«È una pietra miliare che segna le prime regole per l’intelligenza artificiale nel mondo, con l’obiettivo di renderla sicura e nel rispetto dei diritti fondamentali dell’Unione europea». Con queste parole la presidenza belga del Consiglio europeo ha salutato l’accordo raggiunto venerdì 2 febbraio tra i 27 governi dei Paesi membri sull’AI Act, il regolamento europeo sull’intelligenza artificiale (IA). È davvero un balzo pionieristico in uno dei temi centrali della vita di questo secolo, visto che nessun soggetto statale o sovranazionale nel mondo ha finora dato una cornice legislativa allo sviluppo e agli usi dell’IA.
Liberati o schiavizzati dall'intelligenza artificiale?
Il pendolo della discussione oscilla tra la tesi di chi vuole lasciare briglia sciolta e chi ritiene invece necessario proteggere i cittadini dall’uso distorto di tecnologie potentissime e in costante evoluzione. Agli scenari utopici di un genere umano liberato grazie alle macchine fanno infatti da contraltare le prospettive distopiche di un’umanità assoggettata alle macchine, o almeno a una élite che usa quelle macchine per comprimere le libertà altrui. Se è vero che l’evoluzione della civiltà umana - quella occidentale in particolare - mette la persona e la sua libertà al centro, è evidente che disciplinare l’AI diventa un passaggio ineludibile per difendere la civiltà stessa. D’altra parte, il tipo e la quantità di paletti non dovrebbero reprimere i margini di manovra della ricerca e la crescita socio-economica, semmai favorirle. È attorno a questi nodi che l’Ue ha deciso di adottare l’AI Act. Il 2 febbraio scorso gli ambasciatori dei 27 Stati membri hanno dato il via libera al compromesso raggiunto a dicembre tra Parlamento e Consiglio Ue. Ora manca l’ultimo miglio, il passaggio finale all’Eurocamera previsto entro aprile, e poi il regolamento sarà realtà.
I quattro livelli e il “rischio inaccettabile"
Il testo attuale, che ha subito delle leggere correzioni, introduce una scala di rischio dell’IA su quattro livelli, ai quali corrispondono regole diverse: rischio basso, rischio limitato, rischio medio alto, rischio inaccettabile. Rientrano nel livello di rischio ritenuto “inaccettabile” i metodi di manipolazione cognitiva del comportamento, la raccolta indiscriminata di immagini facciali da fonti online o da video di telecamere a circuito chiuso per la creazione di database di riconoscimento facciale, l’analisi delle emozioni sul luogo di lavoro e nelle scuole, l’attribuzione di un “punteggio sociale” da parte dei governi e la categorizzazione biometrica per dedurre dati sensibili come convinzioni politiche, religiose, orientamento sessuale. Non è fantascienza, ma realtà. Oggi la Cina sta adottando il “social scoring” per monitorare i comportamenti umani e premiarli o punirli con un punteggio che poi determina l’erogazione di servizi. Nell’Ue non sarà ammesso, per il rispetto dei diritti fondamentali della persona.
Sistemi ad alto rischio, cosa è previsto
Per i sistemi ad “alto rischio”, è obbligatoria una valutazione dell’impatto sui diritti fondamentali prima che siano introdotti sul mercato. Un’importante eccezione riguarda la procedura di emergenza, che consente alle forze dell’ordine l’utilizzo di strumenti non sottoposti alla valutazione, a determinate condizioni. Anche l’impiego di sistemi di identificazione biometrica a distanza in tempo reale in luoghi accessibili al pubblico è soggetto a deroghe, previa autorizzazione giudiziaria e per specifici reati (terrorismo, traffico di esseri umani, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a un’organizzazione criminale, reati ambientali). Tra i sistemi ad alto rischio ci sono quelli di categorizzazione biometrica o per il riconoscimento delle emozioni; software educativi o di formazione, per valutare i risultati di studio o controllare gli studenti durante gli esami. E poi gli algoritmi usati sul lavoro, per valutare curriculum o distribuire impieghi, e quelli utilizzati dalla pubblica amministrazione o da enti privati per distribuire sussidi, per classificare richieste di emergenza, per smascherare frodi finanziarie o per stabilire il grado di rischio quando si sottoscrive un’assicurazione.
La trasparenza, le sandbox e le sanzioni
Il regolamento accende poi i fari sulla trasparenza: i contenuti prodotti da IA generativa dovranno essere chiaramente identificati, così da scongiurare le pratiche di deepfake. Come noto, è già possibile creare dei video in cui si fa dire a una persona parole che non ha mai pronunciato, o farle compiere azioni che non ha mai compiuto: bastino i recenti esempi di deepfake, quello del finto arresto di Trump o di Papa Francesco ritratto con un fantomatico piumino bianco. L’AI Act delega una serie di controlli alle autorità locali, che entro due anni dall’entrata in vigore dovranno istituire almeno una sandbox regolatoria nazionale, cioè uno schema che consente di effettuare delle prove in sicurezza, per non soffocare l’innovazione tecnologica. La norma europea conterrà anche un sistema di sanzioni, modulate in base alla dimensione economica dei trasgressori: chi non si adegua rischia multe fino a 35 milioni di euro o al 7% del fatturato globale.
Il confronto politico
Il 2 febbraio, il giorno in cui i governi trovavano l’intesa sul regolamento, nella sede di Confindustria Vicenza è andata in scena una tavola rotonda sull’AI Act e le sue implicazioni (si veda a lato). Lì sono intervenuti anche gli eurodeputati Brando Benifei, del Pd, relatore del dossier, e Alessandra Basso, della Lega. Benifei ha sottolineato come «il nuovo regolamento riguarderà tutti i soggetti che opereranno sul territorio europeo, quindi non solo le aziende europee ma anche le loro concorrenti americane o cinesi o di altri Paesi. Queste regole servono a ridurre i rischi - a scuola, nella sanità, nei tribunali, nei processi democratici - ma saranno anche un fattore di competitività per le imprese, che saranno accompagnate nell’introduzione delle regole stesse». Benifei ha poi evidenziato come il problema, ora, sia quello delle risorse per l’innovazione tecnologica: «Servono investimenti, che non devono fermarsi al piano Next Generation EU». Ha infine spiegato che con il regolamento «abbiamo voluto vietare pratiche di polizia predittiva», cioè basate sul calcolo predittivo della probabilità di delinquere di una persona, «per garantire la presunzione d’innocenza», e «introdotto un divieto parziale di riconoscimento biometrico per evitare la sorveglianza di massa». Su questo aspetto la leghista Basso spiega che la sua parte politica avrebbe posto «minori vincoli». «Ci auguriamo che i paletti non siano eccessivi per un mercato europeo che è indietro rispetto a Cina e Usa e che deve investire molto in questo ambito», ha detto Basso. «Mi auguro che le imprese europee siano accompagnate e sostenute in questa transizione». Da leghista, come l’intero suo gruppo parlamentare, si era astenuta in sede di voto a Strasburgo su questo testo, riconoscendo d’altra parte che «un regolamento», in cui l’Ue è ora pioniera nel mondo, «era comunque necessario. E ora - ha concluso - credo che abbia subito qualche miglioramento». Salvo intoppi non preventivati, tra due mesi l’AI Act sarà legge.