Recentemente, l’European Data Protection Board (EDPB) ha inviato alla Commissione Europea una lettera contenente alcune raccomandazioni riguardo all’Artificial Intelligence Act (AI Act), facendo riferimento anche al parere congiunto adottato sull’AI Act con l’European Data Protection Supervisor (EDPS). L’iniziativa dell’EDPB è volta a richiedere un adeguamento delle norme in materia di responsabilità civile nell’era digitale e nell’AI, considerando la necessità di chiarire i ruoli dei produttori e dei fornitori di sistemi di AI e consentire una corretta attribuzione di responsabilità anche in termini di protezione dei dati.
AI Act e la questione della responsabilità civile per i sistemi di AI
L’AI Act – proposto lo scorso aprile 2021 dalla Commissione Europea – attualmente al vaglio delle istituzioni dell’Unione Europea – vuole promuovere sistemi tecnologici sicuri, trasparenti, etici, imparziali e sotto il controllo umano oltre a categorizzare i sistemi di AI – dal rischio minimo a quello più elevato (inaccettabile) – per i quali sono previsti diversi livelli di “limitazioni”.
Inoltre, la regolamentazione dell’AI applica il principio di proporzionalità attraverso misure di equilibrio e controllo progressive, in base ai vari livelli di rischio. Infatti, mentre i rischi inaccettabili saranno semplicemente vietati, i sistemi di AI ad alto rischio saranno soggetti a obblighi rigorosi prima di poter essere immessi sul mercato. Tali misure comprenderanno un’adeguata valutazione del rischio e un monitoraggio continuo della qualità delle serie di dati, nonché un’adeguata supervisione umana.
Inoltre, anche i sistemi a rischio limitato saranno soggetti a specifici obblighi di trasparenza. Ne consegue che i fornitori di servizi, ad esempio, dovranno rendere gli utenti consapevoli del fatto che stanno interagendo con una macchina in modo che possano prendere una decisione se continuare o fare un passo indietro.
Mentre, per quanto riguarda i sistemi a rischio minimo – anche se potrebbero essere utilizzati liberamente – saranno soggetti a codici di condotta volontari per l’AI non ad alto rischio, nonché a sandbox normativi, in modo tale da facilitare l’innovazione responsabile.
Responsabilità civile nell’AI
È doveroso ricordare che la proposta prende anche in considerazione la questione della responsabilità civile per i sistemi di AI, dal momento che impone obblighi specifici a fornitori, distributori, importatori, utilizzatori e persino a terzi, seguendo e convalidando l’approccio stabilito nella risoluzione del Parlamento europeo dell’ottobre 2020 sul regime di responsabilità civile per l’intelligenza artificiale.
Sebbene un approccio basato sul rischio possa essere adatto nel contesto della legge sull’AI, non lo è nel contesto specifico delle norme sulla responsabilità. Questo perché, dal punto di vista del consumatore, le norme sulla responsabilità intervengono per lo più ex post, cioè una volta che il danno si è materializzato.
È quindi essenziale che i consumatori godano dello stesso grado di protezione indipendentemente dal livello di rischio che alla fine si concretizza. Inoltre, i criteri per classificare i prodotti – come, ad esempio, quelli a basso o alto rischio – sono arbitrari. Ancora, è doveroso considerare che anche i sistemi di intelligenza artificiale classificati come “a basso rischio” possono causare danni molto significativi ai consumatori.
Pertanto, è raccomandata la presa in considerazione di possibili norme sulla responsabilità civile per l’AI che non si basino sulla differenziazione tra categorie di prodotti in base ai loro profili di rischio. Ovvero, le norme dovrebbero essere neutre per quanto riguarda l’ambito di applicazione materiale (prodotti contemplati) e sufficientemente ampie da poter essere applicate a seguito di una valutazione caso per caso.
La lettera dell’EDPB
A fronte di quanto sopra, l’EDPB nella lettera alla Comunità EU evidenzia come sia necessario assicurare agli utenti la trasparenza riguardo all’impiego di sistemi di AI attraverso idonee informazioni sui meccanismi di elaborazione dei dati.
Di fatto, risulta difficile illustrare in modo chiaro ed esaustivo il funzionamento di sistemi di AI. Si tratta di progettare sistemi basati sull’AI in modo conforme ai principi di protezione dati, verificando costantemente la qualità dei dati e dei processi di elaborazione. Ovvero, è necessario garantire la misurabilità del grado di equità e causalità delle decisioni algoritmiche per creare un ambiente tecnologico affidabile e limitare gli effetti negativi di decisioni errate, prevedendo una normativa efficace sulla responsabilità civile – come legislazione a sé stante – in modo tale da non ricalcare semplicemente gli obblighi previsti dal AI Act.
Il legislatore dovrà considerare i rischi di responsabilità connessi ai sistemi di AI durante il loro intero ciclo di vita – dallo sviluppo all’utilizzo fino alla fine del ciclo di vita – compresa la gestione dei rifiuti e del riciclaggio. Inoltre, è doveroso ricordare che l’inclusione dei sistemi di AI in un prodotto o servizio rappresenta un rischio finanziario per le imprese e, di conseguenza, avrà un forte impatto sulla capacità e sulle opzioni per le PMI, nonché per le start-up, in relazione all’assicurazione e al finanziamento dei loro progetti di ricerca & sviluppo basati su nuove tecnologie.
Lo scopo della responsabilità civile
Ricordiamo che lo scopo della responsabilità consiste sia nel salvaguardare importanti diritti giuridicamente protetti delle persone sia nel determinare se le imprese – in particolare le PMI e le start-up – saranno in grado di raccogliere capitali, innovare, ricercare e, in ultima analisi, offrire nuovi prodotti e servizi e, non ultimo, sia nell’alimentare la fiducia dei consumatori in tali prodotti e servizi e utilizzarli nonostante i potenziali rischi.
Ne consegue, quindi, la necessità di passare dalla attuale logica basata sulla colpa a una logica basata sulla gestione del rischio, ovvero, creare un sistema che attribuisca la responsabilità dell’AI al soggetto che – nella realtà concreta – prende le decisioni ed esercita il controllo sui rischi e benefici associati alla tecnologia stessa.
Pertanto, tale soggetto – dal momento che è colui che “può incidere” sul rischio e che quindi può “misurare” anche il rapporto rischi/benefici – sarà chiamato a rispondere degli eventuali danni cagionati a terzi, con la possibilità, in ogni caso, di rivalersi sugli altri soggetti della catena produttiva/distributiva, laddove gli stessi siano parte attiva di tale gestione del rischio.
Settore assicurativo e responsabilità civile dei sistemi di AI
Si ritiene che le coperture assicurative possano garantire un risarcimento effettivo alle vittime, tenendo anche in considerazione i rischi di tutte le persone assicurate. Tuttavia, per garantire coperture idonee, avremo bisogno un sistema di norme chiare, in grado di guidare le imprese assicuratrici nel calcolo dei rischi derivanti dall’utilizzo dell’AI. Inoltre, dato che le compagnie assicurative basano la loro offerta di prodotti e servizi assicurativi sulla valutazione del rischio – a fronte dell’accesso a sufficienti dati storici sui sinistri – ne consegue che la mancanza di dati di alta qualità disponibili potrebbe rallentare la creazione di prodotti assicurativi per tecnologie nuove ed emergenti.
Pertanto, solo attraverso una maggiore disponibilità di dati generati dalle nuove tecnologie e un’ottimizzazione dell’uso degli stessi – unitamente all’obbligo di fornire informazioni ben documentate – sarà possibile modellare il rischio emergente e promuovere lo sviluppo di coperture innovative e adeguate.
Conclusioni
L’introduzione di un nuovo regime di responsabilità, per il gestore dei sistemi di AI, richiede che le disposizioni dell’AI Act e la revisione della direttiva sulla responsabilità per danno da prodotti difettosi siano strettamente coordinate in termini di sostanza e di approccio, in modo tale da costituire un quadro di responsabilità coerente.
Le aziende attive nel campo dell’AI – in questo scenario che si sta delineando – dovranno altresì essere in grado di sviluppare tecnologie con piena conoscenza dei rischi e dei potenziali problemi di responsabilità. Solo in questo modo sarà possibile bilanciare gli interessi del produttore, dell’operatore, del consumatore e della persona interessata, per quanto riguarda il rischio di responsabilità e i pertinenti accordi di indennizzo.
Pertanto, è sempre più necessario armonizzare, a livello di EU, i regimi di responsabilità per i sistemi di AI, considerando che gli obiettivi del AI Act consistono ne: la creazione di un approccio orientato al futuro e unificato a livello dell’Unione, la definizione di norme europee comuni per i cittadini e le imprese europei (al fine di garantire la coerenza dei diritti e la certezza del diritto in tutta l’Unione ed evitare la frammentazione del mercato unico digitale); l’innovazione digitale in Europa; la protezione di alto livello dei diritti dei cittadini e dei consumatori.
Concludendo, occorre che le norme giuridiche siano certe, condivise e non diversificate, dal momento che solo attraverso un’uniformità giuridica è possibile garantire lo sviluppo e la commercializzazione di prodotti basati sull’AI e aumentare la fiducia degli utenti nell’uso e nell’affidabilità di soluzioni tecnologicamente avanzate.