Regolamento Ue sull’AI: i due volti della trasparenza

Il Regolamento recepisce il principio di trasparenza e tenta di cucirlo addosso alle incognite degli algoritmi, partendo dal presupposto che non sia immaginabile un robot, una AI, che supporti o si sostituisca all’essere umano senza una spiegazione di come vengano prodotti gli output del suo sistema

Pubblicato il 12 Mag 2021

Valentino Notarangelo

Data Protection Officer & Legal Counsel

AI cervello

Immaginiamo per un attimo che il Regolamento UE sull’intelligenza artificiale, di recente proposto dalla Commissione Europea, sia cosa fatta. Ipotizziamo che sia rimasta immutata la bozza a oggi oggetto di innumerevoli commenti e sia divenuta pienamente applicabile.
Concentriamoci, per non essere oltremodo ripetitivi rispetto ad altri autori, su un tema preciso e specifico: trasparenza.

È una parola – “transparency” – che compare circa una trentina di volte nel nuovo Regolamento e che conosciamo bene, soprattutto per come negli ultimi anni ha formato oggetto di declinazioni atte a ristabilire equilibrio nei rapporti produttore-consumatore, e ancor di più per i recenti interventi in materia di protezione dei dati, dove la trasparenza del titolare del trattamento nei confronti dell’interessato è principio cardine che sorregge buona parte dell’impalcatura del governo dei dati.

Il nuovo Regolamento UE sull’AI – inevitabilmente potremmo dire – recepisce questo principio e tenta di cucirlo addosso alle incognite degli algoritmi, partendo dal presupposto che non sia immaginabile un robot, una AI, che supporti o si sostituisca all’essere umano senza una spiegazione di come vengano prodotti gli output del suo sistema.

Ma come garantire l’effettività di questa trasparenza? Quali metodi utilizzare affinché il c.d. “diritto alla comprensibilità dell’algoritmo” dispieghi i suoi effetti e sia di concreto beneficio per gli utenti?
Per rispondere a queste domande e rappresentare alcuni esempi, risulta imprescindibile addentrarci un momento nel corpo normativo del Regolamento.

I due volti della trasparenza nel Regolamento AI

Informazioni trasparenti sono particolarmente importanti per evitare impatti negativi, mantenere la fiducia del pubblico e garantire responsabilità e mezzi di ricorso efficaci”.
Così esordisce il nuovo testo, in una delle sue prime pagine.

È una trasparenza a due facce: quella più accurata, meticolosa e dai contorni precisi che deve accompagnare i sistemi di AI cosiddetti “high risk”, e quella piuttosto semplice dei sistemi “a rischio basso”, che non è delineata con prescrizioni specifiche ed è limitata alla mera informazione all’utente sulla sua interazione in atto con un sistema di AI (fatto salvo il caso in cui ciò non sia già evidente e palese).

Il volto della trasparenza “high risk”, in ragione di applicazioni particolarmente invasive e dell’impatto per i diritti e le libertà dell’uomo, si presenta marcato dai gravosi obblighi -in capo al fornitore- di portare a conoscenza degli utenti una serie di informazioni concise, complete, corrette, chiare, pertinenti, accessibili e comprensibili, finalizzate a specificare:

  • identità e i dati di contatto del fornitore e, se del caso, del suo rappresentante autorizzato;
  • caratteristiche, capacità e limitazioni delle prestazioni del sistema di AI, tra cui:
    1. scopo previsto;
    2. livello di accuratezza, robustezza e sicurezza informatica rispetto al quale il sistema di AI ad alto rischio è stato testato e convalidato e qualsiasi circostanza nota e prevedibile che possa avere un impatto su tale livello di accuratezza previsto, robustezza e sicurezza informatica;
    3. qualsiasi circostanza nota o prevedibile, relativa all’uso del sistema di AI ad alto rischio in conformità con lo scopo previsto o in condizioni di uso improprio ragionevolmente prevedibile, che può comportare rischi per la salute e la sicurezza o per i diritti fondamentali;
    4. prestazioni nei confronti delle persone o dei gruppi di persone su cui si intende utilizzare il sistema;
    5. se del caso, specifiche per i dati di input o qualsiasi altra informazione pertinente in termini di set di dati di addestramento, convalida e test utilizzati, tenendo conto dello scopo previsto del sistema di AI.
  • modifiche al sistema di AI ad alto rischio e sue prestazioni che sono state predeterminate dal fornitore al momento dell’eventuale valutazione della conformità iniziale;
  • misure di sorveglianza umana, comprese le misure tecniche messe in atto per facilitare l’interpretazione dei risultati dei sistemi di IA da parte degli utenti;
  • durata prevista del sistema di AI ad alto rischio e tutte le misure di manutenzione e cura necessarie per garantire il corretto funzionamento di tale sistema di AI, anche per quanto riguarda gli aggiornamenti del software.

Si tratta, come evidente dalla lettura completa dell’art. 13, di una congerie di indicazioni molto dettagliate e che in alcuni passaggi risultano mutuate dal Regolamento Generale sulla Protezione dei Dati, a cui il regolatore si è ispirato nell’intero testo della disciplina degli algoritmi (più o meno casualmente, tra l’altro, risulta coincidente l’art. 13 che anche nella normativa sulla protezione dei dati costituisce il pilastro della trasparenza).

Risulta cristallino l’intento della norma di accrescere la fiducia dell’utente nel sistema che si accinge ad utilizzare o a cui sta per essere sottoposto, tentando di mostrare senza veli l’algoritmo, rappresentandone la sua ratio decidendi, indicando il dataset con cui è stato addestrato e allenato per non sbagliare, per non discriminare, per non sottrarsi alle ferree regole della sicurezza informatica; in poche parole, per non oltrepassare confini invalicabili e peccare di “hybris algoritmica”, rischiando di aggredire e minacciare i diritti fondamentali dell’essere umano.

La c.d. “spiegabilità” dell’algoritmo va, dunque, intesa come risposta a due domande complementari: come funziona (trasparenza) e chi è responsabile per il modo in cui funziona (accountability), le cui risposte sono imprescindibili per garantire che l’AI sia usata “per il bene e non per il male” e che la responsabilizzazione del fornitore si traduca in maggiore serenità per l’utente finale, al cospetto della decisione automatizzata.

AI trasparenza

Le criticità presentate dal Regolamento

Mario Rossi, cittadino qualsiasi, è nella sua auto a guida autonoma quando, all’improvviso, complice una fitta grandinata, il veicolo frena ripetutamente rilevando degli ostacoli e provoca un incidente.
In sede di definizione dell’allocazione delle responsabilità, Mario apprende – qualche giorno dopo – di essere stato corresponsabile dell’incidente, in quanto il suo utilizzo del sistema di guida autonoma non è stato conforme al documento “Condizioni generali e manuale di utilizzo del conducente intelligente”.

Mario è sbigottito: cerca nel cruscotto dell’auto e, sfogliando il manuale, nella sezione “Informazioni ai sensi dell’art. 13 del Regolamento sull’utilizzo del sistema di AI applicato all’autovettura” legge tra le innumerevoli e dispersive indicazioni, a pagina 48, in piccolo:

[…] “Nei casi di seguito riportati, l’utilizzo della guida autonoma, potendo comportare particolari rischi per la salute e la sicurezza proprie o altrui, è fortemente sconsigliato e ritenuto improprio:

  1. Condizioni metereologiche avverse quali grandine o neve;
  2. ….

L’utilizzo del sistema di guida intelligente nelle casistiche sopra riportate, in quanto ritenute circostanze di applicazione non appropriate, esonera da ogni forma di responsabilità il fornitore. Resta ferma la responsabilità del conducente dell’autoveicolo che abbia ritenuto di volersi servire, in ogni caso, del sistema di guida autonoma”. […].

Quanto rappresentato, in uno slancio di fantasia, non è poi così lontano da quella che potrebbe essere la realtà. Nell’esplicitazione delle modalità di utilizzo e dei rischi dei sistemi intelligenza artificiale “high risk”, i fornitori dovranno indicare tutte quelle informazioni richieste dal Regolamento; all’utente sarà, di conseguenza, demandato l’onere di leggere con attenzione ogni cavillo, più o meno complesso che sia.

Pur nella consapevolezza della necessità di conoscere cosa si sta utilizzando, mettendoci nei panni dell’utente medio, ci rendiamo immediatamente conto di quanto possa trasformarsi in un’impresa diabolica la lettura o la comprensione di tutti i documenti di trasparenza dell’algoritmo.

Anche dal lato del fornitore l’impresa è piuttosto ardua: garantire informazioni “complete e concise” sembra essere un connubio di difficile attuazione, soprattutto nell’ambito di sistemi mai conosciuti prima dall’umanità e che hanno un impatto rilevante sull’essere umano.

Il vero timore, pertanto, diventa non già l’opacità algoritmica per assenza di trasparenza, quanto piuttosto una eccessiva, smisurata trasparenza che genererebbe una sorta di “opacità da confusione”: il fornitore, per adempiere alla norma, si vedrebbe costretto a sciorinare una lunghissima lista di informazioni; dall’altro lato l’utente si troverebbe al cospetto di pagine e pagine da consultare prima di approcciarsi al sistema di AI, informazioni che dovrebbe tenere sempre a mente, anche per non incorrere in utilizzi impropri.

È quanto già succede nell’ambito della protezione dei dati. L’aspetto critico della trasparenza in materia di trattamento dei dati è proprio qui: informative privacy chilometriche da dover consultare (con tanto di presa visione) prima dell’utilizzo del servizio.
Il risultato infelice e scadente lo conosciamo: ad oggi in pochissimi leggono le informative privacy ed anzi, spesso il momento in cui ciò avviene è soltanto successivo alla fase di avvio del trattamento, ovvero in occasione di segnalazioni o reclami per presunta violazione della nostra “privacy”…

E così la trasparenza, nata per rafforzare nel Regolamento la posizione dell’interessato – ovvero della persona alla quale si riferiscono i dati– rendendolo consapevole e quindi libero di scegliere se e come disporre dei propri dati personali, diventa l’esatto opposto, o persino un formidabile elemento di forza nelle mani dei grandi gestori dei servizi online, che possono dirci tanto, anzi tutto, a norma di legge, con la serenità che, a conti fatti, non leggeremo nulla.

A conferma di ciò, proprio il Garante per la Protezione dei Dati Personali ha lanciato un’iniziativa volta a semplificare le informative, per garantire agli interessati un’informazione immediata ed immediatamente comprensibile attraverso icone, simboli o altre soluzioni grafiche.

La posizione presa dal Garante, apprezzabile e innovativa, è arrivata dopo più di due anni dall’applicazione del Regolamento Generale sulla Protezione dei Dati; nel campo dell’intelligenza artificiale questi aspetti critici vanno esaminati e presi in considerazione subito, prima che sia troppo tardi.
Qui i diritti in gioco sono persino più delicati della protezione dei dati, in quanto ad essa si sommano, e ricomprendono tutti quelli inviolabili e riconducibili al “contenitore aperto” dell’art. 2 della Costituzione (a titolo esemplificativo, ma non certo esaustivo).

È di conseguenza, imprescindibile porsi con approccio critico al nuovo Regolamento sull’AI, che ha il privilegio di scrivere la storia, essendo la prima fonte del diritto in materia, ma che deve anche avere l’ardire di trovare soluzioni normative innovative rispetto a criticità ormai note.

AI trasparenza

Le possibili soluzioni

Un fiume di inchiostro cartaceo o digitale non può rispondere alla funzione essenziale di dirci come funziona un algoritmo e come e quanto stravolgerà la nostra vita.
Un tale approccio alla trasparenza altro non è che un bias radicato nelle nostre abitudini e dal quale dobbiamo discostarci al più presto.

La storia recente ci dice che, affinché la trasparenza verso il cittadino sia effettiva, sostanziale e non solo formale, occorre mettere quest’ultimo nelle condizioni di poterne trarre un reale vantaggio; non è un caso che larga parte della dottrina abbia sempre inneggiato alla ‘cristallizzazione’ di un c.d. “diritto alla comprensibilità della decisione algoritmica” e non abbia banalmente citato un diritto alla trasparenza.

Viene da chiedersi, dunque, quali potrebbero essere le soluzioni al fenomeno di “opacità da confusione”. Una prima ipotesi, presa in prestito sempre dalla normativa applicabile alla protezione dei dati, è certamente quella dell’informativa “a due livelli”: una informazione sintetica e immediata attraverso un primo “warning sign” che segnali l’interazione con l’algoritmo e renda le notizie minime all’utilizzatore, rinviando per più dettagliate indicazioni all’informativa estesa o “di secondo livello”. È ciò che avviene con la videosorveglianza e che, tutto sommato, può considerarsi uno strumento appropriato per raggiungere lo scopo di “informare progressivamente” il soggetto ripreso.

Un’ipotesi più suggestiva -e ciò a cui dovremmo tendere- potrebbe essere quella di sfruttare proprio gli algoritmi per “spiegare sé stessi”: l’auto intelligente di Mario Rossi, in quanto connessa, potrebbe avere contezza del meteo previsto nel luogo in cui sta viaggiando o verso cui è stata programmata per guidare e, di conseguenza, potrebbe segnalare il rischio a cui Mario sta andando incontro, attraverso un messaggio audio:

“Il meteo segnala pioggia forte. Ricordo che il sistema di guida intelligente in caso di grandine o neve è fortemente sconsigliato e ritenuto improprio. In tale circostanza, passa alla guida manuale.
Per maggiori informazioni consulta la sezione 7 dell’informativa sull’utilizzo del conducente intelligente, punto 8, lettera d)”.

Considerando il livello della tecnologia utilizzata, non si tratta affatto di soluzioni impraticabili.

In questo caso un’informazione progressiva, tempestiva, graduale e mirata, non solo garantirebbe la conoscibilità effettiva da parte del fortunato Mario, ma raggiungerebbe soprattutto il fine ultimo della trasparenza stessa, ovvero proteggere un diritto fondamentale dell’individuo, nella fattispecie – su tutti – l’incolumità del conducente e degli altri automobilisti.

Laddove possibile, pertanto, il sistema di AI dovrebbe garantire una trasparenza non solo preventiva, ma nel continuo e, in determinati casi di rischio particolarmente elevato, dovrebbe poter essere in grado di fornire un’informazione mirata.
Così come intelligentemente si comporta, con la medesima intelligenza dovrebbe spiegare all’utente il proprio comportamento.

Conclusioni

Il lavoro della Commissione Europea nella proposta di primo Regolamento sull’AI è qualcosa di straordinario. Aver anticipato gli altri continenti nella disciplina degli algoritmi non significa – come alcuni sostengono – che verremo tagliati fuori dal mercato che conta e che rimarremo indietro per aver imbrigliato o rallentato il progresso tecnologico.
Abbiamo, difatti, una storia alle spalle che ci insegna che, spesso, regolamentando ciò che ci circonda, siamo in grado di viverne con enfasi gli sviluppi e di investire risorse.

Siamo così, abbiamo continuo bisogno di certezza del diritto. È nel nostro DNA.

Magari, in un domani non così lontano, gli altri Paesi guarderanno alla nostra legislazione sull’AI come un modello a cui tendere, in quanto garante di quel bilanciamento tra diritti imprescindibile quando in gioco c’è la sostituzione (o l’interazione) dell’umano con il robot. Prima o poi, con la ragione o in seguito a dolorose prese di coscienza, anche al di fuori dell’UE si renderanno conto che il fine non può giustificare mezzi totalmente fuori controllo.

Nel frattempo che il resto del Pianeta si desti, noi siamo nel momento più interessante: quello in cui possiamo disciplinare i prossimi decenni. Nel farlo, non dovremo avere la presunzione di chiudere frettolosamente i lavori per il desiderio di arrivare alla meta, ma, anche mutuando norme europee nate per altri settori, dovremo migliorarle sulla base di quanto imparato dall’esperienza.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati