IA Calling
IA Calling
Ai

Rischi e responsabilità dell’AI, il punto di vista della Comunità Europea

Pubblicato

Inquadramento generale

A differenza di altri ambiti disciplinari la definizione di intelligenza artificiale è stata oggetto storicamente di lunghi ed interessanti dibattiti che hanno via via coinvolto filosofi, scienziati, logici. Non mancano ricadute letterarie di quanto si è aperto dopo i lavori di Touring ed in particolare la sua formalizzazione di un test per individuare una IA, test che ha fatto storia non solo nel dibattito filosofico e scientifico ma anche nella letteratura fantascientifica, da Asimov a Philip K. Dick, per citare solo i capostipiti. L’interesse per l’IA di Dick ben approfondito ne “Il cacciatore di androidi” è stato reso molto noto dalla versione cinematografica di grande successo del film “Blade Runner” che dedica tutta la scena iniziale al test di Touring. Non è quindi cosa facile definire l’intelligenza artificiale, ricavandone una definizione generale. Per gli scopi di questo breve articolo la possiamo considerare una vera e propria disciplina appartenente principalmente all’informatica che si occupa di metodi e tecniche per progettare hardware e software che possono simulare in modo efficace prestazioni tipiche dell’intelligenza umana. Così possiamo dire che viene considerata anche dalla Commissione Europea nel suo tentativo di inquadrare normativamente il fenomeno, allargando oltre ai presupposti metodologici e teorici dell’informatica, con l’estensione esplicita alle applicazioni dell’IA nei principali settori sociali. Nell’allegato alla proposta che analizzeremo nel dettaglio, citata più avanti, si legge un interessante elenco di quelle che vengono considerate tecniche e approcci id intelligenza artificiale:

​a) Approcci di apprendimento automatico, compresi l’apprendimento supervisionato, l’apprendimento non supervisionato e l’apprendimento per rinforzo, con utilizzo di un’ampia gamma di metodi, tra cui l’apprendimento profondo (deep learning);

​b) Approcci basati sulla logica e approcci basati sulla conoscenza, compresi la rappresentazione della conoscenza, la programmazione induttiva (logica), le basi di conoscenze, i motori inferenziali e deduttivi, il ragionamento (simbolico) e i sistemi esperti;

​c) Approcci statistici, stima bayesiana, metodi di ricerca e ottimizzazione.

Ancora più complesso poi, è determinare eventuali responsabilità giuridiche, in caso di incidenti provocati da problemi di sicurezza legati ai prodotti IA. Non sempre è individuabile in modo chiaro una responsabilità umana nel contesto dell’intelligenza artificiale, potrebbe trattarsi di un prodotto che causa incidenti, oppure dell’utilizzo che l’umano fa del prodotto, che di per sé è neutro in fatto di sicurezza, non necessariamente consapevole. Come illustrato nel corso vi è un dibattito acceso nell’individuare se all’IA vada attribuita una personalità come al soggetto umano oppure una personalità giuridica simile a quelle che il diritto attribuisce agli enti ed alle società. Già nel 2017 la commissione europea aveva elaborato una risoluzione preliminare che tentava di mettere ordine su questi temi, con rilievo a possibili danni causati dall’intelligenza artificiale, dove il problema principale è proprio individuarne la responsabilità. Così come il nostro codice civile può essere interpretato in una direzione che permette di inquadrare eventuali danni causati da intelligenza artificiale.

Per quanto concerne i temi di sicurezza digitale che stanno sotto il cappello della cybersecurity il 27 giugno 2019 è entrato in vigore il Regolamento (UE) 2019/881 del Parlamento Europeo.

Il Regolamento in questione, denominato anche “Cyber Security Act”, fa parte di un processo in atto a livello comunitario volto a rafforzare sia il quadro giuridico che l’attenzione generale ai temi della sicurezza informatica. Il regolamento nasce anche in risposta alla continua progressione degli attacchi informatici, quantomeno dagli anni 2000 in avanti, la crescita dei danni collegati ad attività di crimini informatici è sicuramente diventata una problematica molto seria e sentita a tutti i livelli.

Come primo obiettivo, tipico degli atti europei, c’è quello di sensibilizzare e cooptare gli stati membri in uno sforzo comune sovranazionale sulle tematiche di difesa da attacchi digitali. Inoltre vi è enfasi anche su uno sforzo generalizzato di formazione legato a queste tematiche.

Si individua nell’ENISA (European Union Agency for Cybersecurity) l’ente deputato alla messa in campo delle strategie europee, e si prevede un suo rafforzamento ed una sua stabilizzazione. Si estendono i compiti già in essere all’ENISA e si prevede che essa sia coinvolta dagli stati membri nella gestione di incidenti di cybersecurity anche nazionali.

Oltre ai compiti già noti leggiamo che all’ENISA viene richiesto di:

  • assistere le istituzioni dell’Unione e gli Stati membri “nell’elaborazione e nell’attuazione di politiche relative alla cybersicurezza” (art. 4.2. Reg.)
  • “assistere gli Stati membri nell’impegno a migliorare la prevenzione, la rilevazione e l’analisi delle minacce informatiche e degli incidenti, come pure la capacità di reazione agli stessi, fornendo loro le conoscenze e le competenze necessarie”; (art. 6.1 a) Reg )
  • “assistere gli Stati membri nello sviluppo di strategie nazionali in materia di sicurezza delle reti e dei sistemi informativi (art. 6.1. e) Reg.) promuove un elevato livello di consapevolezza in materia di cybersicurezza, incluse l’igiene informatica (ossia quelle “misure di routine che, se attuate e svolte regolarmente da cittadini, organizzazioni e imprese, riducono al minimo la loro esposizione a rischi derivanti da minacce informatiche”) e l’alfabetizzazione informatica, tra cittadini, organizzazioni e imprese (art. 4.7 Reg.)
  • Viene inoltre affidata all’ENISA la promozione dell’uso della certificazione europea della cybersicurezza, proprio con l’obiettivo di evitare la frammentazione del mercato interno. (Art. 4.6 Reg.).

Attualizzando il dibattito a livello comunitario in fatto di produzione legislativa la Commissione Europea sta affrontando il tema dell’Intelligenza artificiale con particolare attenzione da quando la presidenza vede protagonista Ursula von der Leyen, politica tedesca di area CDU, precedentemente ministra tedesca sotto vari governi Merkel, e da poco esiste una proposta di regolamento specifica. La proposta è molto recente del 21/04/2021, data di trasmissione al Consiglio. Il presente articolo si occuperà di analizzare alcuni punti salienti di questa proposta per ricavarne gli spunti necessari a derivare una definizione di IA e di cybersecurity di rilevanza comunitaria. Sono consapevole che queste complesse tematiche tecnologiche hanno molti livelli di approfondimento e campi di applicazione, con significativi impatti anche a livello di infrastrutture critiche della convivenza sociale, qui quindi mi limiterò a recepire e commentare quanto rilevabile dalla lettura della proposta stessa. (Commissione Europea, Document 52021PC0206, Proposta di REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO CHE STABILISCE REGOLE ARMONIZZATE SULL’INTELLIGENZA ARTIFICIALE (LEGGE SULL’INTELLIGENZA ARTIFICIALE) E MODIFICA ALCUNI ATTI LEGISLATIVI DELL’UNIONE, Reperibile sul sito https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:52021PC0206).

Nel preambolo della proposta denominato contesto si inquadrano i motivi e gli obiettivi del documento comunitario:

(ndr, in tutti gli estratti, che avranno questo formato con margini ridotti, enfatizziamo con il colore rosso i passaggi a nostro avviso rilevanti allo scopo di questo articolo, che verranno commentati di seguito) Con il termine intelligenza artificiale (IA) si indica una famiglia di tecnologie in rapida evoluzione in grado di apportare una vasta gamma di benefici economici e sociali in tutto lo spettro delle attività industriali e sociali. L’uso dell’intelligenza artificiale, garantendo un miglioramento delle previsioni, l’ottimizzazione delle operazioni e dell’assegnazione delle risorse e la personalizzazione dell’erogazione di servizi, può contribuire al conseguimento di risultati vantaggiosi dal punto di vista sociale e ambientale nonché fornire vantaggi competitivi fondamentali alle imprese e all’economia europea. Tale azione è particolarmente necessaria in settori ad alto impatto, tra i quali figurano quelli dei cambiamenti climatici, dell’ambiente e della sanità, il settore pubblico, la finanza, la mobilità, gli affari interni e l’agricoltura. Tuttavia gli stessi elementi e le stesse tecniche che alimentano i benefici socio-economici dell’IA possono altresì comportare nuovi rischi o conseguenze negative per le persone fisiche o la società. In considerazione della velocità dei cambiamenti tecnologici e delle possibili sfide, l’UE si impegna a perseguire un approccio equilibrato. L’interesse dell’Unione è quello di preservare la leadership tecnologica dell’UE e assicurare che i cittadini europei possano beneficiare di nuove tecnologie sviluppate e operanti in conformità ai valori, ai diritti fondamentali e ai principi dell’Unione.

Come si può chiaramente leggere, l’IA è vista come una grande opportunità con potenzialità di innovare molti ambiti sociali ed economici, allo stesso tempo c’è la consapevolezza che questo grande potenziale porti con sé rischi o conseguenze negative, è quindi compito dell’UE trovare il giusto equilibrio tra il perseguimento della “leadership” tecnologica con il giusto equilibrio che garantisca ricadute positive e coerenti ai valori ed ai diritti fondamentali per i cittadini europei. Questa premessa colloca automaticamente la cybersecurity sul lato della mitigazione di alcuni dei “rischi” intrinseci all’IA, cioè tutti quei rischi legati all’ulteriore accelerazione che l’IA darà al versante del cybercrimine volto a violare identità, catturare informazioni sensibili, violare sistemi di pagamento e diffondere virus e ramsomware.

Si cita inoltre come la proposta sia coerente con l’impegno politico della presidente von der Leyen, che nell’agenda europea 2019-2024 prevede uno scatto di ambizione dell’Europa in questo settore, indirizzi che hanno portato alla pubblicazione nel Febbraio 2020 al Libro bianco sull’intelligenza artificiale (sottotitolato Un approccio europeo all’eccellenza e alla fiducia) (Commissione europea, Libro bianco sull’intelligenza artificiale – Un approccio europeo all’eccellenza e alla fiducia (COM(2020) 65 final)

Commissione Europea ed IA

Per quanto concerne l’ambito normativo la commissione esplicita pià volte che l’IA, così come tutti i temi di sicurezza che comporta, è un ambito europeo e non nazionale (situazione a cui ci si sta piano piano abituando, vista anche la lenta ma capillare diffusione del GDPR, che aveva la medesima impostazione). Il documento che stiamo analizzando in un suo passaggio chiave lo esplicita come segue:

Gli obiettivi della presente proposta possono essere meglio conseguiti a livello dell’Unione per evitare un’ulteriore frammentazione del mercato unico in quadri nazionali potenzialmente contraddittori che impediscono la libera circolazione di beni e servizi in cui è integrata l’IA. Un solido quadro normativo europeo per un’IA affidabile assicurerà altresì parità di condizioni e tutelerà tutte le persone, rafforzando allo stesso tempo la competitività e la base industriale dell’Europa nel settore dell’IA. Soltanto un’azione comune a livello di Unione può altresì tutelare la sovranità digitale dell’Unione e sfruttare gli strumenti e i poteri di regolamentazione di quest’ultima per plasmare regole e norme di portata globale.

Per quanto concerne poi i rischi legati all’IA oltre al documento che stiamo analizzando la produzione comunitaria è significativa, si affrontano aspetti etici in “Risoluzione del Parlamento europeo del 20 ottobre 2020 recante raccomandazioni alla Commissione concernenti il quadro relativo agli aspetti etici dell’intelligenza artificiale, della robotica e delle tecnologie correlate, 2020/2012(INL). La questione della responsabilità civile è approfondita in una specifica Risoluzione del Parlamento europeo sempre del 20 Ottobre ”Regime di responsabilità civile per l’intelligenza artificiale“ (2020/2014(INL). Altro tema importante e decisivo per la tutela del know how europeo è il diritto d’autore, su questo aspetto si esprime, nella stessa data, la Risoluzione ”Diritti di proprietà intellettuale per lo sviluppo di tecnologie di intelligenza artificiale” – 2020/2015(INI). Infine per completare i riferimenti utili a comprendere le posizioni dibattute si rimanda alla risoluzione sull’IA in ambito penale e ai riferimenti in ambito istruzione, cultura e settore audovisivo. Su tutti questi temi la Commissione ha avviato una consultazione IA portatori di interessi in ambito IA (aziende, istituzioni, enti, persone fisiche), che ha avuto un riscontro unanime sull’esigenza di intervenire a livello europeo con la specificazione, da più parti, di evitare duplicazioni, obblighi contrastanti e eccesso di regolamentazione. Ampio risalto viene dato al potenziale negativo di un uso non normato dell’IA in ambito di dati personali (filone già ampiamente dibattuto da tempo con riferimento al GDPR), si legge infatti al paragrafo 3.5:

L’utilizzo dell’IA con le sue caratteristiche specifiche (ad esempio opacità, complessità, dipendenza dai dati, comportamento autonomo) può incidere negativamente su una serie di diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea (“la Carta”). La presente proposta mira ad assicurare un livello elevato di protezione di tali diritti fondamentali e ad affrontare varie fonti di rischio attraverso un approccio basato sul rischio chiaramente definito.

L’impegno principale è quindi quello di fare chiarezza in un settore molto complesso, andando a definire in modo il più possibile inequivocabile tecnologie, ambiti di applicazione, prodotti, responsabilità, e all’interno di questo sforzo individuare quali di questi oggetti è ad alto rischio e va particolarmente regolamentato o addirittura vietato, come si legge nell’articolo 16 del regolamento;

È opportuno vietare l’immissione sul mercato, la messa in servizio o l’uso di determinati sistemi di IA intesi a distorcere il comportamento umano e che possono provocare danni fisici o psicologici. Tali sistemi di IA impiegano componenti subliminali che i singoli individui non sono in grado di percepire, oppure sfruttano le vulnerabilità di bambini e persone, dovute all’età o a incapacità fisiche o mentali. Si tratta di azioni compiute con l’intento di distorcere materialmente il comportamento di una persona, in un modo che provoca o può provocare un danno a tale persona o a un’altra. Tale intento non può essere presunto se la distorsione del comportamento umano è determinata da fattori esterni al sistema di IA, che sfuggono al controllo del fornitore o dell’utente. Tale divieto non dovrebbe ostacolare la ricerca per scopi legittimi in relazione a tali sistemi di IA, se tale ricerca non equivale a un uso del sistema di IA nelle relazioni uomo-macchina che espone le persone fisiche a danni e se tale ricerca è condotta conformemente a norme etiche riconosciute per la ricerca scientifica.

Si fa qui riferimento implicito a “distorsioni” in parte già viste sui social network, come la profilazione subdola e non consensuale a finalità pubblicitarie, l’innesco di reazioni comportamentali indotto da “premi virtuali”, il generale intento manipolatorio di alcune delle principali tecnologie di entertainment digitale presentate come social network, per evitare che l’applicazione dell’IA ne risulti alla fine come un potenziamento senza controllo.

Il tema della Cybersecurity, già di per sé complesso e con confini non del tutto semplici da tracciare nel mondo delle tecnologie informatiche convenzionali, diventa ancora più cruciale in ambito IA, tanto che il documento che stiamo analizzando si preoccupa di approfondire, quantomeno elencando tutti i risvolti, in modo esaustivo la portata del tema sicurezza in un mondo che progressivamente convive con sistemi di intelligenza artificiale; si vedano a questo proposito gli articoli 27-33, in cui si traccia una linea che va dal sistema sanitario, all’identificazione tramite dati biometrici (quest’ultima tecnologia è candidata ad essere considerata ad alto rischio, pur essendo una tecnologia utilizzata proprio per contrastare il furto o scambio di identità nell’utilizzo di sistemi digitali o nell’accesso fisico a strutture critiche. Il rischio che si vede è nella forte rilevanza dei dati registrati e manipolati dai sistemi biometrici), l’IA utilizzata nella gestione e funzionamento di infrastrutture critiche (traffico stradale, forniture di luce, acqua, gas, riscaldamento, etc…), nel settore occupazionale, della gestione del personale, nella formazione, accesso a prestazioni e servizi pubblici, Un lungo articolo è poi dedicato ai mezzi di contrasto alla criminalità che intendano dotarsi di IA per migliorare i loro risultati in termini di individuazione di comportamenti criminali:

Le azioni delle autorità di contrasto che prevedono determinati usi dei sistemi di IA sono caratterizzate da un livello significativo di squilibrio di potere e possono portare alla sorveglianza, all’arresto o alla privazione della libertà di una persona fisica, come pure avere altri impatti negativi sui diritti fondamentali garantiti nella Carta. In particolare, il sistema di IA, se non è addestrato con dati di elevata qualità, se non soddisfa requisiti adeguati in termini di accuratezza o robustezza, o se non è adeguatamente progettato e sottoposto a prova prima di essere immesso sul mercato o altrimenti messo in servizio, può individuare le persone in modo discriminatorio o altrimenti errato o ingiusto.

L’accento qui va su eventuali decisioni di privazione di libertà di persone fisiche, detenzione o altri impatti negativi sui diritti fondamentali che vengano prese con un significativo ricorso a tecnologie di IA. Risulta chiaro come queste tecnologie debbano essere accuratamente testate e robuste, oltre che progettate con alta affidabilità, è a questo livello come su altri temi molto delicati visti sopra che si innesta il principio di Security by Design, principio che sottende il fatto che la sicurezza del prodotto o del sistema non è un mero test per quanto massivo di quando progettato e prodotto, ma essa stessa una specifica di progetto, altamente impattante nel disegno del prodotto stesso, soprattutto nei casi di IA ad alto rischio, dove la sicurezza diventa uno dei capitoli fondamentali della corretta progettazione, in gran parte condizionante tutto il contesto di sviluppo prodotto.

Da questo velocissimo excursus in ambito normativo e regolatorio europeo si evince per certo che la materia legata all’intelligenza artificiale è assai complessa soprattutto quando dalle definizioni di principio si passa all’analisi delle applicazioni concrete e dei potenziali impatti. Il compito dell’unione risulta essere quindi tuttaltro che semplice, da un lato cercare di tenere il punto sul fatto che, essendo queste tecnologie transforntaliere e pervasive risulti illusorio pensare di poter regolamentarle paese per paese con, per altro, differenze legislative che renderebbero impossibile per molti aspetti, l’integrazione comunitaria. Dall’altro lato dimostrare che la governance europea di questa complessa materia, in forte e continua evoluzione, risulti efficace ed efficente per ogni stato membro.

Riflessioni finali e conclusione

Da questa rapida lettura del lavoro della commissione europea in ambito intelligenza artificiale con particolare attenzione agli aspetti della sicurezza si evincono, semplificando e a fini di sintesi finale, i seguenti punti:

  • L’IA è una tecnologia pervasiva, coinvolge sia aspetti legati all’innovazione ed alla competitività dei paesi, così come aspetti fondamentali della vita sociale, dalla sanità, all’istruzione, alla difesa.
  • La mappatura normativa del fenomeno IA è necessariamente un work in progress;
  • Si rende necessario, per gli aspetti di coinvolgimento globale del fenomeno oltre che di dimensioni, pensare ad un approccio europeo, sostanzialmente centralizzato e condiviso, evitando di affrontare localmente, stato membro per stato membro, sia gli aspetti regolatori che le strategie legislative.
  • Il tema della sicurezza (e quindi anche della cybersicurezza) delle applicazioni IA è presente in ognuna delle valutazioni della comunità in ambito regolatorio. Possiamo dire che è un tema intrisecamente collegato. Si parla in prevalenza di “rischio”, come parametro per classificare le applicazioni di IA. Il rischio può aumentare sia per la tipologia di prodotto IA che si sta considerando (Es: sistemi di autenticazione biometrici) che per il settore sociale in cui viene applicata l’IA (es: difesa, sanità). A livello regolatorio la comunità europea intende chiarire quanto prima, attraverso classificazione, quali di questi aspetti presentino rischi alti e, in questi casi, procedere con restrizioni specifiche o, in situazioni di elevato e non ancora mitigabile rischio, al divieto di introduzione della tecnologia stessa.

Il mio breve excursus si conclude con la constatazione, desunta da più parti, compresa l’importanza che la comunità europea sta riservando alle tematiche dell’IA, che questa innovazione tecnologica pervasiva rappresenterà lo scenario principale su cui si giocheranno sia la competitività dei paesi (militare, economica), sia lo “stile di vita” che la popolazione avrà o non avrà, a seconda che il sistema dell’istruzione, della ricerca, dell’innovazione complessiva del paese in cui risiede, persegua o meno strategicamente lo sviluppo “accelerato” di tecnologie basate sull’IA. L’auspicio è quindi che, per l’Italia, l’adesione convinta alla comunità europea possa colmare un divario già evidente con altri paesi membri. Ci si riferisce qui alla Francia ed alla Germania, trascurando paesi Extra europei già molto avanzati come USA e Cina dove lo spazio competitivo possibile può solo essere di dimensione europea. Il salto in avanti necessario riguarda sia la conoscenza generale che la ricerca che la penetrazione nel tessuto economico sociale dell’IA, e su questi fronti solo la scala europea può effettivamente accelerare i processi di adeguamento.

Luca Bonadimani

Potrebbe anche interessarti

Pubblicato

IA & Little Italy

Intervista a Bengio. Con una superficie di circa 8.361 metri quadrati, Mila afferma di avere la più grande concentrazione di ricercatori accademici in deep learning al mondo. Questo include oltre 1.000 ricercatori e più di 100 professori che collaborano con oltre 100 partner industriali provenienti da tutto il mondo.