di Anna Corrado
A distanza di circa tre anni, (la proposta risale al 21 aprile 2021), dopo un iter particolarmente complesso, l’Unione europea ha adottato il Regolamento 2024/1689, del 13 giugno 2024 (AI Act, pubblicato lo scorso 12 luglio) che introduce regole armonizzate sull’intelligenza artificiale (IA). Lo scopo è di istituire un quadro giuridico uniforme per lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso di sistemi di intelligenza artificiale, in conformità ai valori dell’Unione europea. Ma soprattutto, per come si legge chiaramente nell’incipit del testo normativo, l’obiettivo è quello di promuovere la diffusione di un’intelligenza artificiale antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea, ivi compresi i valori democratici dello Stato di diritto e il principio della protezione dell’ambiente, al fine di evitare i potenziali effetti negativi dei sistemi di IA nell’Unione.
Il percorso attuativo del Regolamento 2024/1689 non può dirsi in verità concluso, invero esso appare ancora lungo. Infatti, pur essendo entrate in vigore lo scorso 2 agosto, la maggior parte delle sue disposizioni saranno efficaci solo tra due anni, mentre le regole sui sistemi IA vietati si applicheranno tra sei mesi; i codici di condotta tra nove mesi, quelle riferite ai modelli di IA per finalità generali (General purpose AI) e alla governance entro dodici mesi, infine alcune norme sui sistemi IA ad alto rischio a decorrere dal 2 agosto 2027 e cioè tra tre anni.
Attesa la complessità e la corposità del testo normativo, in questa sede ci si limiterà a considerare solo alcune delle disposizioni del Regolamento destinate ad avere maggiore rilievo in quanto tese ad applicarsi anche a soggetti pubblici e di riflesso ad avere ricadute sui cittadini.
Definizione di sistema di IA
Preliminarmente va considerata la definizione di «sistema di IA» introdotta dal Regolamento, inteso come «un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali».
Per quanto concerne l’ambito soggettivo, i destinatari della nuova disciplina sono in particolare i fornitori di sistemi di IA e i deployers, cioè gli utilizzatori di tali sistemi. In detto ambito rientrano le pubbliche amministrazioni quali persone giuridiche, autorità pubbliche, agenzie o altri organismi che utilizzano «un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale».
Il Regolamento europeo sull’intelligenza artificiale, come anche il Gdpr (Regolamento europeo per la protezione dei dati personali 2016/679), adotta un approccio risk based, vengono cioè individuati obblighi e responsabilità in capo a fornitori e utilizzatori in misura crescente e proporzionata all’intensità e ai rischi che possono essere derivare dai sistemi di IA. Le tipologie di rischio considerate sono quattro: inaccettabile, che comporta una serie di divieti (art. 5); elevato (art. 6), che impone obblighi e un particolare regime di trasparenza; e, infine, limitato e basso. Sarà in primis il fornitore a valutare, prima dell’immissione del sistema sul mercato, se si tratta di tecnologia ad alto rischio o meno, mettendone a disposizione la documentazione relativa alla valutazione effettuata.
Divieti per i sistemi IA a rischio inaccettabile
L’AI Act considera una minaccia per le persone e quindi vieta i sistemi di intelligenza artificiale a rischio appunto inaccettabile, allorquando implicano:
- manipolazione cognitiva comportamentale di persone o di specifici gruppi vulnerabili;
- social scoring e cioè la classificazione delle persone in base al comportamento, allo status socio-economico o alle caratteristiche personali;
- sistemi di identificazione biometrica in tempo reale e a distanza, come il riconoscimento facciale, tranne le ipotesi consentite per perseguire reati gravi.
Centrale nell’ambito dell’AI Act è la disciplina dei sistemi di IA ad alto rischio (art. 6) e cioè quelli che possono avere conseguenze negative sullo stato di salute, sulla sicurezza o sui diritti fondamentali dell’uomo e che possono riguardare alcuni settori specifici tra cui istruzione e formazione professionale, occupazione, gestione dei lavoratori e accesso al lavoro autonomo, accesso e fruizione di servizi privati essenziali e di servizi e prestazioni pubbliche, pubblica sicurezza, migrazione, asilo e controllo delle frontiere, amministrazione della giustizia e processi democratici.
In linea generale, il regolamento prevede che un sistema di IA non sarà considerato ad alto rischio se non presenta un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche, ovvero quando non influenza «materialmente il risultato del processo decisionale» e cioè quando il sistema di IA è destinato a eseguire un compito procedurale limitato; ovvero a migliorare il risultato di un’attività umana precedentemente completata; o destinato a rilevare schemi decisionali o deviazioni da schemi decisionali precedenti e non è finalizzato a sostituire o influenzare la valutazione umana precedentemente completata senza un’adeguata revisione umana, infine se è destinato a eseguire un compito preparatorio.
Sfide per garantire trasparenza e diritti
Come è evidente, si prefigura che in diversi ambiti amministrativi potrà essere utilizzata intelligenza artificiale, anche se poi nell’ambito delle attività interessate si porranno di volta in volta questioni di rilievo, e cioè come garantire il diritto alla spiegabilità, alla conoscibilità, alla trasparenza, diritti da assicurare ai soggetti destinatari degli atti assunti mediante queste innovative tecnologie. Naturalmente questi diritti, che di novità avranno solo che si riferiscono a tecnologie di connaturata opacità, dovranno declinarsi secondo il Regolamento europeo e secondo gli istituti e gli strumenti tradizionali presenti nell’ordinamento italiano.
Con riguardo ai sistemi di IA l’approccio dei giuristi e dei cittadini è ancora tendenzialmente «cauto», temendo in particolare questi ultimi di essere privati dei mezzi per difendere i propri diritti e la propria sicurezza di fronte alle asimmetrie informative del processo decisionale algoritmico. È per questo che uno dei temi più importanti è da sempre quello della trasparenza e, in particolare, la trasparenza dei dati che vengono utilizzati per addestrare i sistemi di IA nell’ottica di assicurare la verifica della qualità degli stessi e la trasparenza della decisione assunta in base all’algoritmo. Le amministrazioni che fanno e faranno uso di sistemi di intelligenza artificiale dovranno certamente fornire informazioni sufficienti al fine di consentire ai cittadini di essere informati su come sia stata assunta la decisione e di tutelarsi al meglio rispetto alla stessa.
Come anticipato, tre sono le norme che si rinvengono nel Regolamento da considerare in questa sede e sulle quali anche la giurisprudenza amministrativa da anni ha posto l’attenzione allorquando si parla di decisioni algoritmiche: la trasparenza (art. 13), la sorveglianza umana (art. 14), il diritto alla spiegabilità (art. 86).
La trasparenza (art. 13)
La trasparenza in generale è intesa come possibilità per il cittadino interessato di conoscere come è stata assunta la decisione «algoritmica» che lo riguarda. In tema di trasparenza il Regolamento individua la documentazione e le informazioni necessarie per garantire al deployer la trasparenza e la spiegabilità delle decisioni nei limiti del possibile, data la tecnologia utilizzata. Il contenuto dell’articolo 13 del Regolamento consente di individuare le informazioni che le amministrazioni che utilizzeranno sistemi di IA ad alto rischio devono ricevere dai fornitori e avere a disposizione al fine di avere contezza della soluzione tecnologica che decidono di utilizzare e di sapere come, attraverso la stessa, viene assunta la decisione, concretizzando ciò, a loro carico, un particolare obbligo di «diligenza».
La sorveglianza umana (art. 14)
Per quanto concerne la «sorveglianza umana», il Regolamento impone, preliminarmente, che si proceda a una attività estesa di «alfabetizzazione in materia di IA». I fornitori e i deployer dei sistemi di IA, tra cui le pubbliche amministrazioni, dovranno adottare misure per garantire un livello sufficiente di alfabetizzazione in materia di IA del proprio personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA per loro conto, prendendo in considerazione le loro conoscenze tecniche, la loro esperienza, istruzione e formazione nonché il contesto in cui i sistemi di IA devono essere utilizzati, e tenendo conto delle persone o dei gruppi di persone su cui i sistemi di IA devono essere utilizzati. Nell’ambito degli obblighi riservati agli utilizzatori, l’articolo 26 del regolamento prevede anche che questi affidino la «sorveglianza umana» a persone fisiche che dispongono della competenza, della formazione, dell’autorità e del sostegno necessario. La sorveglianza umana mira a prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali che possono emergere quando un sistema di IA ad alto rischio è utilizzato. Il legislatore europeo, consapevole del rischio dei funzionari pubblici di adagiarsi sulle scelte fatte da un eventuale macchina intelligente, richiede, infine, che le persone fisiche siano consapevoli della possibile tendenza a fare automaticamente affidamento o a fare eccessivo affidamento sull’output prodotto da un sistema di IA ad alto rischio («distorsione dell’automazione»),
Come evidente, il quadro normativo richiamato impone alcune riflessioni con riguardo al nuovo ruolo cui è chiamato il pubblico dipendente, quello cioè di «garante dei procedimenti amministrativi automatizzati e umanizzati»: saranno certamente necessarie professionalità nuove e una mirata attività di formazione.
Il diritto alla spiegabilità (art. 86)
Infine, va menzionato l’articolo 86 che prevede il diritto alla spiegabilità dei singoli processi decisionali: qualsiasi persona interessata a una decisione adottata dal deployer, che produce effetti giuridici o incide significativamente sulla stessa in un modo da ritenere che essa impatti negativamente sulla sua salute, sulla sua sicurezza o sui suoi diritti fondamentali ha il diritto di ottenere dal deployer spiegazioni chiare e significative sul ruolo del sistema di IA nella procedura decisionale e sui principali elementi della decisione adottata.
Come si evince da queste non numerose ma importanti norme, i prossimi anni saranno decisivi per riuscire a declinare un corretto utilizzo dei sistemi di intelligenza artificiale nel rispetto dei diritti procedimentali, e per raggiungere una rinnovata efficienza senza pregiudizio dei traguardi conoscitivi e partecipativi ad oggi raggiunti nell’ambito nell’attività amministrativa che vede protagonisti i cittadini.