Il testo del regolamento sull’Ai rischia di favorire la corsa di Cina e Stati Uniti lasciando indietro i Paesi comunitari e di creare problemi con la sorveglianza di Andrea Monti – Inzialmente pubblicato su Wired.it
Lo scorso 11 maggio 2023 le commissioni Internal Market e Civil Liberties del Parlamento Europeo hanno approvato il testo “di compromesso” del regolamento sull’AI proposto dalla Commissione Europea. Le modifiche indicate dalle due commissioni lasciano intatto l’impianto concettuale della futura normativa che rimane caratterizzata, come altri importanti provvedimenti quali il GDPR, sull’applicazione estesa del principio di precauzione e sulla burocratizzazione che culmina nell’istituzione dell’ennesimo “ente controllore”. Quando questo regolamento verrà approvato sarà molto complesso per ricercatori e aziende basate nella UE collaudare l’efficacia di modelli teorici e trasformarli in prodotto, a fronte della maggiore flessibilità che Paesi come USA, Cina e Giappone hanno già dimostrato di saper sfruttare. Tuttavia, il problema —anzi, i problemi— del regolamento non sono nelle singole norme o nei tecnicismi di ingegneria giuridica, ma nei presupposti sulla base dei quali è stato progettato e su un’idea di intelligenza artificiale più adeguata alle rappresentazioni hollywoodiane che alla realtà.
La discussione politica su questo regolamento ha subito una forte accelerazione dopo l’isteria collettiva causata dalla libera disponibilità di ChatGPT. Poco importa che i “problemi” fossero gli stessi che da sempre affliggono, per esempio, i motori di ricerca o che avessero origine in una mal compresa modalità di utilizzo del software, equiparato contro ogni logica ad un oracolo senziente. A fronte del picco informazionale generato dagli allarmi presunti o reali lanciati da personaggi di varia estrazione, era politicamente necessario “fare qualcosa”, qualsiasi cosa, pur di cavalcare l’onda in puro stile social network; e il qualcosa si è tradotto nell’accelerazione del processo decisionale su un provvedimento oggettivamente mal concepito e che avrebbe richiesto di rallentare, invece di accelerare.
La fretta è sempre cattiva consigliera e nel caso della proposta di regolamento sull’AI questo è particolarmente vero, perché la sottovalutazione degli aspetti tecnici e politici connessi a questa tecnologia si è manifestata a partire dalle scelte di sistema e fino alla scrittura delle singole norme.
Partendo dalle fondamenta, il primo punto critico riguarda la scelta di assoggettare la Scienza alla politica. Il regolamento pretende, infatti, di entrare nel dettaglio di cosa sia e cosa non sia l’AI e di quali sistemi vengono utilizzati per costruirla. Questo significa due cose: la prima è che sarà necessario rincorrere ogni evoluzione tecnologica per capire se includerla nella lista dei “software pericolosi” e nel frattempo lasciare un vuoto normativo analogo a quello che accade con le nuove sostanze stupefacenti, che diventano illegali solo quando vengono inserite nella “tabella” ministeriale. La seconda è che, à la Trofym Lysenko, il Parlamento UE si arroga il diritto di decidere per legge cosa siano scienza e tecnologia o come debbano essere definite. Applicando questo approccio non stupirebbe, sia consentita l’ironia, se presto o tardi venissero fissate per regolamento la velocità della luce o la costante gravitazionale, con annesse sanzioni per eccesso di velocità o superamento dei limiti di attrazione.
Un altro aspetto critico del regolamento è la scelta di considerare “pericolosa” l’AI e di normarla specificamente, lasciando invece nel dimenticatoio tutto il resto del software che, per contrappasso, potremmo chiamare “dumb” —stupido. Eppure, oggi tutto funziona sulla base di questi software “diversamente intelligenti” ma non per questo meno pericolosi o capaci di provocare danni anche catastrofici, dall’errore di una diagnosi medica alla caduta di un aereo. Ha senso, dunque, porsi il problema di regolare una specifica tecnologia invece di applicare un principio generale secondo il quale chi costruisce qualcosa che provoca danni è obbligato a subire le conseguenze civili —risarcire i danni— e penali—scontare una pena?
Il tema vero, dunque, non è preoccuparsi di questo o quello specifico oggetto, ma quello della responsabilità di chi sviluppa, produce e vende software, a prescindere dalla tecnologia impiegata per costruirlo. Ci si sarebbe dunque aspettato che, finalmente, la UE ponesse fine alla finzione giuridica del considerare il software come la Divina Commedia —un’opera creativa— attribuendogli lo stato giuridico di “prodotto” e dunque rendendo applicabili le tutele per chi li deve usare, ma non è così. Eppure, questa sarebbe stata una opzione abbastanza semplice per affrontare il problema della responsabilità connessa (anche) ai programmi che funzionano grazie all’AI.
La scelta del regolamento, invece, è andata verso l’ennesima applicazione del “principio di precauzione” e dunque dell’imposizione dell’onnipresente (non meglio qualificata e sostanzialmente non quantificabile) “analisi del rischio”. Si tratta di un elemento che causa grande incertezza nella valutazione del come dovrebbero funzionare software, hardware e servizi basati su AI. Da un lato, non si capisce bene quale dovrebbe essere la soglia di rischio accettato, come dovrebbe essere individuata, e in rapporto a quali eventi e quali soggetti. Inoltre, in termini più strettamente giuridici, anche se fosse possibile individuare una soglia di rischio, questo consentirebbe di “tirare una linea” al di sotto della quale i “produttori” possono sostenere di non dover subire le conseguenze dei danni provocati dalle loro “creature”. Se, infatti, è individuata una soglia di rischio e gli utenti ne sono consapevoli, allora il proprietario dell’AI non può essere considerato responsabile se si verifica un incidente che rientra nell’ambito del “previsto”. Blame the user, in altri termini, come da sempre accade nel mondo del software.
Questa scelta è collegata all’ulteriore difetto di impostazione del regolamento: l’avere stabilito una complessa infrastruttura burocratica che coinvolge una o più “autorità competenti” e una “supervising authority” incaricati di vigilare e (probabilmente) sanzionare in funzione di una scala di utilizzi alcuni dei quali consentiti e molti dei quali fortemente limitati o addirittura vietati.
Il divieto più rilevante e controverso riguarda l’identificazione biometrica basata su AI anche per finalità di polizia che, salvo improbabili modifiche non sarà consentita a nessuno Stato membro. Il tema è estremamente delicato e complesso e va oltre la dialettica tradizionale e inconciliabile fra i sostenitori della sicurezza a tutti i costi e quella di chi invoca la privacy come valore assoluto. Se, infatti, da un lato il Parlamento Europeo intende bloccare l’uso di una tecnologia di sorveglianza percepita come troppo pericolosa per i diritti fondamentali, nello stesso tempo la Commissione Europea sta spingendo per l’adozione del client side scanning cioè dell’imposizione di sistemi di “perquisizione preventiva automatizzata” di smartphone e computer prima che il contenuto di una comunicazione sia cifrato e spedito in nome della “tutela dei minori” al costo di una inaccettabile intrusione sistematica e continua nell’uso quotidiano dei sistemi di comunicazione. Non si può dunque dire, in senso assoluto, che in ambito europeo sia stata rifiutata l’idea di costruire una società del controllo. Anzi, a guardare il progetto di costruzione di un enorme data-base biometrico da usare per gestire gli ingressi nella UE verrebbe da pensare che schedatura e sorveglianza di massa siano oramai un fatto (politicamente) compiuto anche all’interno dell’Unione Europea e che il “sacrificio” del riconoscimento biometrico basato su AI rappresenti quasi una perdita accessoria nell’economia complessiva del sistema di controllo in corso di realizzazione.
Tuttavia, e questo è il vero punto dolente, non è nemmeno così certo che la UE possa imporre il divieto di usare l’AI per attività di polizia. Sicurezza pubblica e nazionale, infatti, sono ambiti sui quali Bruxelles non ha giurisdizione. Quindi è discutibile che possa adottare addirittura un regolamento che ha efficacia diretta nei sistemi giuridici degli Stati membri. In questo senso esiste già un precedente che riguarda proprio la protezione dei dati personali: la materia è disciplinata appunto da un regolamento comunitario (il famoso “GDPR”) ma quando si è trattato di intervenire sulle attività di polizia e di indagine è stata emessa una semplice “direttiva” (cioè un atto che richiede di essere integrato nel sistema giuridico nazionale tramite una legge dello Stato). Fuori dalle tecnicalità giuridiche, in altri termini, c’è il concreto pericolo che il divieto di utilizzo dell’AI nelle attività di polizia rimanga lettera morta se gli Stati membri non decideranno di intervenire autonomamente.
Questa notizia, in realtà, è meno negativa di quello che sembra. Se, infatti, le decisioni politiche in materia di sorveglianza e sicurezza devono essere assunte a livello nazionale, è ancora possibile suscitare un dibattito pubblico esteso che, in ciascun Paese, metta le forze politiche di fronte alla responsabilità di decidere quali debbano essere i limiti ai diritti delle persone, e di assumere direttamente la responsabilità della scelta, senza potersi nascondere dietro il tradizionalissimo “ce lo ha chiesto l’Europa”.
Possibly Related Posts:
- Lo Human Genome Meeting di Roma riporta in primo piano la necessità di liberare l’uso dei dati
- Neuralink è l’anticamera della discriminazione tecnologica
- L’India compie un passo importante verso l’indipendenza tecnologica. Cosa cambia
- GDPR e OpenAI: quanto sono fondate le accuse del Garante?
- L’ AI open source non è un crimine e non aiuta i criminali