loader image

Regolamento Europeo sull’Intelligenza Artificiale: tutti i rischi e le opportunità

Diritto Digitale

Introduzione al nuovo Regolamento Europeo sull’Intelligenza Artificiale

Con la recente proposta del Regolamento Europeo sull’Intelligenza Artificiale, l’Unione Europea mette ancora una volta al centro la valutazione dei rischi come procedura necessaria per comprendere l’impatto che avranno i sistemi di Intelligenza Artificiale su tre fronti: salute, sicurezza e diritti fondamentali.

In questo articolo cercheremo di capire quali sono i principali rischi connessi all’uso dei sistemi di Intelligenza Artificiale; rischi che, come richiesto dalla recente normativa europea, dovranno essere valutati, a vario titolo e responsabilità, da chi progetta, distribuisce e utilizza tali sistemi IA, mediante una valutazione di conformità.

Introduciamo quindi alcuni dei rischi principali che possono compromettere la correttezza e l’equità delle decisioni algoritmiche.

piramide del risk based approach gdpr

 

Regolamento Europeo sull’Intelligenza Artificiale: valutare le vulnerabilità operative e i rischi cyber

Oltre a guasti meramente tecnici, una decisione errata dell’algoritmo può essere il frutto di una violazione di sicurezza informatica.

Il Data Poisoning (inquinamento dei dati) è un esempio di violazione, tra le più frequenti e temute, perché in grado di compromettere l’accuratezza di un sistema di machine learning, producendo output distorti o alterati per mano di hacker esperti del settore.

La diffusione di questa tecnologia dipenderà in gran parte dalla fiducia che saprà generare tra gli utenti finali: diventa quindi centrale dotarsi di sistemi IA affidabili e resilienti.

 

Algoritmi di Intelligenza Artificiale: rischio di bias e di decisioni inique

Partiamo da una premessa, che spesso viene tralasciata. Gli algoritmi sono modelli statistici e come tali si affidano al concetto di probabilità. Se a ciò aggiungiamo l’enorme mole di decisioni che gli algoritmi, grazie alle odierne capacità computazionali, sono in grado di elaborare, si può intuire la ragione per cui alcune di queste decisioni siano – inevitabilmente – errate.

Fra le cause di questi errori si annoverano i cosiddetti bias, intesi come pregiudizi o stereotipi che l’algoritmo “impara” nella fase di addestramento (training).

I dati, ancora una volta, giocano un ruolo chiave. In molti casi, infatti, gli algoritmi identificano patterns o correlazioni tra i dati di training senza l’ausilio dell’uomo e, anzi, identificano correlazioni che non avremmo mai potuto immaginare.

In seguito, usano quell’informazione per generare predizioni o creare categorie (cosiddetti Cluster). E in questo esercizio continuo diretto alla creazione di categorie, cluster e gruppi si annida, per ovvie ragioni, il rischio di generare discriminazioni e stereotipi.

Dunque, è chiaro che l’accuracy di un algoritmo, cioè la capacità di fare predizioni corrette (sia in termini di percentuale di errori, sia in termini di equità sotto il profilo etico), dipende proprio dalla qualità e quantità dei dati di training.

Questo significa che ogni sistema di Intelligenza Artificiale riflette le eventuali limitazioni dei dati utilizzati. È quindi fondamentale affidarsi a Data Set rappresentativi per il tipo di azione o decisione che intendiamo demandare all’algoritmo.

Fin dall’inizio occorre quindi pensare a come migliorare il set di dati a disposizione, progettare il modello tenendo conto di eventuali lacune (cosiddetto Data Gaps), e alla luce delle lacune riscontrate, limitare il raggio d’azione e le modalità di utilizzo del sistema d’Intelligenza Artificiale.

Poniamo che un’azienda di dispositivi medici sviluppi un proprio sistema di Machine Learning utilizzando dati di training provenienti da strutture ospedaliere situate in grandi metropoli.

Una volta immesso sul mercato, quel sistema però viene utilizzato anche in ospedali di piccole città. A quel punto, è molto probabile che i dati medici inseriti dagli operatori sanitari presenti in quelle strutture siano diversi dai precedenti dati di training; perché, ad esempio, nelle piccole città vi può essere una maggiore concentrazione di pazienti appartenenti a determinate categorie sociali che presentano sintomi o patologie non comunemente osservate negli ospedali dei grandi centri urbani.

Queste disparità dovranno essere mitigate con una attenta fase di messa a punto dell’algoritmo (cosiddetto Fine Tuning); un altro tema su cui il Regolamento IA dimostra grande attenzione, perché rappresenta un tassello decisivo nella implementazione di Sistemi di Intelligenza Artificiale adeguati ed equi rispetto al contesto socio-economico in cui vengono utilizzati.

regolamento europeo intelligenza artificiale algoritmi

 

Regolamento Europeo sull’Intelligenza Artificiale e Algoritmi: i rischi legati all’Aggiornamento Dinamico

Il rischio di bias o, in generale, di decisioni e output non corretti (come potrebbe essere l’errata diagnosi di un algoritmo deputato a identificare possibili tumori) è accentuato dalla capacità degli attuali algoritmi di aggiornarsi autonomamente, in relazione a nuovi input che riceve nel corso del suo utilizzo.

Sono dunque in grado di imparare da soli, senza l’intervento dell’uomo, assorbendo nuovi informazioni fino a cambiare la logica delle loro decisioni.

Si pensi ad un algoritmo di Machine Learning utilizzato in ambito di Trading. Se è stato allenato in un periodo di bassa volatilità del mercato e di crescita economica, potrebbe poi non essere performante laddove invece l’economia dovesse affrontare un periodo di pandemia e di forte recessione, come quello che stiamo vivendo.

Si parla, al riguardo, di rischio legato all’aggiornamento dinamico; un aspetto davvero complicato da prevedere e monitorare, soprattutto quando il cambiamento è inatteso o repentino (come appunto una crisi economica mai verificatasi prima nella sua entità o nelle sue logiche).

Di fronte a questi nuovi input, diversi da quelli forniti in fase di training, quale potrebbe essere la reazione dell’algoritmo? Quali potranno essere le sue decisioni?

È inoltre probabile che la logica possa cambiare proprio in ragione di quello che l’algoritmo ha imparato in seguito all’acquisizione di nuove e inedite informazioni. Ma a quel punto sapremo ancora spiegare la logica dell’algoritmo o questa sfuggirà al nostro controllo? E così arriviamo al prossimo rischio.

 

Regolamento Europeo sull’Intelligenza Artificiale e Algoritmi: i rischi legati alla spiegabilità dell’algoritmo e la mancanza di trasparenza

La spiegabilità dell’algoritmo è un elemento imprescindibile, già richiesto dalla Normativa Europea sulla Privacy (GDPR, art. 22), che deve essere affrontata su 2 livelli:

  • Spiegabilità dell’algoritmo generale: lo sforzo è quello di offrire una panoramica generale sulle logiche di funzionamento dell’algoritmo. La grande sfida sarà quella di raggiungere un equilibrio tra comunicazione esterna delle logiche dell’Intelligenza Artificiale e di protezione interna dei segreti commerciali. Ma le aziende non potranno nascondersi dietro lo scudo della proprietà intellettuale o industriale per non adempiere a questo requisito.
  • Spiegabilità dell’algoritmo locale: intesa come capacità di spiegare ogni singola decisione dell’Intelligenza Artificiale (input-output). Dal concetto di spiegabilità dell’algoritmo discendono principi di democrazia fondamentali, fra tutti quello della trasparenza. Ogni cittadino ha il diritto di conoscere le ragioni di una decisione automatizzata e deve essere messo nelle condizioni ottimali per farli. Solo così avrà i mezzi per difendersi ed eventualmente proporre un reclamo.

regolamento europeo intelligenza artificiale algoritmi e robot

 

Aggiornamento Dinamico dell’Algoritmo: e se la valutazione del rischio è obsoleta?

L’aggiornamento dinamico di cui abbiamo parlato in precedenza conduce ad un nuovo e possibile rischio: che il Risk Assessment effettuato un anno fa o, anche solo, qualche mese prima non sia più affidabile perché non tiene conto delle nuove informazioni apprese dall’algoritmo, o di nuovi patterns o correlazioni che l’algoritmo utilizza per adottare le sue decisioni.

Non a caso la recente proposta di Regolamento Europeo sull’Intelligenza Artificiale si sofferma a lungo sul concetto di monitoraggio ex post dei sistemi IA, per valutarne la performance anche in una fase successiva alla loro immissione sul mercato.

Diversamente, avremo una valutazione del rischio non aggiornata e sostanzialmente inutile: di fatto senza conoscere il rischio attuale ed effettivo, non avremo a disposizione gli elementi valutativi necessari per adottare le più adeguate misure tecniche e organizzative rispetto al caso specifico.

 

Il rischio nella filiera dell’Intelligenza Artificiale

La complessità degli algoritmi di Machine Learning rende altrettanto complessa l’individuazione dell’agente responsabile in caso di decisioni errate o di guasti “tecnici”.

Spesso non è chiaro cosa abbia determinato l’errore, e dunque se debba risponderne lo sviluppatore, un suo partner, il distributore oppure l’utente finale che, magari, non ha seguito le istruzioni prescritte da chi ha progettato il sistema.

Gli errori potrebbero poi essere causati da un problema interno al modello algoritmico, oppure connesso ai dati forniti dall’utente nel corso del suo utilizzo o, ancora, ai dati raccolti e utilizzati nella fase di training, che a sua volta potrebbero provenire da fornitori di terze parti.

La natura probabilistica dei sistemi di Machine Learning e i cambiamenti a cui essi sono soggetti nel corso del tempo, rende ancora più difficile attribuire la responsabilità ad un singolo agente. Tanto è vero che errori e decisioni inique possono verificarsi anche in assenza di una condotta negligente, perché semplicemente esiste la possibilità che si verifichi una decisione inesatta.

Dunque, il concetto di responsabilità civile e penale in ambito di Intelligenza Artificiale sarà complesso da elaborare e dovrà necessariamente essere un concetto “fluido”, capace di adattarsi alle novità tecnologiche. Il contesto medico è un esempio dell’impatto che avranno su questo fronte i Sistemi IA, che già oggi formulano diagnosi senza il coinvolgimento – o con un coinvolgimento solo parziale – dei medici.

Come è stato giustamente sottolineato in un recente articolo apparso sulla nota rivista “Harvard Business Review”, cosa accadrà nell’ipotesi in cui un algoritmo di Machine Learning consigli un trattamento non standard ad un paziente (come un dosaggio maggiore di farmaci)? La normativa evolverà nel senso di ritenere responsabile il medico per qualsiasi danno che dovesse concretizzarsi qualora non seguisse la raccomandazione del sistema IA?

Se così fosse, il rischio di responsabilità si sposterebbe, a seconda dei casi, dal medico a chi sviluppa i dispositivi medici o a chi è deputato alla loro installazione o distribuzione.

Ed è questo l’orientamento a cui sembra tendere il Regolamento Europeo sull’Intelligenza Artificiale, volto ad istituire un approccio di self-assessment per i soggetti coinvolti a vario titolo nella realizzazione e distribuzione di questi sistemi. Dunque tutto passa da una auto-valutazione dei rischi che avrà forti ricadute sul tema della responsabilità.

 

Verso il Regolamento Europeo sull’Intelligenza Artificiale

La proposta di Regolamento Europeo IA è già una realtà, nel senso che la strada è ormai tracciata.

Le aziende che progettano o utilizzano sistemi IA dovrebbero già implementare i principi di quel Regolamento, facendosi affiancare da professionisti qualificati per comprenderne i suoi requisiti, in particolare con riguardo ai sistemi ad alto rischio (nel video di seguito trovate una nostra analisi al riguardo).

La ragione è semplice: i principi dettati dall’Unione Europea stanno già facendo scuola e saranno lo standard futuro. Ogni nuova proposta regolatoria sembra infatti andare nella direzione imposta dall’UE, all’insegna della auto-regolamentazione e di un approccio basato sul rischio.

La stessa Federal Trade Commission (FTC), l’agenzia governativa statunitense a tutela dei consumatori e del mercato, ha da poco pubblicato le linee guida per una IA più equa, definendo il discrimine tra una intelligenza artificiale “buona” e un’altra per così dire “cattiva”, che genera più danni che benefici.

In quella sede sono stati ribaditi concetti chiave, già presenti nel Regolamento Europeo sull’Intelligenza Artificiale, come quello di trasparenza, da integrare programmando audit di organi indipendenti o fornendo accesso ai dati o al codice a favore di soggetti esterni.

 

Farsi trovare pronti con il Regolamento Europeo sull’Intelligenza Artificiale

L’Intelligenza Artificiale ha un potenziale enorme, ma i rischi connessi al suo utilizzo aumenteranno di pari passo alla sua diffusione. Per le aziende, mitigare questi rischi diventa importante tanto quanto gestirne la sua adozione all’interno dei processi produttivi.

Il trend normativo è infatti molto chiaro e non lascia spazio a dubbi: la valutazione del rischio è già ora un requisito fondamentale e sarà il caposaldo di ogni conformità normativa in ambito di intelligenza artificiale.

Il nostro Studio Legale ha acquisito una forte competenza in questo settore, elaborando una propria metodologia che tiene conto dei rischi specifici rispetto al singolo sistema di Intelligenza Culturale. Per essere pronti e competitivi in questo mercato, occorre partire da una valutazione dei rischi completa, in grado di offrire soluzioni concrete per mitigarli. Solo così avremo sistemi IA equi, affidabili e resilienti, capaci di creare fiducia tra gli utenti.

Vorresti una consulenza legale?

Programma la tua Videocall

Articoli recenti

Scopri anche

Il nostro magazine di approfondimento che racconta i nuovi scenari del diritto applicato al mondo digitale ed alle nuove tecnologie.

Vorresti una consulenza legale?

Programma la tua Videocall

Vorresti approfondire ?

Contattaci 

Tipologia