Il 21 aprile 2021 la Commissione Europea ha presentato ufficialmente al Parlamento la sua proposta per regolamentare l’uso e l’applicazione delle Intelligenze Artificiali (IA) considerate ad “alto rischio”. Si tratta di un primissimo passo nell’intavolare delle normative internazionali e condivise, tuttavia è un primo passo dalla portata potenzialmente gigantesca, una strategia essenziale nell’arginare l’anarchia potenzialmente dannosa che vige attualmente nella sfera delle tecnologie orientate al machine learning.

Lo scopo dell’Unione Europea è quello di imbastire un organo di controllo in tutto e per tutto similare alla General Data Protection Regulation (GDPR), il quale si dovrebbe assicurare che nessuna istituzione – privata o pubblica – abusi della sua posizione per fomentare un uso scriteriato delle IA. Si tratta di una novità ben gradita, assolutamente positiva, tuttavia le più di 100 pagine di carteggi mostrano anche un sacco di buchi e di scappatoie che vanno a inficiare le norme più urgenti e sensibili dell’intera operazione.

“Alto rischio”

Per comprendere il contenuto della proposta è ragionevolmente necessario capire con esattezza cosa sia considerabile come sistema d’intelligenza artificiale ad “alto rischio”, un’ovvietà che però ha tenuto in scacco il Consiglio Europeo per parecchio tempo. Uno dei trionfi principali delle carte appena pubblicate consiste non a caso in una definizione di massima degli “high-risk Artificial Intelligence systems”, i quali rappresentano tutti quei sistemi che “presentano rischi significativi alla salute e alla sicurezza dei diritti fondamentali delle persone”.

Formulata così, la questione rimane ancora molto ambigua, tuttavia l’UE cerca di rimediare a una simile imprecisione fornendo una preziosa lista di precisazioni, segnalando punti concreti che diano una quadra della definizione delle priorità suggerite ai legislatori:

  • Le infrastrutture critiche (es: i trasporti) che potrebbero mettere la vita e la salute dei cittadini a rischio;
  • L’educazione o la formazione professionale che possa determinare l’accesso a educazione e ai corsi professionali;
  • Componenti di sicurezza dei prodotti (es: le AI dei robot-chirurghi);
  • Occupazione, gestione dei lavoratori e accesso al lavoro autonomo (es: i software che organizzano e selezionano i curriculum vitae);
  • Servizi privati e pubblici essenziali (es: la valutazione di credito);
  • L’applicazione di leggi che possono interferire con i diritti fondamentali;
  • Gestione di migranti, richiedenti di asilo e controlli ai confini;
  • Amministrazione della giustizia e dei processi democratici

Ancor più gravi delle IA ad alto rischio, vi sono le intelligenze artificiali etichettate come a “rischio inaccettabile”, le quali rappresentano una “chiara minaccia” alla salvezza e ai diritti delle persone, con il risultato che saranno bandite senza alcun compromesso. In tal merito, i pochissimi esempi forniti fanno riferimento a situazioni eclatanti, ma nient’affatto scontate, e spaziano dalla possibilità di addestrare giocattoli perché agiscano in maniera pericolosa all’introduzione di meccanismi di social scoring da parte dei Governi. Non avremo occasione, insomma, di vedere nel mondo reale il film Small Soldiers.

Chiphazard small soldiers

Il film è uscito nel 1998, eppure mi rendo conto solo ora della gag che gli autori hanno creato nello scegliere il nome dell’antagonista, “Chip Hazard”.

O forse no. Nel lungometraggio in questione, i giocattoli prendono vita perché alimentati da microchip missilistici altamente sviluppati, tecnologia dell’esercito che, stando alla proposta di legge, potrebbe tecnicamente ancora essere sviluppata. La prima, gigantesca, falla del documento è rappresentata infatti dal fatto che le intelligenze artificiali a scopo militare non solo non vengano ufficialmente considerate come tecnologie ad alto rischio, ma che siano del tutto esentate dalla normativa in questione.

Burocraticamente, ciò che rientra nelle strategie militari cade infatti sotto la Treaty on European Union (TEU) e dovrebbe essere discusso a parte. In effetti gli eurodeputati si dicono estremamente interessati ad aprire un simile dibattito, magari con il rendere del tutto illegali le lethal autonomous weapon systems (LAWS), tuttavia il confronto è arenato e nessun elemento da a intendere che la stasi stia per sbloccarsi.

Già così le eventuali regole potrebbero d’altronde creare qualche attrito con gli Stati Uniti, quindi rallentare la spinta all’”alleanza atlantista” che ultimamente domina le correnti politiche EU. Le opinioni europee riguardanti le IA di sorveglianza sono di fatto abbastanza divergenti da quelle a stelle e strisce: se la Commissione rendesse addirittura illegali i killer robot, le distanze potrebbero ulteriormente acuirsi.

Sorveglianza di massa

L’uso delle intelligenze militari in campo bellico non sono state toccate dalle nuove norme, ma almeno possiamo confidare nel fatto che la polizia non possa trasformare le nostre città in distopie orwelliane, no? Non proprio. Qui entra in ballo una seconda “scappatoia”, forse quella più evidente e criticata, quella con cui i Governi si sono concessi un discreto spazio di manovra a discapito di un intervento preciso e determinato.

La proposta avanzata dalla Commissione Europea, non ha assunto infatti la posizione netta che gli era stata caldamente raccomandata dalla European Data Protection Supervisor, piuttosto ha maturato una posizione più ambigua e versatile che perlopiù si limita a rendere illegale solamente i sistemi di identificazione biometrici remoti che vengono applicati in tempo reale. Anzi, in alcuni casi sono consentiti pure quelli.

Person of interest

È giunto il momento di ripescarsi dall’archivio la serie Person of Interest.

Nei casi in cui sia necessario identificare repentinamente la potenziale vittima di un crimine o un bambino smarrito, in cui si ipotizza che vi siano rischi concreti di un attentato o se si è alla ricerca di un fuggitivo, gli investigatori potranno adoperare i sistemi di riconoscimento facciale in luogo pubblico senza farsi troppe remore. Certo, ognuna di queste interazioni richiederebbe un mandato, ma l’urgenza del contesto permette che le scartoffie burocratiche vengano delegate a un secondo momento e che queste siano pertanto retroattive.

Per quanto riguarda i video di archivio, le forze dell’ordine potranno applicare i software di riconoscimento facciale con una discreta leggerezza. In pratica, la proposta Artificial Intelligence Act da a intendere che le polizie dei Paesi Membri potranno quindi adeguarsi agli standard cinesi e statunitensi, ovvero che potrebbero addirittura adoperare programmi estremamente controversi quali Clearview.

Un simile presupposto rende l’abolizione della sorveglianza biometrica un concetto meramente formale, assolutamente irrilevante, con il risultato che online è già comparsa una raccolta firme che cerca disperatamente di far capire ai diplomatici europei che su queste sensibili tematiche non si possa confidare sulle mezze misure.

don quijote scultura

Rappresentazione grafica del come ci si sente quando si firma una petizione da sottoporre alle istituzioni europee.

Senza cedere a un panico assolutista, c’è motivo di confidare che l’Unione Europea non abbia veramente intenzione di abusare le clausole permissive che si è concessa, tuttavia è anche chiaro che i legislatori abbiano sentito la necessità di ritagliarsi comunque una certa flessibilità, così da non dover incorrere in ostracismi granitici nel momento in cui queste leggi dovranno essere approvate.

Il rischio è infatti quello di creare delle norme che su carta sono perfette, ma che poi alcuni Paesi potrebbero decidere di non voler appoggiare, con il risultato che l’integrazione delle leggi sulle IA potrebbe richiedere anni o non capitare affatto. Già così, se tutti fossero in armonia nel voler supportare la bozza, le tempistiche di attuazione sarebbero comunque molto lunghe, entrando in effetto solamente nel giro di un paio di anni.

Focus nazionale e GDPR

Il documento propone che la vigilanza sull’applicazione delle norme sia nuclearizzata su un inedito organo Comunitario, lo European Artificial Intelligence Board, con ogni Paese Membro che poi dovrà applicare concretamente le leggi facendo affidamento alle proprie autorità nazionali. Si tratta d’altronde di un regolamento, non di una direttiva, quindi certi aspetti dei suoi contenuti, per quanto direttamente vincolanti, possono essere aggiustati sulla misura dei Governi locali.

Per evitare che i risultati siano troppo eterogenei o che qualcuno faccia il furbo, la Commissione Europea anticipa nella sua proposta il fatto che le nazioni debbano assicurarsi che l’implementazione del regolamento sia “effettivo, proporzionato e dissuasivo”. La European Data Protection Supervisor potrà in caso contrario sanzionare le istituzioni, le agenzie e i governi che tireranno troppo la corda nel tergiversare nei loro compiti.

meme gatto

Non solo, il documento sottolinea anche che “qualora l’obiettivo di questo Regolamento non fosse sufficientemente raggiunto dagli Stati Membri o dovesse, per senso o scopo degli effetti dell’azione, essere raggiunto con più efficacia a livello dell’Unione, l’Unione potrà adottare misure in accordo con il principio di sussidiarietà”. In pratica, se i singoli Governi si dovessero dimostrare incompetenti, l’UE potrebbe potenzialmente prendere in mano le redini della situazione.

Un’ipotesi che non è neppure così strampalata: l’UE ha dimostrato per anni di essere scontenta di come l’Irlanda, nazione in cui quasi tutte le aziende tech internazionali hanno registrato la loro sede europea, stia gestendo le indagini relative alle possibili infrazioni del GDPR.

Molti malignano addirittura che la branca governativa che si dovrebbe occupare della faccenda sia deliberatamente mantenuta sotto organico, così che il suo operato sia tanto lento da non rappresentare alcun fastidio per le Big Tech, con buona parte delle indagini che si conclude regolarmente con un patteggiamento.

Il cosiddetto Artificial Intelligence Act dovrebbe quindi prevenire questo cul-de-sac burocratico, rendendo più efficienti l’attribuzione delle opportune punizioni. In tal senso, le aziende che violeranno le nuove norme potranno essere sanzionate con multe che arrivano fino a 30 milioni di euro o il 6 per cento del fatturato globale che l’azienda ha registrato nel precedente anno finanziario, a seconda di quale sia il valore più alto.

Un che di buono

Nonostante gli evidenti problemi della proposta, bisogna saper riconoscere anche che al suo interno siano custodite norme assolutamente positive e virtuose. Un elemento da non sottovalutare, per esempio, sono gli obblighi riguardanti la trasparenza “specifica” di sistemi di IA che simulano il comportamento umano.

I bot, per quanto sofisticati, devono “fornire informazioni riguardanti la loro natura”, ovvero devo avvertire gli internauti di non essere persone vere, ma strumenti meccanici. Sulla stessa riga viene piazzato l’utilizzo di deep fake, i quali dovranno sempre e comunque riportare una dicitura o un avviso che li identifichi al pari di un prodotto visivo manipolato.

Bisogna dunque ricalcare l’attenzione sul come le intelligenze artificiali non potranno essere adottate per imporre una cernita sugli esseri umani, che sia professionale o etnica, con il risultato che anche i sistemi pseudo-scientifici di rilevamento della menzogna dovrebbero scomparire per sempre.

In generale, ogni passo avanti, per quanto incerto o timido, resta comunque un passo da celebrare e da supportare con entusiasmo. I problemi possono essere superati e il fatto stesso che l’Europa stia lavorando a delle regole utili a evitare che Governi e aziende abusino delle IA potrebbe scatenare il cosiddetto “effetto Bruxelles”, ovvero che l’avanguardia dell’UE possa ispirare nazioni di altre parti del mondo, dando il via a una reazione corale che, con i dovuti tempi, potrebbe condurci a intavolare delle norme condivise.

 

The Gateway è il magazine settimanale di Lega Nerd che vi parla del mondo della tecnologia e dell’innovazione.