A circa settant’anni dalla sua prima definizione e alcuni «inverni» dopo, è finalmente arrivato il momento di regolamentare per la prima volta l’intelligenza artificiale (IA). I governi di tutto il mondo stanno lavorando a diverse velocità per decidere se e come stabilire delle regole nei confronti di algoritmi e software automatizzati di varia natura. In Europa, molti Stati hanno preparato le proprie strategie nazionali, confrontandosi con gruppi di esperti e preparandosi ad applicare – verosimilmente tra due anni – la versione finale del testo presentato nell’aprile del 2021 dalla Commissione europea. Nel frattempo verrà emendato e sperabilmente approvato dal Consiglio dei ministri dell’Ue e dal Parlamento europeo, che dopo oltre sei mesi di trattative, raccomandazioni e opinioni congiunte ha finalmente nominato i suoi rappresentanti per il negoziato: Brando Benifei, della commissione per il Mercato interno, e Dragoș Tudorache, della commissione per le Libertà civili. I governi di tutto il mondo stanno lavorando a diverse velocità per decidere se e come stabilire delle regole nei confronti di algoritmi e software automatizzati di varia natura

Le regole armonizzate proposte dalla Commissione rappresentano il primo tentativo al mondo di normare l’IA in modo così preciso ed estensivo. Si tratta di un testo molto ambizioso, la cui anche sola esistenza ha obbligato ad aprire un dibattito su alcuni quesiti particolarmente urgenti e complessi. Primo fra tutti, l’esigenza di definire di cosa parliamo quando parliamo di IA, un punto per nulla scontato, dato che da ciò dipenderà ovviamente tutta l’applicabilità del Regolamento. In base alla definizione proposta dalla Commissione nell’articolo 3(1), un sistema di IA è «un software sviluppato con uno o più approcci e tecniche elencati nell'allegato I e in grado, per una determinata serie di obiettivi definiti dall'uomo, di generare risultati quali contenuti, previsioni, raccomandazioni o decisioni che influenzano ambienti reali o virtuali». Molti Stati membri hanno espresso il desiderio di una drastica riduzione della portata della definizione. L’applicabilità della proposta di legge andrà negoziata sintetizzando le posizioni di chi teme che un’eccessiva regolamentazione possa imporre freni allo sviluppo industriale, chiedendo di limitare la definizione solo ad alcune tecnologie particolarmente sofisticate, e di chi invece ritiene debba affrontare il più possibile gli impatti sociali strutturali dell’IA e le sue potenzialità discriminatorie, includendo anche modelli di automazione più semplici.

Il negoziato sulla definizione sarà senza dubbio uno dei passaggi più delicati e affascinanti, combattuto a colpi di semantica e semiotica: questa discussione sull’evoluzione nel tempo della definizione dell’IA, qualcosa che esiste dagli anni Cinquanta ma che solo ora iniziamo a governare con strumenti teorici, rappresenta una delle grandi strettoie culturali della nostra epoca. Dopo anni a chiedersi che cosa sia, ad assistere a dibattiti accademici che si interrogano sull’appropriatezza del termine e della sua portata, della sua scalabilità e comunicabilità culturale, siamo ora nel suo processo di oggettivizzazione attraverso il linguaggio. E questa oggettivizzazione, nel suo significato più epistemologico, è ovviamente una questione politica. Globale, innanzitutto, data l’importanza di fissare per la prima volta degli standard che potrebbero spingere e ispirare anche il resto del mondo (come già avvenuto con il Gdpr) e in anticipo rispetto a Cina e Stati Uniti. Ma anche interna, dato che la Commissione insiste per radicare questo approccio nei valori europei.

L’intuizione più innovativa della proposta è la classificazione dell’IA in base ai suoi diversi livelli di rischio, che permette di considerare alcuni sistemi come inaccettabili e di concentrare l’applicazione della norma alle tecnologie rischiose per la società. A chi spetterà però il compito, in ognuno degli Stati membri, di far rispettare le disposizioni, i divieti, e soprattutto il processo iterativo di controllo e valutazione richiesto alle applicazioni ad alto rischio? Quello che potrebbe sembrare un aspetto secondario, sul quale molte analisi hanno sorvolato, rappresenta in realtà un nodo determinante. Ad ogni Paese sarà richiesto di indicare «una o più autorità nazionali competenti e, tra queste, l'autorità nazionale di vigilanza, allo scopo di controllare l'applicazione e l'attuazione del presente regolamento». 

Il testo è molto vago sulle caratteristiche (autonomia, indipendenza e composizione) che queste autorità dovranno avere, ma gli scenari più plausibili al momento sono due: gli Stati potrebbero decidere di dotare autorità già esistenti (come i Garanti per la protezione dei dati) di nuove «risorse finanziarie e umane, conoscenze e competenze sufficienti nei settori dell'intelligenza artificiale, dei diritti fondamentali e dei rischi per la sicurezza per raggiungere efficacemente gli obiettivi previsti dal presente Regolamento», oppure designare una nuova autorità con competenza specifica sull’IA. Provando ad anticipare il quadro di regole future, la Spagna ha di recente annunciato l’istituzione di un’agenzia di supervisione dedicata all’intelligenza artificiale, che con un budget di 5 milioni di euro dovrà monitorare i sistemi utilizzati sul territorio e indagare i pericoli che possono derivare dagli algoritmi «in modo trasparente, obiettivo e imparziale». Le competenze specifiche dell’agenzia non sono ancora note: servirà una legge per il suo insediamento.Ad ogni Paese sarà richiesto di indicare "una o più autorità nazionali competenti e, tra queste, l'autorità nazionale di vigilanza, allo scopo di controllare l'applicazione e l'attuazione del presente regolamento"La stessa Spagna e altri Paesi tra cui Francia e Danimarca hanno pubblicato le loro strategie nazionali tra il 2018 e il 2020 (prima quindi di poter leggere la bozza del Regolamento IA) assegnando la competenza a vari ministeri. Alla fine del 2021 anche l’Italia ha pubblicato il suo Programma strategico sull’intelligenza artificiale, curato da Miur, Mise e Mitd e a cui ha lavorato con funzione consultiva un gruppo di nove esperte ed esperti. La strategia, destinata al biennio 2022-2024, dovrebbe scadere proprio con l’arrivo del Regolamento europeo. Più che ad accompagnare il Paese in questa fase di transizione e a precedere le disposizioni normative sovranazionali, quindi, il programma sembra strumentale all’attuazione del Piano Nazionale di Ripresa e Resilienza (Pnrr), dedicato già dalla prima missione agli obiettivi di digitalizzazione e innovazione della pubblica amministrazione e del sistema produttivo. 

Il documento italiano è strutturato su 24 politiche, divise per obiettivi, settori e aree di intervento. Per colmare un gap che negli anni ci ha lasciati indietro rispetto al resto d’Europa, insiste particolarmente sull’accrescimento di competenze specifiche (aumentando, ad esempio, il numero di dottorati specializzati), risultando molto puntuale nell’individuare gli interventi necessari per migliorare l’ecosistema di ricerca e sviluppo italiano. Non è chiaro, tuttavia, perché non sia stata pensata una maggiore aderenza al testo della proposta europea, approfittando anche del ritardo nella pubblicazione rispetto alle altre strategie. In particolare, nel documento manca una proposta robusta sul percorso di attuazione degli obiettivi e di conseguenza sul coinvolgimento dei diversi attori, dimostrato dal ruolo evidentemente marginale riservato alla governance, a cui è dedicata l’ultima pagina del documento: otto righe di testo che annunciano la creazione di un nuovo gruppo di esperti. Nulla viene invece detto su chi si occuperà delle scelte su come governare l’IA italiana. Chi dovrà attuare i progetti? Come coinvolgere la società civile e le singole persone (se vogliamo che si tratti di un’IA davvero «antropocentrica», come indicato nel documento)? In che modo assicurare una collaborazione tra interessi diversi? In questo senso, il documento sembra suggerire l’ipotesi di riferirsi «il più possibile alle istituzioni e autorità nazionali esistenti nel settore». Possiamo desumerne che il riferimento sia al Garante per la Protezione dei Dati Personali (Gpdp), oltre agli organi preposti per ogni settore applicativo? E i ministeri che ruolo giocheranno?

Contrariamente al Regolamento europeo sulla protezione dei dati (Gdpr), ricordiamo che la proposta normativa sull’IA non richiede al momento la creazione di un’autorità ad hoc. Qualsiasi essa sia, avrà un ruolo fondamentale nella supervisione dei processi di valutazione e certificazione dei sistemi. Predisporre una nuova autorità, come sembra voler fare la Spagna, porterebbe inevitabilmente a una maggiore frammentazione per molti aspetti sconveniente. L’idea di affidare la competenza sull’IA ai Garanti per la protezione dei dati garantirebbe una continuità con il Gdpr, che finora e fino al 2024 sarà l'unica norma a tutelarci indirettamente dall’impatto di certi processi automatizzati. 

È il caso di sottolineare però che le leggi sulla protezione dei dati e il futuro Regolamento saranno norme indipendenti. Spesso si applicheranno cumulativamente, così come altre leggi di settore. Per esempio, le regole dell'IA si rivolgeranno ai sistemi indipendentemente dal fatto che siano coinvolti dati personali: siamo sicuri che la cultura legata alla privacy e quella legata all’IA siano completamente sovrapponibili?

Le leggi sulla protezione dei dati e il futuro Regolamento saranno norme indipendenti. Spesso si applicheranno cumulativamente, così come altre leggi di settore

Se è vero che i dati sono l'ingrediente chiave per alimentare queste tecnologie, è innegabile che il campo dell'intelligenza artificiale supera quello della loro protezione e che confinare il loro funzionamento ai dati lascerebbe fuori altri importanti aspetti progettuali. Le autorità nazionali dovranno infatti valutare anche la qualità e l'accuratezza dei dataset, con il potere di supervisionare il ciclo di vita delle tecnologie nelle loro fasi di sperimentazione. Potranno, tra le altre cose, richiedere ai fornitori l’accesso al codice sorgente dei sistemi, permettendo di aprire la black box. Questi poteri, apparentemente rivoluzionari, verrebbero sprecati in assenza di competenze specifiche – tecniche, ma anche etiche, sociali e di gestione del trasferimento tecnologico – e strutture adeguate. Concretamente, il rischio sarebbe quello di investire i garanti con un carico che non possono completamente gestire, finendo per sacrificare alcuni aspetti cruciali della governance dell’IA esterne alla protezione dei dati.  Il loro compito sarà in ogni caso fondamentale: dobbiamo solo decidere come investire questa possibilità. Gli altri paesi, lo stiamo vedendo, ci stanno già pensando: non possiamo procrastinare oltre. La nostra Strategia, e il generale il nostro dibattito pubblico, non sembrano invece occuparsi del coordinamento tra amministrazioni, autorità e società, con il rischio di lasciare queste decisioni in mano ad un gruppo ristretto di esperti. La portata politica del Regolamento è tale per cui spetterà all’autorità il compito di interpretare nei prossimi anni la definizione in divenire dell’intelligenza artificiale. E da questo esercizio ermeneutico dipenderà gran parte del nostro futuro tecnologico, del suo radicamento pratico negli utilizzi che accetteremo e dell’impatto che avranno sulle nostre vite.