Artificial Intelligence Act: il parlamento europeo vara le regole che guideranno l’utilizzo dell’intelligenza artificiale

Le raccomandazioni di Geneva Association

Come sappiamo, l’ascesa degli strumenti offerti dall’IA generativa ha portato sotto i riflettori le sfide che il suo utilizzo può comportare in tutti i settori.

In ambito assicurativo, ad esempio, Geneva Association si è più volte espressa sull’eventualità che si verifichino discriminazioni e pregiudizi ai danni dei fruitori dei prodotti offerti, qualora l’IA fosse utilizzata in modo incontrollato.

A differenza di quanto accadeva in passato, infatti, questi sistemi sono ormai capaci di adattare il proprio comportamento, analizzando gli effetti delle azioni compiute in precedenza e lavorando in autonomia.

La capacità di analizzare rapidamente un numero praticamente innumerevole di dati, in particolare, riveste grande interesse per gli assicuratori, specie per quanto attiene l’analisi del rischio e il calcolo del relativo premio.

Come sappiamo, in assicurazione si verifica il fenomeno noto come inversione del ciclo produttivo. Quando un’impresa che produce beni materiali o servizi vende il suo prodotto, sa già quali costi ha sostenuto e può determinare agevolmente il prezzo di vendita. L’assicuratore, invece, quando immette il proprio servizio sul mercato, non sa con precisione quanto lo stesso gli costerà in termini di sinistri, perché la prestazione è, per sua natura, futura e quindi incerta.

Nello stabilire le tariffe, una compagnia assicurativa deve quindi ricorrere a tecniche attuariali, per poter prevedere il costo dei sinistri futuri e la capacità dell’IA di gestire enormi quantità di dati può fare emergere correlazioni imprevedibili, che sfuggono all’analisi degli attuari.

Sarebbe possibile, ad esempio, correlare le abitudini alimentari di un soggetto con il suo stato di salute e prevedere le richieste di risarcimento che lo stesso potrebbe presentare all’assicurazione sanitaria, stabilendo il prezzo più congruo a coprirla.

Non è dunque azzardato affermare che l’IA sta cambiando radicalmente il modo in cui gli assicuratori valutano il rischio e già nel 2020 Geneva Association ha pubblicato un primo studio sull’argomento, dal titolo “Promoting Responsible Artificial Intelligence in Insurance”.

A quel tempo, molti assicuratori avevano iniziato ad implementare sistemi intelligenti per automatizzare le attività di routine ed assistere il processo decisionale dei sottoscrittori, combinando algoritmi di apprendimento con l'analisi di nuove fonti di dati, presenti nei media e nelle apparecchiature definite come IoT (Internet of Things).

L’uso dell’intelligenza artificiale stava rivelando il suo enorme potenziale per il miglioramento e la condivisione dei rischi, contribuendo alla loro riduzione, mitigazione e prevenzione, ma Geneva Association metteva in guardia gli assicuratori perché, al fine di favorire l’adozione dei sistemi offerti da questa nuova tecnologia, essi dovessero guadagnarsi la fiducia dei clienti attraverso un suo uso responsabile, improntato alla trasparenza, equità, sicurezza, responsabilità e rispetto della privacy.

Da allora, lo sviluppo di strumenti offerti dall’IA generativa, come ChatGPT, ha sottolineato una serie di problematiche che riguardano proprio la carenza di queste qualità e l’eventualità che si verifichino discriminazioni e pregiudizi ai danni dei fruitori dei prodotti assicurativi.

In questo momento, quindi, la più grande sfida cui è soggetto il mondo (e non solo quello assicurativo) è rappresentata dalla necessità di trovare un equilibrio tra il pericolo di minimizzare i rischi che l’uso estensivo dell’IA può rappresentare e la necessità di proteggere clienti e cittadini, lasciando spazio sufficiente per l’innovazione, a vantaggio di tutta la società.

Un sistema più sicuro per salvaguardare i diritti del cittadino

Sulla scia delle indicazioni fornite da Geneva Association e da molti altri esperti che nel frattempo si sono pronunciati analogamente, l’Artificial Intelligence Act prevede una serie di divieti indirizzati a rendere più sicuro l’utilizzo dell’IA.

Tra essi, quello sulla categorizzazione biometrica che utilizza dati sensibili (quali il credo politico o religioso, il pensiero filosofico, l’orientamento sessuale, l’etnia), la raccolta non mirata di immagini del volto (da internet o da filmati di telecamere a circuito chiuso) per creare database di riconoscimento facciale, i sistemi di riconoscimento delle emozioni sul luogo di lavoro e nelle scuole e quelli di classificazione sociale, basati sui comportamenti o sulle caratteristiche personali.

In genere, verranno vietati i sistemi che manipolano il comportamento umano per influenzarne la decisione o che siano utilizzati per sfruttare le vulnerabilità delle persone (per esempio, a causa della loro età, disabilità, situazione sociale o economica).

Alcune eccezioni ai divieti sopravviveranno per l'uso di sistemi di identificazione biometrica in spazi accessibili al pubblico, dietro indicazione dell’autorità giudiziaria e per alcuni reati specifici.

Questi sistemi di identificazione biometrica avanzata (RBI) dovranno essere utilizzati esclusivamente per la ricerca mirata di una persona condannata o sospettata di aver commesso un reato grave e dovranno rispettare specifici requisiti. Il loro uso, inoltre, dovrà essere limitato nel tempo e nel luogo, ad esempio allo scopo di ricercare vittime di reati di rapimento, oppure di crimini sessuali.

Ne verrà inoltre autorizzato l’uso per la localizzazione e identificazione di persone sospettate di aver commesso reati gravi elencati, come terrorismo, traffico di esseri umani, sfruttamento sessuale, omicidio, rapimento, stupro, rapina a mano armata, partecipazione a un'organizzazione criminale e reati ambientali.

Muovendosi sulle stesse linee già applicate con successo sul GDPR e sulla normativa per la salvaguardia dell’ambiente, l’Unione ha scelto di muoversi con un approccio risk based, in quanto un metodo proporzionato al rischio consentirà di agganciare la normativa alla crescita del sistema, specialmente in questa materia, caratterizzata da un’evoluzione praticamente continua.

Differenziazione dei rischi previsti e sanzioni pecuniarie

L’accordo prevede una differenziazione dei sistemi di IA, in base al tipo di rischio che implicano, ed è piuttosto articolato.

I sistemi riconosciuti come ad alto rischio, tra cui quelli utilizzati nei settori finanziari e in ambito assicurativo e bancario, dovranno essere obbligatoriamente soggetti ad una valutazione dell'impatto che potranno avere sui diritti dei cittadini.

Sono inoltre considerati ad alto rischio tutti i sistemi in grado di influire negativamente sulla sicurezza o sui diritti fondamentali, ovvero:

1. sistemi di intelligenza artificiale utilizzati in prodotti che rientrano nella specifica legislazione UE sulla loro sicurezza, come giocattoli, automobili, dispositivi medici e ascensori;
2. sistemi che rientrano nelle seguenti aree specifiche, che dovranno essere registrati in una specifica banca dati:

1. identificazione biometrica e categorizzazione delle persone fisiche;
2. gestione e funzionamento delle infrastrutture critiche;
3. istruzione e formazione professionale;
4. occupazione e gestione dei lavoratori in genere;
5. accesso e fruizione di servizi privati essenziali e servizi pubblici;
6. gestione della migrazione e controllo delle frontiere;
7. assistenza nell'interpretazione giuridica e nell'applicazione della legge.

Tutti questi sistemi dovranno essere valutati, prima di essere immessi sul mercato e nel corso del loro intero ciclo di vita.

I sistemi di IA utilizzati per scopi generali ad alto rischio sistemico dovranno aderire ai requisiti di trasparenza proposti dal Parlamento Europeo, prevedendo la stesura di una documentazione tecnica, il rispetto della legge sul diritto d’autore e l’indicazione dettagliata dei contenuti utilizzati per la loro creazione.

Tra essi, quelli che prevedono l’uso della cosiddetta Intelligenza Artificiale Generativa, come ChatGPT, per i quali sarà necessario informare l’utente che i contenuti sono stati creati da questa tecnologia e che dovranno essere progettati per evitare che generino contenuti illegali.

In genere, bisognerà riferire alla Commissione europea eventuali incidenti, garantirne la sicurezza sul piano informatico e riferire sulla loro efficienza energetica.

I rischi riconosciuti come inaccettabili, in quanto ritenuti una minaccia per le persone, in particolar modo per gruppi di utenti vulnerabili, saranno vietati. Si tratta di quei sistemi che applicano manipolazioni di tipo cognitivo-comportamentale, come i giocattoli ad attivazione vocale che incoraggiano comportamenti pericolosi nei bambini.

Il mancato rispetto delle norme dell’accordo comporterà cospicue sanzioni pecuniarie, che vanno da 7,5 milioni di euro (o l'1,5% del fatturato), fino a 35 milioni di euro (o il 7% del fatturato globale), a seconda della violazione e delle dimensioni dell'azienda, anche se saranno previste sanzioni più lievi per le piccole imprese e le start-up.

Conclusioni

Ci vorrà ancora del tempo, prima della ratifica finale da parte del Consiglio Europeo e dell’Europarlamento, ma il varo di questa normativa costituirà un passo fondamentale per la protezione dei diritti individuali dei cittadini nell’uso delle tecnologie.

Angela Merkel definì tale passo un tentativo di definire una sorta di equilibrio “fra l’eccesso di libertà negli Stati Uniti e l’assenza di libertà nella Cina popolare” e da quel momento l’Unione Europea ha compiuto molti sforzi per trasferire le garanzie dello Stato di Diritto all’interno della realtà digitale.

Questa sfida è divenuta ancora più impellente, grazie al debutto sul mercato dell’Intelligenza Artificiale, perché è necessario vigilare sul suo uso indiscriminato a vantaggio di persone, gruppi organizzati, aziende private o Stati, che potrebbero approfittarne per condizionare l’opinione pubblica, con la finalità di acquisire più denaro e potere.

È dunque necessario proteggere i diritti dei cittadini, creando tutele a difesa dei consumatori, garantendo la qualità delle informazioni diffuse sul web e sviluppando sistemi di sicurezza che impediscano a questa tecnologia di prendere autonomamente decisioni in grado di danneggiare l'essere umano, in particolar modo dopo il lancio di ChatGpt, l'IA generativa capace di imitare le capacità creative, un tempo suo appannaggio esclusivo.

Quello intrapreso con l’Artificial Intelligence Act è un percorso indispensabile ma difficile: il GDPR (General data protection regulation), considerato come uno spartiacque per la protezione della privacy, è stato approvato nel 2016 ed è in vigore dal 2018, ma resta ancora in gran parte inapplicato nella maggioranza dei paesi europei (incluso il nostro), essenzialmente per la difficoltà di imporne il rispetto alle società che controllano il mercato dei dati.

Tutto questo pone lo Stato di Diritto in grave difficoltà. Pensiamo ai casi di bullismo, che è oggi il più diffuso reato commesso dai minori sul web, oppure ai femminicidi, che molti considerano agevolati dalla proliferazione di immagini su abusi e violenze sessuali.

Le interferenze denunciate da più parti come minacce alla vita democratica, le fake news adoperate dalle organizzazioni terroristiche per cercare di legittimare il proprio operato e la proliferazione di messaggi di odio raziale (antisemita, islamofobo etc.) sono tutte conseguenze di questa sorta di “far west digitale” che necessita un controllo.

Si tratta, insomma, di minacce che mettono a rischio le libertà individuali - indebolendo la democrazia - e l’uso indiscriminato dell’IA può offrire terreno fertile per la loro diffusione.

Su questo campo si gioca quindi la necessità di una regolamentazione che protegga i diritti individuali, salvaguardando nel contempo lo sviluppo dell’innovazione che le nuove tecnologie sono in grado di offrire.

Il ministro francese per il Digitale, Jean-Noël Barrot, ha sottolineato come la posta in palio, al di là della questione tecnologica, consista nella salvaguardia di un mercato stimato in trilioni di euro, in grado di ridefinire da solo l’intera economia globale: “Il dominio tecnologico – ha detto - precede oggi il dominio economico e quello politico”.

Per approfondire

• Geneva Association: “Regulation of artificial intelligence in insurance: balancing consumer protection and innovation”, 14 September 2023.
• EU AI Act: first regulation on artificial intelligence – European Parliament News, 14/6/2023
• Artificial Intelligence: l’era dell’implementazione – Osservatorio Artificial Intelligence del Politecnico di Milano
• EU Artificial Intelligence Act – European Commission