Lo scorso 30 ottobre, i leader del G7 hanno approvato, nel quadro del processo di Hiroshima, nuovi principi guida internazionali sull’intelligenza artificiale unitamente a un codice di condotta volontario rivolto agli sviluppatori di AI (tanto del settore privato quanto di quello pubblico).
Un’ulteriore tappa nel tentativo europeo di regolare il fenomeno dell’intelligenza artificiale, cominciato nella primavera del 2019 con gli “Orientamenti etici per una intelligenza artificiale affidabile” e che si appresta a sfociare nell’imminente approvazione – dopo una gestazione di quasi tre anni – del primo vero e proprio atto giuridicamente vincolante interamente dedicato a questa tecnologia (Proposta di regolamento sull’intelligenza artificiale nota come “AI Act”).
Ben vengano i principi etici a maggior ragione se, come nel caso di specie, adottati in un contesto internazionale e utilizzati per l’elaborazione di un codice di condotta che ambisce a fornire indicazioni dettagliate e, soprattutto, pratiche per orientare le organizzazioni destinatarie. L’occasione, però, è utile per riprendere uno dei principali dibattiti che si è scatenato negli ultimi anni attorno al fenomeno: è davvero necessaria una regolazione ad hoc dell’intelligenza artificiale?
Lo sviluppo dell’AI e la corsa alla regolamentazione
Il mondo dell’intelligenza artificiale è in continuo fermento. Basti pensare alle recentissime funzionalità market oriented rilasciate da OpenAI con il modello GPT-4 Turbo (contesto aumentato, dati più aggiornati, replicabilità degli output) per garantire maggiore capacità da parte dei fruitori dei servizi di integrare le proprie applicazioni con il mondo reale, creando software più evoluti, con elevata qualità dell’output e a costi sempre più competitivi.
Si vanno sempre più sgretolando le barriere che impediscono all’AI di entrare in ogni soluzione digitale che utilizziamo quotidianamente, e questo si traduce – nell’attuale contesto normativo – in una continua (rin)corsa da parte dei decisori politici all’aggiornamento del set di regole e principi, prevalentemente di carattere etico, per tentare di instradare l’offerta (sviluppatori ed erogatori di servizi ai cittadini) al rispetto di imprescindibili elementi valoriali condivisi a livello globale.
Il nuovo impianto (principi e codice) – frutto della cooperazione internazionale avviata nel quadro del processo tematico di Hiroshima sull’intelligenza artificiale – muove dai già richiamati orientamenti dell’OCSE in materia di AI, ma viene concepito come un corpus vivo e dinamico, destinato a essere riesaminato e aggiornato proprio per garantire adeguatezza rispetto allo scopo e reattività a questa tecnologia in rapidissima evoluzione.
Nella definizione dei documenti, l’Unione Europea ha giocato un ruolo determinante, riproponendo quasi integralmente i contenuti che diverranno giuridicamente vincolanti con la, ci auguriamo, imminente approvazione dell’AI Act.
D’altronde, la scelta di regolare in modo così pervasivo l’intelligenza artificiale rispecchia un preciso indirizzo politico delle istituzioni europee nel solco della dichiarata sovranità digitale: forte di un mercato particolarmente attraente per i provider internazionali (sia in termini di popolazione che di capacità di spesa), l’Europa ambisce ad ergersi a regolatore universale dei mercati e dei servizi digitali esportando – di fatto – le regole del gioco in quei contesti dove risiede la potenziale offerta di prodotti e servizi di intelligenza artificiale interessata ad accedere al nostro mercato.
Cosa prevedono i nuovi principi guida internazionali
Con l’obiettivo di garantire la sicurezza e l’affidabilità della tecnologia, i decisori hanno identificato undici principi per orientare le organizzazioni che – a vario titolo – sviluppano, implementano, forniscono e utilizzano sistemi di intelligenza artificiale avanzati.
Questi principi, come anticipato, riproducono fedelmente i contenuti dell’AI Act (allegato IV relativo alla documentazione tecnica di cui all’art. 11, par. 1, della stessa proposta di regolamento) e possono essere così riassunti:
- adottare misure adeguate durante lo sviluppo di sistemi avanzati di AI, sia in fase di progettazione che di deployment, per identificare, valutare e ridurre i rischi durante l’intero ciclo di vita della soluzione;
- individuare e ridurre le vulnerabilità e, ove opportuno, gli incidenti e gli abusi occorsi dopo le fasi di implementazione e commercializzazione;
- garantire trasparenza e un uso responsabile comunicando in modo chiaro agli utenti le capacità, i limiti e le aree di utilizzo appropriato o meno della soluzione;
- condividere responsabilmente le informazioni e segnalare gli incidenti tra le principali organizzazioni di sviluppatori;
- sviluppare, implementare e divulgare policy di governance dei sistemi basate sul rischio, con particolare riferimento agli aspetti relativi alla protezione dei dati personali e alla mitigazione dei relativi rischi;
- investire in controlli sistematici sulla sicurezza, incluso il controllo delle minacce fisiche e informatiche interne ed esterne;
- implementare meccanismi affidabili di autenticazione e provenienza per consentire agli utenti di identificare quando un contenuto è generato dall’intelligenza artificiale o meno;
- investire in sicurezza e dare priorità alla ricerca per la mitigazione dei rischi sociali;
- sviluppare sistemi avanzati di intelligenza artificiale per affrontare le sfide globali, come il climate change, la salute, l’istruzione;
- promuovere lo sviluppo e l’adozione di standard tecnici internazionali;
- attuare misure tecniche adeguate per la protezione dei dati personali e della proprietà intellettuale.
Le regole comportamentali del Codice di condotta
L’adozione del Codice è diretta conseguenza dell’art. 69 dell’AI Act che promuove l’elaborazione di codici di condotta che i fornitori possono adottare, su base volontaria, per dimostrare la conformità dei propri modelli rispetto ai principi generali applicabili a tutti i sistemi di intelligenza artificiale (stabiliti dall’art. 4a della proposta di regolamento) e alle previsioni stabilite dal Titolo III, Capo II, per i sistemi di AI ad alto rischio.
Basandosi sugli undici principi elaborati in seno al processo di Hiroshima, il Codice contiene indicazioni pratiche e dettagliate rivolte alle organizzazioni destinatarie, di seguito sintetizzate.
- In relazione al primo principio, il Codice esorta all’adozione di misure tecniche e organizzative adeguate per identificare, valutare e mitigare i rischi durante tutto il ciclo di vita dell’AI tramite metodologie di ethical hacking (come ad esempio il red-teaming). Questi test dovrebbero essere eseguiti in ambienti sicuri e durante le diverse fasi del ciclo di vita dell’AI per identificare a monte le vulnerabilità e adottare conseguentemente soluzioni adeguate.
- Per individuare e ridurre le vulnerabilità dopo le fasi di implementazione e commercializzazione (secondo principio), il Codice prescrive alle organizzazioni di utilizzare sistemi e procedure di monitoraggio commisurati al rischio, anche incoraggiando terzi o gli stessi utenti del sistema a rilevare e segnalare le vulnerabilità (ad esempio, tramite sistemi di ricompensa e/o incentivazione).
- Per rispettare il terzo principio, il Codice prescrive la pubblicazione di report di trasparenza contenenti informazioni e istruzioni per l’uso – adeguatamente aggiornati, chiari e comprensibili per gli utenti – unitamente alla relativa documentazione tecnica.
- Al fine di adempiere gli obblighi di condivisione di informazioni e rischi imposti dal quarto principio, le organizzazioni dovrebbero promuovere o aderire a meccanismi di cooperazione internazionale per sviluppare standard, strumenti e meccanismi condivisi per garantire la sicurezza e l’affidabilità dei sistemi, condividendo e segnalando al pubblico le informazioni rilevanti e coinvolgendo, ove opportuno, le competenti autorità pubbliche.
- In merito al quinto principio, il Codice raccomanda che le politiche sulla privacy dovrebbero coprire una varietà più ampia possibile di rischi ed essere costantemente aggiornate, garantendo – in ottica di maggiore effettività – la formazione continua del personale proprio sul rispetto delle prassi organizzative stabilite a livello aziendale.
- Il rispetto del sesto principio impone alle organizzazioni di valutare, nello specifico, i rischi di natura informatica e di attuare politiche di sicurezza e soluzioni tecniche adeguate, implementando sistemi di rilevamento delle minacce interne ed esterne.
- I meccanismi di autenticazione e provenienza richiesti dal settimo principio impongono alle organizzazioni di prevedere sistemi di identificazione o etichettatura del servizio che ha creato il contenuto confluito nel sistema. Le organizzazioni dovrebbero inoltre sviluppare strumenti o API per consentire agli utenti di verificare se un particolare contenuto è stato creato o meno con il loro sistema di AI (ad esempio tramite filigrane digitali).
- Nel rispetto dell’ottavo principio, le organizzazioni coinvolte sono esortate a investire in R&D per migliorare la sicurezza, l’affidabilità, la trasparenza e l’interpretabilità dei propri modelli, affrontando i rischi principali e sviluppando idonei strumenti di mitigazione. È necessario concentrarsi sui valori democratici, sui diritti umani, sulla protezione dei soggetti vulnerabili, sulla proprietà intellettuale e sul contrasto ai bias cognitivi e alla disinformazione.
- Sul nono principio, il Codice richiede che le organizzazioni si impegnino congiuntamente per uno sviluppo che possa apportare benefici a livello globale in linea con gli SDG delle Nazioni Unite: dare priorità alla gestione responsabile dell’AI; sostenere l’alfabetizzazione digitale; collaborare con la società civile per affrontare le sfide globali più importanti.
- Il decimo principio richiede alle organizzazioni di contribuire allo sviluppo e all’adozione di standard tecnici e di prassi internazionali di settore, cooperando con le Organizzazioni per lo sviluppo di standard nella elaborazione di metodologie di test dei dati, meccanismi di autenticazione e provenienza dei contenuti, politiche di sicurezza informatica e misure per aiutare gli utenti a distinguere i contenuti generati dall’intelligenza artificiale.
- Infine, il rispetto dell’undicesimo principio richiede alle organizzazioni di adottare misure di data quality (sin dalla fase di creazione e raccolta dei data set) per mitigare i bias del sistema, prestando particolare attenzione al rispetto della privacy e della proprietà intellettuale.
La regolazione dell’intelligenza artificiale: tra tutela dei diritti e possibile rallentamento del progresso tecnologico
I nuovi principi e il Codice di condotta costituiranno un’ulteriore fonte auspicabilmente in grado di orientare le organizzazione destinatarie nel percorso di sviluppo e deployment etico, sicuro e affidabile della tecnologia.
La strategia europea di imporre stringenti regole ai fornitori di soluzioni di AI (specie a quelli provenienti da contesti giuridici con maglie decisamente più larghe), da un lato, ha certamente fini nobili nella misura in cui intende preservare il nocciolo degli elementi valoriali fondamentali a tutela dei cittadini e delle fasce vulnerabili. Dall’altro, però, rischia di scontrarsi con le esigenze del mercato e di limitare (forse eccessivamente) il progresso tecnologico, anche a discapito della collettività.
Tra i diversi fattori che ad oggi limitano l’adozione dell’intelligenza artificiale, si rileva l’incertezza giuridica generata da una cornice normativa tutt’altro che limpida. Il tentativo degli ultimi anni di regolare un fenomeno così complesso ha dato luogo a una sovrapproduzione normativa da parte di numerosi organismi e istituzioni – soprattutto attraverso testi di soft law diversamente denominati – delineando uno scenario caratterizzato da una pluralità di fonti, tra le quali i soggetti che applicano (o intendono applicare) tecnologie di AI devono sapersi orientare.
L’approccio “antropocentrico” e il rimando a principi e ad elementi valoriali – che pure è necessario in virtù dell’incessante ritmo del progresso tecnologico – rischiano di rendere la disciplina poco chiara nel definire cosa si può fare e a quali condizioni, creando di fatto moltissime incertezze per gli operatori chiamati alla loro applicazione.
La proposta di regolamento UE sull’intelligenza artificiale rappresenta certamente un’avanguardia internazionale nella governance mondiale di questa tecnologia. Ma si tratta di un punto di arrivo? Oppure, come sembrerebbe per certi aspetti, rispecchia una risposta politica, economica e giuridica all’esigenza di governare una materia che, in un brevissimo arco temporale, è divenuta urgente, pressante, quasi emergenziale in ragione dell’esplosione delle tecnologie di AI e del loro straordinario impatto sui mercati globali, sulla geopolitica e – naturalmente – sulle nostre vite?
È dunque davvero necessaria una regolazione ad hoc dell’intelligenza artificiale? O sarebbe preferibile optare per una modifica delle discipline dei settori nei quali l’impatto degli algoritmi è più rilevante?
La storia del governo di Internet insegna che le regole possono garantire libertà preziose o imbrigliare il progresso e frenare l’evoluzione della società in direzioni che potrebbero apportare miglioramenti. Se, all’alba del nuovo millennio, la direttiva europea sull’e-commerce avesse imposto una responsabilità diretta degli intermediari per i contenuti pubblicati dagli utenti sui propri siti (poi introdotta dal DSA in un contesto maturo), probabilmente non avremmo assistito – o avremmo assistito con grande ritardo rispetto ad altri contesti – all’esplosione della platform economy e al prosperare dei mercati digitali.
Conclusioni: tra regole e alfabetizzazione digitale
Forse, come spesso accade, le considerazioni frutto del dibattito in corso suggeriscono che la verità sta nel mezzo: l’idea di un intervento normativo ad hoc potrebbe essere opportuno solo limitatamente ad alcuni ambiti e per rispondere a talune esigenze particolarmente impattate.
Sicuramente, la proposta di regolamento sull’intelligenza artificiale dovrebbe mettere ordine all’attuale contesto normativo, sfrondando alcuni elementi di sovrapproduzione, con l’obiettivo di determinare un quadro semplificato e di chiara e facile attuazione per i destinatari delle regole.
Al netto dell’aspetto normativo, le principali cause dei rischi e delle potenziali distorsioni del sistema sono da ricercare anche in un contesto di diffusa analfabetizzazione digitale da parte dei cittadini. Gli utenti e i consumatori, poco educati alla cultura dei diritti fondamentali sul web, potrebbero premiare con le loro scelte di consumo applicazioni e servizi di AI meno etici e meno rispettosi delle libertà e dei diritti fondamentali ma più facili da usare, più rapidi nel fornire risposte, più efficaci nel risolvere problemi.