Guido Scorza: "AI Act, ora dobbiamo passare dalla regola scritta alla regola viva"
Intervista a Guido Scorza, componente del Garante per la protezione dei dati personali
(di Michela Stentella, www.forumpa.it, 15 marzo 2024)

Ora che l’AI Act è stato approvato dal Parlamento europeo, la scommessa è mettere a terra queste disposizioni. Serve uno sforzo significativo dei diversi Stati membri per evitare nuovi esercizi di regolamentazione e identificare le agenzie o l’agenzia, l’autorità o le autorità che dovranno lavorare per passare “dalla regola scritta alla regola viva”. Lo sottolinea Guido Scorza, componente del Garante per la protezione dei dati personali, che aggiunge “dimentichiamoci di aver passato il traguardo e piuttosto sentiamoci ai blocchi di partenza e iniziamo a correre per attuare queste regole”

È stato approvato a larghissima maggioranza dal Parlamento europeo il Regolamento sull’intelligenza artificiale, il tanto atteso AI Act. Come avevamo già fatto nel dicembre scorso dopo l’accordo politico uscito dal Trilogo, commentiamo il testo con Guido Scorza, componente del Garante per la protezione dei dati personali. Un testo che possiamo ora considerare definitivo pur mancando alcuni passaggi che lo stesso Scorza definisce comunque “più formali che sostanziali”: giuristi-linguisti, Consiglio e infine pubblicazione in Gazzetta.

Cosa cambia rispetto al testo uscito dal Trilogo di dicembre?

Non ci sono novità di rilievo rispetto al testo uscito dal faticosissimo e lunghissimo Trilogo di dicembre…38 ore raccontano le cronache. Il testo rimane costruito intorno al principio fondamentale dell’approccio basato sul rischio, quindi un sistema di diritti e obblighi proporzionato alla rischiosità prevista, o prevedibile, dell’impatto sulla società di uno specifico servizio che utilizza sistemi di intelligenza artificiale. Pochi obblighi, quindi, per le soluzioni di IA a minor impatto in termini di diritti e libertà sulle società. Più obblighi a mano a mano che l’impatto cresce, con divieto assoluto di ricorso a talune applicazioni di IA il cui impatto sulla società è ritenuto insostenibile. L’esempio rimane sempre quello delle applicazioni di intelligenza artificiale suscettibili di essere utilizzate nell’universo della sorveglianza di massa, il riconoscimento biometrico intelligente per dirne una.

Questo Regolamento rappresenta un primato a livello internazionale ed è stato salutato come un grande successo…

L’AI Act è stato approvato dal Parlamento europeo a larghissima maggioranza, di quelle che si vedono raramente. Siamo i primi ad avere una regolamentazione di questo tipo: è il messaggio che è rimbalzato da Strasburgo. Tanto orgoglio e tanta soddisfazione, quindi, da parte dei decisori europei e direi del tutto giustificato, dato lo sforzo immane dal punto di vista regolamentare. Siamo effettivamente i primi al mondo a varare un testo sistematico sull’intelligenza artificiale. Ma non siamo i primi rispetto alla tecnologia. L’intelligenza artificiale è con noi da diversi anni, è entrata dentro le nostre case. dentro le nostre macchine, dentro i nostri uffici, è presente in maniera importante nei nostri smartphone con i quali conviviamo più o meno per l’intera giornata, ha già plasmato in maniera significativa mercati, società e democrazie e qui probabilmente sta la vera scommessa: ora è il momento dei festeggiamenti per un traguardo raggiunto, ma da domani questo traguardo deve diventare in realtà la linea di partenza.

In che senso?

Nel senso che la strada è ancora lunga. Persino la strada del Regolamento non si è conclusa, dato che sono previsti ancora una serie di passaggi più formali che sostanziali – giuristi linguisti, il Consiglio e la pubblicazione in Gazzetta – e poi andrà in vigore, ma in maniera progressiva, ci vorranno ancora due anni perché sia direttamente applicabile in tutti i Paesi dell’Unione europea. E sappiamo perfettamente che da qui a lì il mondo dell’intelligenza artificiale mostrerà ancora tantissimo di sé, con sviluppi che non siamo neppure in grado di immaginare. Ricordiamo, ad esempio, come il draft di Regolamento fosse entrato nel rush finale senza neppure una disposizione a proposito dei modelli di intelligenza artificiale generativa, e solo l’esplodere del caso ChatGPT Open AI ha fatto sì che quelle disposizioni vi entrassero. Ci saranno altri episodi analoghi nei prossimi due anni.

Come dovremmo lavorare quindi?

La scommessa vera ora è mettere a terra queste disposizioni e passare, non dico dalla teoria alla pratica, perché è sicuramente un Regolamento che ha il pregio di essere ispirato anche in una certa misura al pragmatismo, ma perlomeno dalla regola scritta alla regola viva. Qui serve uno sforzo significativo dei diversi Stati membri. Le istituzioni europee hanno fatto la loro parte, esiste già un ufficio per l’intelligenza artificiale, tra l’altro guidato da una donna italiana come Lucilla Sioli, ma adesso bisogna fare altrettanto a livello nazionale. Diciamo che la partita ora si sposta nei diversi Paesi e a livello nazionale forse bisognerebbe evitare di perdersi in nuovi esercizi di regolamentazione, riscrivere disposizioni e previsioni già contenute dentro al regolamento che è direttamente applicabile in tutti i paesi dell’Unione, e preoccuparsi piuttosto di identificare le agenzie o l’agenzia, l’autorità o le autorità che dovranno alla fine mettere a terra queste norme.

Il rischio è davvero di avere tempi troppo lunghi rispetto a un contesto tecnologico sempre più veloce…

Sì e per questo si dovrebbe aprire il prima possibile un dialogo con tutti quanti gli stakeholder, per capire se e in che misura si riesca a dare attuazione anticipata su base volontaria alle regole dell’AI Act, senza attendere due anni. Poi bisogna capire quali, a livello nazionale, sono le necessità o addirittura le emergenze nelle due direzioni: da un lato la promozione dell’uso, della produzione e dello sviluppo nazionale dell’intelligenza artificiale, dall’altro la protezione delle persone, insomma dovremmo preoccuparci di massimizzare le opportunità e di minimizzare i rischi. Stefano Rodotà ci ricordava che la tecnologia è essa stessa una forma di regolamentazione, quindi da questo punto di vista, in una eventuale gara di velocità, è una rivale da cui guardarsi e da tenere presente. Ecco, ora dimentichiamoci di aver passato il traguardo e piuttosto sentiamoci sulla linea di start, ai blocchi di partenza e iniziamo a correre per davvero per attuare queste regole.

Insomma, per concludere, l’AI Act è un passo importante, ma non basta

Secondo me dovremmo considerare queste regole come una scatola metodologica dentro la quale dovremo essere bravi a infilare una serie di verticali, perché alla fine l’intelligenza artificiale è una tecnologia assolutamente orizzontale che impatterà talmente tanti ambiti della nostra vita che è impossibile pensare che le sue regole siano tutte dentro l’AI ACT. La scommessa, quindi, è prendere il Regolamento, considerarlo un metodo di lavoro e infilarci dentro le discipline verticali: tutela dei consumatori, digitalizzazione della pubblica amministrazione, salute, sanità, giustizia.