I temi legati alla gestione dell’impatto dell’Intelligenza Artificiale stanno assumendo un ruolo sempre più importante per un grandissimo numero di aziende e per tutte quelle che hanno scelto di misurare e rappresentare il proprio impatto sulla base dei criteri ESG sono destinate a rappresentare una voce importante nell’ambito della “G” di Governance.
Lo scorso 13 marzo, il Parlamento europeo ha approvato il Regolamento sull’Intelligenza Artificiale con l’obiettivo di garantire che i prodotti, le soluzioni, i sistemi di Intelligenza artificiale immessi sul mercato europeo siano sicuri e rispettino i diritti e i valori fondamentali dell’Unione Europea. Il Regolamento (meglio conosciuto come AI Act) è frutto di un lungo confronto iniziato il 21 aprile 2021 quando è stata avanzata la prima proposta ufficiale di regolamentazione per l’Intelligenza Artificiale in area UE. Un confronto che si è di fatto svolto nella ricerca di un equilibrio tra la volontà di individuare ed evitare i principali rischi e la necessità di non porre freni all’Innovazione.
Verso una governance dell’Intelligenza Artificiale
Il messaggio chiave che sta alla base dell’AI Act è quello di creare le condizioni per un mercato nel quale possa crescere una Intelligenza Artificiale sicura e affidabile che non metta in discussione o in pericolo i principi di riferimento UE e che sia nello stesso tempo in grado di garantire un quadro di riferimento stabile per gli investimenti in progetti e in startup che scelgono di concentrarsi sull’AI.
Come nel caso della CSDDD o Corporare Sustainability Due Diligence Directive, ovvero del cosiddetto Supply Chain Act, l’AI Act va anche nella direzione di evitare una frammentazione normativa come il risultato di norme di livello nazionale che porterebbero a una “polverizzazione” del mercato europeo indebolendo la capacità di sviluppo sull’Intelligenza Artificiale da parte dell’intera area UE. L’altro aspetto che caratterizza l’AI Act riguarda anche l’impegno a regolamentare le attività delle imprese che sono attive a livello di importazione o di utilizzo di soluzioni AI e che dunque fanno riferimento a soluzioni che sono concepite e sviluppate in altre aree del pianeta non soggette alle norme UE, ma che esercitano un forte impatto nel nostro continente.
Una normativa con un baricentro sui rischi
La scelta adottata dal legislatore nella realizzazione del Regolamento sull’Intelligenza Artificiale è stata quella di adottare come punto di riferimento il grande tema dei rischi. Ovvero di guardare alle prospettive dell’Intelligenza Artificiale cercando di inquadrarla in quelle che sono le sue possibili conseguenze, per ridurre le minacce e favorire le opportunità. Nello specifico la scelta ha voluto collegare la valutazione delle applicazioni di Intelligenza Artificiale a tre grandi famiglie o categorie di rischi: Rischio Inaccettabile, Rischio Alto, Rischio Limitato e Rischio Minimo.
Si inizia dunque dal concetto di Rischio Inaccettabile nel quale dovranno rientrare tutte le applicazioni e tutti i sistemi che creano un rischio che non può essere tollerato anche per le stesse finalità che si propongono di gestire (un esempio in questo senso è rappresentato dalle soluzioni di social scoring) e che saranno escluse dal mercato.
Ci sono poi le soluzioni che presentano un alto rischio, ovvero che rappresentano un pericolo perché possono dare luogo a bias, possono amplificare dei pregiudizi che determinano poi delle ingiustizie o delle discriminazioni, dei problemi per la salute o per una corretta informazione, come distorsioni o manipolazioni delle informazioni. In questo caso la normativa prevede una serie di obblighi che hanno lo scopo di intercettare e governare questi rischi. Tra gli strumenti richiamati dalla normativa per la gestione della compliance ci sono le valutazioni di conformità, la necessità di adottare metodologie e sistemi per la gestione della qualità delle soluzioni e per la gestione del rischio. Il tutto con una grande attenzione ai temi della sicurezza informatica, della privacy dei dati, della trasparenza e in generale della governance relativa alle misure di controllo.
Ci sono poi nell’ambito della terza categoria le soluzioni che presentano un rischio limitato o minimo per le quali la compliance è su base volontaria nella forma di realizzazione e divulgazione di codici di condotta ma senza che siano previsti adempimenti obbligatori.
Una classificazione dei rischi per indirizzare, senza frenare, il mercato
La scelta di focalizzare la struttura della normativa sui rischi è dettata dalla volontà primaria di garantire la sicurezza e il rispetto dei diritti che sono alla base dei principi UE, sia che si tratti di aziende europee, sia per le aziende attive fuori dal perimetro UE, ma con attività che hanno un impatto sui cittadini in europa.
Il tema del rischio che sta alla base della normativa è determinato dal potenziale impatto delle soluzioni di AI sugli utenti, sui loro diritti e sulla società. E il tema della valutazione di questi fattori di rischio rappresenta a tutti gli effetti la discriminante più delicata per la quale viene richiesto lo sviluppo e l’adozione di una governance specifica.
Nel caso dei rischi inaccettabili ci sono dei punti fermi molto chiari come il già citato e famigerato social scoring con il divieto esplicito di diffondere e utilizzare in area UE sistemi di Intelligenza Artificiale che possano determinare forme di “classificazione sociale” basata su dei punteggi che stabiliscono una relazione con comportamenti reali o potenziali o con forme di categorizzazione biometrica che possa essere collegata al riconoscimento di emozioni, in qualsiasi forma. Rientrano in questa categoria anche quelle misure di sicurezza e di prevenzione che costituiscono forme conosciute come polizia predittiva. Parimenti, sempre in questo segmento di divieto sono compresi quelle soluzioni che utilizzano l’Intelligenza Artificiale per indirizzare, influenzare, modificare il comportamento delle persone. Solo come esempio in questo senso sono da considerare le soluzioni che creano servizi con contenuti finalizzati a creare delle forme di dipendenza o ad agire su specifiche vulnerabilità per influenzare o manipolare i comportamenti.
Le aziende che producono o che utilizzano sistemi che rientrano nella categoria ad alto rischio dovranno effettuare valutazioni di conformità per dimostrare che le applicazioni e le soluzioni rispondono ai requisiti della normativa prima di avere accesso al mercato e per questo dovranno osservare una serie di criteri legati alla trasparenza, alla verifica della qualità dei dati, alla consistenza del sistema in termini di robustezza e di protezione rispetto a possibili violazioni o minacce.
Ci sono poi alcune considerazioni che invitano a riflettere sul tema dei modelli di base dell’intelligenza artificiale: da quelli che corrispondono a Intelligenza Artificiale che si può definire come “tradizionale” a quelli che hanno dato vita alla GenAI. Per quanto attiene ai primi il campo d’azione è ormai vastissimo e le aziende produttrici di queste soluzioni saranno tenute a dimostrare che sono stati analizzati, verificati e gestiti tutti i possibili rischi, sia sul piano della sicurezza digitale, sia in relazione agli “effetti sulla persona”, attraverso apposite fasi di test. Dovranno inoltre dimostrare di utilizzare set di dati gestiti sulla base di adeguate misure (appunto) di governance. I modelli di fondazione utilizzati dovranno inoltre essere registrati in una apposita banca dati UE.
C’è poi un ulteriore livello di attenzione che riguarda il rispetto del diritto d’autore in funzione dei dati utilizzati. In particolare per quanto riguarda le soluzioni che utilizzano modelli di Intelligenza Artificiale generativa che mettono a disposizione degli utenti un “prodotto finito”, un contenuto testuale più o meno elaborato, una immagine, un video, saranno previsti altri obblighi a partire dalla garanzia che i contenuti generati da questi modelli non violino la legge UE nel rispetto del copyright relativo alle fonti originali.
Non sono invece previsti adempimenti per quanto riguarda i soggetti che utilizzano questi strumenti fermo restando l’attenzione necessaria ad accertarsi che i sistemi che hanno scelto di adottare siano conformi alla normativa. Se così non fosse il mancato rispetto dei requisiti delle soluzioni adottate rischia di ricadere sui soggetti che le utilizzano prima di tutto nella loro stessa operatività, per gli effetti che l’utente non può evidentemente controllare e per le possibili conseguenze legali.
