
SOMMARIO: 1. Negli Stati Uniti il primo framework dal NIST 2. Canada: Artificial Intelligence and Data Act. 3. Unione Europea. 4. La normativa sull’intelligenza artificiale in Cina.
Premessa
La regolamentazione dell’intelligenza artificiale (IA) nel mondo è diventata un argomento di crescente preoccupazione e discussione. Mentre questa nuova tecnologia continua ad avanzare e ad essere sempre più integrata in vari aspetti della società, i responsabili delle politiche e i legislatori hanno riconosciuto la necessità di un quadro normativo per affrontare i potenziali rischi e garantire uno sviluppo e un utilizzo responsabili. La sfida è quella di poter legiferare in questa materia dando allo stesso tempo spazio agli ambiti di innovazione tecnologica applicata al business. La capacità dei legislatori dovrà essere quella di conoscere la tecnologia a sufficienza per redigere la legge giusta nell’interesse di chi eroga i servizi di AI e dei loro utilizzatori finali. L’obiettivo del presente contributo è quello di inquadrare lo stato della regolamentazione delle tecnologie per l’intelligenza artificiale nel mondo, con particolare riferimento agli Stati Uniti, al Canada, alla Cina e all’Europa.
Negli Stati Uniti il primo framework dal NIST
Negli Stati Uniti il quadro normativo sull’IA è poco chiaro. Finora non c’è stata una seria considerazione di un analogo statunitense all’AI Act dell’UE o di una legislazione federale completa per governare l’uso dell’IA. Tuttavia, alcune attività preliminari e settoriali indicano come il governo federale statunitense stia pensando all’IA e come potrebbe cercare di regolamentarla in futuro. In particolare, il National Institute of Standards and Technology (NIST), la Federal Trade Commission (FTC) e la Food and Drug Administration (FDA) hanno fornito recenti linee guida.
Il NIST ha rilasciato il suo “Artificial Intelligence Risk Management Framework 1.0″[1], una guida volontaria e non settoriale per le aziende tecnologiche che progettano, sviluppano, implementano o utilizzano sistemi di IA per gestire i rischi dell’IA. Il NIST collabora con leader governativi e industriali negli Stati Uniti e a livello internazionale per sviluppare standard tecnici per promuovere l’adozione dell’IA. Il NIST AI RMF (National Institute of Standards and Technology Artificial Intelligence Risk Management Framework) è stato sviluppato per fornire un quadro di riferimento per le organizzazioni che progettano, sviluppano, implementano o utilizzano sistemi di IA per gestire i rischi dell’IA e promuovere uno sviluppo e un utilizzo affidabili e responsabili dei sistemi di IA. Questo quadro di riferimento (“framework”) è diviso in due parti. La prima parte esamina come le organizzazioni possono affrontare i rischi legati all’IA e descrive il pubblico di riferimento. La seconda comprende le funzioni “GOVERN”, “MAP”, “MEASURE” e “MANAGE” per aiutare le organizzazioni a affrontare i rischi dei sistemi di IA nella pratica. Queste funzioni sono suddivise ulteriormente in categorie e sottocategorie. Il framework verrà aggiornato e migliorato in base all’evoluzione della tecnologia e dell’esperienza della comunità dell’IA.
La FTC[2] e la FDA[3] stanno invitando le aziende che utilizzano l’IA ad evitare pratiche ingiuste o fuorvianti. Ad esempio, nel campo medico, la FDA ha annunciato l’intenzione di regolamentare gli strumenti di supporto alle decisioni cliniche basate sull’IVA come dispositivi medici. La FTC, invece, invitando tutte le grandi aziende digitali (come Amazon, Google, Facebook) che utilizzano l’AI a rivedere le loro pratiche di cancellazione dei dati e implementare rigorose garanzie sulla privacy per prevenire violazioni del regolamento COPPA (Children’s Online Privacy Protection Act) inerente i requisiti agli operatori di siti web o servizi online rivolti a bambini di età inferiore ai 13 anni. Nonostante queste attività, attualmente ci sono poche regole precise a cui le aziende statunitensi possono fare riferimento per guidare la loro condotta in materia di IA. È probabile che in futuro emergeranno regolamentazioni, ma al momento gli Stati Uniti sono ancora in una fase iniziale e non esiste una legislazione federale completa dedicata esclusivamente alla regolamentazione dell’IA. Tuttavia, esistono leggi, linee guida e regolamenti esistenti che toccano alcuni aspetti dell’IA, come la privacy, la sicurezza e l’anti-discriminazione.
Canada: Artificial Intelligence and Data Act
L’Artificial Intelligence and Data Act (AIDA)[4] è una proposta di legge canadese sull’intelligenza artificiale e sui dati. La legge mira a proteggere i cittadini canadesi e promuovere un’IA responsabile nel Paese.
L’approccio si basa su una valutazione dei rischi, suddividendo le applicazioni dell’IA in categorie a seconda del livello di rischio. Le applicazioni ad alto impatto, come i sistemi di screening dei curriculum o quelli che influenzano il comportamento umano su larga scala, sono soggette a requisiti specifici. La legge mira a prevenire danni e discriminazioni, senza però ostacolare l’innovazione o penalizzare gli attori dell’ecosistema dell’IA che agiscono in buona fede. L’obiettivo è garantire che i sistemi di IA ad alto impatto rispettino gli standard di sicurezza e dei diritti umani. Prevede l’istituzione di un nuovo ruolo di Commissario per l’IA e i Dati, che avrà il compito di sviluppare e far rispettare le norme, promuovendo una regolamentazione agile e adattabile all’evoluzione tecnologica. L’AIDA si basa su principi e definizioni internazionali, come l’EU AI Act, i Principi dell’IA dell’Organizzazione italiana per la Cooperazione e lo Sviluppo Economico (OCSE)[5] e il Framework di Gestione del Rischio del National Institute of Standards and Technology (NIST)[6] degli Stati Uniti.
Si basa quindi su quadri giuridici esistenti, come la legge sulla protezione delle informazioni personali e il codice dei consumatori, ma cerca di colmare le lacune normative specifiche legate all’IA. L’AIDA si concentra sulle applicazioni ad alto impatto che possono causare discriminazione, danni alla salute e alla sicurezza o influenzare comportamenti umani su larga scala. Queste applicazioni saranno soggette a requisiti specifici per garantire la sicurezza e la tutela dei diritti umani.
La legge prevede anche la collaborazione internazionale per garantire l’interoperabilità con altri paesi e facilitare l’accesso delle imprese canadesi ai mercati globali. La consultazione pubblica e la collaborazione con gli stakeholder sono parti essenziali del processo di sviluppo e attuazione della legge. Saranno previsti periodi di consultazione, sviluppo di regolamenti e valutazione delle norme in collaborazione con gli attori dell’ecosistema dell’IA.
L’obiettivo è creare un quadro normativo flessibile ed evolutivo che promuova l’innovazione responsabile e mantenga la fiducia dei cittadini canadesi nell’IA. Il Canada è un leader mondiale nell’IA, con una forte presenza di laboratori di ricerca pubblici, incubatori di IA e start-up nel settore. La legge è necessaria per garantire fiducia e standard chiari nell’uso dell’IA, in un contesto in cui la tecnologia è sempre più diffusa ed è emersa la necessità di norme internazionali.
Unione Europea
L’Unione Europea ha invece recentemente compiuto il primo passo con l’approvazione dell’AI Act[7], che prevede un aumento della regolamentazione in proporzione alla minaccia potenziale per la privacy e la sicurezza che un sistema di intelligenza artificiale rappresenta. Si tratta della prima legge sull’AI da parte di un importante regolatore in qualsiasi parte del mondo e sta già suscitando interesse a livello internazionale. La legge classifica le applicazioni dell’AI in tre categorie di rischio. In primo luogo, le applicazioni e i sistemi che creano un rischio inaccettabile, come il punteggio sociale governativo utilizzato in Cina, sono vietati. In secondo luogo, le applicazioni ad alto rischio, come uno strumento di scansione del curriculum che classifica i candidati a un lavoro, sono soggette a requisiti legali specifici. Infine, le applicazioni non esplicitamente vietate o elencate come ad alto rischio sono in gran parte prive di regolamentazione.
L’AI Act è interessante perché inquadra le applicazioni dell’intelligenza artificiale su tutto ciò che vediamo online, sulla predizione dei contenuti che ci coinvolgono maggiormente, sull’acquisizione e l’analisi dei dati dalle facce per far rispettare le leggi o personalizzare le pubblicità. Come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE nel 2018 [8], l’EU AI Act potrebbe diventare uno standard globale, determinando fino a che punto l’AI abbia un effetto positivo anziché negativo sulla nostra vita, ovunque noi siamo.
La normativa sulla Intelligenza artificiale in Cina
Recentemente il Ministero cinese dell’Industria e della Tecnologia Informatica e il Ministero della Pubblica Sicurezza hanno pubblicato congiuntamente il “Regolamento per la Gestione dei Servizi di Informazione su Internet tramite Intelligenza Artificiale” con l’obiettivo di rafforzare la gestione dei servizi di informazione su internet tramite IA, promuovere i valori fondamentali del socialismo, salvaguardare la sicurezza nazionale e l’interesse pubblico, proteggere i diritti legittimi dei cittadini, delle persone giuridiche e delle altre organizzazioni. Il Governo cinese ha regolamentato tutte le tecnologie avanzate che consentono di creare, modificare o manipolare contenuti digitali in modo sofisticato – come immagini, video, testi o voci, che possono essere utilizzati in diversi contesti, come servizi online, applicazioni o piattaforme digitali. Pur riconoscendo come l’AI può aiutare a soddisfare le esigenze degli utenti e migliorare l’esperienza degli stessi, il Governo cinese vuole prevenire l’utilizzo delle intelligenze artificiali da parte di persone malintenzionate per creare, duplicare, pubblicare e diffondere informazioni illegali e nocive, diffamare e denigrare l’onore e la reputazione degli altri, commettere frodi impersonando l’identità di altre persone, con conseguente impatto sull’ordine di diffusione delle informazioni e sull’ordine sociale, danneggiando i diritti legittimi delle persone e minacciando la sicurezza nazionale e la stabilità sociale. L’introduzione del Regolamento è stata necessaria, in Cina, per prevenire e risolvere i rischi di sicurezza, nonché per promuovere lo sviluppo sano dei servizi di AI e migliorare il livello di capacità di supervisione.
Il Regolamento chiarisce i fondamenti, l’ambito di applicazione, i compiti dei vari dipartimenti e le richieste guida per la sua formulazione. Stabilisce che si applichi alla fornitura di servizi di informazione su internet tramite AI all’interno del territorio della Repubblica Popolare Cinese. Specifica i compiti di coordinamento e supervisione degli enti centrali e locali per l’amministrazione dei servizi di sintesi avanzata, nonché i compiti di supervisione dei dipartimenti responsabili del Consiglio di Stato per le telecomunicazioni e della pubblica sicurezza e dei dipartimenti locali pertinenti. Sono inoltre definite le linee guida generali per la fornitura di servizi di sintesi avanzata, si incoraggiano le organizzazioni settoriali pertinenti a rafforzare l’autoregolamentazione e si specificano le disposizioni generali per i servizi di intelligenza artificiale.
Per concludere, il Regolamento si propone di mettere al bando l’utilizzo delle AI per qualunque attività vietata dalla legge e dai regolamenti amministrativi in Cina, chiedendo ai fornitori di servizi di AI di assumersi la responsabilità principale per la sicurezza delle informazioni, stabilire e attuare un sistema di gestione completo e attuare ogni misura di sicurezza tecnologica per i loro utenti.
—
[1] Cfr. https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.100-1.pdf
[2] Federal Trade Commission, la quale è incaricata di promuovere pratiche commerciali leali e di contrastare comportamenti anticoncorrenziali o ingannevoli da parte delle imprese.
[3] La quale agenzia è responsabile della protezione della salute pubblica garantendo la sicurezza, l’efficacia e la protezione dei farmaci umani e veterinari, dei prodotti biologici, dei dispositivi medici, dell’approvvigionamento alimentare, dei cosmetici e dei prodotti che emettono radiazioni.
[4] Cfr. [online] https://ised-isde.canada.ca/site/innovation-better-canada/en/artificial-intelligence-and-data-act-aida-companion-document
[5] OCSE – Organizzazione per la Cooperazione e lo Sviluppo Economico [online] per saperne di più consulta https://www.agenziacoesione.gov.it/amministrazione-trasparente/altri-contenuti/anticorruzione/ocse-organizzazione-per-la-cooperazione-e-lo-sviluppo-economico/
[6] Cfr. national Institute of standards and technology [online] https://www.nist.gov/cyberframework
[7] Cfr. testo completo della normativa https://artificialintelligenceact.eu/the-act/
[8] Cfr. Regolamento nr. 2016/679 s.m.i.
AI tra etica e business, intervista a Cristiana Falcone – Syrus
Dal Metaverso a ChatGPT-4