22 ore di negoziati non sono bastate per avere la fumata bianca e approvare il cosiddetto AI Act, la legge europea per regolamentare l'uso dell'IA e mitigare potenziali rischi, creando un quadro normativo chiaro per garantire che l'IA sia utilizzata in modo sicuro ed etico definendo, tra le altre cose, i sistemi ad alto rischio, la trasparenza e la responsabilità delle aziende. I lavori sono stati sospesi e rimandati al giorno successivo, cioè l’8 dicembre, che per inciso non è festivo solo in Italia, ma anche negli altri paesi a maggioranza cattolica, come Spagna e Portogallo. Del resto la posta in gioco era alta, e non si potevano bloccare i negoziati: si trattava di approvare la prima regolamentazione internazionale sull’intelligenza artificiale tra l’altro dopo due anni di lavori (il disegno di legge risaliva a giugno di quest’anno, ma c’erano ancora vari punti da chiarire). Non era una cosa facile, visto che era necessario tutelare due esigenze, garantendo una certa libertà all’innovazione tecnologica, che doveva poter competere con quella di paesi come l’America e la Cina, che non hanno grosse limitazioni in questo senso, ma evitando nel contempo di ledere i diritti fondamentali dei cittadini. Partendo da questo, è facile comprendere perché uno dei principali terreni di scontro sia stato il riconoscimento facciale sulla base di dati biometrici ottenuti in modo massivo.
Così i negoziati sono proseguiti nel giorno (parzialmente) festivo, e dopo 36 ore complessive Parlamento e Consiglio europeo hanno raggiunto un accordo. Mettiamo subito in chiaro una cosa: non abbiamo, ovviamente, il testo della legge, e tutto quello che sappiamo al momento è quello che i presenti hanno riferito alla stampa. Questo accordo è un grande risultato, e poteva certamente andare molto peggio se non si fosse riusciti a trovare un compromesso che soddisfacesse tutte le parti in gioco, perché era l’ultima occasione prima della fine della legislatura. Rimandare avrebbe significato rimanere per anni senza una legge in merito, e questo avrebbe voluto dire lasciar fare alle aziende tecnologiche, che fin troppo spesso hanno a cuore i loro interessi economici più che quelli dei cittadini, e che prendono le decisioni molto più velocemente dei legislatori.
Detto questo, adesso la palla passa ai tecnici, che devono redigere, un testo efficace in cui però, teniamolo presente, anche una sola parola potrebbe aprire scenari potenzialmente critici. Per fare un solo esempio: sappiamo che il riconoscimento biometrico è stato vietato, ma che ci sono tre eccezioni, come confermato da Thierry Breton, commissario al Mercato interno: prevista ed evidente minaccia di attacco terroristico, ricerca di vittime, persecuzione di seri crimini. L’orientamento del Parlamento, inizialmente, era quello di vietare completamente il riconoscimento biometrico, mentre alcuni stati, in particolare Italia, Francia e Ungheria, volevano una maggiore libertà. Il risultato è stato un compromesso, ma bisogna capire come verrà messo in pratica (cosa si intende per “serio crimine”? Quando la minaccia di terrorismo può essere definita “evidente”?). “Questo potrebbe essere – ci spiega Guido Scorza, componente Collegio del Garante per la protezione dei dati personali – uno di quegli aspetti che verrà demandato ai singoli paesi, non sono certo che si arriverà a definirlo a livello europeo. Apparentemente c’è da essere ottimisti per questo risultato, ma fino a quando non si leggono le norme è difficile dirlo, anche perché ovviamente tutte le fonti che noi abbiamo in questo momento sono i negoziatori, condizionati da un entusiasmo che, per quando comprensibile, è piuttosto soggettivo. Siamo a metà strada, e sembra che la direzione sia quella giusta, ma il diavolo sta nei dettagli: aspettiamo di leggere il testo mantenendo un cauto ottimismo, perché parliamo di leggi e non di romanzi. Se in un romanzo cambio 10 parole, il senso rimane lo stesso, mentre nel caso di una legge può cambiare tutto in modo sostanziale”.
Deal!#AIAct pic.twitter.com/UwNoqmEHt5
— Thierry Breton (@ThierryBreton) December 8, 2023
Ci sono state voci critiche per quanto riguarda le eccezioni al divieto del riconoscimento biometrico, visto che la posizione del Parlamento era inizialmente così netta. Apparentemente, però, sempre tenendo presente che non c’è ancora un testo consultabile, la tutela della privacy è stata tenuta in gran conto: ci sarebbero delle garanzie, la decisione andrebbe presa da un giudice e questa tecnologia sarebbe riservata a casi limite. “Alla fine – dice Scorza – dobbiamo accettare l'idea che ci siano dei casi in cui si possa effettivamente identificare in maniera episodica l'autore di un crimine efferato o scongiurare il rischio che ne commetta un altro. Credo che la stessa società, nel suo complesso, farebbe grande fatica un domani ad accettare che questa tecnologia esista ma che non venga usata in casi come questo. In linea teorica alcuni diranno che i diritti vanno sempre tutelati a prescindere, ma alla prova del nove quale società perdonerebbe, per esempio, di non aver potuto arrestare un pedofilo perché hai rinunciato aprioristicamente a uno strumento a tua disposizione?”. Certo, poi come ha detto lo stesso Scorza bisogna vedere esattamente quali saranno le condizioni per l’effettivo utilizzo della tecnologia, ma in linea di principio un blocco totale sarebbe stato un autogol.
Come ha rilevato Scorza, inoltre, dopo un lavoro di due anni ovviamente l’entusiasmo è lecito, anche perché, come è già successo per il GDPR, l’Europa si conferma interessata alla salvaguardia dei diritti dei suoi cittadini, e non a caso non ha fatto passare la proposta di alcuni stati, come Italia, Germania e Francia, che prevedeva l’autoregolamentazione da parte delle aziende e degli stati. In un panorama dove si fatica a immaginare cosa accadrà nel giro di pochi mesi, era indispensabile trovare dei punti fermi per evitare abusi perpetrati nell’ottica del profitto ad ogni costo, e anche in questo senso l’accordo va festeggiato. Non ci sarà spazio per l’applicazione dell’AI per tecniche subliminali, manipolative e in generale per modificare il comportamento dei cittadini, e per operare in Europa le aziende dovranno essere idonee a ottenere una licenza in seguito alla valutazione di rischio sistemico, di sicurezza informatica e ambientale. Inoltre ci dovrà essere trasparenza sui contenuti utilizzati per addestrare l’AI. Tutto questo basterà? Non lo sappiamo, perché si tratta di una tecnologia in continuo divenire, ma probabilmente verranno esplicitati dei principi generali a cui rifarsi.
“Qualsiasi testo di legge, – aggiunge Scorza – ma questo in particolare, va a normare anche il futuro, quindi qualcosa che non c’è ancora. Bisogna perseguire un’ottica di compromesso: in questo caso, da quanto capisco senza il testo, verranno fissati dei principi di base e poi verrà dato un certo spazio all’autoregolamentazione, com’è già successo nel caso del GDPR”. Era importante mettere questi paletti, perché altrimenti ai mercati e agli Stati poteva arrivare il messaggio che il fine giustifica i mezzi, e questo avrebbe significato lasciare spazio alla possibilità di mettere in secondo piano i diritti fondamentali dei cittadini. Per fortuna non è andata così, ma le istanze iniziali non hanno impedito la fumata bianca. O forse ancora bianco-sporco, perché in un’ottica di compromesso può permanere un certo malumore tra le parti, ma è indubbiamente meglio della fumata nera che avrebbe rischiato di determinare un Far West tecnologico.
Per le limature e l’approvazione definitiva c’è tempo fino a giugno del 2024, ma la strada intrapresa sembra quella giusta.
