali: le informazioni raccolte devono essere conservate per un periodo di tempo non superiore a quello necessario per il raggiungimento delle finalità del trattamento. Infine, bisogna garantire la sicurezza delle informazioni: i dati personali raccolti devono essere protetti da accessi non autorizzati e dai rischi di alterazione o distruzione.
Quest’aspetto in particolare comporta, alla luce delle capacità dei sistemi di generazione basati sull’AI, la necessità per il titolare di certificare, attraverso meccanismi di validazione rispetto alla realtà, le immagini acquisite, poiché un accesso non autorizzato attraverso l’uso di sistemi di AI generativa potrebbe portare all’alterazione dei filmati, con ogni prevedibile conseguenza per l’attribuzione delle responsabilità (la sostituzione del volto con quello di un altro individuo, per esempio, potrebbe orientare le indagini sul soggetto sbagliato, dando al reale colpevole la possibilità di portarsi al di fuori della giurisdizione applicabile).
In conclusione, la proposta di Regolamento Europeo sull’intelligenza artificiale è un passo importante verso la creazione di un quadro normativo orientato alla protezione dei diritti fondamentali delle persone, pur perseguendo l’obiettivo dell’innovazione tecnologica e del sostegno all’economia, anche attraverso la creazione di nuovi posti di lavoro.
Un rapporto di complementarità: come la proposta di Regolamento sull’ intelligenza artificiale entra in relazione con il GDPR per la protezione dei dati
Il Regolamento Europeo sull’intelligenza artificiale e il Regolamento generale sulla protezione dei dati hanno entrambi, come obiettivo, la tutela dei diritti e delle libertà fondamentali degli individui e si pongono in stretta correlazione poiché il Regolamento sull’intelligenza artificiale integra quello sul trattamento dei dati personali, introducendo specifiche limitazioni.
Nello specifico, la normativa definisce i principi generali applicabili ai sistemi di AI e li classifica in base al livello di rischio che presentano per la collettività; in particolare, introduce obblighi e limitazioni per i sistemi individuati come “ad alto rischio”, prevedendo l’obbligo di effettuare una valutazione d’impatto sui diritti e le libertà degli interessati a opera di un esperto esterno e indipendente, nonché l’iscrizione in un registro pubblico.
Il Regolamento, in particolare, specifica che i sistemi di videosorveglianza basati sull’AI sono classificati per loro natura come “ad alto rischio” e, pertanto, i titolari dei relativi trattamenti sono tenuti a eseguire la valutazione d’impatto e ad applicare le misure tecnologiche più restrittive per limitare l’accesso ai dati e tutelare i diritti e le libertà degli interessati.
Non cambia la necessaria trasparenza nei confronti degli utenti, ai quali non solo si dovranno specificare le modalità di trattamento, ma anche rendere noti i processi e le fonti utilizzati per addestrare l’intelligenza artificiale, il funzionamento dei processi interni che portano l’AI a effettuare una determinata scelta anziché altre e le modalità con le quali ciascun interessato potrà accedere alle informazioni se interessato ad approfondire l’argomento.