La scorsa settimana in Europa hanno fatto notizia da due documenti riguardanti l’intelligenza artificiale, ciascuno firmato da decine e decine di aziende del settore.

Uno è la dichiarazione AI Pact, con cui la Commissione ha chiesto alle aziende tech di impegnarsi a operare in modo conforme alla normativa europea AI Act anche prima della graduale entrata in vigore di obblighi e sanzioni (un percorso che richiederà 3 anni dall’approvazione).

L’altro è una lettera aperta originata da Meta ma firmata da molte aziende di peso, più tra gli utenti di Intelligenza Artificiale che tra i vendor, con cui si chiede all’Unione Europa… Ecco: non si capisce bene cosa i firmatari chiedano all’EU.

L’elenco dei firmatari è quasi mutualmente esclusivo: tra i 126 firmatari dell’AI Pact e i 49 della lettera aperta di Meta ci sono solo tre sovrapposizioni: Criteo, Mirakl e SAP. Notevole anche l’assenza, su entrambi i lati, di alcune importanti aziende del settore come Anthropic e Mistral.

La lettera di Meta si intitola “L’Europa ha bisogno di certezza normativa sulla IA”, e dopo la presentazione degli enormi vantaggi che la IA generativa può portare all’economia e alla vita delle persone, in particolare grazie ai modelli open source (come Llama, giustappunto di Meta), chiede genericamente di avere un insieme di regole unificate e applicate in modo consistente in tutta l’Unione, così come il GDPR ha rappresentato un framework normativo armonizzato. Che, in teoria, è proprio lo scopo dell’AI Act.

L’incontro/scontro tra aziende AI e l’Unione Europea

Per chiarirci un po’ le idee, non avendo ottenuto risposte da Meta o da alcuni firmatari che abbiamo contattato, abbiamo intervistato l’avv. Roberto Sammarchi, manager dell’innovazione, cassazionista e specialista in diritto dell’informazione, della comunicazione digitale e della protezione dei dati personali e ne è nata una piacevole chiacchierata.

DigitalWorld Italia – Che idea si è fatto del dibattito in corso tra aziende e istituzioni riguardo all’intelligenza artificiale?

Foto dell'avv. Roberto Sammarchi

Avv. Roberto Sammarchi

Avv. Roberto Sammarchi – Nell’ultimo anno si sono avvicendate bordate pro e contro l’intelligenza artificiale percepita come minaccia o come opportunità, spesso con azioni contrapposte da parte degli stessi player, i quali sembrano maestri nel mantenere viva la polemica nel dibattito per mantenere alta l’attenzione del pubblico e il traffico sul proprio sito web.

E in merito all’AI Act?

Il regolamento europeo rappresenta un importante, generoso e utile tentativo di creare ordine in una materia complessa per molti aspetti sfuggente, impalpabile e non priva di rischi.
Ha forse il limite di identificare, a mio avviso, più il rischio e che le opportunità e di non favorire un approfondimento della conoscenza tecnica del fenomeno che si vuole regolare.

Su questo filone europeo si sono inserite a livello nazionale, anche nel nostro paese, posizioni di carattere politico e normativo, anch’esse originate da atteggiamenti e preoccupazioni condivisibili, che pongono però l’accento prevalentemente sui rischi. Come professionista che si occupa da molti anni di tematiche legate alla sicurezza, il mio punto di vista è e che in presenza di una nuova tecnologia il rischio è inevitabile, ma è connesso a opportunità che dovrebbero essere sempre tenute in primo piano. Il rischio va gestito per minimizzare e se possibile eliminare il suo impatto, operando delle scelte non prive di incognite ma che devono essere praticabili per gli operatori, pronti a correggere le azioni sulla base di un controllo continuo dei processi di innovazione e dei loro effetti.

In questo senso, la chiamata alle armi formulata dai firmatari della lettera è comprensibile, anche se forse non del tutto condivisibile nelle intenzioni.

Veniamo quindi alla lettera di Meta, il riferimento al GDPR come framework unificato sembrerebbe quasi una captatio benevolentiae: ti elogio perché sto per chiederti qualcosa. Nocciolo della questione sarebbero infatti i provvedimenti presi dai Garanti Privacy in alcuni stati riguardo all’utilizzo dei dati di cittadini europei per l’addestramento di modelli di intelligenza artificiale (con il Garante italiano primo al mondo nel sollevare obiezioni, ormai quasi due anni fa).

Uno dei più frequenti e acuti commentatori italiani in tema di IA è il francescano Padre Paolo Benanti. Con una battuta, io direi che se la lettera fosse stata scritta da San Francesco, il suo contenuto sarebbe condivisibile con minore preoccupazione. Purtroppo gli attori coinvolti hanno rilevantissimi interessi economici, che ne condizionano l’obiettività.

 Anche la proclamazione di buona volontà sulla disponibilità aperta della IA per il “bene comune” desta molte domande. Se una risorsa ad alto costo come l’IA viene messa a disposizione dai soggetti investitori in modo aperto e oggi in molti casi quasi gratuito, temo significhi che il prodotto non è quella risorsa ma qualcos’altro. In questo scenario, sembra di comprendere che il prodotto sono gli utilizzatori di quelle tecnologie, cioè, siamo noi. O più esattamente, i nostri dati raccolti attraverso forme più o meno dirette di acquisizione e monitoraggio.

Da questo punto di vista la lettera è condivisibile e allo stesso tempo preoccupante.

Si torna a puntare il dito più contro il GDPR, che pure la lettera elogia, che contro l’AI Act, non è così?

Esiste un problema di frammentazione della normativa non solo europea, ma anche nel quadro nazionale. Il problema che io incontro è che le norme, in particolare in ambito tecnico digitale, sono “egoiste”. Ciascuna pensa a sé stessa, nel senso che ciascuna ha un percorso di elaborazione che nasce da gruppi di lavoro tecnici, da un processo di consultazione di stakeholder e da una mediazione politica a valle, ma il tutto avviene all’interno di silos informativi in cui si parla sostanzialmente di un argomento e di quell’argomento soltanto. Che si parli di intelligenza artificiale, prodotti e servizi, contenuti digitali, di privacy o cyber sicurezza, ogni norma si occupa di quell’argomento – spesso molto complesso – in modo molto approfondito in senso verticale, ma manca la capacità o un complesso di strumenti per tirare delle linee orizzontali tra le diverse norme.

Le norme, in particolare in ambito tecnico digitale, sono “egoiste”. Ciascuna pensa a sé stessa

In che modo quindi le norme in materia di intelligenza artificiale impattano sul GDPR?

Le faccio un esempio concreto. In Italia, il Decreto Legislativo 81/2008 impone al datore di lavoro di adottare la tecnologia che, allo stato dell’arte, è più idonea minimizzare o eliminare i rischi che riguardano la salute e la sicurezza dei lavoratori. Questa è una norma assolutamente centrale, innovativa, che prevede l’obbligo di innovazione per la sicurezza.

In sostanza, in Italia è possibile commettere un omicidio colposo in materia di lavoro per omessa adozione di una tecnologia disponibile che avrebbe potuto evitare la morte a uno o più lavoratori. Ora, se da un lato potrei e dovrei utilizzare videocamere, sensori biometrici, dispositivi di monitoraggio ambientale che, anche abbinati all’intelligenza artificiale, possono rilevare il pericolo e lanciare avvisi o prendere provvedimenti a tutela del lavoratore, dall’altro rischio di commettere una violazione in materia di privacy o in materia di controllo a distanza dei lavoratori, con rilevanti rischi anche di natura penale.

In Italia è possibile commettere un omicidio colposo in materia di lavoro per omessa adozione di una tecnologia disponibile che avrebbe potuto evitare la morte a uno o più lavoratori

A questo quadro si sommano le norme in materia di intelligenza artificiale, che possono avere un ruolo determinante in un’analisi predittiva degli eventi da cui può derivare una minaccia per l’infermità delle persone. L’AI Act chiede alle imprese utilizzatrici di fare una valutazione del rischio, ma il tema è estremamente complesso quando si ha a che fare con sistemi e modelli applicativi di cui, per natura delle soluzioni tecnologiche adottate, non si può conoscere il funzionamento in modo esatto.

Considerando l’importanza delle finalità del Testo unico su salute e sicurezza, e il fatto che tecnologie come l’intelligenza artificiale sono estremamente promettenti come strumento per salvare vite negli ambienti di lavoro, penso sia necessario adottare un coordinamento da parte di tutti i soggetti coinvolti, e anche prevedere delle nuove forme di vigilanza collaborativa e quindi di un coinvolgimento attivo degli enti preposti ai controlli.

Credo che le “righe orizzontali” da tracciare attraverso l’interpretazione delle norme, e quindi l’uscita da questo scenario chiamiamolo di verticalizzazione non coordinata, siano un fondamentale contributo al miglioramento della sicurezza.

L’avv. Sammarchi tratterà questi temi anche in due diverse sessioni del nostro convegno InnovazionePiù, una il 23 ottobre dedicata alle policy europee, e l’altra all’utilizzo dell’intelligenza artificiale per la sicurezza sul posto di lavoro il 24 ottobre. La partecipazione è gratuita, previa registrazione sul sito dell’evento: www.innovazionepiu.it