Cognitive cybersecurity (Parte II)
Diritti della personalità ed evoluzione normativa, il regolamento Europeo in materia di Intelligenza Artificiale.
Come accennato nello scorso articolo, muovendo dalla definizione di intelligenza artificiale contenuta nella proposta di regolamento europeo del 21 aprile 2020, che stabilisce regole armonizzate sull'intelligenza artificiale, si procederà ora a individuarne, in modo sintetico, i tratti caratterizzanti e i rischi per alcuni diritti e libertà fondamentali degli individui.
Nello specifico, l’art. 3 nr. 1 della proposta ricordata definisce un “sistema di intelligenza artificiale” (sistema di IA) come “un software sviluppato con una o più delle tecniche e degli approcci elencati nell'allegato I, che può, per una determinata serie di obiettivi definiti dall’uomo, generare output quali contenuti, previsioni, raccomandazioni o decisioni che influenzano gli ambienti con cui interagiscono”.
Da un punto di vista giuridico, gli elementi caratterizzanti della definizione appena ricordata, e quindi quelli che devono essere presenti affinché possano trovare applicazione le norme contenute nella proposta di regolamento citata, devono essere individuati in un software – che deve essere stato sviluppato, per esempio, con tecniche di apprendimento profondo (deep learning), supervisionato e non, ovvero con approcci basati sulla logica e approcci basati sulla conoscenza, compresi la rappresentazione della conoscenza, la programmazione induttiva (logica), le basi di conoscenze, i motori inferenziali e deduttivi, il ragionamento (simbolico) e i sistemi esperti – in grado di generare specifici output, quali previsioni, raccomandazioni o decisioni tali da influenzare l’ambiente circostante.
I riferimenti della nuova normativa
La scelta terminologica operata dalla Commissione europea rispecchia in parte, in applicazione di quanto previsto dalle vigenti disposizioni in materia di produzione normativa delle istituzioni comunitarie, che impongono al legislatore di tenere nella debita considerazione i risultati della standardizzazione, il contenuto di alcuni standard pubblicati dall’organizzazione internazionale per la standardizzazione (ISO) e in particolare, ISO/IEC 2382-1:1993(en) Information technology, Vocabulary Part 1: Fundamental terms, che, già nel 1993, definiva l’intelligenza artificiale come la branca dell’informatica dedicata allo sviluppo di sistemi di elaborazione dei dati che svolgono funzioni normalmente associate all’intelligenza umana, come il ragionamento, l’apprendimento e l’auto-miglioramento e, più recentemente, nel 2021, lo standard ISO/IEC DIS 22989(en) Information technology, Artificial intelligence, Artificial intelligence concepts and terminology, che ha definito al punto 3.1.2. un sistema ingegnerizzato di intelligenza artificiale, come un insieme di metodi o entità automatizzate che insieme costruiscono, ottimizzano e applicano un modello in modo che il sistema possa, per un dato insieme di compiti predefiniti, calcolare previsioni, raccomandazioni o decisioni.
Mentre i tratti comuni tra le definizioni considerate, possono essere individuati nella capacità del sistema di intelligenza artificiale, di svolgere operazioni intelligenti, come tali intendendosi quelle che dimostrano la capacità di applicare conoscenze e abilità, la loro differenza fondamentale risiede nel fatto che la proposta di regolamento, considera rilevanti solo quei sistemi in grado di influenzare l’ambiente circostante.
Human in the loop
Dal punto di vista delle decisioni giurisprudenziali, in materia di Intelligenza artificiale e nello specifico degli algoritmi per il calcolo reputazionale è recentemente intervenuta anche la Corte di Cassazione con l’Ordinanza 14381 del 25/05/2021 nella quale si è espressamente stabilito che in tema di trattamento di dati personali, il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento a un trattamento chiaramente individuato; ne segue che nel caso di una piattaforma web (con annesso archivio informatico) preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati.
Considerazioni di segno analogo, sono state espresse nella Sentenza del Consiglio di Stato in data 13 dicembre 2019 nr. 8472, nella quale, a proposito di criteri di selezione del personale, si può leggere che, un importante principio di applicazione globale, utilizzato, nella nota decisione Loomis vs. Wisconsin, della Corte Suprema del Wisconsin del 13 luglio 2016, di cui diremo di seguito, è il principio di non esclusività della decisione algoritmica, in forza del quale, nel caso in cui una decisione automatizzata produca effetti giuridici che riguardano o che incidano significativamente su una persona, questa ha diritto a che tale decisione non sia basata unicamente su tale processo automatizzato. Deve quindi comunque esistere, nel processo decisionale, un contributo umano capace di controllare, validare ovvero smentire la decisione automatica; in ambito matematico e informativo il modello viene definito come HITL (human in the loop), in cui, per produrre il suo risultato è necessario che la macchina interagisca con l’essere umano.
Sussidiarietà della valutazione algoritmica e diritto all’intervento umano
Le due decisioni sopra riportate, pur nella diversità delle singole fattispecie hanno in comune, da un lato, l’applicazione delle norme in materia di protezione dei dati personali e, dall’altro l’applicazione del principio sancito, non solo dall’art. 22 del GDPR, ma anche dall’art. 11 della Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
In questa prospettiva anche oltreoceano la Corte suprema del Wisconsin, nel già citato caso Loomis vs State, aveva ritenuto, da una parte, che l’impiego di sistemi algoritmici non pregiudichi il diritto del convenuto a un giusto processo poiché, nonostante il fatto che le logiche impiegate dall’algoritmo siano segretate dal produttore, l’imputato potrebbe, alla luce del manuale d’uso dello strumento, confutarne l’attendibilità e, dall’altra, che la valutazione del rischio di recidiva, nel caso specifico, non può dipendere esclusivamente dal risultato offerto dall’algoritmo (COMPAS in questo caso), che deve rimanere soltanto uno degli elementi presi in considerazione dal giudice per fondare la propria conclusione.
Affermati il diritto all’intervento umano, e il principio della sussidiarietà della valutazione algoritmica con riferimento ai diritti fondamentali sopra ricordati, vale a dire il diritto alla protezione dei dati personali, il diritto ad opportunità lavorative e il diritto alla libertà personale, sembra ora il caso di svolgere, in considerazione della severità dell’impatto che potrebbe derivare per i singoli e per la collettività, alcune osservazioni relativamente all’impiego di sistemi di IA per la protezione da minacce cibernetiche ed alle metodologie di attacco cui questi sono soggetti.
