La Ue sceglie un approccio basato sul rischio per regolare l’intelligenza artificiale

Lo scorso 21 aprile la Commissione Europea ha proposto il suo primo quadro giuridico sull’intelligenza artificiale (IA). Questa proposta è il risultato di un lungo e complicato lavoro svolto dalle autorità europee. In precedenza, il Parlamento europeo aveva emesso lo scorso ottobre 2020 una risoluzione contenente raccomandazioni alla Commissione Europea. Prima di allora, i legislatori dell’UE avevano emanato la Risoluzione 2017 e il Rapporto sulle implicazioni di sicurezza e responsabilità di intelligenza artificiale, Internet of Things e robotica (inizio 2020). Inoltre, risale allo scorso febbraio 2020 la pubblicazione del White Paper sull’IA della Commissione Europea.

La nuova proposta da parte della Comunità Europea in termini di “Regolamento su un approccio europeo per l’intelligenza artificiale” – con l’obiettivo di convertirsi nel polo mondiale di un’“IA affidabile” – è da considerarsi primo tentativo di definire un quadro normativo completo per l’IA, che si occupi di aspetti essenziali come la definizione di applicazioni ad alto rischio, gli obblighi normativi per i fornitori di sistemi di IA, la sorveglianza post-commercializzazione dell’IA, la valutazione della conformità di alta applicazioni AI rischiose e la possibile creazione di una nuovo board sull’IA.

Una proposta molto ambiziosa, attesa da diversi mesi anche al di fuori dell’UE, dove diversi Paesi stanno valutando la possibilità di regolamentare usi specifici dell’IA.

Il nuovo quadro giuridico verrà valutato dal Consiglio d’Europa e dal Parlamento nei prossimi due anni ed è destinato a convertirsi in Regolamento non prima del 2023. Successivamente, ciascuno degli Stati membri dovrà adeguare le proprie leggi nazionali per rispettarne i contenuti oltre a delineare i cambiamenti strategici e gli investimenti necessari per rafforzare la posizione di primo piano dell’Europa nello sviluppo di un’IA antropocentrica, sostenibile, sicura, inclusiva e affidabile.

Il Regolamento proposto dalla Ue

Si tratta di un insieme di regole quanto mai necessarie a fronte del rapido sviluppo tecnologico dell’IA e di un contesto politico globale in cui sempre più paesi stanno investendo massicciamente in questa tecnologia.

Come si evince ulteriormente dalle parole di Margrethe Vestager, vicepresidente esecutiva, riportate sul sito della Comunità europea, “Queste regole rappresentano una svolta, che consentirà all’UE di guidare lo sviluppo di nuove norme globali… Definendo le norme possiamo spianare la strada a una tecnologia etica in tutto il mondo e garantire che l’UE rimanga competitiva. Le nostre regole saranno adeguate alle esigenze future e favorevoli all’innovazione e interverranno ove strettamente necessario: quando sono in gioco la sicurezza e i diritti fondamentali dei cittadini dell’UE”.

Si tratta, di fatto, di sfruttare le potenzialità dell’IA in tanti diversi settori, pur monitorando e gestendo i rischi che questa tecnologia comporta. Una questione di gestione del rischio e non solo. Il nuovo quadro giuridico mira a garantire un approccio univoco a livello Europeo, basato sul rischio e differenzia gli usi dell’IA a seconda che creino un rischio inaccettabile, un rischio elevato, un rischio limitato o un rischio minimo, così declinato:

• Rischio inaccettabile

Si tratta di tutti i sistemi di IA che risultino costituire una chiara minaccia per la sicurezza, i mezzi di sussistenza e i diritti delle persone. Saranno altresì vietati i sistemi e le applicazioni IA che possono manipolare il comportamento umano, nel tentativo di aggirare il libero arbitrio degli utenti, oppure, sistemi che consentono di attribuire un “punteggio sociale” da parte dei governi.

• Rischio elevato

Si tratta di sistemi che utilizzano l’IA e considerati a rischio elevato soggetti a requisiti rigorosi, a cui devono conformarsi prima di essere immessi sul mercato. in quanto impiegati in ambiti quali:

• • infrastrutture critiche (i.e. trasporti) che possono mettere a rischio la salute e la vita dei cittadini.
  • istruzione o formazione professionale in base ad un’attribuzione di punteggio degli esami.
  • componenti di sicurezza di prodotti (i.e. ambito sanitario prestazioni assistite da robot).
  • occupazione, gestione dei lavoratori, accesso lavoro autonomo (i.e. software di selezione cv nelle procedure di assunzione).
  • servizi pubblici e privati essenziali (i.e. punteggio per accesso al credito).
  • applicazione della legge che può interferire con i diritti fondamentali delle persone (i.e. valutazione affidabilità delle prove).
  • gestione della migrazione, dell’asilo e del controllo dei confini (i.e. verifica autenticità documenti di viaggio).
  • amministrazione della giustizia e dei processi democratici (i.e. applicazione della legge a un insieme concreto di fatti).

Esistono anche restrizioni all’uso della sorveglianza biometrica da parte delle forze dell’ordine nei luoghi pubblici, ma con esenzioni di ampia portata.

Da quanto sopra descritto si evince la necessità di eseguire attenti controlli dei sistemi di IA ad “alto rischio”, atti a verificare la avvenuta conformità ad obblighi, quali:

• adeguati sistemi di valutazione e mitigazione dei rischi.
• set di dati di alta qualità in modo da minimizzare i rischi e gli esiti discriminatori.
• tracciabilità dei dati attraverso registrazione delle attività.
• documentazione informativa dettagliata in termini di sistema e scopo. in modo tale da permetterne la verifica della conformità da parte delle Autorità preposte, sia ex-ante sia ex-post il lancio sul mercato.
• minimizzazione dei rischi tramite adeguate misure di sorveglianza “umana”.
• elevato livello di robustezza, sicurezza e accuratezza.

• Rischio limitato

Si riferisce a sistemi di IA che richiedono specifici obblighi di trasparenza, ovvero: in caso di utilizzo di chatbot, ad esempio, gli utenti dovrebbero essere in grado di comprendere che stanno interagendo con una macchina al fine di poter decidere se continuare o meno ad usare tali sistemi di IA.

• Rischio minimo

Si ha la possibilità di utilizzare liberamente alcune applicazioni basate sull’IA – quali ad esempio videogiochi o filtri spam – in quanto tali sistemi presentano un rischio minimo o nullo in termini di diritti o sicurezza dei cittadini.

La proposta di regolamento dell’IA deve essere vista come un’ulteriore garanzia dell’affidabilità della tecnologia in questione; tuttavia, è doveroso ricordare che, sebbene la maggior parte dei sistemi di IA comporti rischi limitati o nulli e costituisca una leva strategica per la soluzione di molte sfide sociali, alcuni sistemi di IA possono creare rischi che devono essere necessariamente gestiti ed evitati. Ovvero, spesso non è possibile conoscere l’iter decisionale o di previsione di un sistema di IA che ha portato ad un determinato risultato; pertanto, può diventare difficile valutare se possa impattare in modo “ingiusto” e svantaggioso per un individuo.

La violazione delle regole sui divieti di casi d’uso specifici dell’IA è stata quantificata in una sanzione pari al 6% del fatturato annuo globale o 30 milioni di euro (a seconda di quale sia maggiore l’importo); mentre le violazioni delle regole relative alle applicazioni ad alto rischio saranno pari al 4% o 20 milioni di euro.

È necessario un nuovo approccio al rischio

Il Regolamento Europeo sull’IA è un’ulteriore prova della necessità di una modifica all’approccio al rischio in un ambito di innovazione tecnologica basata su sistemi di IA. Le organizzazioni sono solite ad implementare sistemi di gestione del per definire sia la propensione sia la tolleranza al rischio dopo aver svolto le attività di identificazione, misurazione, trattamento e le necessarie azioni di mitigazione. In caso di sistemi di machine learning che si basano su algoritmi di IA complessi e imprevedibili, vi sono ulteriori rischi da considerare e caratterizzati da una certa complessità di gestione rispetto a quelli già esistenti. Il modello che utilizza l’IA ha funzioni complesse che spesso non forniscono visibilità o comprensione della logica seguita o della struttura del processo decisionale. Inoltre, è doveroso ricordare che gli algoritmi di machine learning sono addestrati con dati di input generati dalle persone; pertanto, il processo decisionale dell’algoritmo è caratterizzato dallo stesso pregiudizio che si applica alle decisioni umane e influenzato dalla cultura, dai punti di vista e dagli stereotipi di chi li “alimenta” (i.e. garbage in – garbace out, ovvero l’IA è ciò che “mangia”).

Ne consegue che la definizione di ciò che è “appropriato” varia notevolmente e la regolamentazione fa fatica a superare a tale impasse. Inoltre, la gestione del rischio tradizionale non è strutturata per adattarsi ai tipi di variabili introdotte dall’IA e dall’apprendimento automatico; di fatto, essa non tiene conto dell’effetto “scatola nera” esistente nei modelli di IA opaca e machine learning. Di qui la necessità di aggiornare i sistemi di gestione del rischio al fine di considerare fattori come l’etica dei dati e allinearli ai valori aziendali e, al contempo, essere in grado di giustificare e spiegare l’intento alla base dell’uso di tali dati.

È quanto mai necessario integrare la gestione del rischio direttamente nella fase progettuale dei modelli di IA, in modo che la supervisione sia costante e simultanea con lo sviluppo interno e il provisioning esterno dell’IA in tutta l’organizzazione, ovvero, come definito da dalla società di consulenza McKinsey, una modalità di “derisking AI by design”: consentire agli sviluppatori e agli loro stakeholder aziendali di creare sistemi di intelligenza artificiale coerenti con i valori dell’organizzazione e la propensione al rischio utilizzando strumenti come interpretabilità del modello, rilevamento di bias e monitoraggio delle prestazioni in modo tale da garantire la supervisione costante e coerente in tutte le varie fasi del ciclo di vita del modello di IA.

Google, Microsoft e molte altre aziende hanno preso in considerazione principi quali l’equità, la sicurezza, i benefici per l’umanità e altri principi simili per definire in anticipo se un progetto che si basa su sistemi di IA debba essere intrapreso o meno. Sebbene tali principi possano rientrare in un sistema di “etica dei dati”, quando si applicano a progetti di IA e machine learning, devono essere incorporati in una gestione di rischio più ampia considerando criteri, quali: il rischio aziendale, il rischio del modello che si basa sull’IA, il rischio reputazionale, l’accuratezza dei dati per determinare correttamente i rischi associati a tali iniziative.

La continuità operativa è altro aspetto chiave da considerare nel contesto dell’adozione dell’IA e del machine learning dal momento che un’organizzazione deve comunque essere in grado di garantire la propria operatività ogni qualvolta il modello di IA non funziona. Inoltre, ogni organizzazione che utilizzi un modello di IA – oltre al framework di gestione del rischio e della continuità operativa- deve essere in grado di garantire lo sviluppo di un sistema di governance che tenga in considerazione: gli aspetti di responsabilità aziendale; applicazione di un comportamento adeguato nei confronti dei propri clienti e dipendenti; rispetto di eventuali requisiti normativi vigenti e futuri.

Man mano che l’intelligenza artificiale e il machine learning diventeranno più diffusi, le organizzazioni dovranno aggiornare i sistemi di gestione dei rischi in modo tale da renderli più flessibili, agili e adattivi per far fronte alla velocità di innovazione e trasformazione in atto rispetto agli approcci e ai modi di pensare tradizionali.

Una competizione fra aziende, scienziati e governi

Come già sottolineato, il regolamento affronta i rischi umani e sociali associati a usi specifici dell’IA al fine di aumentare la fiducia in questa tecnologia. Gli Stati membri dovranno necessariamente intraprendere le azioni necessarie per stimolare gli investimenti e l’innovazione e far diventare l’Europa un polo di eccellenza dell’IA. Tutto ciò comporterà il coinvolgimento di varie agenzie a livello nazionale che saranno supervisionate da organismi europei, già esistenti, preposti alla sicurezza dei prodotti o alla protezione dei dati. A tal proposito, è doveroso domandarsi se esistano – a livello di Stati membri – sia le risorse necessarie e adeguate a far fronte a un ulteriore carico di lavoro e alla complessità tecnica che implica il controllo delle norme sull’IA sia come evitare gli empasse che scaturiranno dall’applicazione della regolamentazione in alcuni di essi in un’ottica di applicazione uniforme e stringente del regolamento nell’intera area.

Sarà altresì necessario costituire: una banca dati a livello europeo – gestita dalla Commissione – in modo tale da garantire un registro condiviso dei sistemi ad elevato rischio implementati nell’area; un nuovo organismo, i.e. European Artifical Intelligence Board (EIAB) atto a garantire un’applicazione coerente del regolamento e che faccia riferimento al Comitato europeo della protezione dei dati in termini d‘indicazioni di applicazione del GDPR.

Nella corsa all’IA, non solo aziende e scienziati competono tra loro, ma anche Paesi e governi, poiché il relativo impatto va oltre le aziende e i singoli individui dato che la ricerca e le decisioni odierne stanno sempre più influenzando la nostra società. La Comunità europea ha l’opportunità di definire la propria strada su come applicare l’IA e gestire i rischi e i timori correlati in quello che il Parlamento europeo ha descritto come un approccio antropocentrico all’IA. La recente proposta di regolamentazione dell’IA è, indubbiamente, un importante tassello nel quadro normativo europeo; tuttavia, sussistono delle perplessità sull’effettivo rispetto dei valori europei in termini di protezione dei requisiti etici e dei valori democratici e, soprattutto, in termini di protezione dei consumatori.

Di fatto, secondo il BEUC (Bureau Européen des Unions de Consommateurs – Organizzazione Europea delle Associazioni Consumatori) la regolamentazione dovrebbe maggiormente a supportare la fiducia dei consumatori nell’impiego dell’IA nella quotidianità, ovvero: le persone dovrebbero potersi fidare di qualsiasi prodotto o servizio che si basa sui sistemi di IA indistintamente dalla classificazione “alto rischio”, “medio rischio” o “basso rischio”. Pertanto, si auspica che la Comunità europea sia in grado di garantire sia i diritti applicabili sia l’accesso a mezzi di ricorso e a rimedi nel caso in cui qualcosa vada “storto”.

Inoltre, l’associazione European Digital Rights ha evidenziato alcuni aspetti preoccupanti nella proposta, dato che non vieta la piena portata degli usi inaccettabili dell’IA e, in particolare, tutte le forme di sorveglianza biometrica di massa, ovvero, non viene adeguatamente gestito il pericolo di utilizzo di tecnologie discriminatorie e di sorveglianza utilizzate da governi e aziende. Pertanto, sarà fondamentale garantire, modalità facilmente accessibili e legalmente garantite da parte di individui e gruppi interessati per contestare le decisioni scaturite dai sistemi di IA e, ove il caso, chiederne l’annullamento, il riesame attraverso determinate procedure o il risarcimento.

Conclusioni

Lo sviluppo tecnologico non è una forza indipendente che influenza la società dall’esterno, anzi, è a sua volta un’attività sociale che riflette la particolarità del suo essere situato in un luogo e in un tempo. È quanto mai urgente considerare il rapporto tra tecnologia e moralità, che necessita di essere ulteriormente chiarito, in modo tale da evidenziare come la libera e consapevole responsabilità di ciascun “attore” debba essere chiamata in causa in una realtà sempre più pervasa dall’IA.

Un uso maggiormente consapevole dell’innovazione tecnologica implica sia una morale delle diverse tecnologie sia il saperne indirizzare gli effetti e le funzioni verso uno scopo responsabilmente compreso ed assunto. Ovvero, si tratta di stabilire un consapevole legame tra governance e sviluppo tecnologico rimettendo al centro del vivere sociale, come fine ultimo, la persona. La governance non potrà trascendere la dimensione etica dato che non si tratta di elemento giustapposto nella gestione e nell’indirizzo dell’innovazione tecnologica, bensì implica una presa di consapevolezza di cosa ciò comporta e la necessità di porsi domande e confutare dubbi. Di qui la necessità di non delegare troppo alle istituzioni la gestione dell’innovazione e di non assumere – a livello di singoli cittadini, aziende e di istituzioni – una passività nei confronti del progresso in modo da generare un autentico sviluppo umano, cioè un’innovazione tecnologica “armonica” che sia indirizzata alla tutela e alla ricerca del bene comune anche dal punto di vista della produzione, ovvero, di un’azione che coinvolga tutti gli attori nella complessità di un impegno non solo settoriale, ma anche un impegno che non perda di vista la persona nella sua interezza.