AI Act: l’Ue fa bene a tutelare i diritti delle persone. Ma la legge ha 3 grandi lacune

“L’uso dell’intelligenza artificiale nell’Unione Europea sarà regolato dell’AI Act, la prima legge completa sull’IA che, ad oggi, sia stata approvata nel mondo”. Il Parlamento europeo ha annunciato così lo storico passaggio del testo all’assemblea di Strasburgo il 14 giugno, quando gli eurodeputati hanno adottato la posizione negoziale dell’Europarlamento sull’Artificial Intelligence Act (Regolamento europeo sull’intelligenza artificiale). L’iter legislativo non è finito: devono svolgersi i negoziati fra i Paesi membri in seno al Consiglio dell’Ue per arrivare alla forma definitiva della legge (probabilmente entro la fine dell’anno). Ma, intanto, i commenti si moltiplicano. E non potrebbe essere altrimenti, sia per la rilevanza della tecnologia normata sia per il livello di attenzione suscitato dall’IA grazie a ChatGPT, lo strumento di Intelligenza artificiale generativa sviluppato e reso disponibile al grande pubblico da OpenAI.

“Il 2023 sarà ricordato come l’anno della diffusione massiva dell’IA”, sottolinea Gianni Sannino, Head of Operation IT & Services della società Sirti Digital Solutions. “Questo è un tentativo di regolamentare un mondo ancora non conosciuto ed è possibile che, in seguito, ci siano dei cambiamenti, ma intanto l’Ue mira ad evitare che l’IA gestisca in toto persone senzienti e dotate di morale e sensibilità”.

Di che cosa (non) si occupa l’AI Act dell’Ue

Sannino evidenzia come l’AI Act non si ponga il problema della tecnologia, ma dell’utilizzo etico dello strumento tecnologico. “Nella sua proposta – afferma l’Head of Operation IT & Services della società Sirti Digital Solutions – la Commissione ha pensato di proteggere le persone dai pericoli dell’impiego dell’intelligenza artificiale catalogando tre livelli di rischio: inaccettabile (dove l’uso è vietato tranne alcune eccezioni), elevato e limitato. Poi c’è il capitolo sull’IA Generativa, dove entra in gioco un obbligo di trasparenza”. 

Tra gli elementi del testo approvato dal Parlamento europeo [in inglese] figura, tra gli altri, il divieto di utilizzo dell’IA per la sorveglianza biometrica, il riconoscimento delle emozioni e la polizia predittiva. Un no assoluto è imposto anche sul punteggio sociale (social scoring), con cui si classificano le persone in base al comportamento, allo status socio-economico o alle caratteristiche personali. Nei sistemi di intelligenza artificiale “ad alto rischio” si trovano, invece, quelli utilizzati per influenzare gli elettori.

Queste regole – afferma il Parlamento europeo – devono assicurare che l’IA sviluppata e utilizzata in Europa rispetti pienamente i diritti e i valori dell’Ue, inclusi la supervisione umana, la sicurezza, la privacy, la trasparenza, la non discriminazione e la tutela ambientale. Alcune eccezioni sono previste: per esempio, i sistemi di identificazione biometrica remota “a posteriori” saranno autorizzati per perseguire reati gravi, ma solo dopo l’approvazione del tribunale.

I sistemi di intelligenza artificiale su cui non c’è divieto assoluto, ma che sono classificati ad alto rischio, rientrano in otto aree specifiche che dovranno essere registrate in una banca dati dell’Ue; tutti questi sistemi verranno valutati prima di poter essere venduti e immessi sul mercato europeo, durante l’intero ciclo di vita. La lista include: identificazione biometrica e categorizzazione delle persone fisiche; gestione delle infrastrutture critiche; istruzione e formazione professionale; occupazione, gestione dei lavoratori e accesso al lavoro autonomo; assistenza nell’interpretazione legale e nell’applicazione della legge.

“In alcune mansioni l’IA non può sostituire completamente l’essere umano”, evidenzia Sannino. “Possiamo far scrivere la bozza di un contratto a ChatGPT, ma in tribunale l’avvocato non può essere un sistema di IA. Allo stesso modo, non può esserlo chi gestisce il personale, chi insegna, chi fa l’agente di Polizia o chi si occupa di pratiche di immigrazione e richieste di asilo”.

L’Ue dà l’esempio su diritti e innovazione

L’IA generativa, come ChatGPT, deve a sua volta rispettare alcuni requisiti: rivelare che il contenuto è stato prodotto dall’IA; essere progettata in modo da non generare contenuti illegali; rendere noti i dati protetti da copyright che il modello utilizza per il suo addestramento.

“L’AI Act si propone di stabilire norme e linee guida che combinino l’innovazione tecnologica dell’IA con la sicurezza giuridica”, commenta Gianfranco Sorasio, ingegnere nucleare laureato al Politecnico di Torino, PhD ad Umea Svezia, Alumni di Harward e fondatore e CEO di eVISO. “Questo approccio è cruciale per garantire che l’IA possa essere sviluppata in modo etico e responsabile, senza compromettere le libertà fondamentali dei cittadini”.  

Secondo l’esperto, l’Ue ha recepito l’importanza strategica dell’intelligenza artificiale come strumento di sviluppo economico, visto che consente applicazioni come il miglioramento delle previsioni, l’ottimizzazione delle operazioni e l’assegnazione intelligente delle materie prime. “Per le aziende del digitale, l’AI Act è una pietra miliare, perché legittima gli ingenti investimenti e l’innovazione assicurando la certezza del diritto e facilitando lo sviluppo di un mercato unico per applicazioni di AI lecite, sicure e affidabili”, afferma Sorasio.

Conformarsi al Regolamento europeo è fondamentale per le aziende per cogliere appieno le opportunità del progresso tecnologico anche secondo Luca Barbieri, Chief Technology Officer di Wopta Assicurazioni. “L’AI Act è un passo in avanti nella costruzione di un ecosistema mirato ad identificare i bisogni delle persone mantenendo saldi i loro diritti e con un occhio sempre vigile sulla salvaguardia ambientale”.

Le lacune: le emozioni generate dall’IA

Non mancano, tuttavia, le lacune. “L’AI Act presenta ancora ampi margini di miglioramento nella prevenzione di eventuali abusi che sfruttano gli stati emotivi e recettivi degli utenti. Pensiamo alle strategie di marketing o phishing basate sulla componente umana”, evidenzia Barbieri. Il CTO di Wopta nota anche una non sufficiente tutela dell’individuo contro l’elaborazione delle sue informazioni, da cui occorrerebbe sempre la possibilità di opt-out. Né è prevista la possibilità di contestare le decisioni prese dai modelli IA. Tuttavia, il giudizio è positivo, in particolare per “lo sforzo di regolamentazione dell’utilizzo dei dati ai fini dell’addestramento dei modelli di machine learning, delle reti neurali e dei servizi connessi”, dichiara Barbieri.

La direzione presa è corretta anche per Sannino di Sirti: “L’Europa è una culla dell’etica e della cultura ed è giusto tutelare questi valori. Qualcuno potrà pensare che l’Ue mette freni e paletti. Ma la tecnologia non è fine a sé stessa: è realizzata per costruire il benessere delle persone”.

L’azione dell’Europa, tuttavia, potrebbe risultare indebolita proprio dal suo essere una legge “apripista” e, quindi, isolata. Il prossimo passo dovrebbe essere, sottolinea Sannino, “proporre la regolamentazione dell’IA in ambito G7 e G20 per spingere tutti i paesi industrializzati a unirsi nel normare l’intelligenza artificiale, in modo armonizzato”.

La concorrenza e l'”isolamento” europeo

L’obiettivo di questo quadro normativo è ampiamente condiviso e concordato, ma suscita qualche preoccupazione relativa ai limiti e ai vincoli che esso pone al progresso tecnico e sociale, nonché alla competitività, in particolare nell’area della trasformazione digitale basata sull’IA, in cui l’UE è in ritardo”, commenta Andrea Viola, Head of Technology Architecture di WINDTRE.

Bene, dunque il documento dell’Ue con i suoi divieti alle tecniche che comportano rischi inaccettabili, come la manipolazione del comportamento, il punteggio sociale e i sistemi di identificazione biometrica remota e in tempo reale: “Sebbene i benefici derivanti da un’applicazione saggia e sensata di queste tecniche siano notevoli, il rischio di un uso ingiusto e sconsiderato è di gran lunga troppo alto”, afferma Viola.

Tuttavia, aggiunge il manager di WINDTRE, “la legge pone ulteriori vincoli alle tecniche che comportano rischi elevati, consistenti nell’effettuare valutazioni specifiche rispetto alla conformità ai requisiti dell’UE e ai possibili rischi per i cittadini, prima dell’immissione sul mercato e anche durante il ciclo di vita dei sistemi. Anche se l’obiettivo in sé non è ingiusto, esso crea oggettivamente una grande sfida per le istituzioni, che sono chiamate a creare funzioni di valutazione e controllo che non siano solo agili ed efficienti, per non diventare un collo di bottiglia per il progresso, ma anche efficaci nel senso che non devono diventare un fattore di rallentamento e un onere per le aziende tecnologiche. In conclusione, lo scopo e i principi sono condivisi. Poiché è chiaro che il regolamento apporterà impatti significativi ai principali foundation model per adattarsi e conformarsi alle regole presenti nel documento, ciò che conta davvero è che la norma non crei uno svantaggio competitivo per l’Europa. Un approccio mondiale, almeno con gli USA, al framework AI sarebbe sicuramente una priorità dal punto di vista della concorrenza”.

Nell’AI Act il dato è il vero problema

Ma è davvero possibile normare l’IA? I sistemi di intelligenza artificiale si basano sull’addestramento tramite enormi volumi di dati. E che senso ha avere regole in Ue nel momento in cui i dati digitali non hanno confini?

“L’IA è fatta di big data e data lake”, sottolinea Sannino. “Ma, ad oggi, non esiste uno standard per dichiarare un dato come affidabile e utilizzabile per la specifica applicazione IA, come la medicina, l’industria, la finanza, e così via. Il dato deve essere integro, ma per definirlo tale occorrono standard creati dagli organismi internazionali. L’ideale sarebbe federare i data lake. Servirebbe fare quello che si è fatto negli Anni ‘90 quando sono nati gli enti di standardizzazione di internet”.

In pratica, che cosa fare oggi nelle imprese italiane

In attesa di una norma internazionale e di standard sui dati, le aziende europee dovranno comunque, una volta approvato l’AI Act, adottare una serie di misure per essere conformi. Ecco alcune delle azioni da intraprendere condivise con noi da Barbieri di Wopta.

• Valutazione dei rischi: le aziende devono condurre una valutazione dei rischi dell’IA utilizzata all’interno delle loro operazioni. Ciò implica identificare e valutare i potenziali impatti negativi sull’ambiente, i diritti umani, la privacy e altri aspetti rilevanti.
• Adozione di misure di sicurezza: le aziende devono implementare misure di sicurezza adeguate per prevenire attacchi informatici, violazioni della privacy e altri rischi legati all’uso dell’IA. Queste misure possono includere l’implementazione di crittografia, la protezione dei dati personali e l’uso di procedure di sicurezza appropriate.
• Trasparenza e accountability: le aziende devono essere trasparenti riguardo all’uso dell’IA e le sue implicazioni. Devono fornire informazioni chiare e comprensibili sul funzionamento dell’IA utilizzata, i dati utilizzati per l’addestramento e le decisioni prese dalla macchina. Inoltre, devono assumersi la responsabilità delle azioni e delle conseguenze causate dall’IA.
• Rispetto dei diritti umani: le aziende devono garantire che l’uso dell’IA rispetti i diritti umani fondamentali, evitando discriminazioni, violazioni della privacy e altre pratiche che possano ledere i diritti delle persone.
• Monitoraggio e valutazione continua: le aziende devono monitorare costantemente l’uso dell’IA, raccogliendo dati sull’efficacia, gli impatti e i potenziali rischi. Devono anche revisionare le politiche e le procedure in modo da adeguarle agli sviluppi tecnologici e alle nuove scoperte nel campo dell’intelligenza artificiale.

Le misure effettive da adottare possono variare a seconda delle specifiche esigenze e dell’ambito di utilizzo dell’IA all’interno di ciascuna organizzazione. Per questo per il CIO è fondamentale tenersi al passo con l’evoluzione tecnologica e normativa, collaborando da vicino con le altre funzioni aziendali e diventando sempre più “multidisciplinare”.