An Artificial Intelligence Odissey
di Anna Capoluongo
Anche se molti guardano ai sistemi di Intelligenza Artificiale (AI) come a robot antropomorfi protagonisti di qualche film o telefilm dei tempi andati, la Commissione Europea – anche di recente – ci ha ricordato come l’AI non sia una fiction, bensì sia reale e faccia già parte integrante delle nostre vite: “Artificial intelligence (AI) is not science fiction; it is already part of our everyday lives, from using a virtual personal assistant to organise our day, to having our phones suggest songs we might like”[1].
Di questo si ha evidenza ogni giorno, come ad esempio nel caso di Megatron The Transformer[2] o di Replika[3], il cui utilizzo, peraltro, è stato da poco sospeso da parte dell’Autorità sulla privacy italiana a causa dell’invasività dello strumento e dei pericoli per gli individui e per i dati particolari trattati dalla stessa.
La pericolosità di questi sistemi è, infatti, qualcosa di talmente noto e ben conosciuto che è stata sottolineata anche nelle più recenti proposte normative, come ad esempio quella sul Regolamento sull’Intelligenza Artificiale (o AI Act)[4], che all’articolo 5 prevede, per l’appunto, il divieto di alcune pratiche contrarie ai valori dell’UE o lesive dei diritti fondamentali[5].
In questo caso la proposta è composta da vari titoli (11 in totale) dedicati alla distinzione tra pratiche di intelligenza artificiale proibita, sistemi ad alto rischio e sistemi non ad alto rischio, oltre alla previsione di procedure di verifica della compliance per le intelligenze artificiali, così che possano essere avere accesso al mercato.
La proposta ha un approccio basato sul rischio (totale, alto, medio), che permette di distinguere diversi tipi di prodotto categorizzati in base al rischio e di conseguenza di individuare anche le soluzioni da poter adottare a seconda del sistema di cui ci si vorrebbe servire, a partire dal divieto di utilizzo nel caso di sistemi che – ad esempio – possano causare danni fisici o psicologici, fino alla possibilità di utilizzo di prodotti in grado – ad esempio – di interagire con le persone fisiche, purché però le stesse vengano sempre debitamente informate circa tutti gli elementi necessari alla comprensione dello strumento e del trattamento dei propri dati.
Anche la proposta per una Artificial intelligence liability Directive evidenzia – sotto altri profili – i punti dubbi circa la pericolosità di tali sistemi, tentando di integrare e modernizzare il quadro normativo dell’UE in tema di responsabilità civile extracontrattuale (da applicarsi, evidentemente, anche ai sistemi di intelligenza artificiale), per garantire che chiunque (persona fisica o giuridica) possa essere risarcito in caso di danno subito da parte di un fornitore, sviluppatore o user di IA.
Per completezza è giusto il caso di evidenziare come tale proposta andrebbe a stabilire norme comuni circa:
“(a) la divulgazione di prove relative a sistemi di intelligenza artificiale (IA) ad alto rischio per consentire a un attore di fondare una richiesta di risarcimento danni di diritto civile per colpa extracontrattuale;
b) l’onere della prova in caso di azioni civili extracontrattuali fondate su colpa intentate dinanzi ai giudici nazionali per danni causati da un sistema di IA.
2. La presente direttiva si applica alle azioni di diritto civile extracontrattuale per risarcimento danni, nei casi in cui il danno causato da un sistema di IA si verifichi dopo [la fine del periodo di recepimento].
La presente direttiva non si applica alla responsabilità penale.
3. La presente direttiva non pregiudica:
a) le norme del diritto dell’Unione che disciplinano le condizioni di responsabilità nel settore dei trasporti;
b) eventuali diritti che una persona lesa può avere ai sensi delle norme nazionali di attuazione della direttiva 85/374/CEE;
(c) le esenzioni dalla responsabilità e gli obblighi di dovuta diligenza di cui alla [legge sui servizi digitali] e
d) le norme nazionali che determinano quale parte ha l’onere della prova, quale grado di certezza è richiesto per quanto riguarda il livello della prova o come viene definita la colpa, diverse da quanto previsto dagli articoli 3 e 4.
4. Gli Stati membri possono adottare o mantenere norme nazionali più favorevoli ai ricorrenti per motivare una domanda di diritto civile extracontrattuale per danni causati da un sistema di IA, a condizione che tali norme siano compatibili con il diritto dell’Unione”[6].
L’ obiettivo parrebbe, dunque, chiaro: anteporre l’uomo alla macchina, nel senso di utilizzare la macchina al servizio dell’uomo e non viceversa.
Quindi per preparare un futuro sostenibile focalizzandosi sull’accountability e sulla trasparenza algoritmica per ottenere una cd. “responsabilizzazione algoritmica” o “computazione responsabile”, nonché una corretta gestione dei modelli (business/AI/data protection), che cosa andrebbe fatto?
Bisognerebbe, anzitutto, imparare come costruire e usare correttamente i sistemi di intelligenza artificiale, sia da un punto di vista di design del sistema, sia da un punto di vista di un corretto training degli algoritmi, senza dimenticare la dimensione della awareness e della formazione, tanto degli operatori quanto degli utenti finali.
Ma un adeguato futuro dovrà passare anche dall’adattamento della legislazione in materia, così come da valutazioni di impatto applicabili ai modelli di intelligenza artificiale, nonché da un approccio interdisciplinare con riferimento ai rischi, ai benefici e al corretto utilizzo dei sistemi.
Andando in ordine, quindi:
A) Se parliamo di design dell’AI, parliamo di data protection impact assessment, che nel caso degli algoritmi prende il nome di AIA (Algoritmic Impact Assessment).
Di questa abbiamo diversi esempi a cui poter guardare per un corretto svolgimento della stessa, ossia: il Canada’s AIA tool[7], l’opinion 4/2020 del EDPS[8], le raccomandazioni del Garante ICO (UK)[9], la guida sul self-assessment della CNIL (Garante francese)[10], o ancora lo strumento ideato dal professor Floridi (CapAI[11]). Tutti questi, però, paiono concentrarsi soprattutto su questioni tecniche a scapito dei potenziali effetti sui diritti fondamentali degli interessati, sia in quanto tali che nella loro dimensione sociale intesa come group privacy, ossia come proiezione dei loro diritti personali nella dimensione sociale. Servirebbe quindi sviluppare più che altro dei tool “multi-impact assessment”[12], che tengano conto anche di questi rilievi “sociali”.
B) Se guardiamo al training dei sistemi intelligenti, si ritiene che i profili più delicati e di maggior importanza siano da individuarsi nei BIAS e nella sicurezza delle informazioni.
Per ridurre i BIAS bisognerà puntare alla qualità dei dati ma anche alla quantità degli stessi.
Il volume dei dati è, infatti, qualcosa di molto importante, non bisogna averne troppi o troppo pochi, ma esattamente la quantità giusta e sufficiente per ottenere dei risultati certi. Infatti in caso contrario ci si potrebbe scontrare con fenomeni cosiddetti di underfitting o overfitting, laddove nel primo caso si otterrebbero troppi pochi dati e il modello statistico non riuscirebbe a catturare il trend sottostante questi dati. Nel secondo caso, invece, si avrebbero troppi dati e quindi un modello troppo complesso e troppi parametri, ma si arriverebbe comunque al medesimo output: risultati incerti.
Concentrandosi, invece, sull’aspetto di qualità dei dati, è necessario rilevare che gli stessi devono riuscire a rappresentare perfettamente quella parte di mondo che abbiamo necessità di rappresentare e che quindi siano utili per lo specifico scopo che si vuole raggiungere.
Con riferimento, poi, alla data protection e alla sicurezza delle informazioni, è il caso di rilevare che questi sistemi hanno lo stesso potenziale di uso e di configurazione in proprio delle altre tecnologie, ma comportano dei rischi che sono decisamente unici a causa dei dati trattati (personali, ma anche particolari) e della asimmetria di informazioni tra Titolare del trattamento e utente finale, così come per via della complessità tecnologica che in materia di intelligenze artificiali e algoritmi interviene soprattutto sul cosiddetto effetto “black box” e quindi sulla trasparenza e spiegabilità dell’algoritmo, ossia sulla comprensibilità degli input, degli output e del funzionamento vero e proprio dell’AI. In questo senso il problema è che l’intelligenza artificiale è capace “di produrre dei risultati ma il processo attraverso cui produce questi risultati la ragione per cui l’algoritmo compie specifiche decisioni non sono totalmente comprensibili e spiegabili dal punto di vista dell’utente finale. È evidente che la trasparenza è particolarmente importante per assicurare la correttezza nell’uso degli algoritmi e per identificare possibili distorsioni” [13] del set di dati che potrebbero scaturire, ad esempio, in situazioni discriminatorie.
C) Quanto alla formazione degli operatori, qui il focus è da rinvenirsi nel principio di accountability che ricade sul Titolare del trattamento e che comprende, oltre al dovere di formazione del proprio personale, anche il dovere di corretta informativa nei confronti degli utenti finali ai sensi degli articoli 13 e 14 del GDPR, e di altre normative di settore (nel caso dell’Italia, ad esempio, il Decreto Trasparenza[14] prevede specifici obblighi di informativa da parte del datore di lavoro nel caso di utilizzo sistemi decisionali o di monitoraggio automatizzati che siano in grado di generare decisioni automatizzate).
Ma non va dimenticato neppure il profilo dell’awareness degli utenti finali. In tal senso l’EDPB (European Data Protection Board) ha inviato una lettera di raccomandazione[15] – al Commissario Europeo per la Giustizia, Didier Reynders – particolarmente interessante nella misura in cui suggerisce una responsabilità ai sensi del GDPR tanto per i providers quanto per gli users, così come specifici profili di responsabilità degli user per il funzionamento/uso sicuro dei sistemi intelligenti: “Providers of AI systems should be responsible for providing users with mitigation tools for known and new types of attacks and for embedding security by design throughout the entire lifecycle of the AI, whereas users of AI systems should be responsible for ensuring the safe operation of the system”.
D) Infine, i profili di responsabilità.
Più ci muoviamo verso un’intelligenza artificiale forte[16] o una super intelligenza artificiale[17], tanto più le nostre responsabilità crescono. È evidente che questo aspetto non deve essere pensato solamente in ottica di responsabilità civile e/o di danni economici, ma anche con riferimento a tutto ciò che non è facilmente quantificabile a livello economico come per esempio gli aspetti della protezione dei dati personali, dei diritti, delle libertà e della democrazia.
Si può, quindi, pensare di utilizzare delle “soluzioni” già esistenti (ad esempio, la responsabilità per l’esercizio di attività pericolose – art. 2050 cc. -; il danno da cose inanimate – art. 2051 cc. -; il danno da prodotto difettoso – Dir. 374/1985 e Codice del consumo 206/2005-), purché interpretati in maniera estensiva. Oppure prevedere di creare nuove norme e regole, come nel caso del Regolamento sull’Intelligenza Artificiale (AI Act) o della proposta sulla responsabilità dei sistemi di intelligenza artificiale (Artificial intelligence liability Directive), o ancora istituire sistemi assicurativi per i produttori di AI, fondi di garanzia, creazione di una personalità elettronica per l’AI.
Per concludere, citando il prof. Floridi, “Tanto più l’intelligenza artificiale, alla quale stiamo adattando il mondo, diventa potente, tanto più aumentano le nostre responsabilità“[18], tanto più deve aumentare anche il diritto, che in questo senso (nel mondo dell’AI) va inteso non solo come codice (civile; di procedura; penale…), ma come stringhe di codice, come programmazione e quindi come governance della parte tecnica e tecnologica, nonché del corretto trattamento dei dati e della protezione dell’individuo per una computazione responsabile che sia antropocentrica e che sostanzialmente punti ad un principio di “Human Right by default”.
[1] https://ec.europa.eu/commission/presscorner/detail/en/IP_18_3362.
[2] Si veda https://www.focus.it/tecnologia/digital-life/intervista-ai-intelligenza-artificiale.
[3] https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9852214. Sul tema si veda anche Etica e Intelligenza Artificiale Il caso Replika: “Always here to listen and talk. Always on your side”, https://www.cyberlaws.it/2020/etica-intelligenza-artificiale/.
[4] https://eur-lex.europa.eu/legal-content/IT/TXT/HTML/?uri=CELEX:52021PC0206&from=IT.
[5] Sul tema si veda anche “Social scoring” e “Smart Citizen Wallet” tra Cina ed Europa, https://www.cyberlaws.it/2022/social-scoring-smart-citizen-wallet/.
[6] Articolo 1, https://commission.europa.eu/business-economy-euro/doing-business-eu/contract-rules/digital-contracts/liability-rules-artificial-intelligence_en.
[7] https://www.ai4business.it/intelligenza-artificiale/aia-tool-di-algorithmic-impact-assessment-che-arriva-dal-canada/.
[8] https://edps.europa.eu/sites/edp/files/publication/20-06-19_opinion_ai_white_paper_en.pdf.
[9] https://ico.org.uk/for-organisations/guide-to-data-protection/key-dp-themes/guidance-on-ai-and-data-protection/?q=DPIA.
[10] https://www.cnil.fr/en/self-assessment-guide-artificial-intelligence-ai-systems.
[11] https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4064091.
[12] Sul punto si veda anche “L’impatto dell’AI per i diritti dei singoli e la coesione sociale”, Fabrizio Caramagna, in S. Gorla, E. Barbujani, A. Bernard i, A. Guarino, S. Faraoni, L. Troiano, Intelligenza Artificiale. Un approccio Olistico, Interdisciplinare e di Governance.
[13] https://www.europarl.europa.eu/RegData/etudes/STUD/2020/654179/EPRS_STU(2020)654179_EN.pdf.
[14] https://www.lavoro.gov.it/temi-e-priorita/rapporti-di-lavoro-e-relazioni-industriali/focus-on/Lavoro-trasparente-D-lgs-n-104-2022/Pagine/default.aspx.
[15] https://edpb.europa.eu/system/files/2022-02/edpb_letter_ai_liability_out2022-0009_1.pdf.
[16] O generale (AGI), intesa come “la capacità di un agente intelligente di apprendere e capire un qualsiasi compito intellettuale che può imparare un essere umano”, https://it.wikipedia.org/wiki/Intelligenza_artificiale_forte.
[17] Una ipotetica AI che supera l’obbiettivo dell’imitazione delle capacità umane per arrivare all’acquisizione della consapevolezza di sé.
[18] https://www.ilrestodelcarlino.it/bologna/cronaca/intelligenza-artificiale-etica-e-responsabilita-538db0ac.
