Regolamentazione e rischi collegati all’utilizzo dei sistemi di intelligenza artificiale

Come noto, il 21 aprile 2021 la Commissione Europea finalizzava una proposta di regolamento (di seguito per comodità “Regolamento”) al fine di introdurre un sistema di norme armonizzate per lo sviluppo, immissione e utilizzo di sistemi di intelligenza artificiale “IA” all'interno dell'Unione Europea. In quell’occasione, veniva previsto un “periodo di grazia”, vale a dire un periodo di due anni in cui tutti gli operatori del settore avrebbero avuto il tempo di conformarsi al Regolamento, nonché di adottare decisioni in base alle regole in esso contenute.

Visto il proliferarsi di sistemi di intelligenza artificiale, è lecito domandarsi se durante il citato periodo di grazia gli stessi si siano effettivamente conformati alle norme del Regolamento.

Per rispondere a tale quesito, è necessario anzitutto elencare di seguito i sistemi di intelligenza artificiale specificamente vietati dal Regolamento:

  • quelli che utilizzano tecniche subliminali capaci di distorcere il comportamento di un soggetto;
  • quelli che sfruttano la vulnerabilità di un gruppo specifico di persone;
  • quelli che permettono alle autorità pubbliche di creare una classificazione delle persone basata su un punteggio sociale;
  • quelli che utilizzano sistemi di identificazione biometrica in tempo reale, salvo nei casi previsti dalla legge.

In aggiunta a quanto sopra, la Commissione Europea ha altresì individuato tre tipologie di rischio in relazione al tipo di sistema di intelligenza artificiale in uso che vengono riportate di seguito:

  • “rischio inaccettabile” qualora il sistema di IA sia da considerarsi una minaccia per la sicurezza, i mezzi di sostegno e i diritti individuali; un tale sistema è da ritenersi proibito in base al Regolamento;
  • "alto rischio” qualora i sistemi di IA siano utilizzati in settori che coinvolgono diritti fondamentali dell’uomo; un tale sistema può essere utilizzato e implementato solo adottando una serie precauzioni di cui si parlerà di seguito;
  • “rischio limitato” qualora i sistemi di IA comportino rischi considerati minori, come ad esempio nel campo dei videogiochi, dove vengono imposti unicamente obblighi di trasparenza.

Sulla base di queste dovute premesse, proviamo ad analizzare una fattispecie concreta di intelligenza artificiale – vale a dire la guida autonoma della nota casa automobilistica “Tesla” in relazione alla quale lo Studio ha già pubblicato un articolo - per comprendere se essa sia o meno conforme al Regolamento e, soprattutto, che tipo di rischio potrebbe derivare dal suo utilizzo.

È ragionevole considerare come elevato il rischio che tale sistema di IA potrebbe comportare per il pubblico e ne sono prova gli oltre 700 incidenti provocati dalla stessa al di fuori dell’Unione Europea, con danni sia a persone che a veicoli di terzi.

È altrettanto ragionevole affermare che un sistema di guida autonoma come quello in questione necessiterebbe di una doppia regolamentazione, vale a dire sia le norme del citato Regolamento in relazione all’uso / implementazione del sistema di intelligenza artificiale, sia nuove e precipue regole del codice della strada necessitate dalla circolazione di veicoli senza conducente che comunicano tra di loro attraverso segnali e suoni non comprensibili per l’essere umano (risulta che tale ultima regolamentazione sia già a buon punto in Francia, Germania e Stati Uniti).

Ora, pare ragionevole inquadrare tale sistema di IA c.d. “self-driving car” all’interno della seconda tipologia di rischio, ossia quello ritenuto “alto”; sulla base del Regolamento, questo livello di rischio richiede al produttore di tale sistema di intelligenza artificiale (“Tesla”) di svolgere una preliminare valutazione di conformità del sistema nonché di fornire una dettagliata analisi dei relativi rischi, il tutto mediante una serie di test che dovranno dimostrare la totale assenza di errori di tali sistemi. In aggiunta, l’art. 10 del Regolamento prevede un ulteriore obbligo a carico dell’azienda utilizzatrice del sistema di IA riguardante la corretta conservazione e governance dei dati degli utenti trattati dai sistemi in questione.

Il Regolamento in esame prevede dunque una serie di requisiti e obblighi piuttosto rigidi che, ad opinione di chi scrive, saranno difficilmente soddisfatti da parte dei sistemi di intelligenza artificiale oggi in circolazione e, difatti, non sono mancate le critiche da parte di coloro che auspicano l’introduzione di criteri meno stringenti in modo da facilitare un maggior utilizzo di tali sistemi.

Un altro esempio concreto di intelligenza artificiale, di cui abbiamo già parlato nell’articolo dello scorso mese, è ChatGPT che in Italia è stata bloccata dal Garante della Privacy per inosservanza delle norme europee sui dati personali.

Proprio ChatGPT dimostra come sia alquanto complesso inquadrare e classificare i diversi dispositivi di intelligenza artificiale pur applicando i criteri e principi definiti dal Regolamento. Difatti, ad una prima e superficiale analisi, ChatGPT potrebbe rientrare nei sistemi di IA con un rischio minore (terzo livello) in quanto non sembra coinvolgere diritti fondamentali.

C’è tuttavia da domandarsi se questo sia valido anche qualora si chiedesse all’applicazione ChatGPT di rintracciare e divulgare i dati di una persona ovvero di predisporre un saggio ovvero ancora di rielaborare un’opera protetta dal diritto d’autore.

La risposta a tale quesito non potrà che essere negativa, atteso che tale utilizzo dell’applicazione in esame rischierebbe di violare non solo i diritti fondamentali relativi alla protezione dei dati personali di ciascun individuo ma anche quelli appartenenti agli autori delle opere protette dal diritto d’autore. Tutto questo ci impone di classificare ChatGPT nella categoria dei sistemi IA ad “alto rischio”, con tutte le conseguenze che ne derivano.

Sotto questo profilo, bisogna inoltre evidenziare che il Regolamento prevede severi controlli in relazione ai sistemi di IA ad “alto rischio”, nonché l’applicazione di sanzioni amministrative che possono arrivare fino a 30 milioni di euro ovvero al 6% di fatturato dell’azienda interessata. Non è tuttavia chiaro, o comunque non è stato ancora individuato, quale sarà l’organo deputato a svolgere i controlli circa il rispetto delle norme del Regolamento.

In conclusione e sulla base delle considerazioni svolte sopra, chi scrive ritiene opportuno che in fase di approvazione definitiva del Regolamento vengano meglio definiti i principi e criteri per la classificazione dei vari sistemi di intelligenza artificiale in quanto attualmente troppo generici e spesso insufficienti a classificare correttamente i sistemi di IA più complessi (tra i quali “ChatGPT”).

È inoltre auspicabile che venga creata ed istituita un’autorità indipendente ed imparziale per ciascuno stato membro capace di svolgere la funzione di controllo e verifica di corretta applicazione delle norme del Regolamento al fine di una migliore tutela dei diritti fondamentali dei singoli individui.


L’intelligenza artificiale viaggia veloce con il pilota automatico

Guida autonoma, profilazione, social scoring, bias, chatbot e riconoscimento biometrico sono alcuni dei termini entrati nella nostra quotidianità. Essi si riferiscono alle tecnologie di intelligenza artificiale (“IA”), vale a dire le abilità di una macchina di mostrare capacità umane quali il ragionamento, l’apprendimento, la pianificazione e la creatività[1]. Oggi più che mai l’IA ha un forte impatto sulle persone e la loro sicurezza. Si pensi solamente al caso che ha coinvolto in Australia il conducente della vettura Tesla “Model 3” che ha investito un’infermiera di 26 anni[2] con il pilota automatico attivo.

In relazione al tragico episodio poc’anzi descritto viene spontaneo domandarsi chi debba rispondere delle gravi condizioni della povera infermiera. Il conducente, nonostante non fosse tecnicamente al volante al momento dell’incidente? Il produttore dell’autovettura che concretamente ha investito l’infermiera? O ancora il produttore / sviluppatore del software che fornisce le istruzioni all’autovettura su come comportarsi quando sul proprio tragitto compare un essere umano?

Per il momento il conducente dell’autovettura – pur essendo stato rilasciato dalle autorità mediante versamento di una cauzione – è stato accusato di aver causato il sinistro stradale. Ciò non toglie che – qualora tale accusa verrà confermata all’esito del processo che è ancora pendente – il conducente avrà poi il diritto di rivalersi per gli eventuali danni sul produttore / sviluppatore di IA.

Il caso poc’anzi descritto merita certamente un approfondimento, specialmente per quanto concerne il panorama europeo in tema di intelligenza artificiale.

È bene da subito evidenziare che, malgrado il progressivo aumento dell’IA nei più disparati ambiti della nostra vita quotidiana[3], ad oggi manca una legge, direttiva o regolamento relativa alla responsabilità civile derivante dall’utilizzo dell’IA.

A livello UE, la Commissione Europea sembra aver per prima affrontato seriamente il tema della responsabilità civile derivante da sistemi di intelligenza artificiale ed averne evidenziato la lacunosità della relativa disciplina, pubblicando, tra le altre cose, una proposta di Regolamento che stabilisce regole armonizzate sull’IA[4].

Da tale proposta di Regolamento si ricavano, anche per analogia, tre diverse definizioni di responsabilità civile: responsabilità da prodotto difettoso, responsabilità del produttore e responsabilità vicaria.

Nel caso in esame rileva la responsabilità da prodotto difettoso, che muove dall’assunto secondo cui la macchina è priva di personalità giuridica[5].

Dunque, com’è ovvio, qualora un sistema di IA cagioni un danno a terzi, la responsabilità dello stesso dovrà essere imputata al produttore della stessa e non invece al dispositivo / sistema che la utilizza.

Tornando al caso in esame, spetterebbe dunque allo sviluppatore del sistema di IA (i.e. l’azienda americana Tesla) risarcire l’infermiera ferita, qualora quest’ultima sia in grado di provare il nesso fra danno / lesioni causate e il difetto del sistema di IA. Dal canto suo, lo sviluppatore del sistema di IA potrebbe escludere il danno solo qualora sia in grado di provare il c.d. “rischio da sviluppo”, vale a dire fornire la prova che il difetto riscontrato era totalmente imprevedibile sulla base delle circostanze e modalità in cui è avvenuto l’incidente.

Taluni hanno osservato sul punto che il produttore sarebbe in realtà in grado di controllare il sistema di IA a distanza e prevedere, grazie agli algoritmi, condotte non programmate al momento della sua commercializzazione[6]. Peraltro, come sappiamo, gli algoritmi presenti nei sistemi di IA installati nelle autovetture sono in grado di raccogliere nel tempo informazioni e quindi auto apprendere e studiare particolari condotte e/o movimenti degli esseri umani, riducendo sempre più il rischio di incidenti.

Sotto questo profilo, il produttore avrebbe quindi un onere ancora più stringente per escludere ogni ipotesi di responsabilità e cioè quello di dimostrare di aver adottato tutte le misure di sicurezza idonee ad evitare il danno.

A tal proposito, il Parlamento europeo ha peraltro elaborato la “Risoluzione recante raccomandazioni alla Commissione su un regime di responsabilità civile per l'intelligenza artificiale” che introduce la categoria delle cd. “IA ad alto rischio”, ossia quei sistemi di intelligenza artificiale operanti in contesti sociali particolari quali, ad esempio, l’educazione, ovvero quelle tecnologie che raccolgono dati particolari (come avviene nel caso del riconoscimento biometrico), la selezione del personale (che rischierebbe di ricadere nel social scoring o in altri atti discriminatori) o, ancora, le tecnologie usate nell’ambito della sicurezza e della giustizia (attraverso le quali potrebbe verificarsi il rischio di bias: pregiudizi della macchina sul soggetto giudicato). È stato osservato che per tali sistemi di “IA ad alto rischio” sussiste in caso di evento dannoso una responsabilità oggettiva del produttore, salvo che quest’ultimo sia in grado di dimostrare la sussistenza di un caso di forza maggiore.

In conclusione, malgrado i primi sforzi profusi da parte prima della Commissione e poi dal Parlamento Europeo in merito alla disciplina dei sistemi di IA, restano numerosi interrogativi ancora da risolvere in merito ai profili di responsabilità ad essi connessi.

Ad esempio, bisognerebbe meglio comprendere come vadano inquadrati e disciplinati i sistemi di IA non ritenuti ad “alto rischio”, quali appunto quelli di guida autonoma di cui si è discusso nel presente articolo. O ancora, quale soglia di responsabilità applicare se in un futuro non lontano un dispositivo di IA potrà essere equiparato, quanto a capacità di ragionamento, ad un essere umano (come di recente rivendicato da un dipendente di Google in riferimento al suo sistema di IA[7]).

Certo è che, come spesso capita per qualsiasi innovazione tecnologica, solo una significativa integrazione e adozione nella nostra società dei sistemi di intelligenza artificiale riuscirà a delineare ipotesi concrete di responsabilità e applicabili in contesti di ordinaria operatività.

Si auspica in ogni caso che il citato Regolamento – la cui data di entrata in vigore non è ancora nota – riuscirà a fornire una disciplina che sia più completa possibile e che riduca soprattutto i rischi e le responsabilità degli utilizzatori dei sistemi di IA ed aumenti, dall’altra parte, gli oneri a carico dei costruttori degli stessi per garantirne la sicurezza.

[1] https://www.europarl.europa.eu/news/it/headlines/society/20200827STO85804/che-cos-e-l-intelligenza-artificiale-e-come-viene-usata
[2] https://www.drive.com.au/news/melbourne-hit-and-run-blamed-on-tesla-autopilot-could-set-legal-precedent-for-new-tech/
[3] Considerando (2), Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[4] Proposta di Regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'unione, 2021/0106, del 21 aprile, 2021
[5] Barbara Barbarino, Intelligenza artificiale e responsabilità civile. Tocca all’Ue, Formiche.net, 15/05/2022
[6] Ut supra nota 5
[7] https://www.theguardian.com/technology/2022/jun/12/google-engineer-ai-bot-sentient-blake-lemoine