Il confronto
Guida ragionata all'AI Act dell'Unione europea
Pionieristica nel suo settore ma temuta nella Silicon Valley: ecco che le nuove linee guida dell'Ue possono per certi aspetti sovrascriversi a quelle di chi è arrivato prima di noi, la Cina
Dopo il GDPR, fu l’AI Act. Se l’Unione europea fatica a produrre “unicorni”, startup con valorizzazioni tali da creare veri ecosistemi e una trazione digitale delle proprie economie, sulla parte di regolamentazione torna invece a far scuola. L’AI Act recentemente approvato, che vorrebbe genericamente mettere una pezza anche su questa lacuna cronica del Vecchio continente, ha tutti i crismi per diventare un caposaldo della costruzione di sistemi di intelligenza artificiale sicuri e tutelanti nei confronti degli individui. È bene sottolineare però che non è il primo atto teso a legislare sull’IA, perché la Repubblica popolare cinese ne ha promulgato uno quest’estate, ad agosto, anche se limitato all’IA di tipo generativo, peraltro con indicazioni in alcuni casi di segno marcatamente opposto.
I livelli di rischio: tolleranza zero al capitalismo della sorveglianza
L’impronta dell’atto è “risk-based”: con l’istituzione di vari livelli di rischio si mira a un approccio modulato e ponderato sull’importanza delle singole applicazioni dell’IA. Tra le varie correnti, più integerrime (Spagna in primis) e più libertarie (guidate dai francesi), alla fine si è imposta una tolleranza zero verso tutto ciò che rientra nella categoria immaginifica della “fantascienza distopica” o, per dirla con Shoshana Zuboff, del capitalismo della sorveglianza. I sistemi considerati ad alto rischio sono quelli che hanno un impatto rilevante sulla vita di ognuno di noi, ad esempio i dispositivi medici, i sistemi per determinare l’accesso alle scuole o la selezione del personale, quelli utilizzati nella gestione della giustizia, nel controllo delle frontiere, l’identificazione biometrica. Questi sistemi dovranno rispettare criteri rigorosi e standard elevati, a partire dalla mitigazione del rischio, dovranno dimostrare “un’alta qualità dei dati di addestramento” e saranno sottoposti a una serie di controlli sulle attività svolte e sulle misure di sicurezza adottate. Tema chiave, infine: per ciascuno di essi dovrà essere prevista una supervisione da parte dell’uomo.
Arrivano poi alcuni altolà totali alle pratiche più eticamente controverse: no allo scraping non mirato delle immagini facciali da internet o da telecamere a circuito chiuso per creare database di riconoscimento facciale senza specifici obiettivi, no all’uso di sistemi che mirano a sfruttare le vulnerabilità delle persone, come l’età, disabilità, situazione sociale o economica, no ai sistemi di IA che categorizzano le persone basandosi su caratteristiche sensibili come convinzioni politiche, religiose e razziali. Ma soprattutto, divieto di riconoscimento delle emozioni, sia in luoghi di lavoro e istituzioni educative, e chiusura totale alla polizia predittiva, alla Minority Report per intenderci, così come assolutamente vietati rimangono il Social Scoring e le tecniche manipolative. Proprio la chiusura al sistema di “raccolta punti sociali”, percepito comprensibilmente in occidente come distopico, rende impossibile all’AI Act di ambire a un vero approccio globale, dato che questo è un pilastro intoccabile della strategia di lungo periodo del Dragone, basata sul ben noto “sistema di credito sociale”, in patria peraltro ben accolto dalla maggioranza della popolazione cinese. L’AI Act arriva invece a stabilire una disposizione simile a quella di Pechino sul tema del watermarking, ovvero di rendere esplicito l’utilizzo di IA nei contenuti da essa generati o modificati.
I tempi: lo schema 6-12-24
Nell’AI Act si parla di 6 mesi per mettere a terra le disposizioni sulle tematiche più delicate, 12 mesi per uniformarsi sul tema delle IA generative e i cosiddetti modelli di fondazione (fondamentali nello sviluppo del Machine learning) e 24 mesi per tutto il resto a rischio più ridotto. Una sfida seria, in un settore dove l’approccio “a scatola nera” è finora andato per la maggiore, mentre adesso si richiedono standard elevati anche in termini di trasparenza e garanzie per la privacy e la cybersicurezza, in linea con l’impianto del GDPR. Il lavoro sembra impegnativo, tant’è che, dopo il caso della chiusura di ChatGPT per qualche settimana in Italia su decisione di OpenAI stessa dopo le disposizioni del nostro Garante della Privacy, adesso a scanso equivoci Google ha già eliminato tutti i paesi dell’UE dalla lista di disponibilità del suo nuovo prodotto, che viene annunciato come più rivoluzionario di quello che in realtà pare davvero essere, ovvero Gemini.
Nella fase di transizione, a partire da gennaio 2024, la Commissione intende riunire gli sviluppatori di intelligenza artificiale per siglare un AI Pact, un accordo su base volontaria che impegni le imprese a iniziare fin da subito a progettare sistemi conformi alle previsioni del regolamento.
Sanzioni draconiane, madi non facile applicazione
Le sanzioni sono piuttosto pesanti, in particolare per i giganti: 35 milioni di euro o il 7 per cento del fatturato globale per le applicazioni vietati i colossi del settore, quale che sia il numero più grande, costituiscono un deterrente piuttosto significativo. L’importo scende a 15 milioni o il 3 per cento del fatturato in caso di violazione degli obblighi imposti dalla legge (per le PMI le sanzioni sono sensibilmente più basse). Certo è che sarà molto difficile che questi casi legislativi giungano a una facile risoluzione, dato che in un settore così recente e soggetto a cambiamenti repentini nel giro di mesi se non settimane non mancano certo le aree grigie, e le ambiguità a cui gli avvocati potranno appigliarsi. A supervisionare il rispetto della legge sarà un nuovo organo dedicato, l’European AI Office, che opererà insieme alle autorità di sorveglianza delle varie nazioni dell’Unione Europea.
Un ultimo tema su cui si esprime l’AI Act è quello della sostenibilità ambientale, argomento di cui si è molto discusso dopo le recenti stime che sostengono che una query su ChatGPT consumi a spanne una bottiglietta d’acqua. Secondo una stima di Digital Europe, la più importante associazione che rappresenta le industrie digitali in Europa, per un’impresa di cinquanta dipendenti, adeguarsi alle regole dell’AI Act potrebbe comportare un costo di oltre 300.000 euro. Un investimento che rischia di ingessare ulteriormente un quadro di innovazione spesso già invischiato nelle sabbie mobili della burocratizzazione europea.