Intelligenza artificiale e diritto

Nuovi scenari legali

Intelligenza artificiale e diritto: nuovi scenari legali

Rischi, attribuzione di responsabilità e utilizzo dei dati: sono diverse le domande che l’intelligenza artificiale e il machine learning pongono al mondo giuridico.

Questo sintetico approfondimento ha l’obiettivo di fornire una primissima base di partenza alla luce della quale tentare di analizzare e comprendere alcuni dei profili legali correlati con l’impiego di strumenti e metodologie di intelligenza artificiale, nelle attività aziendali, nei prodotti ma anche nel modo in cui le istituzioni possono, o potrebbero, rapportarsi con i cittadini.

Intelligenza artificiale e machine learning
Iniziamo con il dire, per semplificare, che da un punto di vista puramente scientifico, l’intelligenza artificiale – le cui basi teoriche risalgono alla fine degli Anni ’50 – negli Stati Uniti viene suddivisa in due grandi aree di studio, sviluppo e approfondimento: l’intelligenza artificiale ‘generale o forte’, che si propone di replicare i processi mentali umani, e il machine learning, cioè il complesso di metodi, processi e algoritmi che vengono impiegati per rendere le macchine capaci di apprendere e prendere decisioni, per quanto ci occupa, giuridicamente rilevanti. Mentre la prima – che da un punto di vista filosofico è senz’altro la più affascinante – è ancora confinata nella sperimentazione, il machine learning sembra essere quello che normalmente si intende come intelligenza artificiale nella rappresentazione mediatica attuale e che crea, da un punto di vista strettamente giuridico, in ragione delle sue peculiarità, alcune difficoltà di interpretazione prima ancora che applicative. Alla base di queste difficoltà c’è la constatazione, non secondaria, che non esiste ancora una solida certezza scientifica sugli esiti dei processi di apprendimento delle macchine per il tramite di algoritmi di machine learning e, tantomeno, sulla predicibilità o prevedibilità dei comportamenti sviluppati in seguito in modo autonomo dalle macchine o da ogni macchina indipendentemente dall’altra.

I rischi e l’attribuzione di responsabilità
In relazione a ciò che precede, una prima rudimentale classificazione dei rischi legali, riferibili allo sviluppo di metodologie e tecnologie di intelligenza artificiale, comprende rischi ‘determinati dalla causalità’ e rischi ‘determinati dai dati’.

Rischi determinati dalla causalità
Con l’espressione rischi ‘determinati dalla causalità’ ci si riferisce al modo in cui si decidono, a oggi, le questioni relative all’imputazione della responsabilità umana che, come è noto, si basa – secondo la nostra tradizione giuridica – sull’attribuzione delle conseguenze fattuali di una condizione soggettiva, colpa o dolo, a un essere umano, individuato per il tramite dell’applicazione del principio di causalità che richiede l’applicabilità di una legge scientifica di copertura, idonea, secondo i suoi precetti, a ricondurre secondo un rapporto di causa/effetto un evento alla sua causa. Se è possibile individuare la causa o il difetto, per esempio, di un’attività di elaborazione elettronica, si può attribuire la responsabilità per il danno e quindi assegnare la colpa, nel senso che la colpa o il difetto devono aver causato il danno. L’intensità della colpa, a sua volta, determina la pena e/o altra modalità di compensazione del danno causato.
Ora, il limite dell’applicazione dei principi della causalità naturale a fenomeni correlati a processi decisionali algoritmici di machine learning – e quindi il relativo rischio di errore nella valutazione della corrispondente responsabilità – risiede, secondo chi scrive, nel fatto che, in ipotesi, proprio perché il soggetto che apprende non è un essere umano, le decisioni che esso adotta o gli atti che compie possono diventare sempre più lontane da qualsiasi logica implementata dall’essere umano nel codice software della macchina. Ovvero decisioni e atti che possano essere determinate (si dice che ‘emergano’) dallo stato interno dinamico al processo di elaborazione, costituitosi dall’interazione tra dati e algoritmo.
Nello scenario descritto viene quindi a mancare, o quanto meno viene molto attenuato, quel nesso diretto tra codice software e comportamento del sistema di elaborazione, che è invece alla base dell’attribuzione della responsabilità del produttore nell’attuale scenario giuridico. Ciò in quanto la struttura legale di attribuzione della responsabilità è stata creata in un quadro di tracciabilità, come per esempio nei casi di misurabilità e attribuibilità, diretta dei difetti. Cioè le decisioni e gli atti delle macchine dovrebbero poter essere ricondotti a uno specifico difetto nella programmazione ovvero all’esecuzione di un’operazione incorretta. Un riferimento normativo utile alla comprensione dell’estrema delicatezza e rilevanza sociale, oltre che economica, delle questioni implicate dalle tematiche che trattiamo in questa sede, può rinvenirsi, oltre che naturalmente nelle disposizioni del Regolamento Generale in materia di protezione dei dati personali (GDPR), cui si è fatto cenno nello scorso numero, anche nella, non meno importante, direttiva 680 del 27 aprile 2016, in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
In particolare, l’art. 11 della direttiva richiamata indica come il processo decisionale automatizzato relativo alle persone fisiche, preveda che gli Stati membri dispongano che una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici negativi o incida significativamente sull’interessato, sia vietata salvo che sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento. Inoltre deve prevedere garanzie adeguate per i diritti e le libertà dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento.

Rischi determinati dai dati
Se i rischi determinati dalla causalità di cui abbiamo sin qui trattato possono essere definiti rischi ‘esterni’, nel senso di implicare considerazioni relative all’applicazione di regole giuridiche esterne a quelle del sistema di machine learning, quelli ‘determinati dai dati’ – specialmente dai big data – possono essere definiti rischi ‘interni’ al sistema stesso.
I big data pongono un problema in cui si accavallano il modo con cui le aziende capitalizzano il flusso di terabyte di dati generati in modalità ‘smart streaming’ dai dispositivi ‘intelligenti’ e la disponibilità di modelli e algoritmi di machine learning di analisi predittiva che stanno trasformando il modo in cui le aziende si riferiscono ai loro clienti e che generano da sé questioni controverse oltre a costituire fattori di rischio per la privacy e la protezione dei dati personali.
Si tenga presente che lo smart streaming dei dati è già oggetto di attenzione dei Regolatori. Per esempio, la Commissione Europea ha pubblicato la propria ‘Strategy on Co-Operative Intelligent Transport Systems’ o ‘CITS’ per lo sviluppo di un’infrastruttura intelligente di trasporto che permetta agli autoveicoli di comunicare tra di loro e con un sistema centralizzato di gestione del traffico, nonché con altri agenti del sistema di trasporto. Il rischio potenziale di utilizzo improprio di dati è chiaramente problematico poiché l’infrastruttura è capace di identificare ogni singolo veicolo in tempo reale lungo il suo percorso, conoscerne la destinazione, riportare il comportamento del conducente e ogni eventuale infrazione alle norme di circolazione.