Le ventisei parole che hanno creato internet è il titolo di un libro di Jeff Kosseff del 2019, che ricostruisce le ragioni della crescita impetuosa di internet dalla fine degli anni ’90.
Sono le parole del comma 230 del «Communication Decency Act», approvato nel 1996 dal Congresso americano, nel corso della presidenza Clinton. Leggiamole: «No provider or user of an interactive computer service shall be treated as the publisher or speaker of any information provided by another information content provider» (nessun fornitore di servizi online e nessun utilizzatore di tali servizi può essere ritenuto responsabile quale editore o quale autore di una qualsiasi informazione fornita da terzi).
Si tratta, in buona sostanza, di un esonero di responsabilità per i fornitori e gli utilizzatori di questi servizi che non potranno essere incriminati, a differenza degli editori di giornali o di libri, per quello che verrà pubblicato nei loro siti. Responsabili saranno gli autori dei messaggi, delle foto e dei video, e non le società che forniscono la connessione per facilitarne la diffusione in rete. Una norma confermata nel giugno del 2023 dalla Corte Suprema americana, che ha respinto due ricorsi presentati contro di essa.
Tralasciamo le considerazioni sulla eterogenesi dei fini di una norma che, nell’intenzione dei legislatori di allora, voleva assicurare alle grandi compagnie di comunicazione l’esonero da qualsiasi forma di responsabilità per i contenuti delle comunicazioni stesse.
Ma proprio grazie al «section 230» esplose il fenomeno internet: nessuna delle società del settore sarebbe stata d’ora in poi ritenuta responsabile per ciò che diffondeva. Esse avrebbero potuto eliminare, moderare o non moderare i contenuti dei loro siti senza incorrere in alcuna sanzione. Ad esempio, se fosse stato pubblicato su Facebook un post diffamatorio il responsabile sarebbe stato l’autore del post, ma il comma 230 avrebbe protetto Facebook.
Ci volle qualche tempo per rendersi conto della portata rivoluzionaria della norma: ma in pochi anni, grazie a questa piena deresponsabilizzazione, i fenomeni sociali legati a tali strumenti, le loro ricadute economiche, comportamentali e politiche si sarebbero sviluppati geometricamente insieme alle aziende che li producevano. E sarebbe esplosa in ogni paese, con tutte le sue conseguenze, l’era di internet.
Perché ci siamo attardati in questa ricostruzione storica? In primo luogo, per ricordare a noi stessi come le innovazioni scientifiche e tecnologiche si sviluppano in una dialettica costante tra libertà e controllo. E quando lo sviluppo scientifico è in condizione di crescere autonomamente grazie a vincoli limitati, i risultati possono essere inattesi e sorprendenti.
L’approccio americano, certamente diverso da quello europeo, è più favorevole all’innovazione che al controllo: in applicazione del principio in base al quale, come ricorda giustamente Luisa Torchia, non si può regolamentare la ruota prima di inventarla.
E veniamo alla seconda riflessione, sempre nel campo delle nuove tecnologie e in modo particolare di quella che ne è oggi la più innovativa e discussa: l’intelligenza artificiale, sviluppatasi con rapidità proprio grazie alla crescita della ricerca e della commercializzazione dovuta alle società informatiche americane favorite per quasi 30 anni dal «comma 230».
Davanti alla necessità di disciplinare comunque in qualche modo questo fenomeno, due sono state le strade da allora seguite. Una fatta di soft law, di indirizzi e di codici di autoregolamentazione, di norme che modificavano in parte quelle già in vigore, con un ruolo riconosciuto alle istituzioni regolatorie già esistenti: una strada adottata da Stati Uniti e Regno Unito, nel solco dei principi ispirati dal ricordato «comma».
Ad essa si è contrapposto il modello scelto dall’Unione Europea. Si è privilegiato in Europa un percorso che punta alla creazione di una nuova, organica disciplina legislativa primaria con carattere di extraterritorialità, con norme che vogliono regolare in maniera puntuale tutte le fasi della ricerca, dello sviluppo, della sperimentazione, della commercializzazione, dell’uso e del controllo delle tecnologie che fanno riferimento all’intelligenza artificiale. Da qui, la creazione di nuove istituzioni di vigilanza nazionali ed europee e di un forte apparato sanzionatorio.
Una strada già seguita con il GDPR, che ha costituito per diversi anni il punto di riferimento per produttori ed utilizzatori non solo europei.
Un approccio che parte dall’invito rivolto nell’aprile 2018 alla Commissione dal Consiglio Europeo per una IA «umanocentrica» fondata sui rischi e sulle tutele, e che si concretizzerà il 21 aprile del 2021 in una proposta normativa della Commissione: una proposta definitivamente approvata dal Consiglio, dopo un complesso iter, il 21 maggio 2024 e al momento in attesa di pubblicazione.
Non vogliamo naturalmente entrare qui nell’esame dettagliato delle nuove norme. Vogliamo solo ricordarne alcuni aspetti problematici ed evidenziare, a nostro parere, i limiti dell’approccio adottato.
In primo luogo, un’osservazione legata al rapporto tra sviluppo tecnologico e strumenti normativi. La crescita dell’intelligenza artificiale e delle tecnologie ad essa riferibili è stata negli ultimi anni esponenziale. Dal 2018, anno di inizio del processo di legislazione europea, fino al maggio 2024 che ha visto l’approvazione finale del testo, il quadro di riferimento tecnologico si è significativamente accresciuto: i Large Language Models, l’IA generativa, i Generative Pre-trained Transformers, l’applicazione di modelli quantistici nello sviluppo dell’IA, e così via, hanno creato una realtà in continuo e spesso imprevedibile sviluppo, accelerando anche la realizzazione di quella che fino a poco tempo fa sembrava essere l’araba fenice, la General Artificial Intelligence (GAI).
In questo quadro, il processo legislativo europeo si è mosso invece seguendo i consueti e complessi tempi procedurali e di compromesso politico legati alle sue origini ottocentesche. Costringendo i legislatori ad un non semplice lavoro di aggiornamento, di comprensione, di adeguamento e quindi di normazione in progress, rispetto a quanto la ricerca e il mercato sviluppavano intanto e producevano.
Accenniamo soltanto, senza poter qui approfondire, ad alcune criticità emerse dal testo frutto dell’approccio europeo, ulteriori rispetto a quella appena richiamata.
In primo luogo, e non è un rilievo soltanto formale, ci troviamo davanti ad un linguaggio spesso non preciso, a volte volutamente ambiguo, che rischia di porre in difficoltà sia i destinatari delle norme che coloro cui spetterà il compito di farle rispettare. Rendendo necessario un complesso lavoro interpretativo e prevedibile un potenziale contenzioso anche nei rapporti tra i soggetti nazionali ed europei preposti al controllo.
È stata poi rilevata una sovrapposizione di sanzioni, come nel caso dei data breach, tra quelle previste da GDPR e quelle del testo approvato.
Nel Regolamento si è lamentata l’eccessiva centralità data ai providers, in una fase in cui sembrano invece maggiormente affermarsi i modelli open source.
Ancora, vi è la difficoltà di muoversi, con le nuove norme, tra la richiesta di trasparenza e la tutela della proprietà intellettuale (IP) e dei segreti commerciali, che potrebbe indurre imprese al di fuori dell’Unione a rinunciare ad immettere propri prodotti nel mercato europeo.
Preoccupazioni sono state poi manifestate per la complessità, a volte, del distinguere tra i rischi elevati e gli altri; per la difficoltà di identificare con chiarezza il «responsabile finale» nei casi di violazione delle norme; per l’incertezza nella determinazione e nella graduazione delle sanzioni. Vi è poi la rilevante questione, sollevata non solo in sede di legislazione europea, della «spiegabilità» richiesta sia per i processi di informazione e decisione che per gli algoritmi che sono alla loro base: una spiegabilità che spesso sfugge agli stessi sviluppatori, a volte non in grado di comprendere le capacità evolutive del sistema.
E tralasciamo la questione, sottolineata dai rappresentanti di piccole e medie imprese, dei costi rilevanti necessari per l’adeguamento dei processi di ricerca e produzione alle nuove norme.
In buona sostanza, l’approccio fortemente normativo della nuova disciplina (pur se ancorata a principi giustamente ispirati alla tutela di una pluralità di diritti) vede una forte burocratizzazione di tutti i processi, e la previsione di numerosi e non sempre giustificati obblighi in tutte le fasi procedimentali, senza però tutelare in modo convincente i diritti stessi. Un primo segnale di queste preoccupazioni è l’annuncio dato nei giorni scorsi da Apple, che ha comunicato di non voler commercializzare per ora in Europa l’iPhone con funzioni di AI, a causa dei limiti che potrebbero derivare nell’Unione dal «Digital Service Act».
Ci fermiamo qua, consapevoli che vi sono peraltro critiche autorevoli di segno diverso, come ad esempio quelle che sottolineano la mancanza di una disciplina ancora più dettagliata e prescrittiva nel campo di ChatGPT e simili. Critiche che partono dal presupposto che la strada della soft law seguita da USA e Regno Unito rischia di esser troppo fiduciosa sulle capacità di autoregolazione di ricercatori e imprese, sottovalutando i rischi, di natura sostanziale ed etica, da più parte denunciati.
Come dicono gli inglesi, la prova della bontà del budino è comunque nel mangiarlo. Ci auguriamo allora che i ricercatori, le imprese, i providers, i deployers e i cittadini europei, specialmente questi ultimi, non manifestino una reazione di paura e quindi di rigetto nei confronti del nuovo strumento. Sarebbe una sconfitta non solo del metodo adottato per disciplinare l’intelligenza artificiale, ma metterebbe in dubbio la stessa capacità dell’Unione Europea di affrontare un fenomeno che può mutare gli stessi paradigmi su cui si fonda la civiltà umana.
Lascia un commento