Elena Mandarà, Luca Tormen e Laura Liguori, rispettivamente associate e partner dello studio legale Portolano Cavallo, assistono i propri clienti in materia di privacy, cyber security, data protection e intelligenza artificiale. A loro, Economy ha chiesto di analizzare l’impatto dell’AI Act, la prima legge mondiale sulla regolamentazione dell’Intelligenza artificiale approvata da Parlamento e Consiglio europeo.

AI ACT, è una vera vittoria? Una mezza vittoria? Una vittoria di Pirro? I commentatori sembrano divisi…

Finché il testo definitivo non sarà disponibile, impossibile fare una valutazione di merito. Sul piano generale, il dibattito che ha accompagnato i lavori di formulazione dell’AI Act ha visto contrapporsi due scuole di pensiero: da un lato chi sostiene che è necessario legiferare per “guidare” lo sviluppo dell’intelligenza artificiale e, dall’altro, chi guarda con scetticismo a questa soluzione, ritenendo che provare ad ingabbiare dentro regole scritte l’intelligenza artificiale sia sbagliato, perché la tecnologia correrà sempre più velocemente del legislatore. Come spesso accade, dire in modo netto chi abbia ragione e chi torto è complesso e, al momento, prematuro. Così come è prematuro esprimersi sull’efficacia di un testo che non è ancora stato approvato in via definitiva. Il Parlamento e il Consiglio Europeo hanno infatti raggiunto soltanto un accordo provvisorio.

Sì, ma se dovessimo giudicare le anticipazioni?

Chi è a favorevole alla regolamentazione sottolinea che in questo modo l’Ue potrebbe assicurarsi un ruolo di centrale importanza a livello globale, in un settore che è già cruciale. Si spera nel cosiddetto “effetto Bruxelles”, ossia nel fatto che gli altri grandi Paesi (in primis, Cina e Stati Uniti), seguano le orme dell’Unione Europea, che assumerebbe così una posizione di leadership su questi temi…  Dall’altro lato, bisogna essere consapevoli del fatto che il rischio di obsolescenza della normativa è concreto. L’AI Act è un inedito caso in cui il legislatore regola una tecnologia specifica. Finora, al contrario, si è preferito mantenere un approccio “tecnologicamente neutro”, introducendo regole applicabili a prescindere dal tipo di tecnologia utilizzata, con lo scopo di garantire la tutela di determinate categorie di soggetti o il raggiungimento di specifici obiettivi.

Quindi?

L’esempio più rilevante sotto questo profilo è il GDPR. Una normativa come quella dell’AI Act corre il rischio di essere “vecchia” ancor prima di entrare in vigore. Anche in questo caso, però, per poter valutare concretamente i margini di flessibilità della disciplina sarà necessario attendere il testo definitivo.

Intanto quali sono le ragioni per cui dovremmo stare tranquilli, dopo questa prima intesa tra Parlamento e Consiglio Ue…? 

I motivi per stare tranquilli sono almeno due. Il primo riguarda l’atteggiamento che, in generale, dovremmo avere nei confronti dell’intelligenza artificiale, intesa come una delle tantissime rivoluzioni tecnologiche che hanno attraversato la storia dell’uomo. Come tutte le novità, l’intelligenza artificiale fa sorgere qualche timore, ma può concretamente rappresentare un cambiamento positivo per le nostre vite e la nostra società. Il primo motivo per cui stare tranquilli, quindi, è sapere che, a prescindere dal fatto che si condivida o meno l’approccio, la portata e l’importanza di questa tecnologia sono state comprese dalle istituzioni, e l’Unione Europea sta giocando un ruolo attivo in questa rivoluzione.

L’altro motivo riguarda, invece, i principi che hanno guidato la stesura dell’AI Act, ed in particolare la centrale importanza riconosciuta ai diritti fondamentali e alla libertà delle persone, scelti come punto di riferimento e obiettivo ultimo di tutela della normativa.

E le criticità?

La più grande è legata al rischio che questa normativa, che ha comportato anche un grande sforzo a livello istituzionale e diplomatico, si riveli in concreto inefficace, inadatta. I detrattori dell’AI Act sostengono anche che l’introduzione di requisiti e obblighi stringenti scoraggerà gli investimenti in questo settore, rappresentando un pericolo per la crescita della nostra economia. Anche sotto questo aspetto, trarre delle conclusioni nette ora è affrettato.

Peraltro, considerazioni simili avevano accompagnato anche la nascita del GDPR, eppure, ad oggi, moltissimi studi dimostrano che per una società essere compliant alla disciplina sui dati personali è un vantaggio competitivo sul mercato, perché i consumatori sono più attenti a questi temi. Probabilmente, nel futuro noi stessi, come consumatori, saremo portati a scegliere di quali sistemi di intelligenza artificiale servirci con maggiore consapevolezza e attenzione alle garanzie.

Quali sono i sistemi ad alto rischio? 

È difficile fare degli esempi concreti di sistemi ad alto rischio, anche alla luce del fatto che, come si è detto tante volte, la tecnologia si evolve velocemente e già domani potrebbero essere creati nuovi sistemi che pongono problemi e presentano rischi ad oggi neanche tenuti in considerazione. è quindi ragionevole l’approccio tenuto nella bozza dell’AI Act, basato sull’individuazione dei settori ritenuti particolarmente sensibili e strategici e sull’impatto di tali sistemi sulla salute, la sicurezza e i diritti fondamentali delle persone.

È uno dei tanti profili della normativa dai quali emerge la centralità riconosciuta all’individuo, la cui protezione rimane sempre l’obiettivo primario. Giusto per citare alcuni esempi, nella bozza di AI Act sono identificati come ad alto rischio i sistemi di identificazione biometrica in tempo reale o in un momento successivo, oppure i sistemi utilizzati in ambito lavorativo per la selezione del personale.

Ricorso alla biometria e “foundation model”, sono questi i nodi gordiani? 

Sono certamente i due temi sui quali si è dibattuto di più ed è stato complesso raggiungere un accordo. Per ragioni di carattere politico, culturale e non solo, gli stati membri si sono trovati su posizioni a volte molto distanti e raggiungere un compromesso non è stato affatto semplice.

Anche in questo caso, però, al momento tutto quello che abbiamo di concreto sono i commenti a caldo e i comunicati stampa divulgati dal Parlamento Europeo e dal Consiglio, e per valutare se, alla fine, il compromesso raggiunto possa considerarsi o meno soddisfacente, bisognerà attendere il testo definitivo e, soprattutto, la sua applicazione.

C’è il rischio che si finirà per avere discipline diverse da Paese a Paese?

L’AI Act è un regolamento, il che implica che sia direttamente applicabile allo stesso modo in tutti gli Stati Membri. A differenza delle direttive, i regolamenti di fatto uniformano la disciplina all’interno del territorio dell’Unione Europea, come accaduto per il GDPR. È possibile che il testo lasci dei margini di discrezionalità ai singoli Stati sotto alcuni aspetti, ma in linea generale, almeno all’interno dell’UE, le regole applicabili saranno uguali.

Certo, come accaduto per il GDPR, potrebbero permanere alcune differenze applicative ed interpretative tra i vari Stati Membri, che riflettono una differenza di cultura e tradizione. Tuttavia, è anche vero che, a differenza del settore della privacy, per l’Intelligenza Artificiale non esistono molti Stati Membri che hanno deciso di legiferare sulla materia in maniera organica (come ha fatto recentemente la Spagna). Quindi forse questo rischio è minore, in questo caso.

È stata introdotta una “valutazione d’impatto obbligatoria” sui diritti fondamentali specie per ciò che concerne l’utilizzo dell’AI in ambito bancario e assicurativo. Sarà sufficiente? I cittadini potranno davvero presentare reclami?

La valutazione d’impatto obbligatoria sui diritti fondamentali, fortemente voluta dal Parlamento Europeo, rappresenta uno di quegli elementi che dimostra la concreta e forte volontà di mettere al centro gli individui e garantirne la piena tutela.

Anche in questo caso, per valutarne l’efficacia sarà necessario attendere il testo definitivo e l’applicazione della normativa. Qualche valutazione preliminare può comunque essere fatta sulla base dell’esperienza maturata nell’ambito della protezione dei dati personali. Il GDPR, infatti, ha introdotto l’obbligo di effettuare una valutazione d’impatto preventiva in alcuni casi specifici, al fine di mitigare il rischio derivante dal trattamento dei dati personali sui diritti e le libertà fondamentali.

L’ambito di applicazione della cosiddetta “FRIA” – acronimo con cui è già nota la valutazione d’impatto prevista dall’AI Act – è senz’altro più ampio, ma il principio di base rimane lo stesso. Si tratta di uno strumento di tutela ulteriore e utile, che innalza il livello di tutela a favore degli individui, ma non azzera certo i rischi legati all’utilizzo di determinati sistemi, specialmente nei settori maggiormente sensibili. In altre parole, la FRIA da sola non può essere sufficiente, ma la sua efficacia andrà valutata alla luce del quadro complessivo di obblighi e regole delineato dall’AI Act.

Un’ultima riflessione, diciamo più filosofica. L’AI, forse anche prima di quello normativo, pone un problema etico, gnoseologico, che attiene alla sfera dell’individuo e della conoscenza e ai confini naturali che non si dovrebbero mai oltrepassare. Non le sembra che prima di arrivare a normare, forse bisognerebbe chiedersi e decidere “cosa vogliamo che l’AI faccia per noi”?

Come tutte le rivoluzioni, anche l’avvento dell’intelligenza artificiale porta naturalmente con sé problemi di natura etica e culturale, prima ancora che giuridica.

Il percorso che ha portato alla nascita di questo testo è molto lungo, ed è partito proprio da riflessioni molto più “alte”, incentrate sul modo in cui vorremmo che l’intelligenza artificiale si sviluppasse e quale dovrebbe essere il nostro rapporto con questa tecnologia.

Continuare a riflettere su questi temi è importante, anche perché l’efficacia delle leggi è imprescindibilmente legata al fatto che queste trovino terreno fertile su cui attecchire, ossia un substrato culturale pronto a recepirle e farle proprie.

Se ci guardiamo intorno adesso, però, capiamo anche che la sola riflessione non è più sufficiente. L’intelligenza artificiale non è un orizzonte possibile, futuro e incerto. È realtà e sta già influenzando tutti gli aspetti della nostra vita, anche se forse non ne siamo ancora del tutto consapevoli.

È dunque già il tempo di imparare a convivere con questa nuova realtà, e in questo senso il diritto non può tirarsi indietro.