La regolamentazione dell’intelligenza artificiale è un argomento “scottante” dato che l’adozione di questa tecnologia comporta numerosi quesiti anche a fronte delle linee guida e proposte normative attualmente in itinere. All’interno di questo scenario, a marzo 2021 è stato pubblicato un report dal Centre for Information Policy Leadership (CIPL), think tank globale sulla privacy dei dati e sulla sicurezza informatica che si impegna a sviluppare le migliori pratiche che garantiscano sia un’efficace protezione sia l’uso responsabile delle informazioni personali nella moderna era dell’informazione.
Per inserire correttamente il report del CIPL nello scenario europeo va ricordato che nel 2020 la UE ha pubblicato il White Paper sull’AI in cui si proponeva una regolamentazione di questa tecnologia mediante un quadro giuridico basato su principi rivolti ai sistemi di AI ad alto rischio. L’UE ritiene che la regolamentazione dell’AI possa favorire un “ecosistema di eccellenza” con conseguente consenso pubblico basandosi, altresì, su un “ecosistema fondato sulla fiducia”. È doveroso ricordare altresì che nell’autunno 2020 il Parlamento europeo ha adottato il Framework for Ethical AI, da applicare a “AI, robotica e tecnologie correlate sviluppate, distribuite e o utilizzate all’interno dell’UE” sempre in termini di AI ad alto rischio, unitamente a un’altra proposta di regolamento sulla responsabilità per il funzionamento dei sistemi di AI, raccomandando, tra l’altro, un aggiornamento dell’attuale regime di responsabilità del prodotto.
Cosa dice il rapporto del CIPL sulla regolamentazione dell’AI
Il CIPL ha collaborato con i principali esperti e leader dell’UE in materia di AI e, da tale confronto è scaturito il report, atto a convertire le migliori pratiche e le tendenze politiche emergenti in raccomandazioni attuabili per una regolamentazione efficace dell’AI.
Il CIPL suggerisce che qualsiasi forma di regolamentazione dell’AI dovrebbe rimanere “agile” – riflettendo la caratteristica propria della tecnologia – a vantaggio di individui, organizzazioni, regolatori, società ed economia nel suo complesso. Inoltre, nel documento si raccomanda un approccio basato sul rischio per la regolamentazione delle applicazioni di intelligenza artificiale così articolato:
- un quadro normativo incentrato solo sulle applicazioni di intelligenza artificiale ad “alto rischio”;
- un quadro di responsabilità organizzativa basato sul rischio che calibra i requisiti di AI e la conformità ai rischi specifici;
- una sorveglianza intelligente e basata sul rischio.
Il focus sulla protezione dell’innovazione e sull’aumento dell’adozione dell’AI, a tutti i costi, sembra essere una delle principali motivazioni alla base della proposta di adottare un approccio alla regolamentazione basato sul rischio.
L’AI ad alto rischio deve essere determinata alla luce della posta in gioco, considerando sia il settore sia la destinazione d’uso che comportano rischi significativi che potrebbero incidere sulla tutela della sicurezza, dei diritti dei consumatori e dei diritti fondamentali.
Più specificamente, un’applicazione AI dovrebbe essere considerata ad alto rischio se soddisfa entrambi i seguenti criteri:
- è impiegata in un settore come la sanità, i trasporti, l’energia e parti del settore pubblico, dove ci si possono aspettare rischi significativi date le loro attività tipiche;
- nel settore in questione viene utilizzata in modo tale che è probabile che sorgano rischi significativi. La valutazione del livello di rischio di un determinato uso potrebbe essere basata sul potenziale impatto sulle parti interessate.
Tutte le raccomandazioni del CIPL
Vediamo quali sono le principali raccomandazioni fornite dal CIPL:
- adozione di un framework, di facile utilizzo, per l’identificazione delle applicazioni di AI ad alto rischio, che prevede l’uso di valutazioni d’impatto progettate per valutare la probabilità, la gravità e la portata dell’impatto dell’uso dell’AI;
- fornitura di criteri e limiti atti a determinare le applicazioni di AI ad alto rischio;
- esplicita dichiarazione che gli usi dell’AI senza o a basso rischio esulano dall’ambito di applicazione del regolamento sull’AI;
- considerazione dei vantaggi di un’applicazione AI come parte di una valutazione del rischio;
- creazione di un “comitato per l’innovazione dell’AI” atto a fornire ulteriori orientamenti e ad assistere le organizzazioni nell’identificazione dell’AI ad alto rischio.
- possibilità – nella regolamentazione o negli orientamenti normativi – di poter confutare le “spiegazioni” delle applicazioni di AI ad alto rischio, tenendo conto della natura altamente contestuale delle applicazioni di AI, consentendo, in questo modo, di dimostrare – ove pertinente – che l’uso di un’applicazione di AI in un contesto specifico, non presenta un rischio elevato;
- esecuzione dello screening preliminare o della valutazione di “triage” prima di una valutazione dell’impatto su vasta scala; ovvero, le organizzazioni eseguirebbero una semplice valutazione pre-screening o triage per determinare se risulti necessaria una valutazione d’impatto su vasta scala alla luce dei criteri previsti dalla legge e dall’orientamento. Ciò consentirebbe alle organizzazioni di gestire meglio la valutazione delle domande d’impiego dell’AI che possono comportare un rischio elevato e, al contempo, impedirebbe alle organizzazioni di effettuare valutazioni dell’uso dell’AI in contesti in cui è evidente che il rischio è molto basso.
Per quanto riguarda i sistemi di AI che presentano un rischio elevato, il CIPL raccomanda l’uso di regole basate su principi e risultati piuttosto che requisiti prescrittivi, al fine di evitare che la regolamentazione diventi rapidamente obsoleta.
Il CIPL propone, altresì, di fornire incentivi e ricompense per il raggiungimento dei risultati desiderati e di includere un esplicito obbligo di responsabilità in qualsiasi regolamento, nonché di calibrare la conformità ai requisiti del regolamento rispetto ai risultati di una valutazione del rischio (ovvero, richiedere un’implementazione più sofisticata di misure di conformità per sistemi a rischio più elevato).
Inoltre, secondo il CIPL, qualsiasi regolamento dovrebbe consentire un miglioramento continuo, incoraggiando le organizzazioni a identificare i rischi e affrontarli durante tutto il ciclo di vita di un’applicazione di AI in modo agile e iterativo. La consultazione preventiva con le autorità di regolamentazione o la valutazione della conformità preventiva dovrebbe essere richiesta, invece, limitatamente agli usi di AI ad alto rischio.
Il CIPL evidenzia ulteriormente il vantaggio di delineare gli ambiti di responsabilità per affrontare le sfide scaturite dall’uso dell’AI, raccomandando un quadro normativo che incoraggi e incentivi misure di responsabilità – quali la certificazione esterna – consentendo, così, un uso più ampio dei dati nell’AI per scopi o progetti socialmente vantaggiosi e riconoscendo la comprovata responsabilità dell’AI come fattore di attenuazione o di riduzione della responsabilità nel contesto dell’applicazione.
Sempre secondo il CIPL, un sistema di controllo efficace dovrebbe considerare:
- vigilanza normativa innovativa e agile, basata sull’attuale ecosistema di regolatori settoriali e nazionali piuttosto che sulla creazione di un ulteriore livello di agenzie/autorità specifiche per l’AI;
- cooperazione attraverso un hub di regolamentazione dell’AI composto da esperti di AI appartenenti a diverse autorità di regolamentazione per consentire una cooperazione agile, “su richiesta” e, al contempo, facilitare un’applicazione coerente della normativa;
- mantenimento di responsabilità in capo all’Autorità di competenza per la protezione dei dati (Data Protection Authority -DPA) e del Comitato europeo per la protezione dei dati (European Data Protection Board – EDPB) nei casi in cui un’applicazione di AI comporti il trattamento di dati personali;
- supervisione e applicazione della normativa basata sul rischio; ovvero quest’approccio permetterebbe di concentrarsi su aree di AI ad alto rischio e riconoscere la conformità quale requisito di base del processo e del percorso dinamico, consentendo “tentativi” ed errori in “buona fede”, miglioramenti costanti e risoluzione dei problemi di non conformità;
- garanzia di collaborazione, leadership di pensiero, guida e altre misure atte a promuovere una migliore conformità alla regolamentazione in termini di AI. Ovvero, i regolamenti dovrebbero prendere in considerazione l’intera gamma di misure correttive tenendo conto di molteplici fattori, tra cui la natura e la gravità dell’infrazione, la probabilità di accadimento e la gravità dei danni ai singoli, nonché l’esistenza di contesti e pratiche responsabili di AI. Pertanto, le ammende dovrebbero costituire l’ultima istanza e essere limitate ai casi di infrazione più gravi e ripetitivi o per quelli che creano danni reali e duraturi nei confronti di individui, gruppi di individui, organizzazioni e/o organizzazioni;
- creazione di un sistema coerente a livello della UE di codici di condotta, standard e certificazioni volontarie ad integrazione dell’approccio basato sul rischio in termini di supervisione dell’IA per contribuire ad aumentare la fiducia e, al contempo, dimostrare che la domanda di nuovi prodotti basati sull’IA soddisfa determinati criteri che sono stati valutati da un organismo indipendente;
- utilizzo di strumenti di regolamentazione innovativi basati sulla sperimentazione, come i sandbox normativi che forniscono alle organizzazioni “spazi sicuri” supervisionati per la costruzione e il monitoraggio di usi innovativi dell’AI in modo reiterativo. Essi si basano su una collaborazione aperta e costruttiva con le autorità di regolamentazione per garantire un’innovazione responsabile e affidabile. Poiché le applicazioni di AI possono avere un impatto su diversi settori, i sandbox normativi richiederebbero, presumibilmente, la collaborazione tra diversi regolatori, quali i DPA, nonché le autorità di regolamentazione settoriali pertinenti. Pertanto, ogni autorità di regolamentazione, pur mantenendo le proprie competenze, potrebbe, in questo modo, scambiare opinioni e conoscenze e, al contempo, allineare l’interpretazione in termini di: valutazione dei rischi, trade-off, misure di mitigazione, oppure, risolvere eventuali conflitti normativi.
Una regolamentazione basata sui rischi o sui diritti?
Nonostante le numerose dichiarazioni della società civile e di altri attori sui pericoli derivanti dall’applicazione di un approccio basato sul rischio alla regolamentazione dell’AI, la Commissione europea sembra determinata a proseguire in questa direzione. È doveroso ricordare che un approccio basato sul rischio implica la determinazione dell’entità o della portata dei rischi connessi a una situazione concreta e a una minaccia riconosciuta. Tale approccio risulta utile in ambienti tecnici in cui le aziende devono valutare i propri rischi operativi e, al contempo, in base alla posizione adottata dall’UE, consentirebbe alle imprese di valutare i loro rischi operativi rispetto ai diritti fondamentali dei cittadini. Tuttavia, si rischia di mischiare i diritti umani con gli interessi delle imprese che progettano soluzioni basate sull’AI con il rischio, di fatto, che esse adottino strategie atte a minimizzare i rischi derivanti dall’AI per sviluppare prodotti.
Pertanto, un approccio alla regolamentazione basato sul rischio non è del tutto adeguato a proteggere i diritti umani, considerando il fatto che i nostri diritti non sono negoziabili e devono essere rispettati indipendentemente dal livello di rischio associato a fattori esterni. Le raccomandazioni del CIPL devono essere interpretate in questa direzione e, pertanto, la prossima proposta legislativa sull’AI dovrebbe essere una legge basata sui diritti, come è accaduto per il GDPR; ovvero, la UE potrà mantenere la sua promessa di promuovere una AI “affidabile” solo se adotta un approccio basato sui diritti, vietando apertamente le applicazioni dell’AI che sono intrinsecamente incompatibili con i diritti fondamentali.
Ne consegue che – come più volte ribadito dalla Presidente della Comunità europea, Ursula von der Leyen – l’AI, in quanto europea, dovrà diventare necessariamente “trustworthy“; i prodotti e i servizi dovranno essere basati su dati sicuri; le basi di dati su cui saranno addestrati gli algoritmi europei dovranno essere prive di bias e il loro funzionamento non più opaco, bensì trasparente e spiegabile. Si tratta, quindi, di perseguire uno sviluppo tecnologico intelligente “umano centrico”, a misura di democrazia e diritti individuali e sociali in modo tale la UE diventi, a livello globale, il modello di regolamentazione dell’AI, come già è accaduto con il GDPR in termini di norme in materia di privacy.