L’Europa ha raggiunto un accordo che diventerà legge sulla regolamentazione dell’Intelligenza Artificiale: è la prima al mondo a stabilire regole per l’AI. Sono sei i principali divieti individuabili all’interno del testo dell'”IA act“, il pacchetto di regole che dovranno rispettare i produttori e gli utilizzatori di software che si avvale di questa tecnologia. Proibizioni che non varranno per forze dell’ordine, alcuni enti pubblici operanti nell’ambito della sicurezza e, in circostanze eccezionali, alcuni organi della magistratura.
Il primo divieto, che – volendo – potrebbe essere sufficiente ad includere tutti gli altri, è quello che impedisce di utilizzare sistemi di riconoscimento biometrico che facciano uso, per la categorizzazione, dei cosiddetti “dati sensibili“, ovvero: origine razziale ed etnica, convinzioni religiose, filosofiche o politiche, adesione a partiti, sindacati o associazioni, stato di salute, orientamento sessuale, dati genetici o biometrici. Non sarà quindi possibile identificare automaticamente una persona, collezionando questo tipo di dati.
Il secondo divieto prevede l’impossibilità di raccogliere dati da Internet o da altre fonti video allo scopo di realizzare database di riconoscimento facciale (si potrà invece utilizzare nei casi mirati), sfruttando le capacità dell’intelligenza artificiale. Si tratta praticamente dell’esclusione specifica di una delle primissime applicazioni della tecnologia dell’IA.
In terza battuta, non sarà possibile sfruttare le capacità dell’IA per il riconoscimento delle emozioni (deducibili approssimativamente attraverso parametri estratti da particolari acquisizioni di immagini e video di una persona, come temperatura corporea, dilatazione delle pupille, smorfie sul viso, tono della voce), sia in ambito lavorativo, sia in ambito scolastico.
Quarto impedimento: la classificazione sociale basata sulle abitudini o sulle caratteristiche personali.
Quinto: la manipolazione del comportamento umano. Sì, perché oggi un sistema di intelligenza artificiale può confondere una persona a tal punto da condizionare il proprio libero arbitrio. Lo può fare attraverso la riproduzione di immagini e video che sembrano reali, alterando la realtà e illudendo le persone di aver ascoltato o visto ciò che invece è esclusivamente artefatto.
Ultimo divieto è quello che impedirà di sfruttare l’intelligenza artificiale in tutti quei casi in cui l’utilizzatore del frutto della tecnologia sia identificato come soggetto vulnerabile, cioè condizionato dalla propria età, disabilità, situazione sociale o economica.
Di fatto, si potrebbe riassumere tutti i divieti in un unico impedimento: l’utilizzo dell’intelligenza artificiale per la catalogazione dei dati sensibili, associati ad altri dati personali. E’ abbastanza chiaro che, attraverso i dati anagrafici, insieme a quelli di reddito – solo per fare un esempio – è possibile già estrarre un campione di soggetti vulnerabili. Anche l’alterazione della realtà avviene sulla base di dati che appartengono ad una persona, riprodotti dall’IA, in parte tali e quali e in parte arricchiti di gesti mai eseguiti e parole mai pronunciate. In sostanza la regolamentazione si traduce in alcuni paletti sulle “basi di dati” e sull’utilizzo dell’IA per l’estrazione di relazioni all’interno di esse altrimenti non individuabili.
Le eccezioni ai divieti europei
Il Consiglio europeo ha introdotto diverse deroghe in tutti i casi di minaccia di terrorismo, ricerca di vittime e contrasto alla criminalità (anche se andrebbe meglio specificato il livello di criminalità). Quindi esenzione totale dei divieti per le forze dell’ordine quando si occupano delle suddette attività, ma con possibilità d’intervento a limitarne l’uso o ad obbligare alla trasparenza, da parte del legislatore nazionale. L’utilizzo delle banche dati ad alto rischio per far funzionare i sistemi di intelligenza artificiale sarà – in ogni caso – condizionato ad un’autorizzazione giudiziaria.
Inoltre, tutti i fornitori e gli enti pubblici che utilizzano questi sistemi devono segnalare le operazioni in una banca dati dell’UE, in modo che sia sempre possibile risalire agli scopi e alle circostanze che ne hanno determinato l’uso. Per le agenzie di polizia e di controllo dell’immigrazione, ci sarà una sezione dedicata non pubblica, accessibile solo a un’autorità di vigilanza indipendente.
I dubbi sull’efficacia della legge e le ritorsioni sull’economia dei Paesi europei
L’introduzione della legge è prevista in fasi. Prima che entri in vigore totalmente potrebbero passare fino a 2 anni. Nel frattempo, chiunque potrebbe avvantaggiarsi di questi lunghi tempi e sfruttare l’IA per fare tutto ciò che le norme non consentirebbero, una volta rese esecutive.
Sembra proprio che l’Europa non abbia tenuto conto di tutto il mondo open source dell’intelligenza artificiale. In sostanza, la legge comunitaria richiede una applicazione ex ante delle regole su sicurezza informatica, trasparenza dei processi di addestramento e condivisione della documentazione tecnica prima di arrivare sul mercato. Quindi, in tutti quei casi in cui il prodotto finale non è destinato al mercato, ma alla ricerca, le norme non si applicano. In queste pieghe, il mondo open source, in larga parte fatto di collaborazione tra privati per la condivisione del sapere, potrebbe essere sfruttato per non dover sottostare a nessuno dei divieti. Da capire anche le intenzioni dell’Europa sulla regolamentazione dell’intelligenza artificiale generativa, cioè se verranno normati anche i prodotti finali dell’IA, ovvero ciò che l’IA genera, a valle dei dati catalogati utilizzati per l'”addestramento” e – quelli sì – soggetti a obblighi e divieti. Al momento sembra solo che l’Europa intenda obbligare gli sviluppatori a garantire che i suoni, le immagini e i testi prodotti siano chiaramente identificati come artificiali.
Bisogna ricordare che l’Europa sta imponendo paletti all’interno del suo territorio, ma Internet, si sa, non ha confini, per cui, come si dice: fatta la legge, trovato l’inganno. Basterà una VPN e i paletti saranno aggirati. Una VPN è una rete privata virtuale che “inganna” chi eroga un servizio, facendogli credere che l’utente che lo richiede, proviene da un Paese che non è quello da dove è effettivamente partita la richiesta. In questo modo la tecnologia sarà perfettamente sfruttabile senza alcun divieto. Tra le altre cose, le maggiori aziende di IA sono negli Stati Uniti. Non ci sono colossi come Microsoft, Google, Databricks, Anduril o Antrophic in Europa, anzi non ne esistono nemmeno di medie dimensioni.
Eppure, c’è chi sostiene che la nuova legislazione europea possa danneggiare le imprese del vecchio continente, in quanto fuori dall’Europa tutti potranno sviluppare e mettere alla prova ogni tipo di tecnologia basata sull’IA, mentre qui le aziende dovranno fare i conti con la dura regolamentazione europea.