Intervista a Giusella Finocchiaro, Professore di Diritto Privato e Diritto di Internet
presso l’Università di Bologna e già Presidente della Commissione UNCITRAL sui dati e l’IA
Siamo ormai i protagonisti dell’era digitale. Per questo dobbiamo esplorare, comprendere e governare anche le questioni giuridiche dell’intelligenza artificiale. Quali sono?
“Come talvolta si dice, l’intelligenza artificiale ha un effetto disruptive: siamo di fronte a una tecnologia che porta con sé una rivoluzione culturale, un cambiamento profondo e irreversibile delle nostre società. Naturalmente ciò si riflette anche sull’ordinamento giuridico, sollecitato dai cambiamenti del costume, sociali e, appunto, tecnologici.
Tra le principali questioni giuridiche poste dall’IA ci sono la responsabilità per i danni cagionati dai sistemi, il regime di circolazione dei dati personali e non personali – secondo un’espressione nota, l’IA si nutre di dati – e la tutela delle opere d’arte utilizzate o create dai sistemi. Le risposte non si trovano nell’Artificial Intelligence Act, l’ormai celebre Regolamento europeo in materia di IA, perché non si tratta di un testo unico di tutte le disposizioni applicabili all’IA.
Il Regolamento è, piuttosto, una cornice di riferimento: regolamenta l’accesso al mercato europeo dei prodotti e dei servizi di IA e lascia impregiudicate le questioni sostanziali, già normate nei nostri codici e nelle leggi vigenti, dovendo soltanto fruire di una nuova interpretazione o di un limitato adeguamento normativo. Il punto è che in ognuno degli ambiti che abbiamo citato – la responsabilità civile, la protezione e la valorizzazione dei dati e il diritto d’autore – ma se ne potrebbero citare anche altri, non sono necessarie tanto nuove regole, quanto piuttosto nuovi paradigmi. Sebbene l’introduzione di nuove regole possa avere l’effetto di rassicurare rispetto a un fenomeno che indubbiamente genera paura e ansia, occorre contrastare l’impulso di regolare nell’emergenza, ed elaborare – solo se necessario – nuovi modelli regolatori.”
Nel dettaglio, come si applica l’Artificial Intelligence Act nelle imprese e nelle organizzazioni?
“Come dicevo, l’AI Act si occupa dei requisiti di conformità per l’immissione sul mercato o la messa in servizio dei prodotti di IA, ossia i sistemi di IA e i ‘modelli per finalità generali’, come vengono denominati i foundation model. Questi requisiti sono individuati secondo un approccio orizzontale e basato sul rischio.
Ciò significa, da un lato, che il regolamento riguarda l’intelligenza artificiale in generale, e non in un settore specifico. Dall’altro, che il regime normativo cambia a seconda che i sistemi determinino un rischio inaccettabile, e allora sono banditi dal mercato europeo, un rischio alto, e dunque sono sottoposti a stringenti obblighi e requisiti, un rischio limitato, per cui sono soggetti a obblighi di trasparenza, o un rischio minimo, in regime di free use. Quanto ai modelli per finalità generali, l’approccio basato sul rischio si traduce in una disciplina differenziata a seconda che i modelli pongano o meno un rischio sistemico.
Il regime normativo di riferimento dipende anche dal ruolo assunto dall’impresa o dall’organizzazione rispetto al sistema: il Regolamento declina gli obblighi differentemente a seconda che si assuma il ruolo di fornitore, o ‘provider’, del sistema, di utilizzatore per finalità professionali, c.d. ‘deployer’, di importatore o distributore. Viste le caratteristiche del mercato dell’intelligenza artificiale, è verosimile che molte imprese e organizzazioni agiscano come utilizzatori di sistemi. Se si tratta di sistemi ad alto rischio, per esempio, un sistema per l’assunzione o la selezione del personale, si applicano obblighi di utilizzo conformi alle istruzioni e obblighi di monitoraggio del funzionamento. Per alcuni sistemi, come quelli di credit scoring, o per determinate categorie di utilizzatori, come chi fornisce servizi pubblici, si aggiunge l’obbligo di condurre una valutazione dell’impatto che il sistema può determinare sui diritti fondamentali. Alcune aziende e organizzazioni, però, si occupano anche dello sviluppo dei sistemi e dei modelli di IA. In questo scenario, rilevano gli obblighi previsti per i provider di ciascuna tipologia di sistema o modello. Il provider di un sistema di IA ad alto rischio è chiamato a garantire che il sistema sia conforme ai molti requisiti previsti dal Regolamento. Questa conformità deve essere attestata mediante una procedura di valutazione, che il provi- der garantisce venga svolta prima dell’immissione sul mercato o della messa in servizio del sistema.
Se la procedura di valutazione della conformità ha esito positivo, il provider deve redigere una dichiarazione di conformità, apporre la marcatura CE e registrare il sistema nella apposita banca dati dell’Unione. Il provider può essere chiamato a dimostrare la conformità del sistema da un’autorità nazionale e deve istituire e documentare il sistema di monitoraggio successivo all’immissione sul mercato del sistema e un sistema di gestione della qualità. Ancora, deve conservare la documentazione relativa al sistema e i log generati automaticamente che siano sotto il proprio controllo. Se il provider sa che il sistema presenta un rischio per la salute, la sicurezza o la tutela dei diritti fondamentali, o se si verifica un incidente grave o un malfunzionamento deve informare immediatamente le autorità.
Il provider di modelli per finalità generali, invece, è soggetto a obblighi quali l’attuazione di politiche di compliance in materia di copyright e la redazione di sintesi sufficientemente dettagliate dei contenuti utilizzati per l’addestramento del modello. A questi, si sommano obblighi aggiuntivi se il modello determina un rischio sistemico. Le regole cambiano per il deployer o il provider di sistemi a rischio limitato. In questo caso, si applicano obblighi di trasparenza, fermo restando che il Regolamento prevede che si incoraggi l’applicazione volontaria dei requisiti previsti per i sistemi ad alto rischio anche agli altri sistemi mediante codici di condotta.”
Oggi più che mai dobbiamo proteggere la nostra identità online. Parliamo quindi di data protection e dell’adeguamento delle organizzazioni al GDPR. Cosa ci dice al riguardo?
“Il Regolamento generale sulla protezione dei dati è entrato in vigore nel maggio 2016 ed è divenuto applicabile due anni dopo, nel maggio 2018. Da allora la data protection ha fatto molta strada: è entrata in tutte, o quasi, le realtà aziendali ed è divenuta un tema di primissimo piano per tutti, o quasi, gli attori economici. Le autorità garanti nazionali e quelle europee, dallo European Data Protection Board allo European Data Protection Supervisor, hanno guidato l’applicazione della normativa con orientamenti e linee guida, e anche le corti, a partire dalla Corte di Giustizia dell’Unione Europea, si sono espresse sui temi della data protection, facendo luce e dirimendo questioni controverse. Insomma, la data protection si è definitivamente affermata come un vero e proprio sistema, con una propria autonomia. Questo certamente ha contribuito a innalzare il livello di tutela delle persone: non a caso il diritto alla protezione dei dati personali è uno dei diritti fondamentali sanciti dalla nostra Carta europea. Inevitabilmente, però, sono comparse anche zone d’ombra. Poiché ci si è molto concentrati sulla compliance, va profilandosi un rischio di burocratizzazione della materia, che pesa soprattutto sulle piccole-medie imprese e su chi si occupa di ricerca scientifica.”
Guardiamo a un futuro fatto di digitalizzazione e innovazione in Italia e nel continente. Come dobbiamo accogliere questa sfida? E come possiamo governare questi processi di transizione al meglio?
“Come dicevo in apertura, l’avanzare della tecnologia può generare paura e smarrimento. Sempre più spesso le nuove tecnologie sono dirompenti e il loro sviluppo e la loro diffusione sono stati preceduti da decenni di espressioni culturali: basti pensare a quelle letterarie e a quelle cinematografiche che hanno fatto dell’IA un mito. Questo incide anche su chi interpreta o scrive le regole, inevitabilmente condizionato dalla cultura di cui è portatore.
Dunque, credo che occorra innanzitutto un’operazione di razionalizzazione, volta a sgombrare il campo da retorica e suggestioni. Poi, occorre riflettere sui nuovi paradigmi con i quali governare, senza imbrigliare il progresso, individuandone le coordinate chiave. Tra queste, sicuramente il fattore educativo, la formazione e l’alfabetizzazione digitale in materia di IA. Ne ho avuto conferma qualche tempo fa, quando ho coinvolto i miei studenti del corso di laurea magistrale in giurisprudenza in un’esercitazione: scrivere un atto giudiziario con l’IA generativa. Ne è risultato che ciò che conta è avere un metodo e sapere esercitare lo spirito critico.”
