Scritto da Simone Pavesi
10 minuti di lettura
L’intelligenza artificiale rappresenta oggi una delle sfide più delicate per le democrazie moderne, capace di creare tensioni tra volontà di innovazione e necessità di proteggere i diritti fondamentali. Con l’AI Act europeo entrato in vigore nel 2024, l’Europa ha scelto di non lasciare totale campo libero alle tecnologie private, evitando così che la regolamentazione venga dettata dalle stesse aziende tecnologiche piuttosto che dalle istituzioni democratiche.
Guido Scorza, giurista e componente del Collegio del Garante per la Protezione dei Dati Personali, condivide la sua esperienza diretta nell’applicazione delle nuove normative sull’intelligenza artificiale. Nell’intervista racconta come sono stati affrontati alcuni casi concreti, delinea i problemi legati all’uso dei dati per addestrare gli algoritmi e riflette su come cambierà la vita quotidiana con l’applicazione progressiva delle nuove regole europee.
In un momento in cui il progresso tecnologico appare inarrestabile, l’AI Act – in vigore da agosto 2024 – punta a forgiare l’intelligenza artificiale sulla base dei valori europei, provando a bilanciare la necessità di preservare i diritti dei cittadini con il bisogno di essere competitivi: protezione e innovazione, un binomio antitetico o un compromesso sostenibile?
Guido Scorza: Non ho nessuna esitazione nel definirlo un esercizio di bilanciamento indispensabile e sostenibile, e non un compromesso. Indispensabile perché, se i governi rinunciano a regolamentare la tecnologia, la tecnologia diventa essa stessa regolamentazione e plasma la vita delle persone e della società al posto di leggi, decreti e regolamenti approvati dalle istituzioni democratiche. Ma mentre questi ultimi sono adottati – o dovrebbero essere adottati – nell’interesse pubblico, le regole tecnologiche nascono per iniziativa di poche società private in nome di interessi egoistici e, quindi, di pochi. La sostanza è che, se il governo non regola, il vuoto è colmato dalla tecnologia e la tecnocrazia prende il posto della democrazia. Uno scenario a tinte fosche. Ma è anche un esercizio di bilanciamento sostenibile. Le regole, infatti, non servono a frenare l’innovazione ma semplicemente a orientarla nell’unica direzione nella quale dovrebbe correre: quella dell’incremento del benessere collettivo. Non c’è ragione per continuare a parlare di un antagonismo tra regolamentazione e innovazione. Le persone hanno diritto a non dover scegliere tra un futuro all’avanguardia dal punto di vista tecnologico e un futuro nel quale restino titolari di quei diritti e di quelle libertà che solo le regole possono loro garantire.
Per descrivere l’approccio dei principali player nel campo dell’intelligenza artificiale, Alec Ross ha sottolineato che «gli Stati Uniti innovano, la Cina copia e l’Europa regola»: è davvero così?
Guido Scorza: Si tratta di un’affermazione forse troppo sintetica ed ermetica che non riflette – o non riflette più – la realtà. O, almeno, questo è il mio pensiero. Cominciamo con il dire che Stati Uniti e Cina hanno regole severe anche nei domini tecnologici, pur se diverse da quelle europee. Poi che in Europa esista una questione relativa alle modalità con le quali continuiamo a pretendere di regolamentare alcuni fenomeni estremamente “liquidi”, e che oggi hanno ritmi di trasformazione rapidissimi, è un problema diverso. Siamo, sfortunatamente, troppo lenti nell’agire, troppo ipertrofici nella produzione normativa e ancora troppo legati all’ambizione di stabilire regole di dettaglio, divenute antistoriche. Ma non credo sia corretto porre l’innovazione, l’imitazione e la regolamentazione in un rapporto di totale alternativa o di suggerire, come spesso si tende a fare, specie ultimamente, che l’Europa non innova perché regolamenta, o che gli Stati Uniti innovano perché non regolamentano. Credo che le ragioni siano molto diverse e vadano cercate soprattutto nella storia, nella cultura e negli investimenti.
In rapporto al GDPR – il Regolamento europeo per la protezione dei dati personali entrato in vigore nel 2018 – come si pone l’AI Act? Esiste un rischio di sovrapposizione che potrebbe generare incertezze per i soggetti coinvolti, in particolare per le imprese?
Guido Scorza: Ritengo di no, non vedo rischi di sovrapposizione regolamentare. L’AI Act fa espressamente salva l’applicazione del GDPR. Potrebbero esserci delle difficoltà di coordinamento sul versante dell’applicazione delle regole se, nei diversi Paesi membri, le istituzioni responsabili saranno diverse. Ma credo ci sia spazio per essere ottimisti. Viviamo infatti in un’epoca nella quale la convergenza tra settori regolamentari e soggetti responsabili dell’enforcement si avvia a diventare la regola. Potrà essere difficile all’inizio ma poi, quali che siano le scelte nazionali, si troveranno soluzioni capaci di garantire la migliore applicazione possibile dei due regolamenti europei. Certo, pensarci prima sarebbe stato meglio, ma non si può non riconoscere che è difficile, da Bruxelles, sostituirsi ai singoli governi nell’attribuire a specifiche autorità o agenzie nazionali questa o quella competenza. Buon senso e approccio agile, specie alla guida delle istituzioni più direttamente coinvolte dall’impatto tecnologico, in questo momento sono risorse preziose e irrinunciabili. Dobbiamo mettercela tutta, tutti.
Le normative europee impongono la nomina di una o più autorità di vigilanza per monitorare l’uso dell’intelligenza artificiale. In Italia, il dibattito si è concentrato su quale organismo debba ricoprire questo ruolo: l’Agenzia per l’Italia Digitale (AgID) e l’Agenzia per la Cybersicurezza Nazionale, di matrice governativa, come suggerisce il disegno di legge sull’intelligenza artificiale approvato dal Consiglio dei Ministri; oppure un’autorità indipendente come il Garante per la Protezione dei Dati Personali. Quale sarebbe la scelta più adeguata a garantire un controllo efficace ed equilibrato?
Guido Scorza: Parto dal principio: l’intelligenza artificiale sta avendo – e avrà sempre più – un impatto trasversale nei settori più diversi della società e, personalmente, non sono convinto fosse indispensabile prevedere l’investitura di una specifica autorità per le questioni relative all’intelligenza artificiale. Non è così, ad esempio, che abbiamo governato lo sbarco del software nei mercati e nella società. Io mi sarei limitato a prevedere che ogni autorità o agenzia conservasse il proprio ruolo anche in relazione all’intelligenza artificiale, al limite, adottando adeguate soluzioni di coordinamento nazionale come, ad esempio, si è fatto per il Digital Services Act. Ma ormai le regole sono state scritte. Non tocca a me dire a Parlamento e Governo come attuare a livello nazionale la disciplina europea. Il principio, però, personalmente credo che dovrebbe essere questo: benissimo attribuire al Governo direttamente e/o a sue agenzie l’esercizio di ogni potere di regolamentazione secondaria e, eventualmente, di promozione di un uso sostenibile dell’intelligenza artificiale; preoccupante è invece attribuire al Governo o alle sue agenzie anche la vigilanza sul rispetto delle regole o, comunque, la protezione delle persone da eventuali abusi di intelligenza artificiale semplicemente perché, spesso, inesorabilmente, capiterà che responsabile di questi abusi possa essere la Pubblica Amministrazione. Se si confondono i piani, si rischiano conflitti di interesse importanti, a prescindere dall’indipendenza dei singoli soggetti coinvolti nella partita, della quale non c’è ragione di discutere.
Ancor prima della completa applicabilità del nuovo regolamento europeo – che scatterà nel 2026 – il Garante per la Protezione dei Dati Personali ha già adottato provvedimenti rilevanti sull’intelligenza artificiale, come il blocco temporaneo di ChatGPT, la sanzione a Deliveroo per l’uso illecito dei dati dei rider e le restrizioni sui totem pubblicitari intelligenti. Con l’evoluzione tecnologica, monitorare e contrastare le violazioni diventa sempre più complesso. Quali criteri adotta l’Autorità per individuare i casi su cui intervenire? Qual è l’iter decisionale dei suoi provvedimenti?
Guido Scorza: Siamo pochi, anzi, pochissimi, rispetto a sfide sempre più impegnative sia sul versante quantitativo, sia sul versante qualitativo. È un problema del quale siamo naturalmente consapevoli ma che non dipende da noi. Il GDPR impone agli Stati membri di dotare le autorità di protezione dei dati personali delle risorse necessarie a adempiere alle proprie funzioni. In molti Paesi europei, Italia inclusa, questo impegno forse non è completamente adempiuto. Detto questo, si fa quel che si può con le risorse a disposizione, perché l’alternativa sarebbe dichiararsi sconfitti e sopraffatti e, se si ha il dovere istituzionale di difendere un diritto fondamentale, questa apparente alternativa semplicemente non esiste. Agiamo, purtroppo, sempre più di frequente in urgenza e, ancorché non credo esista un algoritmo per decidere su quali casi investire le risorse limitate a disposizione, proviamo a ragionare lungo due direttrici: l’impatto sulla società del fenomeno sul quale si decide di intervenire e il valore di “esempio” dello specifico intervento. Si cerca, insomma, di massimizzare l’effetto dello sforzo investigativo e decisionale. Le regole di ingaggio variano da caso a caso e sono difficili da riassumere in questa sede. A volte si predilige l’intervento in urgenza come nel caso di ChatGPT, a volte un’istruttoria articolata come nel caso di Deliveroo e di altre analoghe piattaforme.
Quali sono i principali problemi posti dall’addestramento dei sistemi di intelligenza artificiale? Rispetto a quali dati è legittimo usare particolari accortezze?
Guido Scorza: Probabilmente dobbiamo ancora scoprire i problemi più seri. Ne abbiamo però, sin qui, identificati alcuni. Il primo riguarda la dubbia legittimità di una raccolta massiccia di dati personali per addestrare gli algoritmi. Mi pare lecito dubitare che dati personali rappresentativi di un diritto fondamentale come la privacy possano essere trasformati in asset tecno-commerciali di una manciata di Big Tech. Non mi pare né a norma di legge, né etico. Poi c’è la questione dell’esattezza dei contenuti generati in particolare dai modelli linguistici di grandi dimensioni, come quelli alla base di ChatGPT o di DeepSeek. Gli utenti, anche se a torto, li utilizzano come se si trattasse di grandi saggi, di vati o sacerdoti a caccia della verità, ma spesso questi servizi generano contenuti inesatti che attribuiscono a persone in carne e ossa fatti che non appartengono alla loro vita e che possono letteralmente rovinargliela. L’esattezza dei dati personali è uno dei pilastri della disciplina europea sulla protezione dei dati, e taluni servizi basati sull’intelligenza artificiale la stanno minacciando. C’è poi la grande questione delle decisioni algoritmiche che, spesso, tendono a generare discriminazioni, privando chi ne avrebbe diritto dell’accesso al credito, al lavoro o alle cure di cui necessita. E, naturalmente, il più delle volte ciò accade perché i dati utilizzati per addestrare gli algoritmi sono viziati – hanno dei bias, come si dice in gergo – e non guardano alle persone con l’obiettività che servirebbe. Ma, naturalmente, i rischi sono molti di più e sono estremamente diversificati, tanto che un’intera intervista dedicata solo a questo fenomeno non basterebbe ad affrontarli tutti.
Uno dei fatti che ha suscitato più scalpore è stato il blocco da parte del Garante, a inizio 2025, della cinese DeepSeek, che avrebbe mancato di fornire adeguate rassicurazioni proprio rispetto all’uso dei dati per addestrare i modelli e alla conformità al diritto UE; anche il dibattito sulla sicurezza dei dati degli utenti utilizzati da TikTok è più che mai aperto. In relazione a queste problematiche, è opportuno considerare la Cina un “osservato speciale”?
Guido Scorza: Noi applichiamo le leggi e non ci occupiamo di questioni di geopolitica. La peculiarità della Cina rispetto ad altri Paesi, ma allo stesso tempo similmente a molti altri, è quella di avere una disciplina in materia di protezione dei dati personali non coperta da una decisione di adeguatezza della Commissione Europea rispetto al GDPR. La conseguenza è che ogni trasferimento di dati personali dall’Unione Europea alla Cina richiede un approfondimento per verificare se esportatore e importatore di dati abbiano adottato le garanzie previste dalla disciplina europea. Ma, per esser chiari, questa non è stata la principale preoccupazione in occasione dell’intervento su DeepSeek, che è stato, invece, adottato sui medesimi presupposti che avevano ispirato l’intervento su ChatGPT, dell’americana OpenAI.
Dal dicembre 2024 ChatGPT è disponibile gratuitamente anche su WhatsApp, basta salvare un numero di telefono e iniziare una conversazione. Quali sono le tutele per la privacy in questo caso? L’azienda di messaggistica le ha adottate?
Guido Scorza: Il canale di utilizzo del servizio ChatGPT è indifferente rispetto alle cautele necessarie. I problemi principali, per gli utenti, sono sempre gli stessi: ai chatbot raccontiamo troppo di noi e ci aspettiamo che ci dicano sempre la verità, perfino su specifiche persone, anche se non sono progettati per farlo.
Gli attori globali nel campo dell’intelligenza artificiale sono sempre più numerosi: tra questi emergono i prodotti di intelligenza artificiale generativa dei colossi come Google, con Gemini, e Microsoft, con Copilot, oltre a molti altri strumenti che stanno entrando nella nostra quotidianità. Vi sono differenze significative nell’approccio all’uso dei dati da parte delle Big Tech? In generale, le regole europee stanno funzionando?
Guido Scorza: Non vedo differenze significative nell’approccio delle Big Tech, anche se certamente ci sono società più “prudenti” di altre. Per quanto riguarda la seconda parte della domanda, bisogna intendersi sul significato dell’espressione “stanno funzionando”. Senza la regolazione europea certamente i diritti e le libertà fondamentali di miliardi di persone sarebbero esposti a rischi ancora più gravi, ma questo non vuol dire che le regole siano in grado di neutralizzare tutte le minacce e tutti i rischi in campo. Nel complesso, si tratta di uno scenario non originale: è così da sempre nel confronto tra innovazione e regolamentazione, specie nei primi anni che seguono la diffusione e l’impatto di una nuova applicazione tecnologica nella società. Oggi, probabilmente, la cifra distintiva della rivoluzione dell’intelligenza artificiale è il ritmo, più veloce di ogni altro prima. Indubbiamente le regole sono in affanno. Ma mi pare troppo poco per affermare che non stiano funzionando.
Un grande punto di forza dell’azione dell’Autorità risiede nella sua indipendenza, condizione che ha permesso al Garante di adottare decisioni anche nei riguardi della Pubblica Amministrazione: le misure di sicurezza individuate nell’applicazione del cosiddetto redditometro dell’Agenzia delle Entrate; o ancora, in piena pandemia, quando con un parere avrebbe scongiurato che la ripartizione automatizzata del Fondo Sanitario Nazionale avvenisse a discapito dei diritti e delle libertà dei cittadini. Nei casi menzionati, cos’è successo esattamente?
Guido Scorza: Abbiamo semplicemente fatto il nostro lavoro e applicato le regole grazie, appunto, all’indipendenza che la legge ci riconosce e alle garanzie – essenzialmente quella dell’inamovibilità dei componenti del Collegio dal loro ruolo – che la proteggono. Non affronterei le vicende menzionate come dei casi speciali. Accertare violazioni, o possibili violazioni, da parte di decine di pubbliche amministrazioni, guidare Governo e regolatori pubblici nello scrivere leggi e regolamenti compatibili con la disciplina europea sulla protezione dei dati personali, talvolta sanzionare le amministrazioni – centrali e locali – o ordinare loro di cambiare strada fa parte del quotidiano dell’Autorità garante da oltre venticinque anni. Quando accade non c’è nessun “eroismo”, né alcuna “guerra” contro le amministrazioni che a nostro avviso sbagliano. Ciascuno fa il suo lavoro e il buon funzionamento della democrazia è garantito proprio grazie a questo “gioco” di pesi e contrappesi.
A proposito di controlimiti ai pubblici poteri, il caso olandese ha visto l’esecutivo nazionale dimettersi a causa delle distorsioni discriminatorie di Syri, il sistema di IA che assegnava i sussidi sociali ai cittadini, ma che li ha tolti a circa 20.000 famiglie, in particolare formate da soggetti con doppia nazionalità, immigrati e con redditi bassi, ritenute sospettate di frode fiscale. Le norme europee, come sempre frutto di un compromesso tra i due co-legislatori, Parlamento e Consiglio, lasciano carta bianca ai governi nell’utilizzo dell’intelligenza artificiale per finalità di sicurezza nazionale e di difesa. Cosa possiamo aspettarci e quali sono i principali rischi derivanti da questa libertà?
Guido Scorza: Io non credo che le libertà lasciate dalle istituzioni europee ai singoli Stati generino rischi. Il nostro Paese è una democrazia solida che credo disponga di vaccini anche rispetto a potenziali abusi di soluzioni tecnologiche. La libertà, per certo, determina disomogeneità di approccio nei diversi Paesi europei e questo, in relazione a ciò che è legato al Governo e alla Pubblica Amministrazione, appartiene un po’ all’ordine delle cose. Se devo essere onesto, non sono preoccupato di abusi tramite intelligenza artificiale con finalità antidemocratiche, ma del fatto che non si sia sempre in grado di cogliere il rischio di effetti collaterali antidemocratici, o che si ceda al principio secondo il quale il fine giustifica i mezzi. Qui credo sia importante ricordare Louis Brandeis, padre del diritto alla privacy globale e giudice alla Corte Suprema degli Stati Uniti d’America, agli inizi del Novecento: «L’esperienza dovrebbe insegnarci a preoccuparci di più di proteggere la libertà quando un governo persegue fini benefici. Gli uomini sono naturalmente in allerta per respingere l’invasione della loro libertà da parte di governanti malvagi. I maggiori pericoli per la libertà risiedono nell’azione insidiosa di governi ben intenzionati ma incapaci di comprendere le conseguenze delle proprie azioni sulle libertà e sui diritti fondamentali».
Concretamente, come cambierà la vita quotidiana delle persone e delle imprese con la progressiva applicazione dell’AI Act europeo e delle ulteriori nuove norme a esso correlate?
Guido Scorza: Dobbiamo avere la pazienza di scoprirlo insieme. Direi che c’è da augurarsi che cambierà in meglio, grazie a un uso sostenibile dell’intelligenza artificiale, alla capacità delle regole di garantire la moltiplicazione e l’equa distribuzione delle opportunità, e alla maggiore limitazione possibile dei rischi, che pure sappiamo appartenere all’impatto di ogni fenomeno innovativo sulla società.
Una piattaforma culturale, una rivista e uno spazio di approfondimento per capire il presente.
Scopri di più
