L’Intelligenza Artificiale (IA o AI) è una sfida per l’umanità, specie per assottigliare il contatto sempre più onnipresente tra umanità e tecnologia.
Come ha spiegato Padre Benanti, Presidente della Commissione italiana sull’Intelligenza Artificiale, l’uomo ha sempre tentato di riflettere la propria visione del mondo nelle innovazioni tecnologiche. Con l’IA, tuttavia, questa attività viene messa alla prova dalla forza creativa di questi strumenti che, sebbene privi di una loro intelligenza, influenzano le nuove definizioni di antropocentrismo e sapere creativo tipico degli esseri umani, come anche nota la scrittrice Chiara Valerio.
Per rispondere a queste sfide di frontiera, l’Unione Europea ha, dal 2021, avviato un procedimento legislativo volto a introdurre la prima legge sull’IA.
Dopo mesi di negoziazione, con un’incredibile maggioranza raggiunta nel voto del 13 marzo 2024 (523 voti favorevoli), il Parlamento europeo ha completato l’ultimo passaggio formale che traghetterà il regolamento “AI Act” verso la sua concreta applicazione.
La norma in questione promette di regolare gli utilizzi di IA dividendoli per grado di rischio: a partire da quelli considerati inaccettabili per una società democratica, sino a quelli blandi. Pertanto, gli obblighi entreranno in vigore gradatamente, a seconda dell’area di rischio. A sei mesi dalla pubblicazione del regolamento, saranno già applicabili le norme relative agli usi proibiti di IA. Tra questi, è possibile annoverare: (i) sistema di IA che impiegano tecniche subliminali al di là della coscienza di una persona o tecniche deliberatamente manipolative o ingannevoli; (ii) sistemi di social e credit scoring, vale a dire strumenti già applicati in diverse parti del globo, ad esempio in Cina, per valutare o classificare persone fisiche per concedere loro l’accesso a servizi sociali, quali ad esempio bonus statali o misure di welfare; (iii) sistemi che sono in grado di valutare o classificare le persone in base ai loro comportamenti, ad esempio fare prognosi rispetto alla commissione di un reato; (iv) sistemi biometrici ad utilizzo real time e in spazi aperti al pubblico, per scopi di polizia, come l’utilizzo del riconoscimento facciale.
Un’analisi puntuale meritano gli snodi relativi alla regolazione di usi specifici di IA promossi dal regolamento. In particolare, notevoli complessità tecnico-interpretative si profilano con riguardo all’uso di sistemi di riconoscimento biometrico di cui agli artt. 5, 6 e 27 del regolamento. Difatti, quest’ultimo distingue tra usi ‘real time’ e usi ‘post’, vale a dire, tra sistemi di acquisizione di dati biometrici in cui il confronto tra volti avviene in modalità istantanea e diretta, e sistemi, invece, in cui i dati biometrici sono già stati acquisiti, e il confronto o l’identificazione avvengono in un secondo momento. Tale distinzione era già stata criticata dal Garante Europeo per la Protezione dei Dati Personali, perché trattasi di differenziazione prettamente tecnica, che non alleggerisce il peso sofferto dai diritti fondamentali dei singoli, laddove pratiche di sorveglianza dovessero essere applicate. Come ha dimostrato una recente sanzione del Garante per la Protezione dei Dati Personali italiano, occorre prestare adeguata attenzione al livello di intrusività nella sfera privata delle persone fisiche, specie quando le autorità pubbliche fanno usi di questi sistemi e anche quando l’utilizzo del riconoscimento facciale è “meramente propedeutic[o] allo sviluppo di nuove tecnologie, come, […] nel caso dell’addestramento di algoritmi di intelligenza artificiale” (Provvedimento n. 5 dell’11 gennaio 2024).
Nella cornice regolatoria delineata dall’AI Act, è consentito l’utilizzo di sistemi di real time biometric identification da parte delle autorità di contrasto in spazi accessibili al pubblico, ossia di quei sistemi di riconoscimento facciale utilizzati senza una latenza tra il momento di acquisizione del dato e il riconoscimento della persona individuata. Al contempo, il regolamento prevede una serie di eccezioni notevoli e chiaramente definite, elencate all’articolo 5, paragrafo 1, lettera d), soggette a una serie di salvaguardie, tra cui misure di monitoraggio e supervisione nonché obblighi di segnalazione a livello di UE.
Nonostante il regolamento abbia un’applicazione diretta, alcuni aspetti sono rimessi alla definizione degli Stati Membri. In particolare, è fatto mandato a questi ultimi di individuare le modalità di utilizzo dei sistemi biometrici, rispetto alla procedura di autorizzazione da seguire. È vero che il regolamento individua dei margini entro il quale l’utilizzo di questi sistemi deve essere effettuato, ma contiene anche diverse zone grigie. Ad esempio, è rimessa agli Stati Membri la scelta dell’autorità competente ad autorizzare l’utilizzo del riconoscimento biometrico, che quindi potrà essere un’autorità giudiziaria o un’autorità amministrativa indipendente.
È qui che il ruolo dell’Italia diviene cruciale. Far dipendere l’utilizzo di un sistema così potenzialmente invasivo – come il riconoscimento facciale – dall’autorizzazione di un’autorità indipendente, anziché di un’autorità giudiziaria, è dannoso per il controllo di legittimità che verrebbe garantito dalla seconda. Il potere giudiziario è, difatti, sottoposto a una serie di garanzie di indipendenza e effettività dell’esercizio dei diritti tale da rappresentare il più alto grado di tutela per gli individui: un criterio invocato anche dalla Corte Europea dei Diritti dell’Uomo per l’impiego di strumenti a riconoscimento biometrico (Glukhin c. Russia, Caso n. 11519/20, in part. par. 86).
Sarà, quindi, importante dedicare un’adeguata attenzione da parte della politica nazionale a quelle clausole aperte del regolamento che lasciano agli Stati Membri un margine di manovra, nell’ottica di riflettere, anche nell’uso di IA, una visione del mondo rispettosa dei diritti.
