Scritto da Tommaso Malpensa
12 minuti di lettura
L’intelligenza artificiale solleva interrogativi complessi per il diritto, che fatica a seguire il ritmo dell’innovazione tecnologica. I tradizionali strumenti normativi mostrano limiti nell’affrontare fenomeni in continua evoluzione, rendendo necessario un cambio di approccio: meno regole rigide, più principi flessibili e attenzione agli effetti concreti sui diritti e sulla società.
In questa intervista a Paola Manes, professoressa ordinaria di diritto privato all’Università di Bologna, dove insegna diritto privato, insurance financial law and esg, artificial intelligence in medicine and medical education, esaminiamo le tensioni tra regolazione e innovazione, la necessità di tutelare i diritti fondamentali senza soffocare lo sviluppo, e l’urgenza di aggiornare concetti giuridici come responsabilità e autorialità.
Partiamo dal definire che cos’è l’intelligenza artificiale nell’ordinamento vigente. Quali fonti del diritto dobbiamo consultare per comprendere i confini di che cosa il nostro ordinamento considera intelligenza artificiale? La definizione è univoca o assume confini differenti? Ha subito delle evoluzioni nel corso del tempo?
Paola Manes: Bisogna innanzitutto mettere in chiaro che non c’è univocità nel definire a livello giuridico l’intelligenza artificiale. Il Regolamento europeo sull’intelligenza artificiale, noto ai più come AI Act, ne dà una; il disegno di legge sull’intelligenza artificiale depositato al Senato ne dà un’altra. In generale, il fatto che la legislazione vigente o in discussione voglia dotarsi di una definizione di intelligenza artificiale è uno dei suoi limiti fondamentali, perché ciascuna definizione imbriglia una materia che di per sé stessa sfugge ai limiti di qualunque classificazione. Questo provoca l’effetto di sublimare la materia in una nozione che poi diventa prigioniera di sé stessa. Perciò, più che dotarci di definizioni generali e generaliste, quale è quella accolta dal Regolamento europeo, forse ci si dovrebbe astenere dal definire dal punto di vista giuridico una tassonomia che sfugge ed è destinata ad essere obsoleta nel momento stesso in cui viene emanata. Il Regolamento europeo sull’intelligenza artificiale nelle sue fasi embrionali escludeva dalla sua definizione i large language model (LLM) e, di conseguenza, l’intelligenza artificiale generativa. Alla vigilia della sua emanazione, quindi, il Regolamento rischiava di essere già obsoleto, perché escludeva la forma di intelligenza artificiale che, ad oggi, ha dimostrato il maggiore impatto. Invece di racchiudere in una definizione una materia, il giurista di fronte all’intelligenza artificiale dovrebbe lasciare spazio allo sviluppo dell’algoritmo, astenendosi dal classificarlo con una tassonomia giuridica, perché un sistema classificatorio di questo tipo è inadatto a raffigurare il fenomeno. Oggi bisogna ascoltare i tecnici, gli informatici, gli ingegneri, i matematici e i fisici, e soltanto dopo vedere se le regole già vigenti si adattano alla fattispecie che si intende normare.
Negli ultimi anni i sistemi di intelligenza artificiale sono diventati uno strumento in mano alle autorità pubbliche per l’esercizio delle proprie funzioni. Tale sviluppo ha portato a una domanda di tutela dei diritti dei cittadini a fronte della loro capacità pervasiva, colta soprattutto, nel panorama internazionale, dall’Unione Europea. Potrebbe illustrarci quali sono le opportunità e i rischi della diffusione di questi sistemi nell’ambito della governance e delle relazioni con i governati?
Paola Manes: È oggi in corso un conflitto duale sull’intelligenza artificiale: da un lato è certo che questo sia un nuovo terreno di sfida geopolitica tra governi; dall’altro lo scontro riguarda anche gli ordinamenti giuridici, che, come è noto, si fanno concorrenza tra loro. Oggi, dunque, la competizione riguarda gli ordinamenti più efficienti sul tema dell’intelligenza artificiale. Secondo l’Unione Europea, efficienza significa essere più garantisti rispetto ai diritti individuali, che è il primo parametro su cui si valuta l’impatto delle norme. Gli ordinamenti di altre aree del mondo non hanno introdotto livelli simili di valutazione d’impatto, anche perché non è presente lo stesso punto di vista delle carte dei diritti europee. Dipende tutto da dove ci si colloca per guardare le norme sull’intelligenza artificiale e da come si intende la sovranità digitale, materia su cui oggi ogni ordinamento, o gruppo di ordinamenti posizionati nello stesso modo, cerca di fare egemonia. Ci sono ordinamenti dove si privilegia la libertà d’impresa, con ovviamente gli Stati Uniti in testa, e altri ordinamenti che lasciano pochissimo spazio al dissenso politico. In alcune aree del mondo l’estensione dei diritti fondamentali non è analoga a quella dello spazio giuridico europeo, ma queste cercano comunque di dare l’idea di seguire i percorsi europei sull’etica dell’intelligenza artificiale con un’operazione soltanto di facciata. In realtà utilizzano questi sistemi per ridurre le libertà fondamentali al minimo, per orientare il consenso e governare attraverso questi sistemi, mantenendo di fatto delle scarse libertà fondamentali del cittadino. Credo che tra i mille difetti del regolamento europeo sull’IA ci sia un grande pregio, quello dei meccanismi di valutazione d’impatto: se è vero che ad oggi le norme dell’Unione Europa sono asfittiche, prive di visione, pletoriche e troppo burocratiche, è altrettanto indubbio che dal punto di vista della tutela e del rafforzamento dei diritti fondamentali l’Europa non ha rivali, come ha detto bene il rapporto Draghi, e la tutela dei diritti può avanzare in parallelo a norme più concilianti per lo sviluppo economico. La simbiosi ideale si può raggiungere, nonostante i problemi dell’AI Act, attraverso un utilizzo oculato dei codici di autoregolamentazione delle imprese, dove ciascun soggetto economico può declinare in concreto, al suo interno, la valutazione d’impatto sui diritti fondamentali.
Abbiamo citato i problemi per le imprese. L’intelligenza artificiale è un’opportunità di innovazione, ma non è priva di rischi. L’Unione Europea ha introdotto norme molto articolate, che per i detrattori sono un impedimento alla crescita e alla concorrenza. Secondo lei, dove si colloca il corretto bilanciamento che consenta alle imprese europee di competere a livello internazionale, senza inficiare irragionevolmente i diritti delle persone?
Paola Manes: Le imprese hanno tutta la mia solidarietà nella loro insoddisfazione per queste norme, che costruiscono una regolamentazione opprimente, invasiva e intrusiva. Per questo non è difficile spiegare il senso di soffocamento per overregulation delle imprese. Il sistema giuridico del digitale è oggi il settore più densamente normato, ben più di quello finanziario-assicurativo che era già pieno di regole. Queste regole sono multilivello, provengono da varie fonti, entrano capillarmente in settori specifici e spesso troncano le linee di business ancor prima che queste possano svilupparsi. Ritengo però, come ho anticipato, che le imprese possano recuperare il proprio spazio di libertà all’interno del regolamento dell’Unione Europea attraverso i codici di autoregolamentazione, di cui già l’Unione Europea ha sperimentato degli importanti esempi di grande successo. I codici di autoregolamentazione sono regole che le imprese si autoimpongono in maniera autonoma, con il limite della cornice fondamentale del Regolamento europeo sull’IA. Questo consente alle imprese di tenere il buono del regolamento, cioè il filtro di garanzia sui diritti fondamentali, al contempo liberandosi degli aspetti più restrittivi della normativa europea. Grazie all’autoregolamentazione si introducono nel settore i principi di regolarità, gradualità e scalabilità, in base ai quali diventano replicabili su ampia scala strumenti e meccanismi già vincenti in contesti di dimensioni più ridotte.
Il mondo del lavoro è stato già profondamente cambiato dall’intelligenza artificiale. La gig economy è in gran parte caratterizzata dal management algoritmico, che comporta nuovi ostacoli per i lavoratori nel perorare le proprie istanze. Il diritto del lavoro vigente assicura già livelli adeguati di protezione o dovremmo ragionare de jure condendo per un nuovo paradigma di rapporti tra datore e prestatore di lavoro?
Paola Manes: Chi studia il diritto del lavoro e coloro che stanno lavorando all’implementazione di questa tecnologia all’interno delle relazioni industriali, quindi nel rapporto datore-prestatore di lavoro, ha bene in mente che non è ammissibile tornare indietro sulle conquiste in campo di diritti fondamentali derivanti dallo Statuto dei lavoratori, dalla normativa antidiscriminatoria e dai principi di tutela previsti dalla normativa di settore dell’Unione Europea. Invece, l’introduzione di meccanismi di machine learning nelle aziende, e in generale di intelligenza artificiale, avrà come conseguenza il necessario re-skilling dei lavoratori, ma come ogni avanzamento tecnologico che abbiamo visto nel corso della storia, sarà veicolo di maggiore efficienza, ulteriori tagli dei costi, velocizzazione di alcuni processi e riduzione dell’impiego di manodopera in mansioni che oggi comportano moltissimi incidenti evitabili. L’innovazione passa anche per la delega di funzioni ripetitive, oggi svolte dagli umani, che potranno in futuro essere svolte dall’intelligenza artificiale e che nulla toglieranno alla centralità del datore di lavoro e del lavoratore rispetto ai ruoli su cui si fonda il nostro sistema industriale. Sono dunque d’accordo alla sostituzione dell’uomo con la macchina per quelle attività che possono essere delegate alla macchina in quanto ripetitive e potenzialmente rischiose per l’incolumità dell’essere umano, ma non deve venir meno la centralità delle persone per le attività ad alto valore aggiunto. Rispetto a ciò, chi si occupa di relazioni industriali è profondamente conscio della questione.
Una caratteristica fondamentale del machine learning è la capacità della macchina di svolgere operazioni autonome anche senza istruzioni da parte dell’uomo. Dal punto di vista giuridico, tale questione è foriera di riflessioni sul riparto della responsabilità civile per gli eventuali danni causati. Il machine learning può rendere le macchine giuridicamente responsabili? E come si sviluppa la questione dal punto di vista assicurativo?
Paola Manes: Il regolamento non ha preso posizione sulla questione dei rapporti uomo-macchina e ciò ha sollevato forti critiche. È un problema che una legislazione così corposa non dia una risposta al quesito “chi si assume le responsabilità delle decisioni?”. La domanda fondamentale per il giurista è se le norme attualmente vigenti sulla responsabilità siano del tutto inadatte ad entrare nelle questioni poste dall’IA, oppure se una interpretazione evolutiva del Codice Civile, della Costituzione e delle leggi collegate permetta di trovare soluzioni già nelle norme vigenti. La buona fattura del nostro ordinamento si vede dal fatto che queste norme finora sono riuscite a adattarsi anche a istituti e meccanismi che non erano minimamente pensabili all’epoca in cui furono scritte. Da questo punto di vista, la dottrina e la giurisprudenza in tutto il mondo si sono sforzate di costruire i propri statuti della responsabilità. Un primo modello prevede una responsabilità basata sulla prossimità al rischio, che dunque rende corresponsabili tutti gli agenti coinvolti nel processo che porta dall’ideazione dell’algoritmo fino alla sua implementazione, ciascuno con una porzione di rischio che dipende da quanto è prossimo alla decisione presa dalla macchina. Quindi, se io sono l’ideatore, e nella filiera che porta all’utente finale del meccanismo dell’algoritmo sono soltanto al livello 1 di diversi passaggi, se un componente della filiera decisamente più avanti provoca un danno, io da ideatore dovrò sobbarcarmi una responsabilità – e dunque un risarcimento – minore. Questo è il paradigma del rischio e dell’accountability che abbiamo già sperimentato con il GDPR. Esistono però anche altri modelli: qualcuno sostiene che si debba applicare il sistema della responsabilità oggettiva, della strict liability. In assenza di un meccanismo di nesso causale della responsabilità, difficile da individuare soprattutto per le reti neurali, che sono black box, vengono meno i concetti di nesso di causalità e di euristica che innervano tutto il sistema della nostra responsabilità civile come rapporto tra agente e danno. Perciò si argomenta che a sopportare i costi sociali di questa operazione debba essere chi trae l’utilità maggiore dall’utilizzo del sistema in questione.
Negli Stati Uniti la dottrina ha proposto un’equiparazione tra un sistema di machine learning utilizzato per le diagnosi e uno studente di medicina ai primi anni in tirocinio: entrambi, nelle decisioni di cura da prendersi, dovranno sempre essere assistiti da un medico esperto, e mai gli sarà consentito di prendere decisioni del tutto autonome. Secondo la corte che ha emesso la sentenza, la combinazione dei due titoli porterebbe a un titolo di responsabilità unitaria, che consentirebbe di assimilare per analogia le decisioni di uno studente di medicina del secondo anno a quelle dell’algoritmo. Sono comuni, infatti, diverse caratteristiche, come la carenza di autonomia di giudizio o decisione e il necessario confronto con chi ha maggiore conoscenza della materia. Come si può vedere, la responsabilità può essere allocata in maniere molto differenti. Rispetto alla questione assicurativa, lo scenario è ancora molto aperto. Sicuramente le assicurazioni avranno una partita importante da giocare. Il punto fondamentale sta nell’affidabilità dell’algoritmo, perché il settore assicurativo difficilmente accoglierà le sue eventuali fallacie nella categoria del rischio puro. Tipico dell’assicurazione è la costruzione di modelli di rischio da implementare nei propri sistemi di risk management e quindi nessun assicuratore si vorrà sobbarcare gli errori algoritmici come rischi puri. Finché i meccanismi di intelligenza artificiale non avranno alle spalle norme e governance sufficientemente robuste, che consentano di stabilire il proprio livello di affidabilità, si tratterà di una scommessa alla cieca che le assicurazioni cercheranno di evitare. Si potrebbe costituire un fondo dello stesso tipo di quello che riguarda le vittime della strada, ma il primo soggetto che verrà ucciso da una macchina a guida autonoma di massimo livello non potrà essere risarcito, perché non ci sarà capienza per qualcuno che subisce danni da IA. Per questo, ad oggi, la soluzione basata sul risk assessment è la soluzione più percorribile: soltanto parcellizzando il rischio in capo ai vari attori si consentirà una sostenibilità del rischio che altrimenti, data la magnitudo del rischio stesso, nessun attore potrebbe sopportare da solo.
L’accesso al credito e l’industria assicurativa sono stati trasformati dall’intelligenza artificiale. È ormai prassi per istituti e compagnie servirsi di questi strumenti per il credit scoring. I sistemi di intelligenza artificiale, rispetto agli strumenti in uso dagli anni Ottanta, sono in grado di costruire profili individualizzati di rischio, ridimensionando così il ricorso al risk pooling. Potrebbe illustrarci questo cambio di paradigma?
Paola Manes: Credo che questa sia un’incredibile opportunità offerta dal machine learning e dai sistemi di intelligenza artificiale all’interno del mondo della modellizzazione dei rischi. Il credit scoring algoritmico rappresenta un significativo mutamento di paradigma, che tenta di sostituire le tavole attuariali, ossia le serie storiche su cui oggi si basa tutta la capacità di predire eventi del futuro. Molto spesso si tratta di serie storiche ancorate a dati obsoleti, che non fotografano in tempo reale la tassonomia dei rischi che ciascuno di noi corre e a cui è esposto. Si basano invece sul risk pooling, realizzano dei cluster di utenti e identificano i rischi di ciascuno di noi attraverso gruppi che possono essere anche molto disomogenei tra loro. Perciò questo sistema di categorizzazione del rischio sconta il problema che il singolo non è esattamente rappresentato nel cluster. Sulla base di questo si regge tradizionalmente il sistema assicurativo. Il credit scoring algoritmico permette un’identificazione molto più accurata, customizzata e ritagliata sul profilo di rischio del singolo cliente. Se io so che andrò in settimana bianca e non toccherò la macchina, ma andrò a sciare, non potrò per quella settimana attivare una polizza inferiore per l’auto e magari stipularne un’altra per infortunio da sci, perché la polizza la rinnovo una volta l’anno. Un sistema di credit scoring algoritmico mi consentirà di sostituire quel pezzetto della mia attività non rischiosa e al contempo di assicurarmi per l’altra attività che andrò a fare.
Lo scoring si fonda dunque sulle caratteristiche individuali di un determinato soggetto, ma per fare ciò serve un’ingente mole di dati che il singolo deve fornire. Per poter modellizzare il singolo, bisogna innanzitutto conoscere il soggetto che si deve assicurare. Un soggetto geloso delle proprie informazioni non potrà mai ricevere un trattamento tariffario modellato su di lui. Il principio del rischio va concepito in combinato disposto con quello dell’informazione: viviamo in una società complessa, che dunque ci espone a rischi, e se vogliamo i benefici di un determinato strumento dobbiamo anche accoglierne i rischi. Non è molto diverso dal prendere un farmaco, e infatti la stessa FDA statunitense sottopone gli algoritmi usati in medicina alle stesse garanzie dei farmaci. I farmaci sono accompagnati da un bugiardino. Anche i sistemi di IA dovrebbero essere accompagnati da un “foglio illustrativo” che spieghi le modalità d’uso di quel determinato sistema, perché anche l’utente finale deve essere in grado di capire che l’algoritmo, come i farmaci, va usato con certe cautele. Non è certo peregrino osservare che queste cautele sono dovute ad una esposizione al rischio imminente e non eliminabile, ma certo l’avanzamento di questa tecnologia ha anche vari aspetti positivi. Una considerazione sicuramente positiva è che ciascuno di noi, a patto di mettere a disposizione i propri dati, può ottenere un profilo tariffario migliore, una copertura dei propri rischi che sono solo suoi in quel puntuale momento e non sono i rischi di qualcun altro. Perciò è indispensabile cedere le proprie informazioni ed è, allo stesso tempo, indispensabile che si rispettino tutte le necessarie cautele per il corretto trattamento dei dati consegnati.
Altra questione dibattuta, soprattutto per quanto riguarda l’intelligenza artificiale generativa, è la proprietà intellettuale, con particolare attenzione al diritto d’autore e alla brevettazione delle “invenzioni” realizzate da essa. Si può parlare di intelligenza artificiale inventrice o artista, scrittrice o compositrice, oppure dovremo sempre riconoscere questi ruoli esclusivamente ad un essere umano? E, nel caso, quale essere umano?
Paola Manes: Il concetto di autorialità è un concetto che risale agli anni Quaranta del Novecento. È un concetto datato, ma non per questo da eliminare: occorre soprattutto interpretarlo in maniera evolutiva. La legge sul diritto d’autore esprime un concetto fondamentale, poiché riconosce la creatività umana come requisito imprescindibile per una creazione e in virtù di questo la protegge. I girasoli di Van Gogh creati da OpenAI, o la versione IA di Sanremo, possono essere ricompresi all’interno della nozione di autorialità oggi vigente in Italia come nel resto del mondo? Questa è una domanda molto aperta, a cui io non ho una risposta certa. La giurisprudenza americana si è espressa in merito nella famosa “sentenza della scimmia” del 2017, che ha attribuito al fotografo che aveva posizionato la telecamera, e non alla scimmia che aveva premuto il tasto per scattare la fotografia, il diritto d’autore sull’immagine. Un altro esempio svolto dalla giurisprudenza americana è quello dell’artista che posiziona un lenzuolo nel parco sul quale cadono le foglie: quella è una creazione intellettuale, anche se l’uomo non ha fatto nulla. Ad oggi, tutti i tentativi di riconoscere un concetto di autorialità privo dell’intervento umano sono stati cassati e dunque la creatività umana rimane ancora il fattore prevalente, o quantomeno la discriminante, di cosa è protetto dal diritto d’autore e di cosa non lo è.
Forse il diritto d’autore oggi è lo scenario sul quale una revisione delle norme o dell’interpretazione delle norme attuali è più urgente. La vicenda di OpenAI con il New York Times lo ha dimostrato ulteriormente: il discrimine tra plagio e creatività delle operazioni autoriali è veramente labile. Ci sono numerose categorie di autori di opere intellettuali da tutelare, perché vedono i propri diritti sacrificati in modo molto drastico e di fatto si presentano sguarniti di strumenti. Questo è un terreno di intervento sul quale il Regolamento europeo sull’intelligenza artificiale non prende posizione, ma una risposta va trovata e in breve tempo, per non aggravare la compressione di questi diritti. Tutto sommato, credo che anche gli autori possano avvalersi in modo sano e legittimo dell’intelligenza artificiale, però è chiaro che la vigente nozione di autorialità sconta il fatto di essere stata emanata in un contesto socioeconomico completamente diverso da quello attuale. Urge un intervento significativo, perché le corti sono molto lente nel dare risposte e i danni, intanto, si accumulano. A mio avviso, il sistema dovrebbe affrontare la questione alla fonte, prevedendo una serie di blocchi e limiti per i sistemi di IA che possono mettere a rischio il diritto d’autore. Forse si potrebbe predisporre un meccanismo di controllo ex ante, che richieda un allenamento su fonti open source e non su fonti protette da diritto d’autore. Questo è un suggerimento estemporaneo, ma è una materia che necessita certamente di interventi nel breve periodo.
Per concludere, possiamo dire che all’intelligenza artificiale manca la certezza del diritto e che oggi, dunque, è necessario rafforzare l’affidabilità delle norme in maniera che gli attori economici e sociali possano utilizzare adeguatamente questi sistemi?
Paola Manes: Sì, ma attenzione, certezza del diritto non vuol dire più regole. In ambito di intelligenza artificiale, significa ridurre le regole e costruire un quadro legale fondato su principi generali, lasciando che la messa a terra di questi principi sia appannaggio degli operatori del settore. Certezza del diritto non significa più regole o regole più dettagliate, anche perché questa equazione ha già dato prova della propria fallacia. Il mercato oggi richiede degli standard tecnici di precisione ed esattezza elevatissimi, che si devono basare su dataset accurati e offrire soluzioni soddisfacenti agli operatori in attesa di miglioramenti. Perciò, il miglior modo per coniugare il diritto con questo sistema è stabilire poche regole, o comunque meno regole rispetto a quelle attuali, ma basate su principi cardine non ritrattabili. È meglio fare piccoli passi su alcuni aspetti dell’IA capaci di dimostrare la propria accuratezza attraverso i risultati, e a partire da quei risultati, gradualmente, se serve, ritoccare le norme. Per una volta, il giurista deve stare all’ascolto dei tecnici, deve emanare regole solo dopo aver compreso la fattispecie, deve osservare invece di normare. Piuttosto, meglio seguire il processo di evoluzione aspettando i risultati con le garanzie della governance dei dati, che già dal punto di vista tecnico è di grande conforto. Gli standard tecnici già presenti sul mercato, come i NIST americani, permettono un risk management framework molto adattivo ed efficiente attraverso il quale, in un intervallo di confidenza noto, gli algoritmi possano dire al mondo “questa è la prestazione che riusciamo ad oggi ad assicurare”.
Una piattaforma culturale, una rivista e uno spazio di approfondimento per capire il presente.
Scopri di più
