Tratto da: ildirittoamministrativo
Autrice: Stefania Cantisani
Abstract
Il saggio, partendo dall’illustrazione delle opportunità e dei rischi dell’intelligenza artificiale nel nuovo scenario prodotto dalla cd. intelligenza artificiale generativa, ne approfondisce alcuni specifici profili problematici connessi alla responsabilità per danni ed alla protezione del diritto di autore.
Un focus particolare è poi dedicato agli aspetti relativi alla necessità di garantire l’intervento e la sorveglianza umana (human in the loop) ed alla valutazione dell’impatto sui diritti fondamentali (FRIA acronimo di Fundamental Rights Impact Assessment) per come emergono dal testo dell’IA Act, (Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024), la legge europea sull’intelligenza artificiale che si pone nell’ottica di armonizzare adeguatamente l’utilizzo di sistemi di IA promuovendo lo sviluppo di un’intelligenza artificiale affidabile e antropocentrica in conformità al quadro giuridico ed ai valori dell’Unione europea.
Un ultimo cenno, infine, è riservato alle disposizioni in materia contenute nel disegno di legge del Governo attualmente in corso di esame da parte del Parlamento.
SOMMARIO: 1. Brevi cenni introduttivi: dalle nuove tecnologie alla GenAi (Intelligenza artificiale generativa). 2. Opportunità e rischi della GenAi. 2.1 Segue: i rischi etici nell’utilizzo delle nuove tecnologie. 3. L’IA e il problema della imputazione della responsabilità. 4. La proposta di direttiva europea sulla responsabilità per i danni da intelligenza artificiale. 5. L’accesso al codice sorgente dell’algoritmo e il contrapposto diritto di proprietà del software negli orientamenti del giudice amministrativo. 6. La legge europea sull’IA (AI ACT). 7. La valutazione di impatto sui diritti fondamentali (FRIA). 8. Il DDL del Governo sull’IA. 9. Considerazioni conclusive.
- Brevi cenni introduttivi: dalle nuove tecnologie alla GenAi (Intelligenza artificiale generativa)
La diffusione delle nuove tecnologie ha avuto ed ha un impatto assolutamente non comparabile rispetto alle trasformazioni conseguenti alle innovazioni tecnologiche che si sono registrate in passato.La letteratura sul punto è oggetto di un dibattito pressoché sterminato nel quale si contrappongono da un lato i catastrofisti che prevedono un futuro distopico nel quale le macchine domineranno il genere umano e dall’altro i fautori entusiastici delle nuove intelligenze artificiali convinti di trovarsi di fronte ad un cambiamento positivo che porterà inevitabilmente l’umanità a migliorare le proprie condizioni di vita[1].
Se lasciamo sullo sfondo questo dibattito, ciò che più colpisce dell’evoluzione tecnologica in corso «non è tanto e solo la dimensione globale della trasformazione – (…)– ma la velocità della trasformazione in atto e la continua produzione di nuove invenzioni, che rendono rapidamente inutili o obsoleti le regole e gli strumenti di controllo via via progettati e posti in essere. Non si tratta, quindi, di una singola invenzione – come l’elettricità, o il motore a scoppio, o la televisione – ma di un processo di trasformazione delle abitudini individuali e delle modalità di interazione sociale i cui esiti non si stabilizzano mai completamente, ma continuano invece ad evolvere»[2].
La trasformazione tecnologica è divenuta dunque una caratteristica saliente dello Stato moderno, lo «Stato digitale», appunto, una formula, questa che enfatizza, al pari di altri aggettivi che hanno accompagnato di volta in volta il sostantivo Stato (es. per citare solo i più diffusi, Stato censitario, Stato di polizia, Stato di diritto, Stato imprenditore, welfare State, Stato regolatore, Stato salvatore, Stato promotore) un aspetto che emerge come prevalente in un dato periodo storico in un «processo di progressiva stratificazione, nel quale gli elementi di continuità e gli elementi di innovazione si intrecciano dando luogo a nuovi assetti di potere»[3].
L’utilizzo dell’ICT (Tecnologie dell’informazione e della comunicazione)[4] nell’ambito delle pubbliche amministrazioni ha determinato un cambiamento epocale sotto l’aspetto organizzativo modificando in maniera incisiva le modalità di erogazione dei servizi ai cittadini.
Alcuni commentatori hanno efficacemente rilevato come nel corso del XX secolo, proprio in virtù delle ICT, si siano succeduti e sovrapposti almeno tre modelli di pubblica amministrazione: la Pubblica Amministrazione 1.0, che corrisponde al classico modello di Pubblica Amministrazione del diciannovesimo secolo, caratterizzato dall’utilizzo di carta, stampa e macchina da scrivere. La Pubblica Amministrazione 2.0, che incorpora computer, processori di testo, stampante e fax. La Pubblica Amministrazione 3.0 verso cui, nel XXI secolo, il settore pubblico ha iniziato a migrare grazie all’uso di internet, dei portali digitali, delle applicazioni mobili e dei social network.
Infine, si è pervenuti alla fase attuale di questa transizione che è stata definita Amministrazione 4.0[5] con ciò riecheggiando l’espressione di “Industria 4.0.”o“Quarta Rivoluzione Industriale”, coniata per identificare nuove modalità di organizzazione del lavoro, di produzione industriale e di business derivanti appunto dalle innovazioni digitali e tecnologiche.
Quest’ultima fase, caratterizzata dall’utilizzo di algoritmi e sistemi di intelligenza artificiale ai quali si ricorre per ottenere soluzioni di tipo predittivo derivanti dall’elaborazione di grandi quantità di dati, sancisce «la graduale trasformazione della “macchina dello Stato” in un vero e proprio “Stato delle macchine”»[6].
Si tratta di un processo di trasformazione dagli sviluppi ancora imprevedibili che impone al mondo del diritto un costante adattamento al nuovo ambiente digitale nel quale gli istituti e categorie tradizionali[7] appaiono inidonei a governare le interazioni tra le pubbliche amministrazioni e i cittadini.
Non a caso la sfida da affrontare attiene, al momento attuale, alla necessità di regolamentare questo nuovo ambiente che presenta potenzialità ancora non del tutto esplorate.
Il nuovo scenario digitale, dunque, promette indiscussi vantaggi in termini di efficientamento delle strutture burocratiche della PA consentendo l’accesso e la fruizione di servizi pubblici in linea con il diritto ad una buona amministrazione sancito dall’art.41 della Carta dei diritti fondamentali dell’Unione europea (CDUE)[8].
Ad oggi poi l’avvento della c.d. Intelligenza artificiale generativa intesa come «qualsiasi tipo di intelligenza artificiale in grado di creare, in risposta a specifiche richieste, diversi tipi di contenuti come testi, audio, immagini, video[9]» offre alla pubblica amministrazione l’opportunità di sviluppare servizi digitali “a misura” del cittadino utente e ciò in virtù di modelli LLM’s (Large Language Model) ovvero reti neurali che, grazie a modelli strutturati su innumerevoli parametri, sono addestrate a scopo linguistico, ad esempio Chat GPT di Open AI[10]
Non siamo ancora in grado di elaborare una lista di applicazioni di questa tipologia di intelligenza nel ma la capacità di apprendimento dei modelli linguistici di grandi dimensioni, che hanno necessità per il loro funzionamento di una quantità elevatissima di dati[11] che rispettino comunque un certo standard[12] qualitativo[13], li rendono idonei per essere utilizzati per diverse esigenze e dunque, in particolare, per aumentare il livello di personalizzazione[14] dei servizi digitali oltre che per ottimizzare gli stessi processi decisionali della PA[15].
- Opportunità e rischi della GenAi
Un recente report del Boston Consulting Group (BCG)[16], società multinazionale che svolge attività di consulenza strategica di alta direzione, leader nel mercato mondiale, stima che l’intelligenza artificiale generativa (GenAI) produrrà nei prossimi anni (entro il 2033), per il settore pubblico, un incremento di produttività del valore di 1,75 trilioni di dollari all’anno a livello globale (per l’Italia la stima è di 46 miliardi di dollari all’anno) e che il mercato governativo per le applicazioni GenAI crescerà di oltre il 50% all’anno. Al netto, quindi, della necessaria cautela da adottare in relazione alla gestione dei rischi connessi all’uso di queste dirompenti tecnologie[17], tema cui si accennerà in seguito, le prospettive in termini di miglioramento dell’efficienza ed efficacia delle politiche, dei programmi e dei servizi pubblici appare incoraggiante. Il report individua cinque diversi ambiti di funzioni di governo (politiche pubbliche, servizi pubblici, funzioni di supporto, semplificazione normativa e attività delle agenzie e dipartimenti statali) nei quali con GenAI è possibile realizzare un vero e proprio salto di qualità implementando nuovi servizi digitali con interfacce più accessibili, interoperabilità tra le strutture e funzionalità personalizzate. Ad esempio per le attività di call center, tramite l’analisi delle registrazioni vocali o del parlato trasferito in testo effettuata dai sistemi di GenAI, si possono identificare le domande/reclami più frequenti o i problemi sollevati dall’utente così da progettare i servizi in maniera mirata ed evitare che le richieste formulate rimangano inevase, come pure fornire supporto ai cittadini in qualsiasi posto si trovino, anche il più remoto, 24 ore al giorno e 7 giorni su sette tramite assistenti vocali multilingue. BCG segnala a riguardo che queste sono soluzioni che alcuni governi stanno già sperimentando con successo. In Italia un analogo studio redatto nel settembre 2023 da The European House-Ambrosetti, in collaborazione con Microsoft, “AI 4 Italy-Impatti e prospettive dell’Intelligenza Artificiale generativa per l’Italia e il Made in Italy”[18], ha evidenziato la necessità di ricorrere a soluzioni di GenAI per supportare la crescita economica del paese a fronte di un rapido invecchiamento della forza lavoro che metterà a rischio la competitività delle imprese italiane in un contesto già segnato per oltre tre decenni da una produttività stagnante (nel periodo 2023-2040 il gap tra le cessazioni e i nuovi ingressi nel mondo del lavoro è stimato in -3,7 milioni di unità lavorative). In questo scenario, secondo il modello di previsione elaborato da The European HouseAmbrosetti, con l’implementazione delle tecnologie di IA generativa, il Pil italiano potrebbe crescere sino al 18% traducendosi in un aumento di produttività in termini di valore aggiunto a parità di tempo o in una riduzione delle ore lavorate a parità di valore aggiunto ovvero in una combinazione delle due opzioni in relazione alle numerose variabili di cui tenere conto. La ricerca sottolinea, inoltre, che anche se dagli anni 2000 in poi l’innovazione nel campo dell’Intelligenza Artificiale è stata monopolizzata dalle grandi aziende tecnologiche (le c.d. Big Tech), le uniche attualmente in grado sul mercato di investire ingenti capitali in processi di ricerca e sviluppo di nuovi modelli sempre più precisi grazie all’addestramento intensivo su quantità elevatissime di dati, ad oggi, la possibilità di sperimentare soluzioni open source “ad hoc” per ogni impresa a costi contenuti (cosiddette soluzioni “Chat with your data”) rende la GenAI accessibile a tutti «democratizzando i processi di innovazione delle aziende»[19]. L’Intelligenza Artificiale Generativa in quanto facente parte delle tecnologie “general purpose” e cioè di quelle tecnologie che hanno portata generale e sono capaci di modificare drasticamente la società incidendo sul tessuto economico-sociale preesistente, implica, data la difficoltà di prevederne le traiettorie future, la necessità di creare un contesto regolatorio tale da massimizzarne le opportunità e minimizzarne i rischi etico-sociali: occorre, in altre parole un «approccio responsabile» al suo sviluppo.
Il report in questione dedica, quindi, ampio spazio alla individuazione dei rischi connessi all’uso di questa tecnologia ed alla conseguente configurazione di una serie di principi indispensabili per l’implementazione di un’IA responsabile. Quanto ai rischi, essi sono in parte intrinseci alla stessa tecnologia e originano dalla fase di progettazione, addestramento e fine tuning[20] dei modelli di IA mentre altri sono collegati all’adozione dei sistemi di IA su larga scala; esistono, infine, rischi trasversali associati alla sostenibilità ambientale in termini di consumo di energia e di emissioni di CO2 dato che i modelli di LLMs richiedono un’enorme potenza computazionale sia al momento della costruzione che in sede di funzionamento. Tra i rischi intrinseci che minano la credibilità, affidabilità, imparzialità e trasparenza dei sistemi di GenAI vanno annoverati i cd. bias e cioè i pregiudizi che producono risultati ingiusti a causa di dati di imput che riflettono una realtà distorta o non equa. La presenza di questi bias replica e amplifica le disuguaglianze esistenti nella società come è stato dimostrato da diversi studi a riguardo[21] . È stato inoltre riscontrato che i sistemi di Intelligenza Artificiale generativa producono un altissimo numero di c.d. allucinazioni e cioè informazioni false, dannose e/o distorte che possono perpetuare disinformazione tra gli utenti e innescare contenziosi e denunce di diffamazione da parte delle persone offese così come è già avvenuto negli Stati Uniti[22].
Altro punto dolente è la mancanza di trasparenza che affligge la maggior parte di questi sistemi in relazione all’opacità dei meccanismi che presiedono al funzionamento di macchine così complesse, un’opacità che non consente neppure agli stessi creatori dei software di comprendere i nessi causali che generano determinati imput: il termine black box[23] con il quale si designa questo fenomeno è rivelatore a riguardo[24] .
E’ questo il problema dell’unexplainability dell’Intelligenza Artificiale sul quale anche le istituzioni europee, in un’ottica di sviluppo della leadership dell’Unione nel mercato digitale, si sono soffermate: nel Libro Bianco sull’intelligenza artificiale si legge, infatti, che «Le caratteristiche specifiche di molte tecnologie di IA, tra cui l’opacità (effetto “scatola nera”), la complessità, l’imprevedibilità e un comportamento parzialmente autonomo, possono rendere difficile verificare il rispetto delle normative dell’UE in vigore volte a proteggere i diritti fondamentali e possono ostacolarne l’applicazione effettiva. Le autorità preposte all’applicazione della legge e le persone interessate potrebbero non disporre dei mezzi per verificare come sia stata presa una determinata decisione con il coinvolgimento di sistemi di IA e, di conseguenza, se sia stata rispettata la normativa pertinente. Le persone fisiche e giuridiche possono incontrare difficoltà nell’accesso effettivo alla giustizia in situazioni in cui tali decisioni possono avere ripercussioni negative su di loro»[25] .
Sul piano del diritto interno l’utilizzo di sistemi di IA nel campo delle decisioni amministrative si traduce nella «declinazione rafforzata del principio di trasparenza, che implica anche quello della piena conoscibilità di una regola espressa in un linguaggio differente da quello giuridico. Tale conoscibilità dell’algoritmo deve essere garantita in tutti gli aspetti: dai suoi autori al procedimento usato per la sua elaborazione, al meccanismo di decisione, comprensivo delle priorità assegnate nella procedura valutativa e decisionale e dei dati selezionati come rilevanti. Ciò al fine di poter verificare che i criteri, i presupposti e gli esiti del procedimento robotizzato siano conformi alle prescrizioni e alle finalità stabilite dalla legge o dalla stessa amministrazione a monte di tale procedimento e affinché siano chiare – e conseguentemente sindacabili – le modalità e le regole in base alle quali esso è stato impostato»[26]. La dottrina ha parlato a riguardo di un nuovo «meta-principio di legalità algoritmica» che troverebbe ragione della sua esistenza nei principi-guida che sono stati enucleati dalla giurisprudenza amministrativa prendendo a riferimento il Regolamento europeo sulla protezione dei dati personali (GDPR) 2016/679 [27]e che devono orientare la pubblica amministrazione nell’impiego dei sistemi di IA: conoscibilità e comprensibilità (trasparenza algoritmica), non discriminazione algoritmica[28] e non esclusività della decisione algoritmica (necessario coinvolgimento umano, human in the loop)29[29] . Alla luce dei citati presupposti di legittimità, l’impiego dell’intelligenza artificiale nei processi decisionali della PA deve quindi essere attentamente valutato per le implicazioni che da essa derivano, in particolare per ciò che attiene alle garanzie dei diritti individuali dei destinatari dei provvedimenti adottati sulla base di algoritmi, siano essi di tipo “condizionale” che prodotto di machine learning e cioè frutto di autoapprendimento della stessa macchina [30] .
2.1 Segue: i rischi etici nell’utilizzo delle nuove tecnologie.
Il dibattito, tuttora in corso, che si è aperto in punto di diritto sull’utilizzo di questi rivoluzionari sistemi ha evidenziato anche problemi etici legati al rischio, insito nelle nuove “famiglie di tecnologie”[31], di influenzare e modificare in senso negativo la sfera delle libertà fondamentali [32] con risvolti preoccupanti anche sul fronte dello stesso funzionamento degli apparati democratici[33] .
Nel tormentato e controverso rapporto uomo-macchina, ci si interroga se l’introduzione nella nostra società di soluzioni di AI possa costituire una minaccia per i nostri sistemi politici democratici e se e fino a quale punto sia possibile che le macchine si sostituiscano agli esseri umani nell’adozione delle decisioni politiche[34] . I fautori della tecnologia “ad oltranza” sostengono, infatti, che l’utilizzo degli algoritmi di machine learning consente di adottare decisioni politiche ottimali rispetto a quelle umane anche perché nell’era tecnologica attuale, questo tipo di decisioni sarebbero non solo migliori ma più rapide, più razionali per il bene comune e meno connotate da pregiudizi con il risultato di risolvere in modo efficiente ed efficace le questioni irrisolvibili da parte delle politiche tradizionali. E tuttavia un approccio di questo genere trascura di considerare che non vi è alcuna certezza in merito al fatto che i dati elaborati dalle macchine riflettano la nostra realtà quotidiana e che se anche potessimo verificare e testare i dati usati dai sistemi di AI non siamo in grado di riprodurre il codice che governa tali sistemi rimanendo insondabile come essi possano affrontare realtà costituite essenzialmente da costrutti sociali e sostituire l’essere umano nei vari aspetti del processo decisionale democratico. Gli algoritmi di AI possono offrire soluzioni per problemi ben determinati ma ogni soluzione fondata su modelli tecnologici può non essere in linea con le diverse interpretazioni e con la complessità delle realtà delle società democratiche e pluralistiche. In questo contesto le macchine non possono mai sostituire integralmente gli esseri umani perché difettano di emozioni e di pensiero critico e sono incapaci di assumere decisioni in contesti che oltrepassino i loro parametri di programmazione tendendo ad affrontare i problemi in maniera uniforme a differenza degli esseri umani che vivono realtà soggettive diverse da individuo a individuo all’interno del contesto e delle costruzioni sociali del nostro mondo: ridurre la natura complessa del pluralismo politico-democratico ad un insieme di processi affidati alla dittatura logica delle macchine costituisce, dunque, un reale pericolo per la democrazia. Inoltre, l’idea di sostituire le decisioni politiche con decisioni basate su algoritmi di AI in ragione della supposta obiettività, velocità ed efficienza di tali decisioni si basa su di un errore di valutazione che ignora il fatto che, in ambito politico, la delega alle macchine di compiti di routine potrebbe, a lungo andare, ridurre la capacità critica e l’abilità nella soluzione dei problemi proprie dell’essere umano, producendo quel disimpegno dei cittadini dalla vita politica attiva che conduce, in ultima analisi, alla potenziale «de-democratization» delle moderne società[35] .
E dunque il ruolo delle tecnologie di AI non è quello di sostituirsi ai processi decisionali democratici ma quello di rafforzarli attraverso meccanismi che consentano il controllo umano sulle stesse quali la creazione di una cornice legale sufficientemente robusta che travalichi i confini nazionali a protezione dei valori democratici, dei diritti umani e dei principi etici, la promozione e il mantenimento di una governance efficace che si adatti con rapidità ai vorticosi sviluppi delle tecnologie emergenti e al loro impatto sulle società, l’utilizzo di piattaforme on-line che consentano ai cittadini di partecipare alla politica democratica in maniera consapevole e informata. Il Parlamento europeo con la Risoluzione del 3 maggio 2022 “L’Intelligenza Artificiale in un’era digitale”, nell’esaminare le opportunità, i rischi da affrontare e gli ostacoli che impediscono lo sfruttamento dei vantaggi dell’IA in alcuni dei casi d’uso più importanti (salute, Green Deal, politica esterna e sicurezza, competitività, futuro della democrazia e mercato del lavoro) ha evidenziato che «gli strumenti digitali stanno diventando sempre più un mezzo di manipolazione e abuso nelle mani di alcuni attori aziendali nonché di governi autocratici allo scopo di minare i sistemi politici democratici, portando così potenzialmente a uno scontro tra sistemi politici» e che (…) «lo spionaggio digitale, il sabotaggio, i conflitti su piccola scala e le campagne di disinformazione sfidano le società democratiche». In un’ottica di protezione del rischio, stante la difficoltà di prevedere anche per gli esperti i risultati dell’implementazione delle nuove tecnologie di IA, la Risoluzione suggerisce ai legislatori di regolamentarne l’uso tenendo in debita considerazione il principio di precauzione[36] facendo precedere tale regolamentazione da «un’analisi esaustiva della proporzionalità e della necessità» per evitare di ostacolare le imprese europee sul fronte dell’innovazione e della competitività. Il documento pone, inoltre, l’accento sui pericoli per i nostri sistemi democratici, per la salvaguardia dei diritti fondamentali e per l’autonomia dei cittadini che derivano dalle operazioni di profilazione[37] messe in atto dalle grandi piattaforme tecnologiche sottolineando come le tecniche di marketing basate su applicazioni di IA possano essere utilizzate «per interferenze straniere e per diffondere disinformazione e deepfake, fungendo da reti di propaganda, trolling e molestie con l’obiettivo di minare i processi elettorali»; questi ultimi, poi, possono anch’essi essere frutto di manipolazione inconsapevole degli elettori ai quali far giungere, attraverso un uso mirato dei dati personali compiuto dai sistemi di deep learning, messaggi di propaganda «personalizzati e convincenti». Con riferimento a quest’ultimo aspetto lo scandalo Cambridge Analytica, venuto a galla nel 2018 ma riferito a fatti verificatisi in epoca antecedente, una vicenda che ha coinvolto la piattaforma Facebook per aver consentito l’utilizzo illecito dei dati personali degli utenti per fini elettorali, ha ampiamente dimostrato come le preoccupazioni del Parlamento europeo non siano del tutto infondate.[38]
- L’IA e il problema della imputazione della responsabilità.
Si ripropone, dunque, l’eterno dilemma se privilegiare l’efficientismo delle macchine in vista del miglioramento della società in termini economici e sociali o propendere per una visione antropocentrica che bilanci lo sviluppo dell’innovazione con la protezione dei diritti fondamentali dell’individuo nel rispetto dei principi giuridici del nostro ordinamento quali la trasparenza, l’accessibilità, l’inclusività, l’affidabilità, la sicurezza e la non discriminazione. Comprendere quali compiti possano essere demandate ad una macchina e quali impongono il necessario intervento umano implica l’emergere di problemi giuridici di rilevante difficoltà. Si pensi, ad esempio, alla questione della responsabilità in caso di illeciti che ad oggi non ha trovato ancora una soluzione soddisfacente. La dottrina ha, a riguardo, avanzato diverse tesi invocando la responsabilità del produttore (art. 114, d.lgs. 206/2005), ma anche la responsabilità per l’esercizio di attività pericolose (art. 2050 c.c.), la responsabilità dei proprietari per i danni cagionati da animali (art. 2052 c.c.), la responsabilità in vigilando e in educando di genitori, tutori e maestri per i danni cagionati da fatti illeciti dei minori e degli allievi (art. 2048 c.c.), la responsabilità per il danno cagionato da cose in custodia (art. 2051 c.c.) e quella per la circolazione dei veicoli (art. 2054 c.c.), o ancora altre norme del Codice Civile in tema di responsabilità oggettiva o indiretta[39] .
Le macchine e così le armi e i veicoli a guida autonoma possono causare danni a persone e cose tanto più difficili da regolare in termini conseguenziali quanto più si ha a che fare con sistemi di intelligenza artificiale evoluti e “intelligenti”: in uno scenario di collisione inevitabile che determina il danno o addirittura il sacrificio di esseri umani il veicolo a guida autonoma, di fronte ad una scelta di tipo etico, che impone di valutare se privilegiare l’incolumità dei passeggeri a bordo o investire pedoni che stanno attraversando la strada, come si comporterà? E quali istruzioni dovranno essere fornite all’algoritmo per operare concretamente tale scelta? E’ un dilemma di natura morale che non può essere risolto neppure attribuendo alle macchine una sorta di soggettività giuridica come prospettato da alcuni commentatori similmente a quanto oggi accade per le persone giuridiche e per gli animali[40]:una tale attribuzione, anche se giuridicamente perseguibile, appare «foriera di complesse implicazioni filosofiche ed etiche, legate al riconoscimento di prerogative umane ad agenti diversi, dal momento che ciò comporterebbe il potenziale riconoscimento di una serie di diritti e doveri e le connesse problematiche», in particolare quelle connesse al diritto di autore a protezione delle opere d’arte o dei software, diritto che alla luce dell’attuale normativa, presuppone un autore umano[41] . La Risoluzione del Parlamento europeo del 16 febbraio 2017 recante raccomandazioni alla Commissione concernenti norme di diritto civile sulla robotica, nel richiamare le leggi di Asimov[42] e nell’auspicare che l’Unione europea svolga «un ruolo essenziale nella definizione dei principi etici fondamentali da rispettare per lo sviluppo, la programmazione e l’utilizzo di robot e dell’intelligenza artificiale e per l’inclusione di tali principi nelle normative e nei codici di condotta dell’Unione al fine di configurare la rivoluzione tecnologica in modo che essa serva l’umanità e affinché i benefici della robotica avanzata e dell’intelligenza artificiale siano ampiamente condivisi, evitando per quanto possibile potenziali insidie» definisce l’autonomia di un robot come «la capacità di prendere decisioni e metterle in atto nel mondo esterno, indipendentemente da un controllo o un’influenza esterna; (…) tale autonomia è di natura puramente tecnologica e il suo livello dipende dal grado di complessità con cui è stata progettata l’interazione di un robot con l’ambiente». Nell’ipotesi in cui un robot possa prendere decisioni autonome, la risoluzione riconosce che «le norme tradizionali non sono sufficienti per attivare la responsabilità per i danni causati da un robot, in quanto non consentirebbero di determinare qual è il soggetto cui incombe la responsabilità del risarcimento né di esigere da tale soggetto la riparazione dei danni causati» e ciò in quanto la direttiva 85/374/CE, modificata dalla direttiva 99/34/CE, sulla responsabilità per danni da prodotti difettosi, è applicabile unicamente qualora il danno derivi da difetti di fabbricazione del robot e a condizione che la persona danneggiata sia in grado di dimostrare il danno effettivo, il difetto nel prodotto e il nesso di causalità tra difetto e danno. Di qui una serie di suggerimenti indirizzati alla Commissione europea che si basano sull’idea di risolvere il problema della responsabilità per i danni causati da macchine sempre più “intelligenti” e dunque autonome assimilandole a “soggetti agenti” e non a prodotti ed istituendo un regime di assicurazione obbligatorio a largo raggio che dovrebbe essere integrato, come avviene per il regime assicurativo dei veicoli a motore, da un fondo che garantisca la possibilità di risarcire i danni anche in caso di assenza di copertura assicurativa. Secondo il PE, dovrebbe, inoltre, prevedersi uno «status giuridico specifico» che attribuisca ai robot autonomi la personalità elettronica in modo da consentire l’imputazione di responsabilità ed il conseguente risarcimento per i danni da essi causati. Nelle raccomandazioni allegate alla richiesta alla Commissione di elaborare una direttiva relativa a norme di diritto civile sulla robotica si legge, infine, tra l’altro che «il futuro strumento legislativo dovrebbe essere fondato su una valutazione approfondita della Commissione che stabilisca se applicare l’approccio della responsabilità oggettiva o della gestione dei rischi» e che «qualunque decisione politica relativa alle norme sulla responsabilità civile applicabili ai robot e all’intelligenza artificiale dovrebbe essere presa di concerto con un progetto di ricerca e sviluppo di portata europea dedicato alla robotica e alla neuroscienza, con scienziati ed esperti in grado di valutarne tutti i rischi correlati e le possibili conseguenze»[43]. La Carta sulla robotica approvata con la risoluzione in parola contiene, poi, una proposta di codice etico-deontologico per gli ingegneri robotici, un codice per i comitati etici di ricerca(CER), una licenza per i progettisti e una licenza per gli utenti, documenti, questi, tutti finalizzati a garantire il rispetto di principi etici fondamentali nella fase di progettazione e di sviluppo nel settore della robotica. Successivamente, nell’ambito della strategia per un approccio coordinato dell’IA[44], l’Unione Europea ha messo a punto un pacchetto di iniziative volte alla diffusione di un’IA affidabile che si fa carico, tra l’altro, delle preoccupazioni emerse a seguito di un’indagine dalla quale è risultato che la responsabilità civile è uno dei tre ostacoli esterni per l’uso di sistemi di IA per il 33% del complesso delle imprese europee mentre rappresenta l’ostacolo più rilevante per il 43% delle imprese che non hanno ancora adottato tali tecnologie e hanno intenzione di farlo nei prossimi anni[45] . A tale riguardo il Parlamento europeo nella Risoluzione del 20 ottobre 2020 recante raccomandazioni alla Commissione su un regime di responsabilità civile per l’intelligenza artificiale (2020/2014(INL))[46] ha osservato che «tutte le attività, i dispositivi o i processi fisici o virtuali che sono guidati da sistemi di IA possono essere tecnicamente la causa diretta o indiretta di danni o pregiudizi, ma sono quasi sempre il risultato della creazione, della diffusione o dell’interferenza con i sistemi da parte di qualcuno»; di conseguenza «non è necessario conferire personalità giuridica ai sistemi di IA» in quanto la questione relativa alla difficoltà di ricondurre il danno a specifici input umani può essere risolta «considerando responsabili le varie persone nella catena del valore che creano il sistema di IA, ne eseguono la manutenzione o ne controllano i rischi associati». Il PE collega, quindi, la responsabilità dell’operatore al rischio associato alla gestione di sistemi di IA e in tale ottica propone di rivedere la direttiva sulla responsabilità per danno da prodotti difettosi «per adattarla al mondo digitale e per affrontare le sfide poste dalle tecnologie digitali emergenti» ritenendo ragionevole istituire un regime comune di responsabilità oggettiva per i sistemi di IA autonomi ad alto rischio che hanno un elevato potenziale di causare danni a una o più persone in un modo, al momento attuale, è del tutto casuale e imprevedibile; i sistemi di IA non ad alto rischio dovrebbero, invece, continuare a essere assoggettati ad un regime di responsabilità per colpa con presunzione di colpa a carico dell’operatore che può esonerarsi dalla stessa dimostrando di avere rispettato l’obbligo di diligenza. Tutti gli operatori di sistemi di IA ad alto rischio dovrebbero, infine, essere in possesso di un’assicurazione di responsabilità civile ritenuta «essenziale anche per garantire al pubblico di potersi fidare della nuova tecnologia nonostante la possibilità di subire danni o di affrontare azioni legali intentate dalle persone interessate». Sulla base delle raccomandazioni formulate nella citata risoluzione, la Commissione è stata incaricata di presentare una proposta di regolamento sulla responsabilità per il funzionamento dei sistemi di intelligenza artificiale.
- La proposta di direttiva europea sulla responsabilità per i danni da intelligenza artificiale.
La Commissione europea, anziché ricorrere al regolamento ritenuto troppo vincolante e stringente per il settore della responsabilità extracontrattuale caratterizzato da tradizioni giuridiche di lunga data in ciascuno degli Stati membri, ha pertanto scelto lo strumento della direttiva che «garantisce l’effetto di armonizzazione e la certezza del diritto auspicati, prevedendo nel contempo la flessibilità per consentire agli Stati membri di integrare le misure armonizzate senza attriti nei rispettivi regimi nazionali di responsabilità» ed ha elaborato in data 28 settembre 2022 una proposta di Direttiva del Parlamento europeo e del Consiglio relativa all’adeguamento delle norme in materia di responsabilità civile extracontrattuale all’intelligenza artificiale (direttiva sulla responsabilità da intelligenza artificiale)[47] in coerenza con il piano di azione relativo allo sviluppo dell’IA che comprende sia la proposta per l’AI Act[48], che la revisione della normativa in materia di sicurezza dei prodotti[49] .
Si tratta di aspetti tra di loro interconnessi in quanto mentre l’AI Act mira a ridurre i rischi per la sicurezza e a tutelare i diritti fondamentali, la proposta di direttiva in parola ha lo scopo di migliorare il funzionamento del mercato interno armonizzando il regime di responsabilità applicabile nei casi in cui i sistemi di IA causino danni, siano essi sistemi ad alto o a basso rischio[50].
Il memorandum esplicativo che accompagna il testo della proposta specifica che le norme nazionali vigenti in materia di responsabilità, in particolare per colpa, non sono adatte a gestire le azioni di responsabilità per danni causati da prodotti e servizi basati sull’IA e che le norme unionali attualmente in essere prevedono requisiti mirati a prevenire, monitorare e affrontare rischi al fine di contenere e prevenire i danni causati da sistemi di IA ma non prevedono rimedi e/o misure risarcitorie in favore di coloro che hanno subito danni dall’output o dalla mancata produzione di un output prodotto da un sistema. Queste circostanze, in considerazione delle caratteristiche specifiche dell’IA, tra cui la complessità, l’autonomia e l’opacità (il cosiddetto effetto “scatola nera”), potrebbero rendere difficile o eccessivamente oneroso per i danneggiati identificare i responsabili e dimostrare la sussistenza dei requisiti necessari per un’azione basata sulla responsabilità extracontrattuale; al fine di cogliere i vantaggi economici e sociali dell’IA e promuovere fiducia nei prodotti e servizi delle nuove tecnologie digitali è necessario garantire che coloro che subiscono un danno causato con il concorso dell’IA ricevano un risarcimento effettivo del danno in misura equivalente a quello riconosciuto ai danneggiati da altre tecnologie. Le proposte politiche della Commissione si muovono nel segno di un «approccio olistico» al tema della responsabilità prevedendo, da un lato, l’adeguamento della direttiva sulla responsabilità per danno da prodotti difettosi che riguarda la responsabilità oggettiva del produttore e, dall’altro, le azioni di responsabilità a livello nazionale, principalmente per colpa di una persona, con l’obiettivo di risarcire qualsiasi tipo di danno e qualsiasi tipo di danneggiato. Le misure previste sono complementari e costituiscono, nel loro insieme, un «sistema generale di responsabilità civile efficace».
La Commissione stima peraltro, sulla base di uno studio economico ad hoc, che «misure di armonizzazione mirate in materia di responsabilità civile per l’IA avrebbero un impatto positivo compreso, secondo una stima prudente, tra il 5 e il 7 % sul valore di produzione dei pertinenti scambi transfrontalieri rispetto allo scenario di riferimento», un valore aggiunto che sarebbe generato in particolare mediante «una minore frammentazione e una maggiore certezza del diritto per quanto riguarda l’esposizione alla responsabilità civile dei portatori di interessi». La proposta di Direttiva mira ad alleggerire l’onere della prova per il danneggiato attraverso due strumenti: il ricorso a presunzioni relative e alla divulgazione. Il primo strumento è volto a semplificare per i danneggiati la prova del nesso causale tra la colpa del convenuto-danneggiante e l’output prodotto dal sistema di IA o la mancata produzione di un output da parte del sistema di IA che ha cagionato il danno sempre che sussistano tutte le condizioni a dimostrazione della colpa del convenuto (inosservanza dell’obbligo di diligenza stabilito dal diritto dell’Unione o nazionale, direttamente inteso a proteggere dal danno verificatosi; condotta colposa che, in base alle circostanze del caso, sia ritenuta ragionevolmente incidente sull’output prodotto dal sistema o sull’incapacità dello stesso di produrre un output; dimostrazione da parte dell’attore che l’output prodotto dal sistema di IA o l’incapacità del sistema di IA di produrre un output abbia causato il danno).
La presunzione di causalità si atteggia, poi, diversamente a seconda che si tratti o meno di sistemi ad alto rischio: nel primo caso, infatti, tale presunzione è limitata alla ipotesi in cui il fornitore, tenendo conto delle misure adottate nel quadro del sistema di gestione dei rischi e dei risultati di tale sistema, non rispetti i requisiti previsti dall’AI Act; inoltre, la presunzione di causalità non è applicabile se il convenuto dimostra che l’attore abbia avuto a disposizione prove e competenze sufficienti per dimostrare il nesso di causalità. Se, invece, la domanda di risarcimento riguarda sistemi non ad alto rischio, la presunzione di causalità si applica solo se il giudice ritenga eccessivamente difficile per l’attore dimostrare l’esistenza del nesso di causalità tra la colpa e il funzionamento o mancato funzionamento del sistema.
La Direttiva si orienta dunque verso un approccio di armonizzazione minimo che non si spinge sino a disporre un’inversione dell’onere della prova in capo ai danneggianti (fornitori o produttori del sistema di IA), inversione che determinerebbe rischi significativi in relazione all’adozione e circolazione dei prodotti e servizi basati sull’intelligenza artificiale, ferma rimanendo la possibilità che l’attore possa eventualmente invocare norme nazionali più favorevoli nel quadro di una diversa regolamentazione della responsabilità per colpa.
Il secondo strumento previsto, e cioè lo strumento della divulgazione, consente inoltre al danneggiato-attore di chiedere informazioni sui sistemi di IA ad alto rischio[51] che devono essere oggetto di registrazione/documentazione a norma dell’AI Act e, in caso di rifiuto opposto alla richiesta, attribuisce agli organi giurisdizionali nazionali il potere di ordinare la divulgazione di elementi di prova da parte del fornitore o altro soggetto tenuto ai medesimi obblighi del fornitore, elementi di prova dei quali è possibile chiedere la conservazione.
La direttiva prevede la possibilità di ordinare la divulgazione degli elementi di prova solo se l’attore ha previamente compiuto ogni sforzo per ottenere tali elementi dal convenuto limitandone l’estensione «a quanto necessario e proporzionato per sostenere una domanda o una potenziale domanda di risarcimento del danno». La dottrina ha evidenziato come questa “apertura di credito” nei confronti del soggetto attore, sia pure circondata da cautele in ordine all’effettiva esperibilità, rappresenti un istituto latamente riconducibile al principio di trasparenza al fine di verificare «se quanto eseguito da una macchina sia attribuibile allo sviluppatore, al programmatore, al produttore, all’utente, finanche, qualora fosse riconosciuta soggettività e capacità giuridica, alla macchina stessa nel caso avesse agito superando il linguaggio di programmazione originale»[52] .
Da notare, inoltre, come, in tema di proporzionalità dell’ordine di divulgazione/conservazione, la proposta di direttiva miri a salvaguardare i legittimi interessi di tutte le parti coinvolte nell’azione di risarcimento, con particolare riferimento alla tutela dei segreti commerciali ai sensi della direttiva UE 2016/943 (direttiva cd. “trade secret”)[53] prevedendo, in particolare, che nel caso di divulgazione di un segreto commerciale o presunto tale, indicato come riservato in un procedimento giudiziario ex art.9, par. 1 della citata direttiva[54], le autorità giurisdizionali nazionali siano autorizzate ad adottare misure specifiche necessarie a preservarne la riservatezza.
La possibilità di “comprendere” il meccanismo di funzionamento della macchina mette in luce una questione dirimente in punto di diritto e cioè la necessità del bilanciamento tra il diritto alla trasparenza, intesa come spiegabilità dell’algoritmo, e altri diritti costituzionalmente garantiti, tutti meritevoli di tutela da parte dell’ordinamento giuridico, quali il diritto di autore e di proprietà industriale. È significativo a riguardo che l’art.2 della legge sul diritto di autore[55] preveda espressamente che siano oggetto di protezione normativa anche «i programmi per elaboratore, in qualsiasi forma espressi, purché originali, quale risultato di creazione intellettuale dell’autore» comprendendo nel termine programma anche «il materiale preparatorio per la progettazione del programma stesso» e dunque anche l’algoritmo che governa il software, sempre che l’algoritmo sia dotato del carattere dell’originalità.
Si ritiene, inoltre, che, nonostante il Codice della proprietà industriale[56] non contempli un’analoga disposizione, debba riconoscersi la possibilità di chiederne il brevetto qualora l’algoritmo costituisca di per sé un’invenzione industriale o parte di essa[57] .
- L’accesso al codice sorgente dell’algoritmo e il contrapposto diritto di proprietà del software negli orientamenti del giudice amministrativo.
La protezione del diritto d’autore si intreccia inevitabilmente con la questione relativa all’accessibilità del codice sorgente del software che, nel linguaggio informatico, è rappresentato dal testo di un algoritmo di calcolo scritto in un linguaggio di programmazione volto a definire il flusso di esecuzione del programma. Sul punto la giurisprudenza amministrativa ha sinora mantenuto una linea uniforme accogliendo i ricorsi presentati nell’ambito dei procedimenti amministrativi attuativi della Legge n.107/2015 (cd. della Buona Scuola)[58] e consentendo l’accesso ex art.22 della Legge n.241/1990 ai codici sorgente dell’algoritmo sottostante al software, di proprietà privata, utilizzato dal Ministero della Pubblica Istruzione per procedere, stante la mole delle domande presentate, all’attribuzione delle cattedre ai docenti, di prima assegnazione o in mobilità.
Preliminarmente il giudice amministrativo si è posto il problema se i codici sorgente, alla luce delle disposizioni di cui alla legge n.241/1990, potessero essere qualificati alla stregua di un documento amministrativo o, comunque, di una sua rappresentazione informatica, giungendo alla conclusione che «sotto l’indicato specifico profilo del procedimento amministrativo e dell’accesso alla documentazione amministrativa, il tenore testuale della lett. d) dell’art. 22 della legge n. 241 del 1990, come modificata e integrata dalla legge n. 15 del 2005, conduce a una nozione particolarmente estesa dell’atto amministrativo informatico, che tiene, pertanto, conto della sostanziale valenza amministrativa del documento piuttosto che della sua provenienza, atteso che è specificatamente previsto che sono ricompresi nella relativa nozione anche gli atti di natura privata quanto alla relativa disciplina sostanziale che, tuttavia, si inseriscono e utilizzano nell’ambito e per le finalità di attività a rilevanza pubblicistica, ossia gli atti funzionali all’interesse pubblico; deve, inoltre, ritenersi che vi sono, inoltre, ricompresi gli atti cd. endoprocedimentali, ossia gli atti che si inseriscono all’interno del procedimento e rappresentano i singoli passaggi del relativo iter e che sono funzionalizzati all’adozione del provvedimento finale nonché anche gli atti cd. interni, ossia gli atti attraverso i quali l’amministrazione organizza la propria attività procedimentale. La nozione di documento amministrativo informatico è, pertanto, di estrema rilevanza ai fini della esatta definizione del perimetro oggettivo di esercizio del diritto all’accesso alla documentazione amministrativa ai sensi della richiamata legge n. 241 del 1990»[59] .
La qualificazione del codice sorgente come “atto amministrativo informatico” ha consentito, quindi, al giudice amministrativo di concludere in favore dell’ostensibilità del codice sorgente in quanto, seppure acquisito all’esito di una procedura ad evidenza pubblica e dunque oggetto di una contrattazione di tipo privatistico, «l’algoritmo è diretta espressione dell’attività svolta dalla pubblica amministrazione che è indubbiamente attività di pubblico interesse in quanto interessante l’organizzazione del servizio pubblico rappresentato dalla pubblica istruzione e, infatti, il predetto algoritmo è entrato nella procedura quale elemento decisivo e lo stesso è, comunque, stabilmente detenuto dalla stessa amministrazione ministeriale che lo ha commissionato e, quindi, utilizzato per le proprie finalità»[60] .
Secondo questa impostazione, all’interesse dei ricorrenti di conoscere il codice sorgente del programma, non sono opponibili né le ragioni di riservatezza addotte in giudizio dall’amministrazione e fondate sul rilievo che la conoscenza del “codice sorgente” determinerebbe la vulnerabilità del programma con dirette conseguenze in ordine alla riservatezza, regolarità e validità della procedura concorsuale, né eventuali supposte violazioni del diritto di proprietà del creatore del software. Quest’ultimo aspetto si ricollega agli artt. 68 e 69 del Codice dell’amministrazione digitale (Decreto Legislativo 7 marzo 2005, n.82) che prevedono la titolarità dei programmi informatici realizzati su commissione dell’amministrazione[61] e la possibilità di ricorrere a programmi informatici di tipo proprietario solo all’esito di una valutazione comparativa di tipo tecnico ed economico che, alla luce dei criteri dettati dalla normativa stessa e secondo le modalità definite dall’AgID[62], dimostri l’impossibilità di accedere a soluzioni già disponibili all’interno della pubblica amministrazione o a software liberi o a codici sorgente aperto[63] .
Laddove dunque l’amministrazione si avvalga di soluzioni di tipo proprietario che lasciano all’appaltatore la disponibilità dei diritti di proprietà intellettuale sul codice sorgente, si pone la questione di valutare se l’orientamento del giudice amministrativo di accordarne l’ostensione, sempre e comunque, sia l’unica possibile alla luce del bilanciamento tra diritti fondamentali contrapposti, risulti coerente con il principio di principio di proporzionalità e sia effettivamente efficace ai fini della reale comprensione del funzionamento dell’algoritmo in ragione del tipo di sistema utilizzato.
La dottrina ha, infatti, evidenziato che tale orientamento è testualmente smentito dal tenore degli artt. 68 e 69 del CAD secondo i quali la disponibilità dei codici sorgenti in capo alla p.a. non è conseguenza necessaria ed automatica dell’espletamento di ogni procedura di acquisizione del software, ma è il risultato eventuale di una scelta tecnico-economica rimessa alla discrezionalità della pubblica amministrazione committente, che, in assenza di alternativa per soluzioni open source che consentono la condivisione e il riuso dei programmi informatici, può propendere per soluzioni che lascino la disponibilità dei sorgenti in via esclusiva all’appaltatore. Si è inoltre rilevato che, alla luce del quadro normativo europeo[64], il codice sorgente dovrebbe essere accompagnato dalle informazioni inerenti il funzionamento del sistema e soprattutto che «nel caso di utilizzo di un algoritmo di apprendimento, (…), conoscere il codice sorgente non reca alcuna piena utilità, perché il codice rappresenta solo il punto di partenza del funzionamento dell’algoritmo risultando necessario, per conoscere come è stata assunta la decisione, anche avere i dati di addestramento, la storia di training cui è stata sottoposta la macchina, la sua esperienza, cosa che allo stato attuale della ricerca non è possibile. In questo caso ordinare l’ostensione del codice sorgente senza che sia possibile ottenere il resto dei dati e informazioni potrebbe rappresentare un sacrificio eccessivo e inutilmente limitante gli interessi di privativa intellettuale, considerato che l’ostensione non assicurerebbe una maggiore trasparenza ai fini della scelta effettuata»[65] .
Per il futuro l’auspicio è che il giudice amministrativo, prima di ordinare l’accesso al codice sorgente, si spinga ad indagare anche altre soluzioni possibili che, nel rispetto del principio di proporzionalità, siano in grado di bilanciare il diritto alla trasparenza dell’algoritmo senza penalizzare eccessivamente il diritto di proprietà intellettuale del privato appaltatore. Così, la conoscenza del codice sorgente, potrebbe essere garantita «in caso di sistemi algoritmici i cui codici sorgente fanno capo direttamente all’amministrazione mentre in caso di software proprietari, al fine di assicurare la tutela del diritto di proprietà intellettuale, potrebbero essere messe a disposizione preliminarmente le informazioni o i dati utilizzati che possono dare contezza di come sia stata effettuata la scelta amministrativa e giungere ad accordare l’accesso al codice sorgente solo nelle ipotesi in cui le informazioni riguardanti la scelta effettuata non siano rese disponibili o risultino comunque poco chiare. Ancor di più questa scelta andrebbe valutata quando di tratta di machine learning ipotesi in cui la conoscenza del codice sorgente rischia di risultare comunque inutile ai fini della trasparenza della scelta amministrativa»[66] .
- La legge europea sull’IA (AI ACT).
Come si è visto in precedenza, le proposte di regolamentazione della responsabilità civile in relazione all’utilizzo di sistemi di IA, fanno riferimento all’Artificial Intelligence Act (legge sull’Intelligenza Artificiale), il Regolamento europeo, (Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024) che, partito dalla proposta della Commissione europea presentata nel 2021 [67] , è entrato in vigore il 1 agosto 2024 dopo la pubblicazione nella GUE del 12 luglio scorso e diventerà pienamente operativo solo ad agosto del 2026, fatte salve le previsioni di entrata in vigore anticipata (agosto 2025) o posticipata (agosto 2027) dettate dall’art.113 del Regolamento stesso.
In via preliminare, gli sforzi delle istituzioni europee si sono appuntati sul raggiungimento di un accordo che definisse con sufficiente chiarezza l’ambito di applicazione dell’IA. Ebbene, in un primo momento la definizione di “sistema di intelligenza artificiale (sistema di I.A.)” identificava «(…) un sistema progettato per funzionare con elementi di autonomia e che, sulla base di dati e input forniti da macchine e/o dall’uomo, deduce come raggiungere una determinata serie di obiettivi avvalendosi di approcci di apprendimento automatico e/o basati sulla logica e sulla conoscenza, e produce output generati dal sistema quali contenuti (sistemi di IA generativi), previsioni, raccomandazioni o decisioni, che influenzano gli ambienti con cui il sistema di IA interagisce».
La formulazione finale è stata poi ulteriormente modulata nel modo seguente intendendosi per “sistema di IA” «: un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali» [68] .
Tale definizione appare allineata a quella contenuta nella Raccomandazione del Consiglio dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) sull’intelligenza artificiale adottata il 22/05/2019 e aggiornata l’8/11/2023, secondo cui «Un sistema di AI è un sistema basato su una macchina che, per obiettivi espliciti o impliciti, deduce, dagli input ricevuti, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali. I diversi sistemi di IA variano nei loro livelli di autonomia e adattabilità dopo l’implementazione». Il testo originario della proposta della Commissione faceva invece riferimento ad «un “software” sviluppato con una o più delle tecniche e degli approcci elencati nell’allegato I, che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono». L’allegato 1, ora soppresso, definiva a sua volta le tecniche e gli approcci di I.A. distinguendo tra approcci di machine learning e di deep learning[69]. Il Regolamento si prefigge l’obiettivo di «migliorare il funzionamento del mercato interno e promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea, compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente, contro gli effetti nocivi dei sistemi di intelligenza artificiale (sistemi di IA) nell’Unione e promuovendo l’innovazione»(Art.1, c.1).
Nella scia dei numerosi documenti che hanno preceduto la proposta della Commissione europea[70], emerge l’accento sulla finalità di sviluppare un’intelligenza artificiale affidabile che salvaguardi i diritti fondamentali e al tempo stesso sia in grado di armonizzare adeguatamente le regole per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA all’interno dell’Unione evitando la frammentazione regolatoria e assicurando la certezza del diritto senza limitare o ostacolare lo sviluppo tecnologico[71] .
A tale riguardo, è opportuno segnalare che, considerate le difficoltà di elaborare un concetto di intelligenza artificiale “affidabile”, il testo della proposta è stata preceduta dal lavoro di un gruppo di esperti (AI HLEG acronimo di High Level Expert) incaricato appositamente dalla Commissione europea. Il gruppo di esperti ha prodotto diversi documenti, tra i quali[72], gli “Orientamenti etici per un’IA affidabile” resi pubblici l’8 aprile 2019, che individuano tre componenti per promuovere un’IA affidabile: a) la legalità, in base alla quale l’IA deve ottemperare a tutte le leggi e ai regolamenti applicabili, b)l’eticità, e cioè l’adesione a principi e valori etici che l’IA deve assicurare, e c ) la robustezza, dal punto di vista tecnico e sociale poiché, anche con le migliori intenzioni, i sistemi di IA possono causare danni non intenzionali. Ciascuna di tali componenti costituisce un elemento necessario ma non sufficiente in quanto le tre componenti dovrebbero operare armonicamente, anche in sovrapposizione tra di loro. Nel contesto dei sistemi di un’IA antropocentrica il rispetto dell’autonomia umana, la prevenzione dei danni, l’equità e l’esplicabilità sono i principi etici che trovano fondamento nei diritti fondamentali tratti dal diritto internazionale, dai Trattati UE e dalla Carta dei diritti fondamentali dell’Unione europea[73], ed ai quali gli operatori del settore devono aderire per garantire l’eticità e la robustezza dei sistemi stessi.
Tali principi, definiti come imperativi etici, sono in larga misura già presenti nelle vigenti disposizioni giuridiche vigenti rappresentando, quindi, elementi che rientrano anche nell’ambito della componente della legalità, ma, come affermato dal gruppo di esperti, «anche se molti obblighi giuridici riflettono principi etici, l’adesione ai principi etici va oltre il rispetto formale del diritto vigente»[74] .
Fatta questa premessa, il documento elenca i sette requisiti per un’IA affidabile basati sui diritti fondamentali, che dovrebbero essere tradotti in requisiti concreti da parte dei portatori di interessi che partecipano al ciclo di vita del sistema di IA [75] (intervento e sorveglianza umani, robustezza tecnica e sicurezza, riservatezza e governance dei dati, trasparenza, diversità, non discriminazione ed equità, benessere ambientale e sociale e accountability). Il primo di tali requisiti e cioè l’intervento e la sorveglianza umana (Human in the loop) rappresenta l’esplicazione del principio del rispetto dell’autonomia umana nel rapporto con l’IA: «gli esseri umani che interagiscono con i sistemi di IA devono poter mantenere la propria piena ed effettiva autodeterminazione e devono poter essere partecipi del processo democratico. I sistemi di IA non devono subordinare, costringere, ingannare, manipolare, condizionare o aggregare in modo ingiustificato gli esseri umani. Al contrario, devono essere progettati per aumentare, integrare e potenziare le abilità cognitive, sociali e culturali umane. La distribuzione delle funzioni tra esseri umani e sistemi di IA dovrebbe seguire i principi di progettazione antropocentrica e lasciare ampie opportunità di scelta all’essere umano»[76] .
La sorveglianza umana è comunque un “principio a geometria variabile”[77] dipendendo dal grado di autonomia e affidabilità della macchina in rapporto al tipo di rischio che viene in rilievo nel caso concreto e presenta diversi livelli di intensità[78]: l’approccio con intervento umano (Human in the loop – HITL) rappresenta il modello più garantista, prevedendo la possibilità di intervento umano in ogni ciclo decisionale del sistema, che in molti casi non è né possibile né auspicabile. L’approccio con supervisione umana (human-on-the-loop-HOTL) prevede l’intervento umano durante il ciclo di progettazione del sistema e il monitoraggio del funzionamento del sistema; infine, l’approccio con controllo umano ( human-in-command – HIC) prevede il controllo dell’attività del sistema di IA nel suo complesso (compresi i suoi effetti generali a livello economico, sociale, giuridico ed etico) e la capacità di decidere quando e come utilizzare il sistema in qualsiasi particolare situazione[79].
Nel Considerando 73 del Regolamento si afferma espressamente che «I sistemi di IA ad alto rischio dovrebbero essere progettati e sviluppati in modo da consentire alle persone fisiche di sorvegliarne il funzionamento, garantire che siano utilizzati come previsto e che i loro impatti siano affrontati durante il ciclo di vita del sistema. Il fornitore del sistema dovrebbe a tal fine individuare misure di sorveglianza umana adeguate prima dell’immissione del sistema sul mercato o della sua messa in servizio. Tali misure dovrebbero in particolare garantire, ove opportuno, che il sistema sia soggetto a vincoli operativi intrinseci che il sistema stesso non può annullare e che risponda all’operatore umano, e che le persone fisiche alle quali è stata affidata la sorveglianza umana dispongano delle competenze, della formazione e dell’autorità necessarie per svolgere tale ruolo». Quest’ultima affermazione si traduce nel concetto di “alfabetizzazione” che (art.3, punto 56) indica il complesso delle competenze, delle conoscenze e la comprensione che consentono ai fornitori, ai deployer (utilizzatori) e alle persone interessate, «di procedere a una diffusione informata dei sistemi di IA, nonché di acquisire consapevolezza in merito alle opportunità e ai rischi dell’IA e ai possibili danni che essa può causare» e che impone ai fornitori ed ai deployer (art.4) di adottare «misure per garantire nella misura del possibile un livello sufficiente di alfabetizzazione in materia di IA del loro personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA per loro conto, prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione nonché il contesto in cui i sistemi di IA devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone su cui i sistemi di IA devono essere utilizzati». Il regolamento dedica particolare attenzione al requisito della sorveglianza umana nei sistemi di IA ad alto rischio, come definiti dall’art.6, prevedendo (art.14) che essi siano «progettati e sviluppati, anche con strumenti di interfaccia uomo-macchina adeguati, in modo tale da poter essere efficacemente supervisionati da persone fisiche durante il periodo in cui sono in uso». A tal fine il fornitore prima di immettere sul mercato o prima della messa in servizio di sistemi ad alto rischio deve adottare obbligatoriamente misure di sorveglianza, commisurate ai rischi, al livello di autonomia e al contesto di utilizzo del sistema, integrandole nel sistema ovvero, qualora ciò non sia tecnicamente possibile, individuandole come adatte ad essere attuate dall’utilizzatore. La sorveglianza umana implica che le persone fisiche che la svolgono abbiano la possibilità di comprendere le capacità e i limiti della macchina e siano in grado di individuare e affrontare anomalie, disfunzioni e prestazioni inattese; il grado di consapevolezza richiesto comprende anche l’essere edotti in merito alla “cd. distorsione dell’automazione” e cioè la tendenza a fare automaticamente affidamento o riporre eccessivo affidamento sull’output del sistema, tendenza particolarmente incisiva per i sistemi ad alto rischio utilizzati per fornire informazioni o raccomandazioni per le decisioni che devono essere prese da persone fisiche. In relazione alle circostanze del caso si può, inoltre, arrivare a decidere di non usare o di ignorare, annullare o ribaltare gli output del sistema, sino ad interromperne il funzionamento «mediante un pulsante di “arresto” o una procedura analoga che consenta al sistema di arrestarsi in condizioni di sicurezza» .
- La valutazione di impatto sui diritti fondamentali (FRIA).
Oltre al principio della sorveglianza umana, anche gli altri requisiti indicati dal gruppo di esperti dell’AI HLEG sono stati recepiti nel testo del regolamento[80] e ciò prova la determinazione delle istituzioni europee nel perseguire lo sviluppo dell’IA all’interno di un quadro etico[81] e giuridico che ponga al primo posto l’interesse alla salvaguardia dei diritti fondamentali degli individui che potrebbero essere compromessi da sistemi di IA classificabili come ad alto rischio[82] .
A tale proposito è significativo che nel passaggio al Parlamento europeo il testo della proposta si sia arricchito della previsione di un nuovo adempimento, la valutazione d’impatto sui diritti fondamentali (in abbreviato FRIA acronimo di Fundamental Rights Impact Assessment) che, ai sensi dell’art.27, riguarda specifiche categorie di utilizzatori (deployer) dei sistemi ad alto rischio di cui all’art.6, paragrafo 2 del Regolamento[83], ad eccezione dei sistemi di IA utilizzati come componenti di sicurezza nella gestione e nel funzionamento delle infrastrutture digitali critiche, del traffico stradale e della fornitura di acqua, gas, riscaldamento ed elettricità (punto 2 dell’Allegato III al Regolamento). I destinatari dell’obbligo sono, infatti, gli organismi di diritto pubblico, i soggetti privati che forniscono servizi pubblici e gli operatori che erogano servizi bancari e assicurativi, questi ultimi limitatamente ai sistemi di cui all’allegato III, punto 5, lettere b) e c)[84] .
Quanto all’ambito di operatività la FRIA costituisce un adempimento ulteriore e distinto rispetto alla valutazione di conformità che l’art.3, punto 20 del Regolamento definisce come «la procedura atta a dimostrare se i requisiti di cui al capo II, sezione 2, relativi a un sistema di IA ad alto rischio sono stati soddisfatti».
Quest’ultima si basa su una verifica documentata che accerti, prima dell’immissione sul mercato, la sussistenza delle caratteristiche di conformità, robustezza e tracciabilità e impone ai fornitori e agli sviluppatori di tali sistemi una serie di obblighi quali l’adozione di un sistema di rischi, la realizzazione di prove dei sistemi in condizioni reali e il testing con set di dati sufficientemente rappresentativi per ridurre al minimo il rischio di distorsioni inique nel modello, la tenuta e l’aggiornamento di documentazione tecnica, la registrazione automatica degli utilizzi del sistema, la trasparenza verso gli utenti e la loro formazione al corretto utilizzo del sistema, la supervisione umana, volta a comprendere le capacità e i limiti del sistema, a cogliere per tempo un eventuale eccessivo affidamento all’automazione, a interpretare e se del caso ignorare o ribaltare l’output dato dal sistema, ecc.
Com’è noto, infatti, l’architettura dell’AI Act si basa sul cd. risk based approach, un modello regolatorio utilizzato dell’Unione europea in occasione della Strategia per il mercato unico digitale in Europa[85] , un modello secondo il quale le misure di mitigazione del rischio sono tanto più rilevanti quanto più alta è la gravità del rischio derivante dal sistema, intendendosi per «rischio» (art.3, punto 2) «la combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso».
Tanto premesso, il legislatore europeo individua a monte tre categorie di rischio: a) rischio inaccettabile che comporta la proibizione delle pratiche di IA; b) rischio alto che riguarda i sistemi suscettibili di provocare un rischio significativo per la salute, la sicurezza o i diritti fondamentali delle persone fisiche; rischio basso o minimo (es. videogiochi o filtri antispam) che si riferiscono a sistemi esentati da obblighi normativi in quanto privi di pericolo per i cittadini per i quali l’IA Act incentiva i fornitori ad aderire volontariamente a codici di condotta specialmente quando sussista un rischio evidente di manipolazione[86] .
La “piramide” del rischio così risultante si fonda sulla proporzionalità e sul bilanciamento tra l’interesse economico alla costruzione di un mercato unico digitale e l’interesse alla protezione dei diritti e delle libertà fondamentali degli individui: in sostanza, i principi ispiratori dell’AI Act sono gli stessi che orientano il quadro normativo in materia di mercato unico digitale anche se la dottrina ha segnalato come il meccanismo della gestione del rischio adottata dall’AI Act, secondo cui l’identificazione della categoria di rischio anziché essere affidata ai destinatari del regolamento è effettuata a monte dal legislatore (cd. prospettiva top-down), sia opposto a quello del GDPR e del Digital Service Ac[87] .
Ebbene, in tale contesto la valutazione di impatto sui diritti fondamentali (FRIA) risponde allo scopo di identificare preventivamente i potenziali rischi derivanti dall’utilizzo dell’IA con l’obiettivo di mitigarli prima che possano prodursi condividendo, sotto questo aspetto, l’istituto della valutazione di impatto sulla protezione dei dati personali (DPIA acronimo di Data Protection Impact Assessment) di cui all’art.35 del GDPR.
Se dunque identico è l’obiettivo, diverso è il campo di applicazione dei due istituti: mentre la DPIA è obbligatoria per tutti i titolari di trattamenti di dati personali che possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche, specialmente quelli che prevedono l’uso di nuove tecnologie, e si concentra sulla protezione dei dati personali, la FRIA che, come si è visto, incombe su particolari categorie di deployer, deve essere effettuata in relazione alla natura del sistema (ad alto rischio) indipendentemente dal fatto che l’utilizzo dello stesso comporti o meno un trattamento di dati personali ed ha un ambito più vasto includendo tutti i diritti fondamentali potenzialmente impattati dall’uso di IA.
In verità, l’ampiezza dello spettro di applicazione della FRIA rispetto alla DPIA è solo apparente: come si è osservato, infatti, soprattutto se la si effettua con riferimento a sistemi di IA, occorre guardare più lontano[88]. In primo luogo, «la DPIA non indaga solo i rischi elevati che un trattamento può determinare per il diritto alla protezione dei dati personali, ma più in generale i rischi elevati, derivanti da quel trattamento, per tutti i diritti e tutte le libertà»; secondariamente, sarebbe riduttivo affermare che la DPIA deve occuparsi solo degli impatti sulle persone cui si riferiscono i dati personali oggetto di trattamento, giacché (…) il GDPR impone di tenere conto dei diritti e degli interessi legittimi sia degli interessati (persone cui si riferiscono i dati) sia delle altre persone in questione»[89].
Quanto ai contenuti obbligatori sia la FRIA che la DPIA presentano caratteristiche comuni che riguardano il processo di valutazione dei rischi: nella FRIA occorre identificare e analizzare i rischi specifici di danno che potrebbero incidere sulle categorie di persone o sui gruppi di persone che potrebbero essere influenzati dall’utilizzo del sistema di IA, tenendo conto del contesto specifico, descrivere le misure per la sorveglianza umana da adottare per monitorare il funzionamento del sistema secondo le istruzioni d’uso e definire la strategie per mitigare e correggere i rischi nel caso questi si concretizzino; nella DPIA la valutazione dei rischi concerne i diritti e le libertà degli interessati e le misure per affrontarli includono le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al regolamento, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
La FRIA opera, dunque, su un piano diverso ma complementare rispetto alla DPIA[90] tant’è che il Regolamento precisa a riguardo che se uno degli obblighi previsti dalla norma è già stato rispettato in seguito alla valutazione d’impatto effettuata con la DPIA ex art.35 del GDPR, la FRIA deve essere integrata nella valutazione sulla protezione dei dati ed effettuata, quindi, congiuntamente a quest’ultima.
L’introduzione della FRIA nell’AI Act rappresenta il riconoscimento normativo dell’importanza di valutazioni preventive che vadano oltre i benefici tecnologici per considerare l’impatto dell’intelligenza artificiale sui diritti fondamentali e si pone nel solco di quella letteratura che ha anticipato il tema e analizzato la questione evidenziando come la componente etica di questo tipo di valutazione costituisca un aspetto chiave della responsabilità aziendale[91] .
- Il DDL del Governo sull’IA.
Un ultimo cenno a conclusione di questo lavoro va dedicato al DDL per l’introduzione di disposizioni e la delega al Governo in materia di intelligenza artificiale approvato dal Consiglio dei Ministri del 23 aprile 2024 e presentato al Senato lo scorso 20 maggio 2024 (AS. 1146). L’intento del Governo è di accelerare l’entrata in vigore di alcuni principi previsti dall’AI Act, di disciplinare alcuni settori ritenuti “critici” e di annunciare lo stanziamento di risorse (un miliardo di euro) a sostegno dello sviluppo delle imprese operanti nel settore per affermare la presenza strategica del nostro Paese nel contesto europeo. Secondo quanto riportato nel comunicato stampa del Governo, «il disegno di legge non si sovrappone al Regolamento europeo sull’intelligenza artificiale approvato lo scorso 13 marzo dal Parlamento Europeo, di prossima emanazione, ma ne accompagna il quadro regolatorio in quegli spazi propri del diritto interno, tenuto conto che il regolamento è impostato su un’architettura di rischi connessi all’uso della intelligenza artificiale (IA)».
Il DDL è composto da 26 articoli, suddivisi in cinque Capi: CAPO I – PRINCIPI E FINALITA’ (Artt. 1-6); CAPO II – DISPOSIZIONI DI SETTORE (Artt. 7-16); CAPO III – STRATEGIA NAZIONALE, AUTORITA NAZIONALI E AZIONI DI PROMOZIONE (Artt. 17-22): CAPO IV – DISPOSIZIONI A TUTELA DEGLI UTENTI E IN MATERIA DI DIRITTO D’AUTORE (Artt.23-24); CAPO V- DISPOSIZIONI PENALI (artt. 25-26)
Il DDL nel promuovere l’utilizzo corretto, trasparente e responsabile, in una dimensione antropocentrica, dell’intelligenza artificiale (art.1), si richiama al rispetto dei diritti fondamentali e delle libertà previste dalla Costituzione e dal diritto dell’UE e dei principi generalissimi di trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza, non discriminazione, parità dei sessi e sostenibilità menzionando, altresì, i principi di autonomia e autodeterminazione umana che presiedono allo sviluppo e all’applicazione dei sistemi di IA; il testo precisa, inoltre, che l’utilizzo dell’intelligenza artificiale non deve pregiudicare la vita democratica del Paese e delle istituzioni e pone l’accento sulla cybersicurezza, ritenuta precondizione essenziale al rispetto dei diritti e principi in questione, da assicurarsi lungo tutto il ciclo di vita dei sistemi e dei modelli di intelligenza artificiale (art.3). Nell’ottica di impulso dell’utilizzo dell’IA il DDL affida allo Stato e alle altre pubbliche autorità il compito di attuare politiche di sviluppo del settore «al fine di accrescere la competitività del sistema economico nazionale e la sovranità tecnologica della Nazione nel quadro della strategia europea» favorendo l’avvio di nuove attività economiche nell’ambito di un mercato dell’IA equo, innovativo, aperto e concorrenziale e privilegiando, nell’ambito delle piattaforme di eprocurement della pubbliche amministrazioni, la scelta di soluzioni che garantiscano la localizzazione e l’elaborazione dei dati critici presso data center sul territorio nazionale e i modelli con elevati standard di sicurezza e trasparenza nel training dei dati per le applicazioni basate su IA generativa (art.5).
Il Capo II del DDL contiene poi una serie di disposizioni che concernono l’utilizzo dell’intelligenza artificiale nel settore sanitario, del lavoro, delle professioni intellettuali, della pubblica amministrazione e dell’attività giudiziaria non particolarmente innovative [92] e anzi in un caso il Governo pare contraddirsi muovendosi in una direzione decisamente diversa rispetto a norme di recentissima approvazione.
L’art.8 del testo avente ad oggetto “Ricerca e sperimentazione scientifica nella realizzazione di sistemi di intelligenza artificiale in ambito sanitario”, infatti, dichiara di rilevante interesse pubblico ai sensi dell’art.9, par.2, lettera g) del GDPR[93] il trattamento dei dati, anche personali, trattati da soggetti pubblici e privati senza scopo di lucro effettuato per l’attività di ricerca e sperimentazione scientifica nella realizzazione di sistemi di IA relativi al campo sanitario «in quanto necessari ai fini della realizzazione e dell’utilizzazione di banche dati e modelli di base». Analogamente, questi stessi soggetti sono autorizzati all’uso secondario dei dati personali, anche appartenenti alle categorie dei dati particolari di cui al citato art.9[94], già raccolti in occasione di precedenti progetti di ricerca, anche senza richiedere un ulteriore consenso all’interessato.
La disposizione, seppure ispirata all’intento di facilitare la ricerca scientifica in un ambito particolarmente delicato quale quello sanitario non appare in linea con le previsioni del GDPR e, come si è detto, pone un problema di coordinamento con l’art.110 del Codice in materia di protezione dati personali (D.lgs. n.196/2003) come modificato dall’art.44, comma 1-bis della Legge 29 aprile 2024, n.56 di conversione del DL 2 marzo 2024, n.19 recante ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR ter). I
l citato art.110 del Codice privacy che dispone in merito al trattamento dei dati personali relativi alla salute nell’ambito della ricerca medica, nel testo precedente alla modifica, prevedeva che per i trattamenti di dati personali relativi alla salute a fini di ricerca scientifica in campo medico, biomedico o epidemiologico, in assenza di una norma di legge e quando non è possibile acquisire il consenso degli interessati, in quanto a causa di particolari ragioni, informarli risulta impossibile o implica uno sforzo sproporzionato, oppure rischia di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca, il titolare del trattamento è esonerato dall’acquisire il consenso dell’interessato a condizione di mettere in atto misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, e che il programma di ricerca abbia ottenuto il motivato parere favorevole del comitato etico competente a livello territoriale e sia stato sottoposto a preventiva consultazione del Garante ai sensi dell’art.36 del regolamento (GDPR).
Ebbene con la modifica normativa intervenuta al titolare del trattamento non è più richiesto di consultare preventivamente il Garante, ai sensi del citato art. 36 del GDPR, ma “semplicemente” di osservare le garanzie che l’Autorità è ora chiamata a individuare ai sensi dell’art. 106, comma 2, lett. d) del Codice[95].
In materia di governance dell’IA, il DDL, come già anticipato dal Governo alla stampa ben prima dell’approvazione formale in Consiglio dei Ministri[96], ha individuato nell’Agenzia per l’Italia Digitale (AgID) e l’Agenzia per la cybersicurezza (ACN) le Autorità nazionali per l’intelligenza artificiale secondo quanto disposto dall’AI Act che prevede l’istituzione di almeno un’Autorità di notifica e di almeno un’Autorità di vigilanza del mercato (art.70), attribuendo a ciascuna di tali Autorità competenze diversificate. In particolare, si prevede (art.18) che ad AgID, quale responsabile della promozione dell’innovazione e dello sviluppo dell’IA, spetterebbero le funzioni e i compiti in materia di notifica, valutazione, accreditamento e monitoraggio dei soggetti incaricati di verificare la conformità dei sistemi di intelligenza artificiale mentre ad ACN, responsabile per i profili relativi alla cybersicurezza, competerebbe la vigilanza sul mercato, incluse le attività ispettive e sanzionatorie, sui sistemi di intelligenza artificiale .
La norma in parola ha però suscitato diverse critiche sotto il profilo dell’opportunità e legittimità della scelta operata del Governo, in quanto da più parti si è sottolineato la mancata indipendenza dall’esecutivo di AGID e ACN. [97].
Al coro delle voci dissenzienti si è unito anche il Garante per la protezione dei dati personali che in data 25 marzo 2024 ha scritto al Parlamento e al Governo (Doc-Web n. 9996493) proponendosi quale autorità di controllo per l’intelligenza artificiale proprio in quanto «possiede (…) già oggi, i requisiti di competenza e, assieme, indipendenza necessari per garantire un’attuazione del Regolamento coerente con l’obiettivo di garanzia di un livello elevato di tutela dei diritti fondamentali nel ricorso all’i.a sancito dall’art. 1, p.1.».
La segnalazione del Garante muove dall’assunto secondo il quale alcune disposizioni del AI Act prevedono una riserva di competenza in favore delle Autorità di protezione dati, in quanto indipendenti, ai fini dello svolgimento di attività di controllo e di vigilanza del mercato in settori delicati quali quello delle attività di contrasto (v.artt.74, p.8 e 5, p.3).
Peraltro nella nota si segnala che spetta alle Autorità di protezione dati il controllo sui processi algoritmici che implichino il trattamento di dati personali ai sensi degli articoli 8 CDFUE e 16 TFUE e dunque affidare la governance dell’intelligenza artificiale ad autorità diverse imporrebbe un meccanismo di coordinamento tra organi diversi con inevitabili rischi di conflitti di competenza e di duplicazione di oneri amministrativi per i soggetti pubblici e privati, inconvenienti tutti evitabili nel caso si propendesse per la soluzione auspicata dal Garante privacy, del quale, comunque la norma fa salve le competenze ed i poteri.
Oltre alle disposizioni che concernono le Autorità nazionali, il Capo III del DDL contiene anche gli indirizzi relativi alla strategia nazionale per l’intelligenza artificiale la cui predisposizione è affidata al Dipartimento per la trasformazione digitale presso la Presidenza del Consiglio dei Ministri d’intesa con le citate Autorità sentiti, per gli aspetti di propria competenza, il Ministero delle Imprese e del Made in Italy e il Ministero della Difesa.
La strategia, approvata ed aggiornata con cadenza almeno biennale dal Comitato interministeriale per la transizione digitale (CITD)[98] «favorisce la collaborazione tra le amministrazioni pubbliche e i soggetti privati relativamente allo sviluppo e adozione di sistemi di intelligenza artificiale, coordina l’attività della pubblica amministrazione in materia, promuove la ricerca e la diffusione della conoscenza in materia di intelligenza artificiale, indirizza le misure e gli incentivi finalizzati allo sviluppo imprenditoriale e industriale dell’intelligenza artificiale».
Il documento strategico sull’intelligenza artificiale preannunciato dal DDL e finalmente pubblicato nella sua versione integrale lo scorso 22 luglio [99] , dopo un’anticipazione sotto forma di executive summary circolata nel mese di aprile, non è il primo documento del genere elaborato dal Governo italiano: nel corso degli anni si sono infatti susseguiti una serie di programmi strategici governativi per lo sviluppo dell’IA, il primo dei quali redatto nel 2020 dal Ministero dello Sviluppo Economico sulla base del lavoro di un gruppo di esperti[100].
Successivamente la strategia è stata aggiornata sotto l’egida del Governo Draghi che in data 24 novembre 2021 ha adottato il Programma Strategico Intelligenza Artificiale 2022-2024[101] curato del Ministero dell’Università e della Ricerca, del Ministero dello Sviluppo Economico e del Ministro per l’Innovazione tecnologica e la Transizione Digitale, programma che avrebbe dovuto essere, a sua volta, aggiornato dal nuovo Comitato di coordinamento nominato dal Governo Meloni nel novembre 2023 ed approvato unitamente al DDL in esame.
Infine, il Capo III del DDL contiene anche (art.22) alcune deleghe al Governo in materie eterogenee che vanno dalla previsione di percorsi di alfabetizzazione e formazione sull’utilizzo di sistemi di IA, estesi al settore delle professioni, al potenziamento delle discipline STEM, al sostegno dell’attività di ricerca, anche in collaborazione con il mondo produttivo e le autorità nazionali per l’IA, sino alla definizione di una disciplina organica che sanzioni l’uso di sistemi di IA per finalità illecite. Su quest’ultimo punto la delega si articola sulla base delle specifiche indicazioni di cui all’art.22, c.5 che prevedono la definizione di nuovi strumenti(in ambito civile, amministrativo e penale) per inibire la diffusione di contenuti generati illecitamente tramite l’IA, l’introduzione di una o più fattispecie autonome di reato in relazione all’omessa adozione o adeguamento di misure di sicurezza riferite a sistemi di IA nonché ulteriori fattispecie di reato nel caso in cui i beni giuridici compromessi dall’utilizzo di sistemi di IA non siano adeguatamente tutelati mediante interventi su fattispecie già esistenti.
Da ultimo, si segnalano, tralasciando le modifiche al codice penale dettate dal Capo V, le disposizioni di cui agli artt. 23 e 24 del testo del progetto di legge che intervengono rispettivamente sul T.U. dei servizi di media audiovisivi (D.lgs. n.208/2021)[102] e sulla Legge sul diritto d’autore (Legge n.633/1941)[103] .
In particolare, oltre al divieto di utilizzare sistemi di intelligenza artificiale, capaci di manipolare in maniera non riconoscibile allo spettatore il contenuto delle informazioni (art.6 co. 2 lett. e)), si introduce l’obbligo, per l’autore o per il titolare di diritti di sfruttamento economico se diverso dall’autore, di rendere chiaramente visibile e riconoscibile mediante l’inserimento di un elemento o di un segno identificativo, qualunque contenuto informativo, diffuso da fornitori di servizi audiovisivi e radiofonici su piattaforma, che sia stato, previo consenso del titolare dei diritti, completamente o parzialmente generato da sistemi di IA «in modo tale da presentare come reali dati, fatti e informazioni che non lo sono». Quest’obbligo di marcatura, volto a tutelare il pubblico dal pericolo dei cd. deep fakes, è escluso «quando il contenuto fa parte di un’opera o di un programma manifestamente creativo, satirico, artistico o fittizio, fatte salve le tutele per i diritti e le libertà dei terzi».
Un analogo obbligo di trasparenza incombe sui fornitori di piattaforme per la condivisione di video che sono tenuti ad adottare misure adeguate per tutelare il pubblico da contenuti informativi che siano stati completamente o parzialmente generati, modificati o alterati dai sistemi di intelligenza artificiale, in modo tale da presentare come reali dati, fatti e informazioni che non lo sono; le piattaforme per la condivisione dei video devono, inoltre, attrezzarsi per consentire agli utenti di «dichiarare se tali contenuti video contengono contenuti generati, modificati o alterati, anche parzialmente, in qualsiasi forma e modo, attraverso l’utilizzo di sistemi di intelligenza artificiale di cui sono a conoscenza o si possa ragionevolmente presumere che siano a conoscenza».
Al fine di attuare la nuova disciplina, si demanda all’AGCOM (Autorità per le garanzie nelle comunicazioni) il compito di promuovere forme di co-regolamentazione e di autoregolamentazione tramite codici di condotta sia con i fornitori di servizi di media audiovisivi e radiofonici sia con i fornitori di piattaforme per la condivisione di video[104] .
Quanto all’intervento operato in materia di diritti d’autore, il DDL estende la tutela alle opere dell’ingegno “umano” considerando tali anche quelle create con l’ausilio degli strumenti di intelligenza artificiale «purché il contributo umano sia creativo, rilevante e dimostrabile», un’impresa, questa, che pare tutt’altro che semplice.
Infine, il testo del Governo introduce una disposizione per consentire la riproduzione e l’estrazione di opere o altri materiali attraverso modelli e sistemi di intelligenza artificiale anche generativa, da parte di organismi di ricerca e istituti di tutela del patrimonio culturale per scopi di ricerca scientifica in conformità agli artt.70-ter e 70-quater della legge sul diritto d’autore in materia di eccezione di text and data mining.
Il legislatore però qui mette insieme ipotesi diverse in quanto gli articoli sopra richiamati concernono soggetti non omogenei tra di loro e precisamente da una parte gli organismi di ricerca e gli istituti di tutela del patrimonio culturale (art.70-ter)[105] e dall’altra tutti gli altri utenti anche privati (art.70-quater)[106]. Nel caso dei soggetti privati, peraltro, quest’ultima norma permette «le riproduzioni e le estrazioni da opere o da altri materiali contenuti in reti o in banche di dati cui si ha legittimamente accesso ai fini dell’estrazione di testo e di dati» e precisa che «l’estrazione di testo e di dati è consentita quando l’utilizzo delle opere e degli altri materiali non è stato espressamente riservato dai titolari del diritto d’autore e dei diritti connessi nonché dai titolari delle banche dati». Ciò significa che per il training dei modelli di IA vale un sistema di opt-out che di fatto permette che i titolari dei diritti sui contenuti possano riservarsi, in modo appropriato, l’esclusiva sui materiali di loro spettanza anche quando i contenuti stessi siano resi pubblicamente disponibili on-line (Art.4, c.3 della Direttiva UE/790/2019)[107].
- Considerazioni conclusive.
La fascinosa locuzione “Intelligenza artificiale” ha avuto ed ha tuttora un successo travolgente che ha sorpreso anche il suo stesso creatore[108]. L’idea di realizzare macchine con abilità cognitive tanto performanti da emulare il comportamento umano affascina ed al tempo stesso inquieta per la sua capacità di evocare scenari futuribili e incontrollabili dall’uomo e tuttavia questa metafora, utilizzata per identificare le nuove tecnologie emergenti, si fonda su presupposti erronei come hanno bene evidenziato gli scienziati della nuova generazione.
Occorre, infatti, essere consapevoli che i sistemi di IA non sono né artificiali né intelligenti[109]: non sono artificiali nel senso che le applicazioni di IA sono tutte derivate dalla mente umana che le ha progettate e realizzate sino al punto di consentirle di evolversi in maniera autonoma rispetto agli input dei costruttori; ma, d’altra parte, non sono nemmeno intelligenti nel senso che si dà comunemente a questo aggettivo («complesso di facoltà psichiche e mentali che consentono di pensare, comprendere o spiegare i fatti o le azioni, elaborare modelli astratti della realtà, intendere e farsi intendere dagli altri, giudicare, e adattarsi all’ambiente»)[110] .
L’intelligenza delle macchine è la capacità di raggiungere risultati (output) con meccanismi diversi da quelli che governano la mente umana, meccanismi che si basano sulla capacità di analizzare un volume di dati prodotti dalla digitalizzazione continua della realtà in quantità inimmaginabili con performance che certamente superano quelle umane 111[111] .
Ciò che differisce in maniera sostanziale è come si raggiungono determinati risultati: il limite degli attuali sistemi di IA, anche di quelli più avanzati che si basano su reti neurali profonde (deep learning), è la completa assenza di intenzionalità e di comprensione dell’ambiente circostante e del significato ultimo delle cose che produce e, come conseguenza, l’impossibilità di compiere scelte valoriali fondate sull’etica che per le applicazioni di IA rappresenta un mondo sconosciuto e impenetrabile. Il “muro del significato” rappresenta, cioè un confine di demarcazione tra l’IA e gli esseri umani a tutt’oggi invalicabile, considerato che l’IA non possiede il significato delle cose, a differenza di noi esseri umani che sembriamo possederlo in modo innato. Ed è per questo che secondo alcuni studiosi della materia, «l’obiettivo di sviluppare un’intelligenza artificiale affidabile richiederà un’indagine più approfondita delle nostre straordinarie capacità e nuove intuizioni sui meccanismi cognitivi che noi stessi utilizziamo per comprendere il mondo con efficacia»[112] .
Se così è, e se gli attuali e sempre più performanti sistemi di IA sono caratterizzati da limiti etici e giuridici di utilizzo al momento insormontabili, il tentativo di regolamentarne gli esiti da parte dell’Unione europea mediante l’AI Act rappresenta un modello ambizioso finalizzato a realizzare un punto di equilibrio tra la tutela dei diritti fondamentali e l’efficienza del mercato comune digitale[113] nel quale, tuttavia, proprio l’utente finale[114] appare sfornito di protezione.
Da più parti è stata sottolineata, infatti, la carenza di un impianto normativo che priva l’individuo di possibilità di contestazione e di rimedi giuridici concreti da attivare nel caso in cui subisca una decisione discriminatoria ovvero lesiva dei suoi diritti fondamentali.
In sostanza, il testo non fornisce alcuno strumento per consentire all’utente di attivarsi in caso di eventi dannosi né appronta un quadro di diritti che l’individuo possa esercitare, in maniera non mediata, così come previsto dal Capo III del regolamento (Ue) 679/2016.
Come si è detto efficacemente, «nonostante la proposta faccia più volte riferimento alla necessità di porre l’uomo al centro dello sviluppo dell’IA, alla fine lo relega in un angolo non riconoscendogli quegli strumenti indispensabili che gli consentirebbero di difendersi da un’evoluzione invasiva di tali tecnologie»[115] .
Ciò appare un difetto d’origine rilevante ove si pensi che l’utente finale non è neppure coinvolto nel procedimento di risk assessment (art.9 del Regolamento) e anzi, a differenza del consumatore che si trovi a maneggiare un prodotto difettoso, non solo non è in grado di avvedersi dei difetti delle applicazioni di IA, ma non dispone neppure di forme di tutela adeguate e/o paragonabili a quelle previste del codice del consumo(artt.14-127 del D.lgs. n.206/2005)[116] .
Il peccato originale da cui è affetto il testo del regolamento fa quindi dubitare che quel punto di equilibrio tra tutela dei diritti fondamentali dell’individuo e logica dell’efficienza del mercato unico digitale si sia effettivamente realizzato appieno; anzi, vi è chi ritiene che l’elemento di maggiore criticità dell’Ai Act sia da ravvisarsi proprio nella decisione di calare la tutela dell’individuo nel panorama dell’IA all’interno di un sistema non human-centric bensì consumercentric nel quale «la tutela viene a strutturarsi quasi esclusivamente attorno alle figure operative che agiscono all’interno dell’ecosistema dell’intelligenza artificiale con l’obiettivo di garantire agli utenti-consumatori la possibilità di utilizzare prodotti, sì dotati di IA, ma che al pari degli altri presenti sul mercato europeo, siano soprattutto sicuri e affidabili»[117] .
La svolta antropocentrica all’IA più volte evocata dall’Unione europea sembra dunque non aver trovato conferma nel testo dell’Ai Act ma ad oggi ciò che conta veramente al di là delle critiche pur condivisibili su di un testo frutto dell’inevitabile compromesso tra le varie istituzioni e sensibilità in materia, è passare «dalla regola scritta alla regola viva». In questo senso, perciò, il buon senso suggerirebbe di evitare la bulimia normativa che nel corso degli ultimi anni ha interessato sia gli Stati Uniti che i singoli Stati europei [118] seguendo invece il suggerimento di considerare il regolamento non una disciplina esaustiva dell’IA bensì una sorta di «scatola metodologica», un metodo di lavoro che dovrà a sua volta contenere una serie di discipline verticali: tutela dei consumatori, digitalizzazione della pubblica amministrazione, salute, sanità, giustizia[119].
[1] Il richiamo va al titolo di un noto libro di U. ECO, Apocalittici e integrati: comunicazioni di massa e teorie della cultura di massa, Milano, Bompiani, 1964. Le preoccupazioni attuali sono, naturalmente, da collegarsi allo sviluppo della c.d. intelligenza artificiale (I.A.) che grazie ai sistemi di machine learning o deep learning sono in grado di modificare le nostre società allenandosi su basi di dati sempre più vasti e comprensivi di dati da essi stessi prodotti. Può, cioè, prefigurarsi uno scenario nel quale, l’intelligenza “umana” che non è, allo stato, capace di comprendere sino in fondo il funzionamento di questi sistemi, non sia in grado di distinguere il vero dal falso con conseguenze a dir poco inquietanti sulla formazione e possibile manipolazione dell’opinione pubblica e dunque, in ultima analisi, sulla sfera dei diritti e delle tutele dei cittadini negli ordinamenti democratici. Cfr. T. POGGIO, M. MAGRINI, Cervelli menti Algoritmi, Il mistero dell’intelligenza naturale, gli enigmi di quella artificiale, Sperling& Kupfer, 2023. Sul punto è appena il caso di citare il clamore suscitato quando il Garante per la protezione dei dati personali ha adottato in via d’urgenza un provvedimento di limitazione provvisoria del trattamento dei dati di interessati stabiliti nel territorio italiano ai sensi dell’art.58, par.2, lett.f) del Regolamento UE 2016/679 del 27 aprile 2016 (comunemente noto come GDPR) nei confronti di OpenAI, società statunitense che gestisce Chat GPT, un chat bot basato sull’intelligenza artificiale generativa (GPT è acronimo di Generative Pretrained Transformer) in grado di simulare ed elaborare le conversazioni umane. Il Garante ha contestato alla citata società di aver violato il Regolamento in materia di trattamento dati degli utenti, ivi compresi i minori (Provvedimento n.112 del 30 marzo 2023- doc. web n. 987083). Successivamente ed a seguito della disponibilità manifestata dalla società americana, lo stesso Garante ha sospeso il proprio precedente provvedimento di limitazione provvisoria ingiungendo alla OpenAI una serie di prescrizioni volte a rendere la gestione della piattaforma coerente con la normativa dettata dal Regolamento riguardo a informativa, diritti degli interessati, utenti e non utenti, base giuridica del trattamento dei dati personali per l’addestramento degli algoritmi con i dati degli utenti (Provvedimento dell’11 aprile 2023 – doc. web n. 9874702). OpenAI ha reso poi nuovamente accessibile ChatGPT agli utenti italiani dopo aver illustrato al Garante italiano le misure introdotte in ottemperanza al citato provvedimento dell’11 aprile 2023 (v. Comunicato stampa del Garante del 28 aprile 2023- doc.web n. 9881490). L’ultimo atto che si registra nella contesa tra il Garante e OpenAI è, al momento, l’atto di contestazione notificato alla società per violazione del GDPR di cui ha dato notizia lo stesso Garante con il comunicato del 29 gennaio 2024 -docweb n. 9978020 nel quale si è precisato che la chiusura del procedimento terrà conto delle risultanze della speciale task force istituita in merito dal Board che riunisce le Autorità di protezione dati dell’Ue (Edpb). Per le riflessioni sulle tematiche provocate dall’uso/abuso delle tecnologie digitali Cfr. L. CALIFANO, Chat GPT e Meta EDI: spunti problematici su profili regolatori e ruolo delle autorità di controllo di protezione dati , in Federalismi.it, n.10/2023 che, accanto al caso Chat GPT di cui si è fatto cenno, richiama i provvedimenti adottati dal Garante privacy nei confronti dei dati trattati da Meta Platforms Ireland Ltd con sede in Irlanda (per il tramite di Facebook e Instagram) in occasione delle elezioni politiche del 22 settembre 2022 (Provvedimento n. 448 del 21 dicembre 2022 nei confronti di Meta Platforms Ireland Ltd. (da qui in avanti Meta EDI) [doc. web doc. web n. 9853406]); v. anche G. PISTORIO, Chat GPT e la sfida della regolamentazione normativa, in AIC, Lettera 5/2023 https://www.associazionedeicostituzionalisti.it/it/la-lettera/05-2023-costituzione-e-intelligenza-artificiale/chat-gpt-e-lasfida-della-regolamentazione-normativa
[2] Così L. TORCHIA, Lo Stato digitale-Una introduzione, Bologna, Il Mulino, 2023, p.21.
[3] L. TORCHIA, Lo Stato digitale e il diritto amministrativo, pp.477-493 in Liber amicorum per Marco D’Alberti, Torino, Giappichelli Editore, 2022, anticipando temi oggetto di più ampia trattazione nel volume citato alla nota precedente.
[4] È opportuno precisare a riguardo che nel Codice dell’amministrazione digitale (CAD) di cui al D.lgs. 7 marzo 2005, n.82 non vi è una definizione di “tecnologie dell’informazione e della comunicazione”. La Commissione europea nella Sintesi della propria comunicazione COM (2003)567 del 26 settembre 2003 riferisce il termine TIC (Tecnologie dell’informazione e delle comunicazioni) a «un’ampia gamma di servizi, applicazioni, tecnologie, apparecchiature e programmi software, vale a dire strumenti come la telefonia e internet, l’apprendimento a distanza, la televisione, i computer, le reti e i programmi software necessari per utilizzare tali tecnologie che stanno rivoluzionando le strutture sociali, culturali ed economiche dando origine a nuovi comportamenti nell’ambito dell’informazione, della conoscenza, dell’attività professionale ecc».
[5] D.U. GALETTA, J. CORVALAN, Intelligenza Artificiale per una Pubblica Amministrazione 4.0? Potenzialità, rischi e sfide della rivoluzione tecnologica in atto, in Federalismi.it, 3/2019, pp.2-23
[6] 6 C.COLAPIETRO, La proposta di Intelligence Artificial Act: quali prospettive per l’Amministrazione digitale? in Ceridap.eu, Fascicolo Speciale, n.1/2022, Public Administration facing the challenges of digitalisation, pp.1-24 che esamina i riflessi che la nuova proposta di regolamentazione sull’Intelligenza artificiale (Artificial Intelligence Act), il cui iter si è ormai completato (v. oltre nel testo), ha sull’attività della pubblica amministrazione con ampi riferimenti dottrinari in materia.
[7] A riguardo v. P. FALLETTA, La riforma delle amministrazioni pubbliche, tra piattaforme interoperabili e atti amministrativi digitali, in Federalismi.it, n.31/2023, pp.110-127 che osserva che le stesse nozioni di documento e atto amministrativo, con l’avvento del digitale in sostituzione dello strumento cartaceo, tendono a perdere le caratteristiche originarie di “contenitore”, l’uno, e “contenuto”, l’altro. Secondo l’A., stiamo assistendo ad una ulteriore evoluzione della digitalizzazione pubblica: «l’atto amministrativo digitale è, infatti, al contempo contenitore e contenuto giacché in esso coesistono inscindibilmente la forma e l’elaborazione elettronica del suo esito. La prima è prodromica alla seconda in quanto la decisione amministrativa, indipendentemente dal fatto che sia vincolata o discrezionale – o, meglio, che sia il risultato di un procedimento di calcolo o di un’elaborazione predittiva – discende comunque dalla struttura del programma informatico».
[8] Cfr. D.U. GALETTA, Digitalizzazione e diritto a una buona amministrazione (il procedimento amministrativo tra diritto UE e tecnologie ICT) in Il diritto dell’amministrazione digitale, Torino, Giappichelli, 2020, pp.85-117.
[9] “Intelligenza artificiale” è una voce che il vocabolario Treccani colloca tra i NEOLOGISMI
[10] Questi modelli sono definiti “large” perché impiegano al loro interno miliardi e anche centinaia o migliaia di miliardi di parametri che a loro volta rappresentano le connessioni che si creano tra i vari nodi presenti nelle reti neurali: approssimativamente, i nodi rappresentano l’equivalente dei neuroni del cervello umano mentre i parametri sono l’equivalente delle nostre sinapsi per cui dalla quantità dei parametri dipende l’accuratezza delle risposte fornite all’utente (attualmente il più grande modello in assoluto è WuDao 2.0 dell’Accademia di Pechino per l’intelligenza artificiale, dotato della “strabiliante” quantità di 1.750 miliardi di parametri). In sostanza i LLM’s sono modelli che operano nell’ambito dell’elaborazione del Natural Language Processing (elaborazione del linguaggio naturale), tecnica utilizzata nella disciplina dell’intelligenza artificiale focalizzata sull’elaborazione e sull’utilizzo di dati di testo e voce (il nostro “parlato”) per creare “macchine intelligenti” che si relazionano con gli esseri umani e rappresentano «una forma di algoritmo di deep learning in grado di riconoscere, riassumere, tradurre, prevedere e generare testi e altri contenuti sulla base della conoscenza appresa dal loro dataset». Cfr. A.D.Signorelli, Come funzionano i modelli linguistici dietro un’intelligenza artificiale come ChatGP su https://www.wired.it/article/intelligenza-artificiale-chatgpt-large-languagemodel-linguaggio/
[11] Per questo motivo si parla di big data e cioè «enormi masse di dati raccolte attraverso svariati sistemi di acquisizione: es. gli acquisti dei clienti di una compagnia di carte di credito, le immagini satellitari, le tracc e dei telefoni cellulari, la digitalizzazione dei libri della Treccani, i documenti di tutti i ministeri, le ricerche fatte dagli utenti di un motore di ricerca, le foto scambiate da tutti gli utenti di Instagram, i dati di tutte le anagrafi italiane» e che sono resi fruibili «solo attraverso piattaforme di memorizzazione, di gestione ed analisi specializzate che permettono di estrarre dagli stessi un valore conoscitivo»(A. CORRADO, La trasparenza necessaria per infondere fiducia in una amministrazione algoritmica e antropocentrica, in Federalismi.it, n.5/2023, p.179, nota 7). Senza la fonte di conoscenza rappresentata dai big data e senza lo sviluppo delle capacità di calcolo ad alte prestazioni indispensabile per elaborarli (High Performance Computing HPC) non sarebbe possibile l’utilizzo di sistemi di intelligenza artificiale che si sviluppano grazie ai processi di training degli algoritmi.
Nel Libro bianco sull’intelligenza artificiale- “Un approccio europeo all’eccellenza e alla fiducia” del 19 febbraio 2020 (COM) 65 final si afferma che «La crescita economica sostenibile attuale e futura e il benessere sociale dell’Europa si basano sempre di più sul valore creato dai dati. L’IA è una delle più importanti applicazioni dell’economia dei dati» e che, «semplificando, l’IA è un insieme di tecnologie che combina dati, algoritmi e potenza di calcolo».
[12] Il tema della qualità dei dati assume, infatti, particolare rilevanza dal momento che l’obiettivo è rendere servizi resi on line attraverso piattaforme interoperabili tra le pubbliche amministrazioni per cui l’utilizzo dei dati avviene in maniera automatica senza l’intermediazione del funzionario. Sul punto v. E. CARLONI, Qualità dei dati, big data e amministrazione pubblica, in L’Amministrazione pubblica con i big data: da Torino un dibattito sull’intelligenza artificiale, a cura di R. Cavallo Perin, Quaderni del dipartimento di giurisprudenza dell’Università di Torino, 2021. Come si è inoltre segnalato in dottrina G. ORSONI, E. D’ORLANDO, Nuove prospettive dell’amministrazione digitale: Open Data e algoritmi, in Istituzioni del federalismo, n. 3/2019, p.594, la questione dei big data va tenuta distinta da quella degli open data (dati aperti): «i big data infatti non necessariamente possono essere ricondotti alla categoria degli open data, così come gli open data non necessariamente possono rientrare nella categoria dei big data»
[13] M. LEGGIO, An AI for your thoughts? Qualche riflessione sull’uso delle nostre conversazioni per il training dell’intelligenza artificiale generativa, in Osservatorio sullo Stato digitale, 22 novembre 2023 https://www.irpa.eu/anai-for-your-thoughts-qualche-riflessione-sulluso-delle-nostre-conversazioni-per-il-training-dellintelligenza-artificialegenerativa/ pone l’accento sulla circostanza che per allenare l’intelligenza artificiale e renderla sempre più performante è necessario reperire dati in quantità industriale tanto che le Big Tech del settore hanno cominciato a scaricare dati non solo da pagine web liberamente accessibili come le pagine delle testate giornalistiche tra le quali il New York Times (che ha intentato, per questo, causa a Microsoft e ad OpenAI accusando le due società di aver utilizzato illegalmente milioni di articoli del giornale coperti da copyright per l’addestramento di Chat GPT e Bing), ma anche ad utilizzare i dati degli utenti delle applicazioni offerte gratuitamente dalle piattaforme in rete ricorrendo alla tecnica del c.d. web scraping. L’A. si interroga sui rischi per la privacy che una simile pratica comporta: nel caso in esame, infatti, i rischi non riguardano tanto la profilazione quanto la sicurezza del dato personale estrapolato dalle interazioni on line degli utenti (messaggi di posta elettronica, chat, post) in relazione alla diffusione incontrollata e all’uso distorto dello stesso dato da parte di malintenzionati.
A tale riguardo, il Garante per la protezione dei dati personali ha già avuto modo di interessarsi del problema della raccolta e dell’utilizzo di dati personali “pescati a strascico” sulla Rete con la tecnica del web scraping per sviluppare soluzioni di intelligenza artificiale affermando l’illiceità del trattamento dei dati impiegati per finalità ultronee rispetto a quelle che ne hanno giustificato la pubblicazione su una fonte web accessibile a tutti. In particolare, il Garante ha contestato a diverse società di aver effettuato la raccolta di dati presenti in rete mediante la citata tecnica del web scraping in assenza di una idonea base giuridica su cui fondare il trattamento ai sensi dell’art.6 del GDPR.
Così, ad esempio, con il noto provvedimento n.50 del 10 febbraio 2022 (doc.web n.9751362) l’Autorità italiana ha inflitto una sanzione di 20 milioni di euro alla società statunitense Clearview per aver messo in atto un’operazione di vero e proprio monitoraggio biometrico realizzato utilizzando soluzioni di intelligenza artificiale che, mettendo insieme un data base di oltre 10 miliardi di immagini facciali raccolte dal web mediante scraping, consentivano la creazione di profili basati su dati biometrici estratti dalle immagini eventualmente corredati da altre informazioni ad esse correlate allo scopo di offrire alla propria clientela un servizio di ricerca personalizzato.
A conclusione dell’istruttoria effettuata, il Garante ha ritenuto che la società non potesse vantare alcuna valida base giuridica su cui fondare la liceità del trattamento non essendo a tal fine sufficiente l’interesse legittimo della Società alla libera iniziativa economica che, a giudizio dell’Autorità, non può che recedere rispetto «ai diritti e alle libertà degli interessati, in particolare alla grave messa in pericolo del diritto alla riservatezza, al divieto di essere sottoposti a trattamenti automatizzati e al principio di non-discriminazione insiti in un trattamento di dati personali come quello effettuato dalla Società».
Sotto altro e diverso profilo il Garante con Provvedimento del 21 dicembre 2023 (doc. web n. 9972593) ha avviato un’indagine conoscitiva per approfondire se e in quali termini i gestori dei siti internet che costituiscono “pascoli” cui attingono gli algoritmi di IA delle grandi major che sviluppano tali sistemi siano o meno obbligati in qualità di titolari del trattamento dati, ad adottare misure di sicurezza volte a proteggere quanto da essi pubblicato per una finalità determinata dal rischio di appropriazione da parte di terzi attraverso tecniche di web scraping.
Si tratta di un profilo inedito sul quale il Garante richiama l’attenzione dei titolari dei trattamenti affinché «in una logica di accountability e in termini di privacy by design e by default» si pongano questo specifico problema approntando le misure tecniche e organizzative adeguate a garantire la protezione della privacy di miliardi di persone in conformità alle disposizioni del GDPR, così come alcuni editori ( si veda il caso del New York Times sopra citato) hanno già fatto a tutela del diritto di autore.
[14] È il processo che gli addetti ai lavori definiscono di fine tuning in virtù del quale i risultati di un modello preaddestrato vengono ulteriormente affinati per rispondere ad un determinato compito o tematica realizzando, di fatto, una soluzione “su misura” dell’utente, pubblico o privato che sia.
[15] Cfr. G. RUSCONI, L’intelligenza artificiale nella PA: ecco come i servizi digitali cambiano faccia, in Il Sole 24 Ore del 17 novembre 2023 https://www.ilsole24ore.com/art/l-intelligenza-artificiale-pa-ecco-come-servizi-digitalicambiano-faccia-AFHxzFeB
[16] Disponibile su https://www.bcg.com/publications/2023/unlocking-genai-opportunities-in-thegovernment?utm_source=substack&utm_medium=email
[17] Per approfondimenti sul punto e per la distinzione tra tecnologia dirompente (disruptive technology) intesa come «nuova tecnologia con costi e prestazioni inferiori misurati in base a criteri tradizionali, ma con prestazioni ausiliarie più elevate» e innovazione dirompente (disruptive innovation) che sulla prima si basa, dando luogo «a prodotti e servizi accessibili, convenienti e semplici da utilizzare, in grado tuttavia di rivoluzionare radicalmente ogni business» v. F. CONTE, La trasformazione digitale della pubblica amministrazione: il processo di transizione verso l’amministrazione algoritmica, in Federalismi.it, n.11/2023, p.55, nota 2. L’A. sottolinea che l’avvento della digitalizzazione ha comportato una trasformazione nei modelli organizzativi della pubblica amministrazione: dal modello di gestione per obiettivi manageriali importato dalla cultura anglosassone (New Public Management) si sta transitando verso una Digital Era Governance, un’era, cioè, governata dal digitale
[18] https://www.ambrosetti.eu/news/ai-4-italy-impatti-e-prospettive-dellintelligenza-artificiale-generativa-per-litalia-e-ilmade-in-italy/
[19] v. p. 30 del Rapporto.
[20] v. nota 14
[21] Un esempio di pregiudizio umano che ha influenzato negativamente la decisione giudiziaria adottata sulla base di un algoritmo è rappresentato dal c.d. caso Compas. Quest’ultimo, acronimo di (Correctional offender management profiling for alternative sanctions) è un software che negli Stati Uniti valuta il rischio di recidiva e la pericolosità sociale di un individuo tenendo conto di una serie di variabili, tra le quali dati statistici, precedenti giudiziari, risposte fornite nel colloquio con l’imputato e altri dati coperti da proprietà intellettuale. Ebbene, nel 2016 la Corte Suprema dello Stato del Wisconsin ha confermato in appello la pesante pena (sei anni di reclusione più cinque di libertà vigilata) inflitta dal Tribunale circondariale di La Crosse al Sig. Eric Loomis che era stato fermato dalla Polizia mentre guidava, senza il consenso del proprietario, un’automobile precedentemente usata per una sparatoria. All’imputato venivano contestati cinque capi d’accusa, per alcuni dei quali Loomis stesso si dichiarava colpevole. Per determinare la pena i giudici di primo grado si erano avvalsi, tra l’altro, anche dei risultati dell’algoritmo COMPAS che aveva valutato il soggetto un individuo ad alto rischio per la comunità con un’alta probabilità di recidiva. Nel caso di specie, come si è correttamente sottolineato (S. Carrer, Se l’amicus curiae è un algoritmo: il chiacchierato caso Loomis alla Corte Suprema del Wisconsin, in Giurisprudenza penale web, 2019,4), occorre tener presente che «COMPAS non prevede il rischio di recidiva individuale dell’imputato, bensì elabora la previsione comparando le informazioni ottenute dal singolo con quelle relative ad un gruppo di individui con caratteristiche assimilabili”: in sostanza, come è emerso da successive inchieste, l’algoritmo aveva deciso il rischio di recidiva dell’imputato basandosi su una più alta probabilità di recidiva da parte delle persone di colore rispetto a quelle con pelle chiara.
La Corte Suprema, nel respingere l’appello proposto dall’imputato, ha ritenuto corretta la sentenza dei giudici di primo grado in quanto l’uso di COMPAS non era risultato determinante per la valutazione del grado di recidiva dell’imputato avendo concorso alla decisione impugnata anche una serie di altri fattori indipendenti.
In Europa si segnala l’analogo caso dell’applicazione SyRi (System Risk Indication), un algoritmo utilizzato dall’amministrazione olandese dal 2014 per verificare l’attitudine dei cittadini a commettere frodi o abusi nel percepimento di sussidi statali che elaborava informazioni provenienti da diverse banche dati attribuendo un “punteggio di rischio”. Il Tribunale distrettuale dell’Aja adito da un gruppo di associazioni per la tutela dei diritti digitali nel 2020 ne ha poi sospeso l’impiego ritenendo il sistema non conforme al Regolamento GDPR in quanto troppo invasivo della vita delle persone e fonte di potenziali discriminazioni. Anche in questo caso, peraltro, era stata accertato che il b acino per l’estrazione dei dati da fornire al sistema era costituito solo da quartieri periferici di alcune città abitati in prevalenza da persone con basso reddito, emigrati e appartenenti a minoranze etniche.
Per approfondimenti sul caso cfr. A. SIMONCINI, L’algoritmo incostituzionale: intelligenza artificiale e il futuro delle libertà, in BioLaw Journal – Rivista di BioDiritto, n. 1/2019, pp.71 e ss; e più in generale sul tema R. TREZZA, La tutela della persona umana nell’era dell’intelligenza artificiale, in Federalismi.it, n.16/2022, pp. 277-305.
[22] Il caso cui si fa riferimento, che risale a maggio del 2023, ha visto protagonista il conduttore radiofonico Mark Walters per il procedimento legale intentato nei confronti di OpenAI in relazione alle informazioni che ChatGPT ha fornito ad un giornalista sulla vicenda giudiziaria nella quale, secondo il falso output del sistema, il conduttore radiofonico risultava imputato di frode. Da qui la denuncia per diffamazione contro la società OpenAI per il danno reputazionale e di immagine causato ad una persona conosciuta dal pubblico e la conseguente richiesta del risarcimento del danno. La questione della responsabilità per le allucinazioni sta quindi diventando un tema cruciale, quanto meno oltre oceano.
In campo legale e giuridico una recente ricerca di Stanford RegLab dell’Istituto per lo Human Centered AI dell’Università di Stanford ha riscontrato un range di allucinazioni che va dal 69 all’88% nelle risposte dei modelli di GenAI su quesiti di carattere legale (v. C. MORELLI, Legal Gpt (o large language modelling) impreparati: fino all’88% di allucinazioni, in Altalex, 29 gennaio 2024.
https://www.altalex.com/documents/news/2024/01/29/legal-gptlarge-languag-modelling-impreparati-fino-88-allucinazioni. Questi risultati suggeriscono una particolare cautela e un’attenta supervisione umana nell’utilizzo di queste tecnologie nella pratica legale. In questo senso la Federazione degli Ordini degli Avvocati europei (FBE Fédération des Barreaux d’Europe) a giugno 2023 ha elaborato un documento contenente un appello alla discussione su questi temi e sette raccomandazioni etiche che devono guidare gli avvocati e gli studi legali nell’applicazione corretta dei software di IA e dei modelli LLM’s. Il documento è disponibile su https://www.ordineavvocati.lu.it/wp-content/uploads/2023/07/Avvocati-e-IA-Linee-guida-FBE.pdf
[23] Sulla black box intesa come impossibilità di “guardare dentro” il meccanismo di funzionamento dei sistemi di IA di deep learning e quindi anche di GenAI v. F. PASQUALE, The black box society: The Secret Algorithms That Control Money and Information, Harward University Press, 2016; G. LO SAPIO, La black box: l’esplicabilità delle scelte algoritmiche quale garanzia di buona amministrazione, in Federalismi.it, n.16/2021, pp.114-127.
[24] Sul punto v. A. DI MARTINO, L’amministrazione per algoritmi ed i pericoli del cambiamento in atto, in Il Diritto dell’economia, anno 66, n.103 (3 2020), pp. 599-633. L’A. sottolinea, in particolare, come alla luce della pronunce della giurisprudenza amministrativa in materia (cfr. Cons. Stato, Sez.VI, 8 aprile 2019, n.2270; Cons. Stato, Sez.VI, 13 dicembre 2019, n.8472; Cons. Stato, Sez.VI, 4 febbraio 2020, n.881), sembra emergere « il progressivo avvicendamento di una tensione strutturale tra il principio di imparzialità e quello di trasparenza, sbilanciato evidentemente a favore del primo, che invece dovrebbero coesistere nella logica di un giusto procedimento, ancorché automatizzato». La distanza tra la sola conoscibilità e la effettiva conoscenza dell’algoritmo in ragione dell’opacità di quest’ultimo, rende difficile non solo per il privato ma anche per la stessa amministrazione comprendere il processo decisionale sviluppato dalla macchina (c.d. opacità intrinseca). Di qui la necessità che il principio di trasparenza venga declinato in un’ottica di intellegibilità inclusiva dell’intero processo a monte della decisione algoritmica. Sulla citata giurisprudenza del Consiglio di Stato v. anche G. PESCE, Il Consiglio di Stato e il vizio dell’opacità dell’algoritmo tra diritto interno e diritto sovranazionale, in www.giustizia-amministrativa.it 16 gennaio 2020.
[25] Libro Bianco del 19 febbraio 2020 (COM) 65 final p.13. In dottrina v. anche E. SPILLER, Il diritto di comprendere, il dovere di spiegare. Explainability e intelligenza artificiale costituzionalmente orientata, in BioLaw Journal, fasc. 2, 2021, p. 12 ss.
[26] Cons. Stato, sent. Sez.VI, 13 dicembre 2019, n.8472 cit. In dottrina v. G. LO SAPIO, La trasparenza sul banco di prova dei modelli algoritmici, in Federalismi.it, n.11/2021, pp.39-52. L’A. richiama altresì il concetto di legibility proposto da una parte della dottrina per evidenziare il meccanismo di comprensione del metodo e dei dati utilizzati dalla macchina visto dalla parte di chi percepisce e non di chi eroga la prestazione (p.247, nota 26).
[27]L’art.22 del GDPR che sancisce il diritto dell’interessato a non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Si tratta di un diritto cedevole in quanto il par.2 della norma prevede che la decisione possa essere completamente automatizzata nei seguenti casi:
- a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato;
- c) si basi sul consenso esplicito dell’interessato.
Nel GDPR sono previsti, inoltre, ai sensi degli artt. 13, par.2, lett. f), 14, par.2, lett. g) e 15, par.1, lett.h), ulteriori diritti di informazione e accesso sui trattamenti automatizzati.
[28] Il principio di non discriminazione algoritmica si collega alla già segnalata possibilità di esistenza di bias nell’IA. Il Considerando 71 del GDPR prevede a riguardo l’obbligo del titolare del trattamento di mettere in atto «misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti».
[29] F. FAINI, Intelligenza artificiale e regolazione giuridica: il ruolo del diritto nel rapporto tra uomo e macchina, in Federalismi.it, n.2/2023, pp. 1-30.
[30] Il tema è vastissimo anche in ragione del dibattito che si sviluppato nella giurisprudenza amministrativa in ordine all’utilizzo di algoritmi nelle procedure di assegnazione dei docenti in esecuzione delle disposizioni contenute nella legge n.107/2015 (legge c.d. sulla “buona scuola”);sul punto, v. Cons. Stato, Sez. VI, 8 aprile 2019, n. 2270 con commento di G. FASANO, Le decisioni automatizzate nella pubblica amministrazione: tra esigenze di semplificazione e trasparenza algoritmica, in Medialaws-Rivista di diritto dei media, n.3/2019, pp.234-241; Id., 13 dicembre 2019, nn. 8472, 8473 e 8474; Id., 4 febbraio 2020, n. 881 commentata da A. VALSECCHI, Algoritmo, discrezionalità amministrativa e discrezionalità del giudice in Ius in itinere.it, 14 settembre 2020 e da A.G. OROFINO e D. GALLONE, L’intelligenza artificiale al servizio delle funzioni amministrative: profili problematici e spunti di riflessione, in Giurisprudenza Italiana, n.7/2020, pp.1738-1748;Cons.Stato, Sez.III, 25 novembre 2021, n.7891, annotata da C. FILICETTI, Sulla definizione di algoritmo, in www.giustiziainsieme.it, 8 febbraio 2023 e da N. CAPPELLAZZO, Algoritmi, automazione e macchinismi di intelligenza artificiale: la classificazione proposta dal Consiglio di Stato, in Federalismi.it, focus LPT-paper, 23 marzo 2022.Quest’ultima pronuncia è particolarmente interessante perché distingue la nozione di “algoritmo” da quella di “intelligenza artificiale”: la prima richiama «semplicemente una sequenza finita di istruzioni, ben definite e non ambigue, così da poter essere eseguite meccanicamente e tali da produrre un determinato risultato… e, quando applicata a sistemi tecnologici, è ineludibilmente collegata al concetto di automazione ossia a sistemi di azione e controllo idonei a ridurre l’intervento umano, il grado e la frequenza del quale dipendono dalla complessità e dall’accuratezza dell’algoritmo che la macchina è chiamata a processare.
Completamente diversa è la nozione di intelligenza artificiale: «in questo caso, infatti, l’algoritmo riflette dei meccanismi di machine learning e crea un sistema che non si limita solo ad applicare le regole sofware e i parametri preimpostati (come fa invece l’algoritmo “tradizionale”) ma, al contrario, elabora costantemente nuovi criteri di inferenza tra dati e assume decisioni efficienti sulla base di tali elaborazioni, secondo un processo di apprendimento automatico».
Gli algoritmi “condizionali”, chiamati dalla dottrina giuridica anche “deterministici” sono, cioè, programmati affinché al ricorrere di certe condizioni eseguano un certo comando (if……then): «Il punto centrale di questi algoritmi è che la capacità degli stessi di assumere decisioni, piani o inferenze discende dall’applicazione di regole predeterminate in fase di programmazione dell’algoritmo stesso. In altri termini, l’algoritmo esegue comandi che sono stati previamente stabiliti e che costituiscono essi stessi il modello procedurale del programma» (Così G. CARULLO, Decisione amministrativa e intelligenza artificiale, in Diritto dell’informazione e dell’informatica, n. 3/2021, pp. 431-461) mentre «il machine learning è il sistema di IA più evoluto che ha la capacità di apprendere da solo, migliorandosi automaticamente attraverso l’esperienza. Una evoluzione ulteriore dell’apprendimento automatico è il deep learning che impiega reti neurali artificiali che simulano il funzionamento del cervello umano e rappresentano i dati su livelli diversi, raggiungendo una maggiore capacità di astrazione» (G. Avanzini, Intelligenza artificiale, machine learning e istruttoria procedimentale: vantaggi, limiti ed esigenze di una specifica data governance in Intelligenza artificiale e diritto: una rivoluzione? a cura di A. PAJNO, F. DONATI, A. PERRUCCI, vol. II, Il Mulino, Bologna, 2022.
Sulle criticità delle applicazioni dei sistemi di intelligenza artificiale per i riflessi nel campo dei diritti individuali costituzionalmente garantiti v. A. SIMONCINI, L’algoritmo incostituzionale: intelligenza artificiale e il futuro delle libertà, cit., pp.63-89; A. DI MARTINO, L’amministrazione per algoritmi ed i pericoli del cambiamento in atto, in Il diritto dell’economia, anno 66, n. 103 (3 2020), pp. 599-633; C. NARDOCCI, Intelligenza artificiale e discriminazioni, in Rivista “Gruppo di Pisa”, n.3/2021, pp.9-60; A. FONZI, Intelligenza artificiale ed uguaglianza: un percorso di prevenzione?, in Dirittifondamentali.it, 2/2022, pp.94-103; M. LUCIANI, La sfida dell’intelligenza artificiale, in Lettera AIC n. 12/2023. Affronta il tema dell’affermarsi del «potere computazionale» sul modo di essere della persona umana con particolare riferimento ai punteggi reputazionali (Reputation scoring) ed alle conseguenti potenzialità distorsive di tali sistemi proponendo una “rilettura” del principio di pari dignità sociale ex art.3 Cost.come strumento giuridico rispondente all’obiettivo di superare in senso positivo i condizionamenti derivanti dalle innovazioni digitali E.DI CARPEGNA BRIVIO, Pari dignità sociale e Reputation scoring.Per una lettura costituzionale della società digitale, Torino, Giappichelli Editore, 2024. Per gli aspetti connessi al procedimento amministrativo v. F. NASSUATO, Legalità algoritmica nell’azione amministrativa e regime dei vizi procedimentali, in Ceridap.eu, Fascicolo Speciale, n.1/2022, Public Administration facing the challenges of digitalisation, pp.150-202; L. AZZENA, Big data e algoritmi nell’attuazione provvedimentale delle politiche pubbliche. Elementi per uno “statuto” dell’impiego dell’algoritmo nel processo decisionale della P.A., in Big Data e Analytics-Profili di controllo manageriale, organizzativi e giuridici, a cura di N. CASTELLANO, G. Giappichelli Editore, Torino, 2023, pp.5-42.
Per i volumi sul tema v. Il diritto dell’amministrazione digitale, a cura di R.CAVALLO PERIN e D.U. GALETTA, Torino, Giappichelli Editore, 2020;L’Amministrazione pubblica nell’era digitale, a cura di A. LALLI, Torino, Giappichelli Editore, 2022; Intelligenza artificiale per la pubblica amministrazione-Principi e regole del procedimento amministrativo algoritmico, a cura di E.BELISARIO, C.CASSANO, Pisa, Pacini Editore, 2023; L’amministrazione digitale- Quotidiana efficienza e intelligenza delle scelte, a cura di J.B. AUBY, G. DE MINICO, G. ORSONI, Napoli, Editoriale Scientifica, 2023.
[31] Sul punto v. G. Lo Sapio, Intelligenza artificiale: rischi, modelli regolatori, metafore, in Federalismi.it, n.27/2022, pp. 232- 258.
[32] E. CHELI, Conclusioni, in Osservatorio sulle fonti, n. 2/2021 osserva che «la quarta rivoluzione industriale legata ai processi di digitalizzazione – che stiamo vivendo – viene ad aprire la strada a una nuova stagione del costituzionalismo fondata su presupposti diversi da quelli del passato, stagione che potremmo qualificare del “costituzionalismo digitale”». Con riferimento alla Conferenza sul futuro dell’Europa che è stata aperta alla partecipazione di tutti i cittadini europei e si è conclusa a Strasburgo il 9 maggio 2022, l’A. vede nel rilancio di una Costituzione europea, tema da tempo messo da parte, la possibilità di porre le basi per questo «nuovo costituzionalismo che, proprio per la dimensione dei problemi posti in campo dalla rivoluzione digitale, non potrà assumere le sue forme definitive altro che nello spazio sovranazionale utilizzando quel patrimonio delle “tradizioni costituzionali comuni” che la Carta dei diritti fondamentali dell’Unione ha già da tempo richiamato e che le giurisprudenze dei vari paesi dell’Unione stanno da tempo valorizzando». Diversamente teorizzando, con il termine “digital constitutionalism” la dottrina ha indicato in ambito europeo il tentativo di creare una sorta di Internet Bill of Rights attraverso un insieme delle iniziative legislative europee che hanno determinato un «accrescimento dei diritti digitali degli utenti» con particolare riferimento alle garanzie di partecipazione a carattere procedimentale degli utenti allo scopo di realizzare una maggiore trasparenza e accountability delle piattaforme (v. G. BUTTARELLI, La regolazione delle piattaforme digitali: il ruolo delle istituzioni pubbliche, in Giornale di diritto amministrativo, n.1/2023, pp.116-127).
[33] L. CORSO, Intelligenza collettiva, intelligenza artificiale e principio democratico, in Il diritto dell’era digitale – Persona, Mercato, Amministrazione, Giustizia, a cura di M.PROTO, A.PANZAROLA, R.GIORDANO, Giuffrè, 2022, pp.443-459 segnala il pericolo che corre il principio democratico quando, a latere di un mero ausilio dell’IA da parte dei parlamenti, ipotesi già ad oggi in fase di avanzata sperimentazione, ci si dovesse avventurare nel campo delle decisioni politiche, riservate per secoli ai parlamenti, delegate ad una macchina concludendo che: «Poiché la politica non è riducibile all’elaborazione dei dati e poiché il dissenso è un elemento vitale della democrazia, poiché non esiste democrazia — come oggi noi la intendiamo — senza rappresentanza, e non esiste rappresentanza senza elezioni, la macchina che gradualmente esautora l’organo legislativo fatto di uomini in carne ed ossa, e cioè l’esteso utilizzo dell’IA per svolgere funzioni politiche, proprio come l’IC totale, può pregiudicare in modo forse irreversibile il funzionamento delle nostre democrazie».
Si segnala a riguardo che il Comitato di vigilanza sull’attività di documentazione della Camera dei Deputati, organo permanente che svolge, su incarico dell’Ufficio di Presidenza, compiti di indirizzo e controllo sull’attività di documentazione delle strutture della Camera dei Deputati, presieduto dall’On.Anna Ascani, ha pubblicato a febbraio 2024, dopo un ciclo di audizioni che ha coinvolto esperti, accademici e operatori del mercato, il rapporto «Utilizzare l’intelligenza artificiale a supporto del lavoro parlamentare» nel quale, a conclusione dell’indagine svolta, si suggeriscono una serie di principi-guida da rispettare nelle iniziative legate all’implementazione dell’IA nel lavoro parlamentare: trasparenza, integrità informativa, responsabilità umana(accountability), formazione, competenze e consapevolezza, partecipazione pubblica, sicurezza e robustezza, beneficio pubblico (interesse pubblico), prevenzione delle interferenze.
https://www.camera.it/application/xmanager/projects/leg19/attachments/uploadfile_comitato_vigilanza/pdfs/000/000 /001/Rapporto_IA_Camera_deputati.pdf Sul tema v. anche M. FOTI, L’utilizzo dell’intelligenza artificiale in ambito parlamentare , 19 marzo 2024, disponibile su http://www.altalex.com/
[34] I.GALARIOTIS, Is Artificial Intelligence threatening democracy? EUI, STG, Policy Brief, 2024/06 – https://hdl.hadle.net/1814/76565
[35] Ibidem, p.6
[36] A. SIMONCINI, in L’algoritmo incostituzionale: intelligenza artificiale e il futuro delle libertà cit., p.86 e ss., alla luce della condizione di «crescente incertezza conoscitiva» che domina ad oggi il campo delle applicazioni tecnologiche, si richiama espressamente al principio di precauzione elaborato nell’ambito del diritto dell’ambiente e codificato a livello eurounitario con il Trattato di Maastricht (art.192 TFUE) senza che ne venga fornita una definizione, per delineare un «principio di precauzione costituzionale» così sintetizzato: «la condizione di incertezza a riguardo dei possibili effetti negativi dell’impiego di una tecnologia (inclusa l’intelligenza artificiale) non può essere utilizzata come una ragione legittima per non regolare e limitare tale sviluppo». All’ideologia, promossa dalle strategie di marketing dei potenti players che hanno il monopolio del mercato in questione, secondo cui la «diffusione della tecnologia avrebbe, di per sé, rappresentato un aumento della civiltà, della democrazia e della libertà», l’A. contrappone la cautela derivante dai dati di fatto affermando la necessità, in applicazione del citato principio di precauzione costituzionale, di «una regolazione effettiva, di livello sovra-nazionale e sovra-legislativo, riguardante le tecnologie, vòlta ad evitare il verificarsi di violazioni delle libertà fondamentali non più (o molto difficilmente) rimediabili una volta che esse sono state diffuse».
[37] Ai sensi del Considerando 71 del Regolamento sulla protezione dei dati personali (GDPR) 2016/679 la «profilazione» consiste «in una forma di trattamento automatizzato dei dati personali che valuta aspetti personali concernenti una persona fisica, in particolare al fine di analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti dell’interessato».
[38] Com’è noto lo scandalo prende il nome dalla società, filiale della società britannica SCL Group (Group Strategic Communication Laboratories) creata nel 2013 con lo scopo di occuparsi delle strategie di comunicazione politica per finalità elettorali e chiusa nel 2018 proprio in relazione all’emergere dello scandalo. Le inchieste giornalistiche di alcuni quotidiani americani evidenziarono, infatti, che la società tramite l’app Thisisyourdigitallife aveva utilizzato in maniera illecita e senza alcuna autorizzazione e/consenso i dati personali di 87 milioni di utenti Facebook per “profilare” i loro gusti e tendenze influenzando in tal modo la campagna elettorale per l’elezione del Presidente degli Stati Uniti.
La citata società è stata anche imputata di aver manipolato, con tecniche analoghe, il voto dei cittadini all’epoca del referendum sulla Brexit. Per non aver protetto i dati personali degli utenti della piattaforma Facebook a luglio 2018 è stata multata per 500.000 sterline dal Information Commissioner’s Office (Ico) britannico, l’ufficio che in Gran Bretagna si occupa di privacy e digitale mentre anche il Garante italiano e la Federal Trade Association, l’agenzia governativa statunitense che si occupa della tutela dei consumatori e della privacy, hanno comminato pes anti sanzioni rispettivamente di un milione di euro e di 5 miliardi di dollari per gli illeciti compiuti dalla società Cambridge Anaytica per mezzo della piattaforma di Mark Zuckemberg. È interessante notare come la causa, intentata nel 2018 da Washington D.C. contro il proprietario di Facebook Meta Platforms Inc per violazione della legge sulla protezione dei consumatori del distretto per l’utilizzo dei dati personali da parte di Cambridge Analytica, nel 2023 è stata respinta dal giudice Maurice Ross della Corte Superiore del Distretto di Columbia.
Secondo il giudice Ross, infatti, Facebook ha fatto quanto doveva per informare gli utenti sulle modalità necessarie per evitare che i propri dati siano condivisi con terzi e, quindi, non può essere considerata responsabile del fatto che questi ultimi non abbiano fatto quanto avrebbero potuto per evitare di ritrovarsi monitorati, profilati e tracciati per finalità politiche da terzi fornitori di servizi digitali come Cambridge Analytica. Per un commento a tale sentenza v. l’intervento di G. Scorza, componente del Garante per la protezione dei dati personali, 6 giugno 2023, La lezione di Cambridge Analytica: leggere prima di accettare per sopravvivere nell’universo digitale disponibile su https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9893941 che sottolinea il fallimento degli obblighi di informazione imposti ai giganti del web proprio perché «i processi e le interfacce di registrazione a servizi e piattaforme sono scientificamente progettati, disegnati e sviluppati in modo da ottenere l’effetto voluto: il rispetto formale delle regole ma la certezza – o quasi – che tutti o, almeno, i più, pur potendo non leggeranno nulla e correranno a cliccare sul pulsante “accetta e continua”» e che «(…)l’unica chance di difendere la nostra privacy e, attraverso essa, la nostra sopravvivenza digitale, è accettare l’idea tanto semplice quanto nemica della nostra pigrizia, che prima si leggono e capiscono termini d’uso e informative sulla privacy e poi si accetta».
Illuminanti in proposito le considerazioni formulate da D. MESSINA, Il Regolamento (EU)2016/679 in materia di protezione di dati personali alla luce della vicenda “Cambridge Analytica”, in Federalismi.it, n.20/2018, pp.2-41 che osserva come «Il fluire incessante di [tali] informazioni personali ha favorito negli ultimi anni il sorgere di tecniche di profilazione sempre più raffinate che, attraverso l’aggregazione, l’incrocio e la riorganizzazione dei dati raccolti, consentono di suddividere gli utenti in categorie distinte in base a caratteristiche omogenee, al fine di fornire prodotti “su misura” attraverso la previsione delle decisioni di consumo e dei relativi comportamenti. Potenziate dalla straordinaria rapidità evolutiva degli strumenti tecnologici, tali peculiari attività di trattamento dei dati personali non solo possono esacerbare situazioni di discriminazione e di stereotipizzazione già esistenti, ma rischiano di condurre a fenomeni di “penalizzazione delle propensioni”, limitando le effettive possibilità di scelta del singolo, sino a condurre all’estrema conseguenza di inibire l’esercizio delle relative libertà fondamentali o di limitare l’erogazione di servizi essenziali». La cessione dei dati personali sulle piattaforme dei giganti del web in cambio della gratuità del servizio ha come contropartita l’utilizzo dei dati stessi per l’attività di microtargeting effettuata dalle aziende pubblicitarie ma, come si è affermato, «il meccanismo della personalizzazione assoluta che domina oggi il mondo delle comunicazioni, combinato con la “filter bubble” dei motori di ricerca o dei “consigli”, ha un risvolto assai preoccupante e negativo, quello della riduzione dello spazio della conoscenza» (così E. Assante, Cosa ci può insegnare il caso Cambridge Analytica, in Federalismi.it, 25 aprile 2018).
[39] C. COLAPIETRO, Gli algoritmi tra trasparenza e protezione dei dati personali, in Federalismi, n.5/2023, pp. 151- 174.
[40] A. CELOTTO, I robot possono avere diritti? in BioLaw Journal, fasc. 1, 2019, pp. 91-99.
[41] Così F. FAINI, Intelligenza artificiale e regolazione giuridica, cit. p.11.
[42] (1) Un robot non può recar danno a un essere umano né può permettere che, a causa del proprio mancato intervento, un essere umano riceva danno. (2) Un robot deve obbedire agli ordini impartiti dagli esseri umani, purché tali ordini non contravvengano alla Prima Legge. (3) Un robot deve proteggere la propria esistenza, purché questa autodifesa non contrasti con la Prima o con la Seconda Legge. (cfr. Isaac Asimov, Circolo vizioso, 1942). In I Robot e l’Impero (1985), Asimov aggiunge poi la Legge Zero, che però è accettata solo dai robot più sofisticati. Questa legge è anteposta, in ordine di importanza, alle altre, permettendo una maggiore efficienza ai robot: 0. Un robot non può recare danno all’Umanità, né può permettere che, a causa del suo mancato intervento, l’Umanità riceva un danno.
[43] Il documento prodotto in data 17 luglio 2017 dal Comitato Nazionale per la Bioetica e dal Comitato Nazionale per la Biosicurezza, le Biotecnologie e la Scienza della Vita intitolato «Sviluppi della robotica e della roboetica» https://bioetica.governo.it/media/1392/p129_sviluppi-della-robotica-e-della-roboetica_gruppo-misto_it-cnb.pdf si sofferma sugli scenari aperti dalle nuove tecnologie in vari campi della società esprimendo alcune raccomandazioni che attengono alle applicazioni robotiche nell’ambito sociale, medico, militare e giuridico. In particolare, partendo dalla definizione di robot e di intelligenza artificiale, il parere distingue i robot con un corpo da quelli senza corpo(meccanico), ciascuno dei quali può, a sua volta, essere “stupido” o “intelligente” e si concentra sulla robotica con riferimento alle macchine dotate di corpo e intelligenza artificiale, cioè autonome, in grado di pensare da sole a prescindere dall’input umano e che sollevano problemi legati alla sicurezza, all’etica e al diritto. Per quanto concerne il profilo della responsabilità giuridica dei robot, si raccomandano tutele e garanzie per i cittadini, gli utenti e le imprese per evitare il più possibile che la condotta dei robot possa cagionare danni, danni che, comunque, devono essere coperti così come sottolineato dalla Risoluzione del PE, «considerato che non si tratta tanto di creare leggi per i robot intelligenti, ma di creare regole per gli umani che a tali macchine si affidano per ampliare le proprie capacità, qualunque esse siano».
Una sezione dell’elaborato è dedicata alle riflessioni suscitate in campo etico dalle interazioni tra uomo e macchina, la cd. roboetica definita come «un’etica applicata, il suo scopo è sviluppare strumenti e conoscenze scientifiche, culturali e tecniche che siano universalmente condivisi, indipendentemente dalle differenze culturali, sociali e religiose. Questi strumenti potranno promuovere e incoraggiare lo sviluppo della robotica verso il benessere della società e della persona. Inoltre, grazie alla roboetica, si potrà prevenire l’impiego della robotica contro gli esseri umani» (v. p.15). L’esigenza che lo sviluppo delle tecnologie robotiche e dell’intelligenza artificiale si sposi con i principi etici e giuridici che sono il fondamento delle nostre società democratiche al fine di regolamentarne l’utilizzo e mitigarne i rischi ha determinato l’adozione degli “Asilomar Ai Principles”.
Si tratta di 23 principi adottati nel corso della Conferenza organizzata dal Future of Life Institute tenutasi ad Asilomar dal 5 al 7 gennaio 2017 che forniscono un quadro utile per orientare le applicazioni di AI a beneficio dell’umanità e si riferiscono a tre diverse aree: Problemi di ricerca, Etica e Valori e Problemi di lungo termine. Come sottolineato in dottrina (v. E. CARLONI, I principi della legalità algoritmica, in Dir. Amm., Fasc.2/2020, pp.273-304) nell’articolato set di principi e valori che compongono la dichiarazione di Asilomar spiccano quei principi di responsabilità, compatibilità con i valori ed i diritti umani, protezione della riservatezza, controllo umano che hanno ispirato l ’Unione europea nel già citato Libro Bianco “Un approccio europeo all’eccellenza e alla fiducia” del 19 febbraio 2020 con il quale la Commissione, muovendosi nel solco già tracciato sin dal 2018 (L’intelligenza artificiale per l’Europa, COM(2018) 237 final) delinea la strategia europea finalizzata alla creazione di un ecosistema di eccellenza e di fiducia che, combinando i punti di forza industriali e tecnologici con un’infrastruttura digitale di elevata qualità e un quadro normativo basato sui suoi valori fondamentali, propone uno sviluppo sicuro e affidabile dell’IA.
A livello nazionale il Libro Bianco sull’Intelligenza artificiale a servizio del cittadino elaborato nel 2018 dalla task force sull’IA dell’AgID (Agenzia per l’Italia Digitale) https://istitutoinnovazione.eu/wp-content/uploads/2018/09/Librobianco-intelligenza-artificiale.pdf ha esaminato le opportunità e i rischi generati dall’IA nel settore pubblico nell’ottica di ricondurre i benefici apportati da questa nuova tecnologia sul terreno della pratica quotidiana dei cittadini e delle imprese governando nella direzione giusta un processo inarrestabile di cambiamento che sta trasformando le vite di tutti: «la sfida è quella di dare la priorità all’aumento del benessere umano come parametro per il progresso nell’“età algoritmica”. Riconoscendo il potenziale di un approccio olistico, la prosperità dovrebbe in questo modo dive ntare più importante del perseguimento di obiettivi monodimensionali come l’aumento della produttività o la crescita del PIL di un Paese» (p.13). Per un commento sul Libro bianco AgID si rinvia a M. TRESCA, I primi passi verso l’Intelligenza Artificiale a servizio del cittadino: brevi note sul Libro Bianco dell’Agenzia per l’Italia digitale, in www.medialaws.eu, Rivista di diritto dei media, n.3/2018 https://www.medialaws.eu/rivista/i-primi-passi-verso-lintelligenza-artificiale-alservizio-del-cittadino-brevi-note-sul-libro-biancodellagenzia-per-litalia-digitale/
[44] Oltre al Libro Bianco “Un approccio europeo all’eccellenza e alla fiducia” del 19 febbraio 2020 che già annovera tra i rischi connessi all’utilizzo delle tecnologie di IA anche la questione della responsabilità nella “Relazione sulle implicazioni dell’intelligenza artificiale, dell’Internet delle cose e della robotica in materia di sicurezza e di responsabilità” che accompagna lo stesso Libro Bianco, si veda anche la Comunicazione della Commissione europea “Plasmare il futuro digitale dell’Europa (COM(2020) 67 final)”che si propone l’obiettivo di perseguire la transizione digitale attraverso soluzioni tecnologiche innovative che operino al servizio delle persone e delle imprese nel rispetto dei valori democratici e dei diritti fondamentali riconosciuti dall’Unione Europea.
[45] Commissione europea, Direzione generale delle Reti di comunicazione, dei contenuti e delle tecnologie, Indagine sulle imprese europee sull’uso delle tecnologie basate sull’intelligenza artificiale – Relazione finale , Ufficio delle pubblicazioni, 2020, https://data.europa.eu/doi/10.2759/759368
[46] Per approfondimenti sul tema della responsabilità civile in relazione all’utilizzo di sistemi di IA, v. D. CHIAPPINI, Intelligenza Artificiale e responsabilità civile: nuovi orizzonti di regolamentazione alla luce dell’Artificial Intelligence Act dell’Unione europea, inRivista italiana di informatica e diritto, Fasc.2/2022, pp. 95-108.
[47] Proposta di Direttiva del Parlamento europeo e del Consiglio relativa all’adeguamento delle norme in materia di responsabilità civile extracontrattuale all’intelligenza artificiale (direttiva sulla responsabilità da intelligenza artificiale del 28 settembre 2022 (COM (2022) 496 final).
[48] Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale) (COM (2021) 206 final) il cui iter si è ormai definitivamente concluso con l’approvazione finale del Parlamento europeo nel mese di marzo 2024. Il testo del regolamento, sul quale ci si soffermerà più avanti (v. infra par.6), è stato infine pubblicato, dopo il drafting di rito, sulla GUE del 12 luglio 2024 («Regolamento (Ue) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale)»
[49] Proposta di direttiva del Parlamento europeo e del Consiglio sulla responsabilità per prodotti difettosi-COM (2022) 495 del 28 settembre 2022.
[50] Le classificazioni di tali sistemi fanno riferimento alla proposta di regolamento sull’intelligenza artificiale (AI ACT) nel suo testo originario e, in particolare, al Titolo III, Capi I (Sistemi ad alto rischio) e II (Requisiti per i sistemi ad alto rischio). Per una illustrazione più specifica v. infra-nota 83.
[51] Il Considerando 16 della proposta sottolinea l’opportunità di stabilire, ai fini dell’accertamento della responsabilità, norme sulla divulgazione degli elementi di prova da parte di coloro che ne hanno la disponibilità in relazione al fatto che l’AI Act «stabilisce requisiti specifici in materia di documentazione, informazioni e registrazione, ma non riconosce al danneggiato il diritto di accesso a tali informazioni». La limitazione dell’istituto della divulgazione ai soli sistemi di IA ad alto rischio è ritenuta coerente con l’IA Act in quanto tale normativa «prevede determinati obblighi specifici di documentazione, informazione e conservazione delle registrazioni per gli operatori coinvolti nella progettazione, nello sviluppo e nell’impiego di sistemi di IA ad alto rischio» evitando, così, di imporre agli operatori di sistemi a rischio basso o nullo oneri sproporzionati impattanti sul regime della responsabilità(Cfr. Considerando 18).
[52] 2 Così C. COLAPIETRO, Gli algoritmi tra trasparenza e protezione dei dati personali, op.cit. p.158
[53] Direttiva 2016/943 del Parlamento Europeo e del Consiglio dell’8 giugno 2016 sulla protezione del know-how riservato e delle informazioni commerciali riservate (segreti commerciali) contro l’acquisizione, l’utilizzo e la divulgazione illeciti.
[54] L’art.9, Tutela della riservatezza dei segreti commerciali nel corso di procedimenti giudiziari, par. 1 della direttiva UE 2016/943 così recita:
- Gli Stati membri assicurano che le parti, i loro avvocati o altri rappresentanti, il personale giudiziario, i testimoni, gli esperti e tutte le altre persone che partecipano ai procedimenti giudiziari in materia di acquisizione, utilizzo o divulgazione illeciti di un segreto commerciale, o che hanno accesso alla relativa documentazione processuale, non siano autorizzati a utilizzare né a rivelare alcun segreto commerciale o presunto segreto commerciale che le competenti autorità giudiziarie, in risposta ad una richiesta debitamente motivata della parte interessata, abbiano indicato come riservato e di cui siano venuti a conoscenza a seguito della partecipazione al procedimento o dell’accesso a detta documentazione. Gli Stati membri possono inoltre consentire alle competenti autorità giudiziarie di adottare siffatte misure di propria iniziativa.
L’art.9 della direttiva prescrive che le misure da adottare per tutelare la riservatezza dei segreti commerciali, prevedano almeno la possibilità di limitazione di accesso alla documentazione riservata e di accesso alle udienze, registrazioni e trascrizioni a un novero ristretto di persone, nonché l’oscuramento delle parti sensibili delle decisioni.
[55] Legge 22 aprile 1941 n.633, Protezione del diritto di autore e di altri diritti connessi al suo esercizio.
[56] Decreto Legislativo 10 febbraio 2005, n.30, Codice della proprietà industriale, a norma dell’articolo 15 della legge 12 dicembre 2002, n. 273.
[57] Cfr. C. COLAPIETRO, Gli algoritmi tra trasparenza e protezione dei dati personali, cit., p. 164 che si spinge a ritenere che l’algoritmo possa formare oggetto di segreto commerciale qualora siano integrati i requisiti previsti dall’art.98 del Codice
[58] Vedi a riguardo supra nota n. 30.
[59] Tar Lazio, Sez. III bis, 22 marzo 2017, n.3769 con commento di I. FORGIONE, Il caso dell’accesso al software MIUR per l’assegnazione dei docenti, in Giornale di diritto amministrativo n.5/2018, pp. 647-662. In senso conforme Tar Lazio, Sez.III bis, 6 giugno 2019;1° luglio 2020, n. 7526; 30 giugno 2021, n.7769.
[60] Tar Lazio, Sez. III bis, n.3769/2017 cit.
[61] Art.69- Riuso delle soluzioni e standard aperti
“Le pubbliche amministrazioni che siano titolari di soluzioni e programmi informatici realizzati su specifiche indicazioni del committente pubblico, hanno l’obbligo di rendere disponibile il relativo codice sorgente, completo della documentazione e rilasciato in repertorio pubblico sotto licenza aperta, in uso gratuito ad altre pubbliche amministrazioni o ai soggetti giuridici che intendano adattarli alle proprie esigenze, salvo motivate ragioni di ordine e sicurezza pubblica, difesa nazionale e consultazioni elettorali
- Al fine di favorire il riuso dei programmi informatici di proprietà delle pubbliche amministrazioni, ai sensi del comma 1, nei capitolati o nelle specifiche di progetto è previsto, salvo che ciò risulti eccessivamente oneroso per comprovate ragioni di carattere tecnico-economico, che l’amministrazione committente sia sempre titolare di tutti i diritti sui programmi e i servizi delle tecnologie dell’informazione e della comunicazione, appositamente sviluppati per essa.
2-bis. Al medesimo fine di cui al comma 2, il codice sorgente, la documentazione e la relativa descrizione tecnico funzionale di tutte le soluzioni informatiche di cui al comma 1 sono pubblicati attraverso una o più piattaforme individuate dall’AgID con proprie Linee guida”
[62] Cfr. Le “Linee guida sull’acquisizione e riuso software per le PA” sostituiscono la precedente circolare AgID 63/2013 “Linee guida per la valutazione comparativa prevista dall’art. 68 del D. Lgs. 7 marzo 2005, n. 82 Codice dell’Amministrazione digitale” e relativi allegati. Sono state adottate con determinazione n. 115 del 9 maggio 2019, e pubblicate in Gazzetta ufficiale, n.119 del 23 maggio 2019. https://www.agid.gov.it/it/design-servizi/riuso-opensource/linee-guida-acquisizione-riuso-software-pa
[63] Art.68-Analisi comparativa delle soluzioni
“Le pubbliche amministrazioni acquisiscono programmi informatici o parti di essi nel rispetto dei princìpi di economicità e di efficienza, tutela degli investimenti, riuso e neutralità tecnologica, a seguito di una valutazione comparativa di tipo tecnico ed economico tra le seguenti soluzioni disponibili sul mercato:
- software sviluppato per conto della pubblica amministrazione;
- riutilizzo di software o parti di esso sviluppati per conto della pubblica amministrazione;
- software libero o a codice sorgente aperto;
- software fruibile in modalità cloud computing;
- software di tipo proprietario mediante ricorso a licenza d’uso;
- software combinazione delle precedenti soluzioni.
1-bis …OMISSIS…
1-ter. Ove dalla valutazione comparativa di tipo tecnico ed economico, secondo i criteri di cui al comma 1-bis, risulti motivatamente l’impossibilità di accedere a soluzioni già disponibili all’interno della pubblica amministrazione, o a software liberi o a codici sorgente aperto, adeguati alle esigenze da soddisfare, è consentita l’acquisizione di programmi informatici di tipo proprietario mediante ricorso a licenza d’uso. La valutazione di cui al presente comma è effettuata secondo le modalità e i criteri definiti dall’AgID”
[64] L’art.15 del Regolamento (UE) 2016/679 sulla protezione dei dati personali (GDPR) “Diritto di accesso dell’interessato” prevede, infatti, che l’interessato ha il diritto di accedere ai dati personali e di ottenere informazioni circa «h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato»
[65] A. CORRADO, La trasparenza necessaria per infondere fiducia in una amministrazione algoritmica e antropocentrica, cit. p. 212.
[66] Ibidem, 214.
[67] Proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull’intelligenza artificiale (legge sull’intelligenza artificiale) (COM (2021) 206 final).
[68] Art.3, punto 1.
[69] Da notare che la Comunicazione della Commissione COM (2018) 237 final L’intelligenza artificiale per l’Europa, p.1, definiva Intelligenza artificiale (IA) l’insieme dei «sistemi che mostrano un comportamento intelligente analizzando il proprio ambiente e compiendo azioni, con un certo grado di autonomia, per raggiungere specifici obiettivi I sistemi basati sull’IA possono consistere solo in software che agiscono nel mondo virtuale (per esempio assistenti vocali, software per l’analisi delle immagini, motori di ricerca, sistemi di riconoscimento vocale e facciale); oppure incorporare l’IA in dispositivi hardware (per esempio in robot avanzati, auto a guida autonoma, droni o applicazioni dell’Internet delle cose)»
[70] v. sul punto le conclusioni del Consiglio europeo nonché le Risoluzioni del Parlamento europeo richiamate nella Relazione di accompagnamento alla proposta della Commissione (COM (2021) 206 final).
[71] Nella citata Relazione di accompagnamento alla proposta, si afferma che il quadro normativo presentato si orienta sui seguenti obiettivi specifici:
- assicurare che i sistemi di IA immessi sul mercato dell’Unione e utilizzati siano sicuri e rispettino la normativa vigente in materia di diritti fondamentali e i valori dell’Unione;
- assicurare la certezza del diritto per facilitare gli investimenti e l’innovazione nell’intelligenza artificiale;
- migliorare la governance e l’applicazione effettiva della normativa esistente in materia di diritti fondamentali e requisiti di sicurezza applicabili ai sistemi di IA;
- facilitare lo sviluppo di un mercato unico per applicazioni di IA lecite, sicure e affidabili nonché prevenire la frammentazione del mercato.
Questi obiettivi si sono tradotti nella disposizione di cui all’art.1, c. 2 secondo il quale il regolamento stabilisce:
- regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA nell’Unione;
- divieti di talune pratiche di IA;
- requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi;
- regole di trasparenza armonizzate per determinati sistemi di IA;
- regole armonizzate per l’immissione sul mercato di modelli di IA per finalità generali;
- regole in materia di monitoraggio del mercato, governance della vigilanza del mercato e applicazione;
- misure a sostegno dell’innovazione, con particolare attenzione alle PMI, comprese le start-up.
Come evidenziato nel testo in corsivo, con l’accordo di compromesso finale e su richiesta del PE, sono state introdotte disposizioni specifiche che riguardano i modelli di IA per finalità generali, compresi i modelli generativi di grandi dimensioni (es. ChatGPT), con l’imposizione a carico dei fornitori di specifici e particolari obblighi (v. in particolare il Capo IV contenente gli obblighi di trasparenza per i fornitori e gli utenti di determinati sistemi di IA e il Capo V concernente gli obblighi per i fornitori di modelli di IA per finalità generali nonché gli obblighi aggiuntivi per i fornitori di modelli per finalità generali con rischio sistemico). Il regolamento (art.3, punto 63) definisce «”modello di IA per finalità generali”: un modello di IA, anche laddove tale modello di IA sia addestrato con grandi quantità di dati utilizzando l’autosupervisione su larga scala, che sia caratterizzato da una generalità significativa e sia in grado di svolgere con competenza un’ampia gamma di compiti distinti, indipendentemente dalle modalità con cui il modello è immesso sul mercato, e che può essere integrato in una varietà di sistemi o applicazioni a valle, ad eccezione dei modelli di IA utilizzati per attività di ricerca, sviluppo o prototipazione prima di essere immessi sul mercato» e «“rischio sistemico”(art.3, punto 65) un rischio specifico per le capacità di impatto elevato dei modelli di IA per finalità generali, avente un impatto significativo sul mercato dell’Unione a causa della sua portata o di effetti negativi effettivi o ragionevolmente prevedibili sulla salute pubblica, la sicurezza, i diritti fondamentali o la società nel suo complesso, che può propagarsi su larga scala lungo l’intera catena del valore». L’Allegato XIII al regolamento contiene i criteri dei quali la Commissione europea deve tenere conto per la designazione dei modelli di IA per finalità generali che comportino rischi sistemici, fermo restando che si presumono tali i modelli addestrati utilizzando una potenza di calcolo totale superiore a 10^25 FLOPS (art.51, c.2).
L’Ufficio per l’IA (istituito all’interno della Commissione con decisione della Commissione del 24 gennaio 2024) potrà aggiornare tale soglia alla luce dell’evoluzione tecnologica ovvero integrare il criterio della potenza di calcolo con altri criteri (ad esempio, il numero di utenti o il grado di autonomia del modello).
[72] Oltre alle sopracitate Linee guida etiche per un’IA affidabile (“Orientamenti etici per un’IA affidabile” disponibile su https://data.europa.eu/doi/10.2759/640340), il gruppo ha presentato altri due documenti di cui l’uno contenente 33 raccomandazioni politiche e di investimento per guidare l’IA verso la crescita e l’innovazione e l’altro contenente una check-list di autovalutazione da utilizzarsi dagli sviluppatori e operatori per l’implementazione dei sette requisiti chiave specificati nelle Linee guida (ALTAI acronimo di Assessment List for Trustworthy AI). Nel giugno del 2019 i risultati del gruppo di lavoro sono stati testati nel corso della prima Assemblea dell’Alleanza europea per l’IA (vedi oltre) e sono serviti alla Commissione per elaborare gli atti che hanno preceduto la proposta di regolamento e, in particolare, la comunicazione dell’8.04.2019 “Costruire la fiducia nell’intelligenza artificiale antropocentrica”( COM(2019) 168 final ), il Libro Bianco sull’intelligenza artificiale del 2020 (COM(2020)65 final, e la revisione del 21.04.2021 (COM(2021) 205 final) del Piano coordinato sull’intelligenza artificiale di cui alla comunicazione della Commissione europea (COM(2018) 795 final). A titolo di cronaca si ricorda che precedentemente alla costituzione del gruppo di lavoro preannunciata con la comunicazione del 25 aprile 2018(COM (2018) 237 final “L’intelligenza artificiale per l’Europa” e con la stessa comunicazione, la Commissione europea ha individuato nella piattaforma multilaterale denominata “Alleanza europea per l’IA”, lo strumento necessario per instaurare una collaborazione con i portatori di interessi della società civile «per raccogliere contributi, scambiare opinioni, condividere buone pratiche, sviluppare e attuare misure comuni per incoraggiare lo sviluppo e l’impiego dell’IA» così da supportare il gruppo di lavoro nella predisposizione di un quadro etico-giuridico adeguato in materia di IA. Per approfondimenti sul tema v. la pagina del sito ufficiale della Commissione europea dedicata a “L’Alleanza europea per l’IA”, https://digitalstrategy.ec.europa.eu/it/policies/european-ai-alliance e, in dottrina G. RUGANI, La consultazione dei portatori di interessi nell’elaborazione degli atti dell’Unione Europea in materia di intelligenza artificiale: il caso dell’alleanza europea per l’IA, in Osservatorio sulle fonti, n. 2/2023. Disponibile in: http://www.osservatoriosullefonti.it/
[73] Tra i diritti fondamentali ritenuti particolarmente pertinenti per quanto riguarda i sistemi di IA, il testo cita i seguenti:
− Rispetto della dignità umana
− Libertà individuale. Rispetto della democrazia, della giustizia e dello Stato di diritto
− Uguaglianza, non discriminazione e solidarietà
− Diritti dei cittadini.
[74] Orientamenti etici per un’IA affidabile, p.13. I quattro principi etici si ricollegano ad altrettanti diritti fondamentali riconosciuti nella Carta dei diritti fondamentali dell’Unione europea: «il rispetto dell’autonomia umana è strettamente connesso al diritto alla dignità umana e alla libertà (sanciti dagli articoli 1 e 6 della Carta). La prevenzione dei danni è strettamente connessa alla protezione dell’integrità fisica e psichica (sancita dall’articolo 3). L’equità è strettamente connessa ai diritti alla non discriminazione, alla solidarietà e alla giustizia (sanciti dall’articolo 21 e seguenti). L’esplicabilità e la responsabilità sono strettamente connesse ai diritti relativi alla giustizia (sanciti dall’articolo 47)».
[75] Il documento indica a tal fine i seguenti soggetti:
- gli sviluppatori attuano e applicano i requisiti ai processi di progettazione e sviluppo;
- i distributori garantiscono che i sistemi che utilizzano e i prodotti e i servizi che offrono soddisfino i requisiti;
- gli utenti finali e la società in generale sono informati su questi requisiti e hanno la facoltà di domandarne il rispetto.
[76] Ibidem. La dottrina ha definito la necessità dell’intervento umano per controllare, validare e/o modificare le decisioni automatizzate con la suggestiva espressione «riserva di umanità» qualificandola non soltanto come presidio per un’amministrazione più giusta, efficace ed equa ma anche come fondamentale fattore di legittimazione sociale dell’automazione realizzata attraverso l’intelligenza artificiale (Cfr. G. Gallone, Riserva di umanità e funzioni amministrative, Milano, Cedam, 2023). Il principio della non esclusività della decisione algoritmica che impone comunque l’intervento umano nel processo decisionale automatizzato, del resto, unitamente ai principi di conoscibilità e comprensibilità e di non discriminazione algoritmica, tutti principi che secondo la giurisprudenza amministrativa, governano l’utilizzo delle procedure automatizzate, trova oggi riscontro normativo nel nuovo Codice dei contratti pubblici (art.30 del d.lgs. n.36/2023 rubricato appunto “Uso di procedure automatizzate nel ciclo di vita dei contratti pubblici ) Sul punto v. A.Corrado, I nuovi contratti pubblici, intelligenza artificiale e blockchain:le sfide del prossimo futuro, in Federalismi, n.19/2023, pp.128-154.
[77] I. DI CIOMMO, La prospettiva del controllo nell’era dell’Intelligenza artificiale: alcune osservazioni sul modello Human In The Loop, in Federalismi, n.9/2023, pp.68-90.
[78] Cfr. G. LO SAPIO, Intelligenza artificiale: rischi, modelli regolatori, metafore in Federalismi, n.27/2022, pp. 232- 258, parla (p.253, nota 58) di una «scelta latu sensu politica» e cita a riguardo R. CUCCHIARA, «L’ intelligenza non artificiale, 2021 secondo il quale «Una serie di livelli di controllo potrebbe essere definita per ogni sistema di I.A. Nel caso in cui la supervisione umana non sia conveniente ad un determinato livello, il sistema dovrebbe essere abbastanza accurato da alleviare la necessita della supervisione, quindi si dovrebbe considerare un compromesso tra affidabilità e dovere di supervisione (…). La supervisione umana è sempre tecnicamente fattibile, anche se potrebbe essere non conveniente adottarla ad ogni livello, come nel caso di sistemi che devono intraprendere azioni in un breve lasso di tempo».
[79] Orientamenti etici per un’IA affidabile, Punto 65, p.18.
[80] Il Considerando 27 del regolamento li richiama espressamente concludendo che «L’applicazione di tali principi dovrebbe essere tradotta, ove possibile, nella progettazione e nell’utilizzo di modelli di IA. Essi dovrebbero in ogni caso fungere da base per l’elaborazione di codici di condotta a norma del presente regolamento. Tutti i portatori di interessi, compresi l’industria, il mondo accademico, la società civile e le organizzazioni di normazione, sono incoraggiati a tenere conto, se del caso, dei principi etici per lo sviluppo delle migliori pratiche e norme volontarie». Sul punto, occorre peraltro tenere presente che il regolamento codifica nell’articolato solo alcuni dei principi indicati dall’AI HLEG (Art.14 “Sorveglianza umana”, Art.15 “Accuratezza, robustezza e cybersicurezza”, Art.10 “Dati e governance dei dati”, Art.13 “Trasparenza e fornitura di informazioni ai deployer”, Art.50 “Obblighi di trasparenza per i fornitori e gli utenti di determinati sistemi di IA”, Art.25 “Responsabilità lungo la catena di valore dell’IA”) mentre i principi di “diversità, non discriminazione ed equità” e quello del “benessere sociale e ambientale” sono elencati unicamente nel citato Considerando 27.
[81] La dimensione etica dell’IA costituisce oggetto di studio da parte dell’«algoretica» che studia le implicazioni economiche, sociali e culturali legate allo sviluppo dei sistemi di intelligenza artificiale.
Il termine è stato coniato per la prima volta da Padre PAOLO BENANTI nel suo saggio Oracoli. Tra algoretica e algocrazia pubblicato da Luca Sossella editore, Roma, 2018. L’autore contrappone il termine algoretica al termine algocrazia inteso come il dominio degli algoritmi che condizionano e pervadono massicciamente tutta la nostra vita quotidiana, invadendo anche la sfera dei diritti.
Secondo l’Accademia della Crusca sia la forma inglese che il calco italiano (algocrazia deriva, infatti, etimologicamente dall’inglese algocracy ‘potere degli algoritmi’, formato da algo, abbreviazione informale di algorithm ‘algoritmo’, e da -cracy ‘-crazia’) «originariamente, facevano riferimento all’effetto che le tecnologie informatiche hanno sull’evoluzione del lavoro; il termine si è poi esteso a indicare più genericamente l’importanza degli algoritmi nella società, talmente in crescita da suscitare motivate preoccupazioni». L’algoretica ha invece come obiettivo quello di codificare precetti etici all’interno dei meccanismi computazionali, ciò che implica la presenza di una governance capace di indirizzare lo sviluppo responsabile dell’IA. Lo stretto collegamento sussistente tra l’etica e la governance del digitale è materia di approfondimento teorico da parte di studiosi come L.FLORIDI, che in Soft Ethics and the Governance of the Digital, 2018 ritiene che «the real challenge in no longer digital innovation, but the governance of the digital» e distingue tra digital governance , digital ehtics e digital regulation:«(…) the governance of the digital (henceforth digital governance), the ethics of the digital (henceforth digital ethics, also known as computer, information or data ethics (…) and the regulation of the digital (henceforth digital regulation) are different normative approaches, complementary, but not to be confused with each other». In particolare, «Digital governance is the practice of establishing and implementing policies, procedures, and standards for the proper development, use and management of the infosphere» e può comprendere linee guida e raccomandazioni che si sovrappongono, ma non sono identiche, alla digital regulation con la conseguenza che «Not every aspect of digital regulation is a matter of digital governance and not every aspect of digital governance is a matter of digital regulation». La digital ethics è intesa come quella branca dell’etica che studia e valuta i problemi morali relativi a dati e informazioni, algoritmi (tra cui l’intelligenza artificiale, agenti artificiali, apprendimento automatico e robot) e pratiche e infrastrutture corrispondenti, al fine di formulare e supportare soluzioni moralmente buone (ad esempio buona condotta o buoni valori): essa modella la digital regulation e la digital governance «through the relation of moral evaluation».
[82] Cfr. Considerando 48 che richiama in proposito i diritti fondamentali protetti dalla Carta dei diritti fondamentali dell’Unione europea (CDFUE) e, in particolare, «il diritto alla dignità umana, il rispetto della vita privata e della vita familiare, la protezione dei dati personali, la libertà di espressione e di informazione, la libertà di riunione e di associazione e la non discriminazione, il diritto all’istruzione, la protezione dei consumatori, i diritti dei lavoratori, i diritti delle persone con disabilità, l’uguaglianza di genere, i diritti di proprietà intellettuale, il diritto a un ricorso effettivo e a un giudice imparziale, i diritti della difesa e la presunzione di innocenza e il diritto a una buona amministrazione» e sottolinea la specificità dei minori che, soggetti particolarmente vulnerabili, godono di precisi diritti in relazione all’ambiente digitale (v. Commento n.25 adottato nel 2021 dal Comitato delle Nazioni Unite sui Diritti dell’Infanzia di cui alla Convenzione ONU sui diritti dell’infanzia e dell’adolescenza), come anche la necessità di considerare il diritto ad un livello elevato di protezione dell’ambiente ai fini della valutazione circa la gravità dei danni connessi all’uso di sistemi di IA.
Il rispetto dei diritti fondamentali è, tra l’altro, uno degli aspetti trattati dalla Risoluzione dell’11 marzo 2024 dell’Assemblea ONU “Seizing the opportunities of safe, secure and trustworthy artificial intelligence systems for sustainable development” nella quale al punto 5 si sottolinea che «human rights and fundamental freedoms must be respected, protected and promoted throughout the life cycle of artificial intelligence systems», e «calls upon all Member States and, where applicable, other stakeholders to refrain from or cease the use of artificial intelligence sistems that are impossible to operate in compliance with international human rights law or that pose undue risks to the enjoment of human rights, especiall of those who are in vulnerable situations, and reaffirms that the same rights that people have offline must also be protected online, including throughout the life cycle of artificial intelligence systems».
[83] Il Regolamento individua due categorie principali di sistemi ad alto rischio: a) quelli che costituiscono componenti di sicurezza di prodotti già compresi nella normativa di armonizzazione elencata nell’allegato 1 e soggetti a valutazione di conformità ex ante da parte di terzi (art. 6, par.1) e i sistemi di IA cd. indipendenti (stand-alone) che presentano implicazioni in ordine ai diritti fondamentali e che sono elencati negli otto settori dell’Allegato III: biometria nella misura consentita dal diritto Ue o nazionale, infrastrutture critiche, istruzione e formazione professionale, occupazione e lavoro, accesso ai servizi essenziali e ai benefici, azioni di contrasto (Law enforcement” ), migrazione asilo e controllo delle frontiere, amministrazione della giustizia e processi democratici (art.6, par.2).
Con riferimento alla classificazione dei sistemi indipendenti G. LO SAPIO, Intelligenza artificiale: rischi, modelli regolatori, metafore, cit.p.239, osserva che la classificazione dell’Allegato III, rappresenta una «attuazione astratta del principio di proporzionalità» visto che per i sistemi ad alto rischio manca una indicazione dei criteri sulla base dei quali le applicazioni di IA si considerano ex ante sempre e comunque ad alto rischio se appartenenti ad una o più delle otto aree di riferimento e tale mancanza appare rilevante sotto due ordini di profili: da un lato perché risulta difficile valutare il previsto potere della Commissione di integrare l’elenco in relazione all’evoluzione futura delle tecnologie; dall’altro, in quanto una perimetrazione quanto più precisa delle diverse aree di rischio aiuterebbe gli operatori nel compito di collocare l’applicazione di IA nella corretta area di appartenenza. Questa definizione “astratta” dei sistemi ad alto rischio è stata in qualche modo successivamente modulata nel passaggio al Parlamento europeo che per i sistemi ad alto rischio ha inserito una valutazione collegata alla significatività dell’impatto rischioso prevedendo che «un sistema di IA non è considerato ad alto rischio se non presenta un rischio significativo di danno per la salute, l a sicurezza o i diritti fondamentali delle persone fisiche, anche nel senso di non influenzare materialmente il risultato del processo decisionale» e stabilendo le condizioni che consentono la deroga, tutte finalizzate a completare, migliorare, preparare l’azione umana senza alcuna influenza su quest’ultima (art.6, c.3).
[84] Si tratta dei sistemi destinati a valutare l’affidabilità creditizia di persone fisiche o a stabilire il loro punteggio di credito (eccetto quelli utilizzati allo scopo di individuare frodi finanziarie) e dei sistemi destinati ad essere utilizzati per la valutazione del rischio e la determinazione dei prezzi in relazione alle persone fisiche nel caso dell’assicurazione sulla vita e sulla salute.
[85] Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni, Strategia per il mercato unico digitale in Europa, COM (2015) 192 final del 6.5.2015 alla quale hanno fatto seguito tre proposte di Regolamento riferite, rispettivamente, ai mercati digitali, ai servizi digitali e all’intelligenza artificiale. In particolare il Digital Markets Act o DMA (Regolamento (UE)2022/1925 completato dal Regolamento di esecuzione (UE) 2023/814 della Commissione europea del 14 aprile 2023) è stato concepito per contrastare gli abusi di posizione dominante dei fornitori di piattaforme digitali (gatekeeper) nei confronti dei fornitori dei servizi, mentre il Regolamento in materia di servizi digitali, Digital Services Act o DSA (Regolamento (UE) 2022/2065/UE del 19 ottobre 2022) disciplina i rapporti tra gli erogatori di servizi e gli utenti. Come è stato evidenziato, peraltro, (L. TORCHIA, Lo Stato digitale-Una introduzione, cit. p.69), i due tipi di regolamentazione registrano un significativo grado di sovrapposizione in quanto «le piattaforme digitali non solo controllano l’accesso al mercato, ma fungono anche da intermediari tra utenti commerciali e utenti finali: o per dirla con il linguaggio dei regolamenti, esse sono sia gatewayssia gatekeepers».
[86] Indipendentemente dalla classificazione del rischio, si sottolinea che il Regolamento (art.50) prevede anche specifici obblighi di trasparenza in particolare per i sistemi che sono destinati ad interagire direttamente con le persone fisiche (es. chatbot) i quali dovranno essere progettati e sviluppati in modo che le persone fisiche siano informate del fatto che stanno interagendo con una macchina. Inoltre, i fornitori di sistemi di IA, compresi i sistemi di IA per finalità generali (General purpose AI -GPAI), che generano contenuti audio, immagini, video o testuali sintetici, dovranno garantire che gli output del sistema siano contrassegnati in un formato leggibile dalla macchina e rilevabili come generati o manipolati artificialmente. Questi stessi contenuti se costituenti “deep fake” devono essere etichettati come tali a meno che essi non facciano parte di “un’analoga opera o di un programma manifestamente artistici, creativi, satirici o fittizi” nel qual caso l’obbligo di trasparenza è limitato “all’obbligo di rivelare l’esistenza di tali contenuti generati o manipolati in modo adeguato, senza ostacolare l’esposizione o il godimento dell’opera”. Un discorso a parte meritano i sistemi di riconoscimento delle emozioni o di categorizzazione biometrica l’uso dei quali implica la necessità di informare le persone che vi sono esposte sul funzionamento del sistema. È da segnalare che i sistemi di riconoscimento delle emozioni non figuravano inizialmente tra quelli ad alto rischio essendo stati catalogati tra quelli definiti “a rischio limitato” e dunque soggetti unicamente ad obblighi di informazione nei confronti degli interessati. L’attuale Allegato III include, invece, ex novo questi sistemi unitamente a quelli di categorizzazione biometrica, che vi erano già compresi, nell’elenco dei sistemi definiti ad alto rischio a norma dell’art.6, paragrafo 2
[87][87] F.M. MANCIOPPI, La regolamentazione dell’intelligenza artificiale come opzione per la salvaguardia dei valori fondamentali dell’UE, in Federalismi.it, n.7/2024, pp. 112-134. L’A. osserva a riguardo (p.126, nota 90) che il Regolamento sulla protezione dei dati personali (UE) 2016/679 (GDPR) prevede che il titolare e il responsabile del trattamento dati deve valutare il rischio e adottare le misure idonee a tutelare la riservatezza e assicurare la protezione dei dati (approccio down-top) mentre il DSA utilizza un criterio che è una via di mezzo tra la prospettiva down-top e quella top-down.
[88] Ai sensi dell’art.35, c.1 del GDPR «Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali». La norma prevede che la DPIA vada effettuata in almeno tre casi: a) valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; b) trattamento, su larga scala, di dati sensibili o di dati giudiziari; c) sorveglianza sistematica su larga scala di una zona accessibile al pubblico). Sull’argomento è intervenuto il Gruppo Articolo 29 (WP 248) che, con le Linee guida del 4 ottobre 2017, ha fornito una serie di indicazioni e chiarimenti relativi a quando occorre procedere alla DPIA (oltre i casi nei quali essa è obbligatoria), ai soggetti tenuti all’obbligo, e in cosa questa consista. Inoltre il Garante per la protezione dei dati personali, in ottemperanza a quanto previsto dall’art.35, c.4 del GDPR che demanda tale compito all’Autorità di controllo, ha individuato con l’allegato al provvedimento n.467 dell’11 ottobre 2018, Doc-Web 9059358, il compito di redigere l’elenco delle tipologie di trattamento che necessitano di DPIA, includendovi, tra l’altro, «i trattamenti effettuati attraverso l’uso di tecnologie innovative, anche con particolari misure di carattere organizzativo (es. IoT, sistemi di intelligenza artificiale; utilizzo di assistenti vocali on-line anche attraverso lo scanning vocale e testuale; monitoraggi effettuati da dispositivi wearable; tracciamenti di prossimità come ad es. il wi-fi tracking) ogni qual volta ricorra anche almeno un altro dei criteri nel WP 248, rev.01»
[89] D. FULCO, AI Act e GDPR, come si rapportano: “valutazione d’impatto” e DPIA, in http://www.agendadigitale.eu/ 25 marzo 2024, disponibile su https://www.agendadigitale.eu/cultura-digitale/ai-act-analogie-e-differenze-tra-lavalutazione-dimpatto-sui-diritti-fondamentali-fria-e-la-dpia/
[90] In senso più generale, vi è chi ritiene il GDPR e l’AI Act due regolamenti complementari destinati ad essere applicati simultaneamente sul territorio UE pur ritenendo auspicabile «l’adozione di criteri di interpretazione e applicazione idonei a trovare un equilibrio tra le differenti necessità del GDPR e dell’intelligenza artificiale, quali la tutela dei dati personali e il completo utilizzo dei sistemi IA. Ciò, nel rispetto dei valori fondamentali dell’uguaglianza e della certezza del diritto, laddove la tecnologia sia intesa al servizio dei diritti dei singoli, non viceversa» (F.M. Mancioppi, La regolamentazione dell’intelligenza artificiale come opzione per la salvaguardia dei valori fondamentali dell’UE, cit. p.123).
[91] V. H. JANSSEN, M. SENG AH LEE, J.SINGH, Pratical fundamental rights impact assessment, in International Journal of Law and Information Technology, 2022, 30, pp. 200–232, disponibile su https://doi.org/10.1093/ijlit/eaac018 secondo i quali « While fundamental rights were originally aimed at protecting individuals against the power of public organizations, the assessment of how business activities impact on fundamental rights is increasingly considered a key component of corporate responsibility» e che «DPIAs are also tools for accountability, helping organizations not only to comply with GDPR requirements, but to also demonstrate that appropriate measures have been taken to mitigate the risks and address any issues as they relate to data processing. Conducting adequate impact assessments strengthen an organization’s governance of data processing in terms of legal compliance». Gli AA. propongono anche un “FRIA Framework” (FRIAF) articolato in quattro fasi che integri la DPIA del GDPR allo scopo di sostenere le organizzazioni «such that they can better perform a DPIA that includes the full spectrum of risks to fundamental rights».
[92] Si veda l’art. 13 del testo di DDL intitolato “Principi in materia di pubblica amministrazione” che, recependo gli orientamenti ormai acclarati in materia, impone di rendere conoscibile agli interessati il funzionamento e la tracciabilità dei sistemi di IA e ne dispone l’utilizzo in funzione strumentale e di supporto all’attività provvedimentale di cui la persona umana resta unica responsabile.
[93] L’art.9 del GDPR “Trattamento di categorie particolari di dati personali” dispone il divieto di trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Il divieto di trattamento non si applica nei casi indicati dal paragrafo 2 alle lettere da a) a j) della norma e, per quanto qui interessa, nel caso in cui (lett. g) «il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato»
[94] Vedi nota precedente.
[95] Garanzie che dovranno essere definite «nell’ambito delle Regole deontologiche che il Garante è chiamato a promuovere, ai sensi degli artt. 2-quater e 106 del Codice per i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali, interessati al trattamento dei dati per fini statistici o di ricerca scientific a, in conformità all’articolo 89 del Regolamento» (Così C. SOMMA, Ricerca medica e trattamento dati personali: prime riflessioni sulla modifica dell’art.110 Codice privacy, www.Altalex.com 10 maggio 2024 https://www.altalex.com/documents/2024/05/10/ricerca-medica-trattamento-dati-personali-prime-riflessioni-modificaart-110-codice-privacy
[96] https://www.agenzianova.com/news/butti-alle-agenzie-di-digitale-e-cybersicurezza-i-poteri-sullintelligenzaartificiale
[97] L’art.70 dell’AI Act prevede, infatti, che «le Autorità nazionali competenti esercitano i loro poteri in modo indipendente, imparziale e senza pregiudizi, in modo da salvaguardare i principi di obiettività delle loro attività e dei loro compiti e garantire l’applicazione e l’attuazione del presente regolamento». Sul punto vedi la proposta di creazione di un’Autorità indipendente per l’IA presentata da un gruppo di organizzazioni della società civile (Privacy Network, The Good Lobby e il Centro Hermes per la Trasparenza e i Diritti umani digitali) https://privacy-network.it/iniziative/proposta-per-unautorita-indipendente-per-lia-in-italia/)
[98] Il Comitato interministeriale per la transizione digitale è stato istituito presso la Presidenza del Consiglio dei Ministri dall’art.8, c.2 del DL 1 marzo 2021, n.22, Disposizioni urgenti in materia di riordino delle attrib uzioni dei Ministeri, convertito con modificazioni dalla Legge 22 aprile 2021, n.55 con il compito di assicurare nelle materie dell’innovazione tecnologica, dell’attuazione dell’agenda digitale italiana ed europea, della strategia per la banda ultra larga, della digitalizzazione delle pubbliche amministrazioni e delle imprese nonché della trasformazione, crescita e transizione digitale del Paese, dell’accesso ai sevizi in rete, della connettività, delle infrastrutture digitali materiali e immateriali e della strategia nazionale dei dati pubblici, «il coordinamento e il monitoraggio dell’attuazione delle iniziative di innovazione tecnologica e transizione digitale delle pubbliche amministrazioni competenti in via ordinaria».
La norma in questione attribuisce «prioritariamente» al CITD le attività di coordinamento e monitoraggio relativamente alle seguenti attività:
- a) alla strategia nazionale italiana per la banda ultralarga, alle reti di comunicazione elettronica satellitari, terrestri mobili e fisse;
- b) al fascicolo sanitario elettronico e alla piattaforma dati sanitari;
- c) allo sviluppo e alla diffusione delle tecnologie emergenti dell’intelligenza artificiale, dell’internet delle cose (IoT) e della blockchain.
[99] https://www.agid.gov.it/it/notizie/pubblicato-il-documento-completo-della-strategia-italiana-per-lintelligenzaartificiale-2024-2026
[100] https://www.mimit.gov.it/images/stories/documenti/Strategia_Nazionale_AI_2020.pdf
[101] https://assets.innovazione.gov.it/1637777289-programma-strategico-iaweb.pdf
[102] Decreto legislativo 8 novembre 2021, n. 208 «Attuazione della direttiva (UE) 2018/1808 del Parlamento europeo e del Consiglio, del 14 novembre 2018, recante modifica della direttiva 2010/13/UE, relativa al coordinamento di determinate disposizioni legislative, regolamentari e amministrative degli Stati membri, concernente il testo unico per la fornitura di servizi di media audiovisivi in considerazione dell’evoluzione delle realtà del mercato».
[103] Legge 22 aprile 1941, n.633 «Protezione del diritto d’autore e di altri diritti connessi al suo esercizio».
[104] Nella Relazione del 24 marzo scorso, redatta dopo i primi mesi di attività dalla Commissione intelligenza artificiale per l’informazione presso la Presidenza del Consiglio dei Ministri -Dipartimento per l’editoria, presieduta da Padre Paolo Benanti, si evidenzia, tra l’altro, l’opportunità di promuovere lo sviluppo e l’impiego di soluzioni di marcatura dei contenuti prodotti mediante IA, affinché possano essere opportunamente tracciati e si suggerisce l’adozione di una certificazione standardizzata talvolta denominata “filigrana” o “watermark” per tracciare i contenuti prodotti da esseri umani così da distinguerli da quelli prodotti da IA. A tal fine si ritiene la tecnologia della blockchain una delle tecnologie più adeguate ad attuare tale tracciamento in virtù della «sua elevatissima capacità anti-contraffazione e la sua naturale impostazione di marcatura temporale». Le misure in questione hanno lo scopo di tutelare il lettore in modo che questi si formi un’opinione effettivamente informata e di contrastare la disinformazione. In tema di trasparenza, riconoscibilità e tracciabilità dei contenuti prodotti dall’IA generativa, la relazione richiama, inoltre, l’AI Act laddove obbliga l’utilizzatore di un sistema che genera deep fake di rendere noto che il contenuto è stato generato o manipolato artificialmente (art.50).
[105] Art. 70-ter
- Sono consentite le riproduzioni compiute da organismi di ricerca e da istituti di tutela del patrimonio culturale, per scopi di ricerca scientifica, ai fini dell’estrazione di testo e di dati da opere o da altri materiali disponibili in reti o banche di dati cui essi hanno lecitamente accesso, nonché la comunicazione al pubblico degli esiti della ricerca ove espressi in nuove opere originali.
- Ai fini della presente legge per estrazione di testo e di dati si intende qualsiasi tecnica automatizzata volta ad analizzare grandi quantità di testi, suoni, immagini, dati o metadati in formato digitale con lo scopo di generare informazioni, inclusi modelli, tendenze e correlazioni.
- Ai fini della presente legge per istituti di tutela del patrimonio culturale si intendono le biblioteche, i musei, gli archivi, purché aperti al pubblico o accessibili al pubblico, inclusi quelli afferenti agli istituti di istruzione, agli organismi di ricerca e agli organismi di radiodiffusione pubblici, nonché gli istituti per la tutela del patrimonio cinematografico e sonoro e gli organismi di radiodiffusione pubblici.
- Ai fini della presente legge, per organismi di ricerca si intendono le università, comprese le relative biblioteche, gli istituti di ricerca o qualsiasi altra entità il cui obiettivo primario è quello di condurre attività di ricerca scientifica o di svolgere attività didattiche che includano la ricerca scientifica, che alternativamente: a) operino senza scopo di lucro o il cui statuto prevede il reinvestimento degli utili nelle attività di ricerca scientifica, anche in forma di partenariato pubblico-privato; b) perseguano una finalità di interesse pubblico riconosciuta da uno Stato membro dell’Unione europea.
- Non si considerano organismi di ricerca quelli sui quali è esercitata da imprese commerciali un’influenza determinante tale da consentire un accesso su base preferenziale ai risultati generati dalle attività di ricerca scientifica.
- Le copie di opere o di altri materiali realizzate in conformità al comma 1 sono memorizzate con un adeguato livello di sicurezza e possono essere conservate e utilizzate unicamente per scopi di ricerca scientifica, inclusa la verifica dei risultati della ricerca.
- I titolari dei diritti sono autorizzati ad applicare, in misura non eccedente a quanto necessario allo scopo, misure idonee a garantire la sicurezza e l’integrità delle reti e delle banche dati in cui sono ospitati le opere o gli altri materiali.
- Le misure di cui ai commi 6 e 7 possono essere definite anche sulla base di accordi tra le associazioni dei titolari dei diritti, gli istituti di tutela del patrimonio culturale e gli organismi di ricerca.
- Sono nulle le pattuizioni in contrasto con i commi 1, 6 e 7 del presente articolo.
[106] Art. 70-quater
- Fermo restando quanto previsto dall’articolo 70-ter, sono consentite le riproduzioni e le estrazioni da opere o da altri materiali contenuti in reti o in banche di dati cui si ha legittimamente accesso ai fini dell’estrazione di testo e di dati. L’estrazione di testo e di dati è consentita quando l’utilizzo delle opere e degli altri materiali non è stato espressamente riservato dai titolari del diritto d’autore e dei diritti connessi nonché dai titolari delle banche dati.
- Le riproduzioni e le estrazioni eseguite ai sensi del comma 1 possono essere conservate solo per il tempo necessario ai fini dell’estrazione di testo e di dati.
- Per lo svolgimento delle attività di cui al presente articolo sono in ogni caso garantiti livelli di sicurezza non inferiori a quelli definiti per lo svolgimento delle attività di cui all’articolo 70-ter.
[107] Direttiva (UE) 2019/790 del Parlamento Europeo e del Consiglio del 17 aprile 2019 sul diritto d’autore e sui diritti connessi nel mercato unico digitale e che modifica le direttive 96/9/CE e 2001/29/CE (Digital Single Market).
[108] Com’è noto, l’espressione fu coniata per la prima volta dallo scienziato John McCarthy nel corso di un seminario tenutosi nel college di Dartmouth nel New Hampshire da lui organizzato attorno ad un progetto di ricerca, oggetto di finanziamenti statali, che ruotava attorno alla congettura per cui, in linea di principio, «ogni aspetto dell’apprendimento o una qualsiasi altra caratteristica dell’intelligenza possano essere descritte così precisamente da poter costruire una macchina che le simuli. Si tenterà di capire come le macchine possano utilizzare il linguaggio, formare astrazioni e concetti, risolvere tipi di problemi riservati per ora solo agli esseri umani e migliorare sé stesse» (J. MCCARTHY, M.L. MINSKY, N. ROCHESTER, C.E. SHANNON, A proposal for the Dartmouth summer research project on artificial intelligence, 1955). Il workshop si concluse con la redazione di un documento di 17 pagine (Proposta di Dartmouth) nel quale si utilizzò per la prima volta il termine “intelligenza artificiale” definendola come ” the science and engineering of making intelligent machines”. Lo scienziato due anni dopo creò Lisp un pionere dei linguaggi di programmazione ancora oggi utilizzato nelle sue successive evoluzioni. Nell’articolo What is Artificial intelligence? pubblicato nel 2007, tuttavia, alla domanda “Isn’t there a solid definition of intelligence that doesn’t depend on relating it to human intelligence?”, McCarthy rispose “Not yet. The problem is that we cannot yet characterize in general what kinds of computational procedures we want to call intelligent. We understand some of the mechanisms of intelligence and not others” con ciò smentendo in qualche modo la definizione in precedenza creata.
[109] K. CRAWFORD, Né intelligente, né artificiale. Il lato oscuro dell’IA, Bologna, Il Mulino, 2022
[110] Definizione di Treccani su https://www.treccani.it/enciclopedia/intelligenza/
[111] Sul punto v. The AI Index 2024 Annual Report recentemente pubblicato dallo Stanford Institute for Human – Centered Artificial Intelligence (HAI) che evidenzia così questa circostanza (p.3):
«A decade ago, the best AI systems in the world were unable to classify objects in images at a human level. AI struggled with language comprehension and could not solve math problems. Today, AI systems routinely exceed human performance on standard benchmarks. Progress accelerated in 2023. New state-of-the-art systems like GPT-4, Gemini, and Claude 3 are impressively multimodal: They can generate fuent text in dozens of languages, process audio, and even explain memes. As AI has improved, it has increasingly forced its way into our lives. Companies are racing to build AI-based products, and AI is increasingly being used by the general public. But current AI technology still has significant problems. It cannot reliably deal with facts, perform complex reasoning, or explain its conclusions».
[112] M.MITCHELL, Artificial Intelligence hits the barrier of meaning, in The New York Times, 5 novembre 2018
[113] Il Presidente della Repubblica Sergio Mattarella nell’intervento tenutosi il 20.12.23 in occasione della cerimonia per lo scambio degli auguri di fine anno con i rappresentanti delle istituzioni, delle forze politiche e della società civile, ha svolto alcune riflessioni sull’attuale situazione internazionale e sui fenomeni globali che stiamo vivendo e che segnano drammaticamente il corso delle nostre esistenze quotidiane (guerra, cambiamenti climatici, divari sociali ecc), sottolineando, tra l’altro, l’enorme potenzialità ed i rischi connessi alle applicazioni dell’IA, e ponendo l’accento sulla necessità che questa nuova tecnologia sia regolamentata per evitare che poche grandi multinazionali che dominano il settore «possano condizionare la vita di ciascuno di noi e la democrazia». Il Presidente Mattarella plaude alla recente iniziativa sulla Intelligenza Artificiale avviata dalle istituzioni europee perché essa «va nella giusta direzione, ponendosi il decisivo problema della tutela della privacy e della libertà dei cittadini»
[114] Non è un caso, dunque, che il termine “user” contenuto inizialmente nella proposta di regolamento, ritenuto ambiguo, sia stato sostituito nel testo finale con il termine “deployer” con lo stesso significato di «persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale». Sul punto v. G. LO SAPIO, Intelligenza artificiale: rischi, modelli regolatori, metafore, cit. p.255, nota 61.
[115] Così D. MESSINA, La proposta di regolamento europeo in materia di Intelligenza Artificiale: verso una “discutibile” tutela individuale di tipo “consumer-centric nella società dominata dal “pensiero artificiale”, in MediaLaws, Rivista di diritto dei media, n.2/2022, pp.196-231.
https://www.medialaws.eu/wpcontent/uploads/2022/12/2-22-Messina.pdf
[116] I.DI CIOMMO, La prospettiva del controllo nell’era dell’Intelligenza artificiale, cit.p.89 che auspica l’introduzione di un adeguato regime di responsabilità per i danni cagionati dai sistemi di IA come «primo tassello nell’elaborazione di una governance algoritmica globale dell’IA»
[117] D. MESSINA, La proposta di regolamento europeo in materia di Intelligenza Artificiale, cit. p.32.
[118] Il Capitolo 7 dell’AI Index 2024 Annual Report contiene un focus sulle iniziative normative di Usa e della UE in materia di IA. Il report evidenzia come il numero di normative sull’IA negli Stati Uniti sia in forte aumento passando dall’unica presente nel 2016 alle 25 dell’anno 2023. Nello stesso anno 2023, a livello federale, ci sono state 181 proposte di legge in materia, più del doppio delle 88 registrate nel 2022, mentre a livello di singoli stati il numero totale di leggi correlate all’IA è cresciuto di oltre il 50%. L’AI Index ha analizzato la legislazione contenente riferimenti all’intelligenza artificiale in 128 paesi dal 2016 al 2023. Di questi, 32 paesi hanno promulgato almeno un disegno di legge relativo all’IA. In totale, il numero di progetti di legge relativi all’IA approvati nel 2023 (28) supera significativamente il totale approvato nel 2016. Nel 2023 sia gli Stati Uniti che l’Unione Europea hanno portato avanti un’azione politica fondamentale in materia di IA: l’Unione Europea ha raggiunto un accordo sui termini dell’AI Act, mentre il presidente Biden ha firmato un Executive Order sull’intelligenza artificiale, l’iniziativa politica sull’intelligenza artificiale più importante negli Stati Uniti quell’anno (sul quale v. il Dossier predisposto congiuntamente dal Servizio Studi del Senato-Servizio degli Affari internazionali e dall’Ufficio Rapporti con l’Unione europea della Camera dei deputati in occasione della Conferenza interparlamentare sull’intelligenza artificiale – Bruxelles 28 e 29 gennaio 2024 https://documenti.camera.it/leg19/dossier/pdf/RI039.pdf ). Il report dedica una sezione anche alla regolamentazione dell’IA nella UE (p. 398-402).
Per quanto riguarda l’Italia, si segnala che ad oggi risultano depositati in Parlamento, su iniziativa delle diverse parti politiche, oltre al DDL del Governo, altri 14 disegni di legge tesi a disciplinare vari aspetti dell’IA, quasi tutti ancora allo stato iniziale della discussione parlamentare. https://www.senato.it/ric/generale/risultati.do
[119] Si pronuncia in questi termini Guido Scorza, componente del Garante per la protezione dei dati personali nell’intervista di M.STENTELLA, 15 marzo 2024- Doc-Web 9994698 https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9994698
