L’AI Act è come tutte le normative frutto di un grande lavoro diplomatico e tanti compromessi, ma proprio per questo e poiché riguarda una tematica complessa e in rapidissima evoluzione, rappresenta un risultato importante destinato ad avere un impatto altrettanto importate sulle imprese, sulle Pubbliche Amministrazioni e sui cittadini.
Uno dei principali punti di compromesso o di sintesi riguarda il rapporto tra la necessità di sostenere l’innovazione e l’impegno per evitare i principali rischi conosciuti e i rischi potenziali. Alcuni paesi nel corso delle negoziazioni hanno cercato di evitare norme troppo rigide per non creare ostacoli alla creazione di startup europee in grado di cavalcare questo fenomeno e aiutare l’industria UE a dire la sua su un mercato di straordinarie proporzioni. A questo proposito l’UE ha anticipato l’approvazione dell’AI Act con una serie di interventi proprio indirizzati a sostenere le startup focalizzate sullo sviluppo di progetti imprenditoriali sull’Intelligenza Artificiale.
L’altro grande tema sul tappeto riguarda la ricerca di una sintesi tra le preoccupazioni riguardo al copyright e l’approccio dell’AI generativa anche per quanto riguarda la tutela dei dati in generale, la privacy e il copyright nello specifico.
AI Act: protezione dei cittadini e sostegno all’innovazione
A prescindere da qualsiasi considerazione di merito, il Regolamento sull’Intelligenza Artificiale rappresenta la prima normativa espressamente sviluppata per esercitare un diritto nel segno della protezione dei cittadini e delle imprese in un settore ad altissimo tasso di evoluzione, senza frenare lo sviluppo. Per comprendere il senso di questo approccio è utile partire dalla definizione “legislativa” di Intelligenza Artificiale che viene ben precisata nell’articolo 3 del Regolamento:
“L’Intelligenza artificiale è un sistema basato su macchine progettato per funzionare con diversi livelli di autonomia e che può mostrare adattività dopo l’implementazione e che, per obiettivi espliciti o impliciti, deduce, dall’input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali“.
Le parole chiave che fissano i livelli di attenzione con cui analizzare prima e governare poi le prospettive dell’Intelligenza Artificiale sono da individuare nei concetti di autonomia, di adattività, nella possibilità di generare raccomandazioni o decisioni e nella capacità di influenzare ambienti fisici e o virtuali. Si tratta di fattori che rappresentano delle straordinarie opportunità e che nello stesso tempo necessitano di essere opportunamente governate affinché non si trasformino in potenziali minacce o rischi.
AI Act e imprese tra privacy e nuovi diritti
Dando uno sguardo alle tematiche concrete sulle quali si sono confrontati i legislatori, la lettura biometrica e il riconoscimento facciale sono tra i temi più delicati dell’AI Act che ha scelto di escludere, ad esempio, l’utilizzo dell’AI per pratiche di social scoring. Si è scelto di vietare il passaggio da una pratica di riconoscimento facciale che in sé può non rappresentare un fattore di rischio alla fase dell’analisi dei comportamenti per associare i dati relativi a quelle espressioni e a quei comportamenti, delle categorie in grado di determinare un punteggio e dunque uno scoring dei cittadini.
L’AI Act impedirà di vedere in Europa queste pratiche che di fatto potrebbero poi determinare delle limitazioni o attribuire/togliere diritti in funzione del comportamento potenziale dei cittadini. Peraltro non si può non osservare che si tratta di un approccio normativo che è oggi possibile grazie l’Intelligenza Artificiale, che non sarebbe attuabile senza questa tecnologia e che rientra a pieno titolo nel perimetro di un rapporto tra l’AI e l’ambiente sociale.
L’AI Act regola i sistemi di AI partendo dall’analisi dei fattori di rischio, come viene spiegato nel servizio AI Act: quale impatto sulla “G” di Governance che corrispondono ai modelli di Intelligenza Artificiale delle aziende produttrici. Più sarà elevato il fattore di rischio e maggiore saranno gli obblighi da adottare.
Il rischio di fermare l’innovazione
Una delle critiche che hanno accompagnato il percorso della normativa riguarda una sorta di confronto con il modello che caratterizza gli Stati Uniti dove l’Europa è sempre più propensa a definire un quadro normativo mentre Oltreoceano prevale la propensione a lasciare campo libero all’innovazione. Si tratta di una schema che non rende giustizia della complessità che caratterizza l’Intelligenza Artificiale e che ha portato alcuni osservatori a minimizzare l’AI Act come il tentativo di fermare ciò che non si può fermare, ovvero con un approccio a cui corrisponde il rischio di spostare attenzione e risorse finanziarie verso quelle aree del pianeta dove l’innovazione non deve scendere a compromessi con la normativa.
Nello stesso tempo però non si può non osservare che questa stessa Europa nel 2016 aveva avuto il coraggio di regolamentare il tema della protezione e della privacy dei dati con la General Data Protection Regulation GDPR affrontando rischi e critiche non tanto diverse da queste, ma senza che poi questi rischi si siano effettivamente concretizzati.
Queste riflessioni per osservare che ogni norma è necessariamente figlia di una serie di compromessi che in questo caso sono amplificati dalle difficoltà intrinseche a una tecnologia che è in costante e velocissima evoluzione e che presenta pertanto un quadro giuridico difficilissimo da “fermare” e inquadrare. Nello stesso tempo, come da più parti è stato evidenziato, non si poteva attendere oltre a fronte di una Intelligenza Artificiale che è già una realtà molto concreta. Per muoversi in questa direzione la Commissione Europea aveva costituito nel 2018 l’High Level Expert Group, un gruppo di lavoro con rappresentanti di diverse nazioni. Il primo risultato di questo team si è concretizzato con la pubblicazione di uno specifico white paper sul tema e alla successiva proposta di regolamento nel 2021. Da quel momento è poi stato avviato un percorso di confronto con rappresentanti delle istituzioni, dell’industria, del mondo digitale e delle startup con una “traiettoria” verso l’approvazione che è stata “stravolta” dall’avvento delle soluzioni di Intelligenza Artificiale Generativa aperte al grande pubblico.
Il fattore GenAI non si è proposto come un nuovo importantissimo scenario da considerare e da “normare” con tutte le componenti di impatto che accompagnano l’Intelligenza Artificiale generativa, ma con la necessità di impostare un quadro normativo che non dovesse essere rimesso in discussione ogni qual volta il mercato veniva trasformato dall’avvento di una tecnologia dirompente.
Anche per questo si è scelto un approccio risk based partendo da un presupposto, che per certi aspetti avvicina l’AI Act alle logiche dell’Industry 5.0, secondo le quali (come indicato nell’incipit dell’articolo 1) l’impegno deve essere quello di rimettere l’essere umano al centro: “L’obiettivo del presente regolamento è migliorare il funzionamento del mercato interno e promuovere l’adozione di un’intelligenza artificiale (IA) incentrata sull’uomo e degna di fiducia, garantendo al tempo stesso un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali, tra cui la democrazia, lo Stato di diritto e la tutela dell’ambiente, dagli effetti nocivi dell’intelligenza artificiale, e supportare l’innovazione.”