AI Act: come l’Europa vuole regolare l’intelligenza artificiale, una conversazione con Dragos Tudorache

Quali sono stati i principali temi di negoziazione durante l’ultimo trilogo sulla legge IA Act? Quali sono le principali conclusioni da trarre?

Dragos Tudorache

Abbiamo discusso una serie di punti con l’idea di arrivare a una conclusione chiara su alcuni e di avviare un dibattito su altri, per capire le posizioni dei due colegislatori (il Parlamento europeo e il Consiglio dell’Unione europea) al fine di trovare un compromesso. Abbiamo anche approvato una serie di disposizioni su cui si era lavorato prima a livello tecnico e che avevamo concordato di completare poi sul piano politico.

Prima di tutto, abbiamo dato mandato ai team tecnici di trovare soluzioni concrete per i punti legati all’Articolo 6 del meccanismo di selezione delle applicazioni ad alto rischio dell’IA¹: come facciamo a determinare le applicazioni in settori come la salute, la sicurezza o lo spazio pubblico nei quali l’IA non rappresenterebbe un rischio elevato? Per queste applicazioni, gli sviluppatori non dovrebbero rispettare il livello più alto di requisiti come descritto nel testo. Il Parlamento e il Consiglio avevano proposto meccanismi di selezione diversi e abbiamo concordato politicamente di cercare una soluzione alternativa a quelle proposte sia dal Consiglio che da noi (Parlamento) per provare a trovare una soluzione intermedia. Abbiamo quindi raggiunto un accordo e dato mandato alla Commissione di stabilire un terreno comune. Abbiamo discusso una soluzione e abbiamo incaricato i team tecnici di lavorare sui criteri da applicare. 

Abbiamo anche discusso l’Appendice 3. Ci siamo resi conto che per la maggior parte delle applicazioni elencate nell’appendice, il Parlamento e il Consiglio possono essere facilmente d’accordo: abbiamo definizioni molto simili per le applicazioni ad alto rischio nell’occupazione, nell’istruzione, nelle banche e nelle assicurazioni. Naturalmente, dobbiamo continuare a lavorare su alcune aree: non abbiamo ancora un consens sulle applicazioni ad alto rischio dell’IA nella giustizia, nell’immigrazione o nella gestione delle frontiere. Queste aree saranno oggetto di un lavoro più approfondito nelle prossime settimane. Abbiamo anche tenuto un dibattito esplorativo sui tre principali blocchi politici che restavano: i foundation models² e l’IA generativa, il tipo di governance che vogliamo per questo testo e, più in generale, l’applicazione e l’attuazione dell’IA Act. 

Discuteremo nuovamente di tutti questi punti nel prossimo trilogo del 24 ottobre, dove cercheremo di raggiungere un ampio accordo politico. Cercheremo di collegare tutti i punti politici rimanenti per trovare un compromesso generale. Questo compromesso è possibile ma non garantito. Il trilogo del 24 ottobre sarà decisivo per la conclusione dei negoziati.

Abbiamo visto come l’emergere dell’IA generativa all’inizio dell’anno abbia scombussolato la proposta di legge europea sull’IA. Come possiamo stabilire regole che siano sostenibili nel tempo quando stiamo regolando una tecnologia così imprevedibile?

Questa domanda non riguarda solo l’IA generativa, ma è legata più in generale al testo nel suo complesso. Alcuni degli obblighi contenuti nel testo sono progettati per resistere alla prova del tempo, per come cui sono stati redatti e per ciò che rappresentano: in un certo senso, sono indipendenti dai cambiamenti della tecnologia. Ad esempio, gli obblighi relativi alla trasparenza, alla comprensibilità o alla governance dei dati sono in un certo senso neutri davanti all’evolversi della tecnologia. Non importa se oggi abbiamo un’applicazione dell’IA che utilizza centomila parametri e tra sei mesi ne avremo una che utilizza un milione di parametri e che è più complessa, più sofisticata, si dovrà comunque essere trasparenti, ad esempio, sui set di dati di formazione, ecc. 

Naturalmente, altri elementi del testo sono legati alla tecnologia stessa. Ad esempio, stiamo discutendo la possibilità di qualificare la definizione molto ampia che abbiamo dei foundation models. Abbiamo dato mandato ai team tecnici e alla commissione di esplorare questa strada. Siamo quindi nella fase in cui stiamo cercando di capire come differenziare i foundation models all’interno di questa definizione generale. A causa delle loro caratteristiche, alcuni tipi di modelli, sebbene attualmente inclusi nella nostra definizione di foundation models e quindi soggetti agli obblighi vincolanti per gli sviluppatori, non presentano gli stessi rischi. Pertanto, non dovrebbero essere soggetti allo stesso tipo di obblighi dei modelli più avanzati. Ma la questione chiave è come definire i criteri. È molto probabile che questi modelli si evolvano con l’evolversi della tecnologia. Come si fa a definirli e a garantire che la definizione resista alla prova del tempo? 

Faremo qui ciò che abbiamo fatto in altre parti del testo: stiamo stabilendo protocolli esecutivi attraverso un futuro organo di governance il cui mandato sarà quello di attuare la legge e di rivedere i suoi termini di applicazione in base all’evoluzione della tecnologia. Questo sforzo sarà fatto in sincronia con le parti interessate: coloro che sviluppano, coloro che utilizzano e coloro che possono realmente contribuire con informazioni importanti. Ritengo quindi che con questi due elementi, la neutralità di alcune regole e obblighi in relazione alla tecnologia da un lato, e la flessibilità attraverso la governance dall’altro, possiamo garantire che il testo rimarrà valido, pertinente e applicabile, indipendentemente dall’evoluzione della tecnologia.

I meccanismi di deliberazione europei sono stati abbastanza efficaci da prendere in considerazione le voci della società civile, delle PMI e delle start-up durante un processo legislativo così tecnico come quello dello IA Act?

Credo che abbiamo dimostrato l’efficacia di questi meccanismi, nonostante la percezione che le persone hanno dell’Unione e delle sue strutture decisionali, ritenute molto complesse e talvolta macchinose e lente. Ma guardiamoci meglio: siamo la prima giurisdizione al mondo pronta a legiferare. Per quanto lento, complesso e macchinoso possa essere il processo, abbiamo avuto la lungimiranza di iniziare a prepararci diversi anni fa, quando gli altri non prestavano attenzione all’AI. Oggi, pur seguendo le nostre procedure, abbiamo raggiunto una fase in cui siamo i primi al mondo ad adottare un regolamento completo sull’IA. Credo che questo sia importante da notare. Per quanto riguarda il processo di deliberazione, credo che fin dal primo momento in cui la Commissione ha concepito questo testo, il processo sia stato più aperto rispetto a quasi tutti gli altri atti legislativi che conosco. Non conosco molti testi legislativi che siano stati preparati in anticipo con il tipo di processo che la Commissione ha messo in atto con il Libro bianco. Credo che ci siano stati quasi nove mesi di consultazioni con le parti interessate, in cui tutti potevano inviare i loro contributi, idee e commenti sul Libro bianco. Questi sono stati presi in considerazione quando la Commissione ha redatto la prima bozza. Quindi c’è già stata una prima ondata in cui tutte le possibili parti interessate (industria, ma anche società civile, mondo accademico, ricercatori, associazioni, sindacati…) hanno potuto contribuire da ogni punto di vista possibile. 

Parallelamente a questo processo, abbiamo istituito una commissione speciale sull’intelligenza artificiale all’interno del Parlamento, che ha prodotto un report speciale alla fine del processo. Abbiamo organizzato audizioni, workshop e viaggi di studio virtuali che ci hanno permesso di entrare in contatto con una base molto ampia di parti interessate e di ottenere le loro opinioni sulle tutele da introdurre nella normativa futura, ma anche sull’IA in generale. Così, quando la norma è arrivata sui nostri tavoli, eravamo già ben preparati, avendo ascoltato tutte queste voci. Poi, durante i negoziati legislativi stessi, io e tutti i relatori abbiamo sempre tenuto la porta aperta a tutti. Ovviamente, dopo tutto questo, sono le nostre deliberazioni e le nostre scelte politiche e intellettuali a prendere la decisione finale.

L’Europa dovrebbe adottare una visione più integrata dell’IA? In un momento in cui la linea di demarcazione tra la sicurezza nazionale e le questioni commerciali sta diventando sempre più labile, e le preoccupazioni per la sicurezza nazionale stanno crescendo in tutto il mondo³, l’Europa si considera un attore geopolitico dell’IA?

L’IA è certamente più soggetta a doppia applicazione (civile e militare) rispetto ad altre tecnologie. Lo è in un modo che non è semplice da controllare o rilevare all’inizio, perché è facile sviluppare un algoritmo da utilizzare in determinati contesti, ma che può essere facilmente ripreso e trasformato per applicazioni militari o di sicurezza nazionale. Ne siamo ovviamente consapevoli, ma abbiamo nell’Unione i nostri limiti costituzionali. In ragione dei Trattati, questa legge sull’IA non può riguardare le applicazioni nei campi della difesa o della sicurezza nazionale. Si tratta di una limitazione? Non credo. Credo che il nostro primo obbligo, come regolatori, sia quello di fornire garanzie e regole chiare su come l’IA debba essere utilizzata nelle nostre società, nelle nostre economie e nelle nostre democrazie. Sempre più giurisdizioni bussano alla nostra porta per capire e ispirarsi al processo che abbiamo seguito, alle scelte che abbiamo fatto o all’approccio che abbiamo adottato, basato sul rischio. Quindi, senza parlare dell’effetto Bruxelles, queste giurisdizioni, che provengono letteralmente da ogni angolo del mondo, dall’America Latina all’Asia, passando per il Nord America e i Paesi del Sud, saranno in grado di elaborare le loro scelte e decisioni sulla base del nostro lavoro. Credo che questo sia incoraggiante. Dimostra che, in un certo senso, le persone guardano al modello europeo e, forse, vogliono anche trarne ispirazione.

Sono convinto che dovremo discutere di IA, difesa e sicurezza nazionale. A causa dei trattati, questa discussione dovrà avvenire a livello nazionale o all’interno della NATO. Dovremo lavorare su un quadro per l’uso dell’IA nel contesto militare, comprese le dimensioni etiche e di trasparenza, riconoscendo allo stesso tempo l’immensa opportunità e i rischi connessi. Queste due discussioni sulle applicazioni civili e militari dell’IA, sebbene trattate separatamente, si alimenteranno a vicenda: le idee e i concetti che stiamo sviluppando oggi nel contesto civile, domani potranno essere trasposti e utilizzati anche nel contesto militare, perché la tecnologia sottostante è la stessa.

Come possiamo costruire una convergenza transatlantica sulla governance dell’IA, in un momento in cui gli Stati Uniti vedono l’Unione prendere l’iniziativa in quanto prima  a introdurre una regolamentazione globale dell’IA? Quali sono le sfide di questa convergenza?

Per cominciare, ritengo che il tema della convergenza sia essenziale, soprattutto oggi in un contesto globale così polarizzato e volatile, con così tante sfide davanti a noi. Si tratta di sfide a un ordine basato su regole comuni che hanno governato le nostre società negli ultimi 70 o 80 anni. In un certo senso, questo ci lega e dovrebbe legarci più che mai. L’IA è una tecnologia così intrecciata con l’evoluzione delle nostre società ed economie che sarà la spina dorsale del modo in cui il mondo verrà rimodellato nei prossimi decenni. È fondamentale che noi, Stati Uniti e Unione Europea, lavoriamo insieme e cerchiamo il più possibile, per quanto difficile sia, di convergere. 

Come convergere? Innanzitutto, accettando che, prima di tutto, abbiamo ritmi diversi: noi avremo la versione finale del testo dell’IA Act quest’anno. I nostri amici americani non l’avranno. Avremo quindi ritmi diversi e avremo inevitabilmente soluzioni legislative diverse, ma sono convinto che convergeremo: il Congresso americano sta impiegando una grande energia sull’IA, cosa che ho potuto constatare di persona. C’è una volontà molto forte da entrambe le parti e non sorprende che sia motivata dalle stesse preoccupazioni, dagli stessi valori che devono essere protetti.

Dobbiamo accettare che inevitabilmente avremo anche delle soluzioni diverse. Abbiamo sistemi giuridici diversi, un sistema di civil law in Europa e un sistema di common law negli Stati Uniti, ma possiamo garantire che, in termini funzionali, siamo il più possibile compatibili. Farò due esempi: in primo luogo, le definizioni. Possiamo già convergere sulle definizioni relative all’IA. Abbiamo compiuto grandi sforzi per allineare la nostra definizione a quella dell’OCSE. Stiamo anche esaminando molto attentamente le definizioni utilizzate dal National Institute of Standards and Technology (NIST) negli Stati Uniti. In secondo luogo, gli standard sono un’area in cui possiamo lavorare insieme. Anche se, da un punto di vista legale, le nostre regole possono avere un aspetto ed essere espresse in modo diverso, possiamo sforzarci di allineare il più possibile gli standard tecnici che le sostengono. In effetti, abbiamo deliberatamente dato mandato agli enti normativi per la preparazione di questi standard: le aziende che operano su entrambe le sponde dell’Atlantico sono rappresentate in questi enti normativi. Pertanto, hanno un interesse personale a garantire che gli standard rimangano allineati tra le due sponde.

Infine, nelle discussioni internazionali che si stanno svolgendo, sia nell’ambito del processo di Hiroshima sotto l’egida del G7, sia a Londra in occasione del prossimo vertice sulla sicurezza dell’AI, gli Stati Uniti e l’Unione Europea devono, per quanto possibile, parlare con gli stessi obiettivi e la stessa voce. So che si sta facendo un buon lavoro e che si stanno compiendo buoni progressi all’interno del processo di Hiroshima. Una proposta concreta su un codice di condotta derivante da questo lavoro potrebbe essere presentata entro la fine dell’anno. Questi sforzi ci permettono di investire insieme per garantire che questo processo di creazione di una legge sull’IA avvenga anche a livello globale. In un certo senso, con l’IA Act stiamo creando un quadro che può guidare il lavoro di tutte le altre giurisdizioni, anche se avremo standard legali adottati in tempi diversi.

Il 2024 è un anno di elezioni in Europa e negli Stati Uniti. Possiamo già vedere che l’IA generativa è un catalizzatore per la disinformazione e la destabilizzazione delle elezioni democratiche. Come si può proteggere l’Europa? 

Prima di tutto, non dimentichiamo che abbiamo il Digital Service Act (DSA)⁴. Quindi possiamo già utilizzare questo testo per iniziare a proteggerci dalla disinformazione. Abbiamo anche visto la reazione della Commissione negli ultimi giorni alla disinformazione e alle fake news sui social media legate al conflitto tra Israele e Hamas. Questo è solo l’inizio, perché la Commissione stessa è in procinto di aumentare questa nuova governance, che è entrata in vigore solo un mese fa. Con l’entrata in vigore del DSA, abbiamo già gli strumenti per introdurre un senso di responsabilità, di obbligo di rendere conto dei contenuti che vengono diffusi sui social media – cosa che non abbiamo avuto nelle elezioni precedenti. Le elezioni del 2024 saranno un buon test per verificare l’efficacia della DSA. A questo proposito, la Commissione ha un’enorme responsabilità e il Parlamento si è assicurato che le abbiamo comunicato quanto sia importante il suo ruolo, come esecutivo, in questo momento, perché deve dimostrare che la legge è necessaria quando è necessaria. 

Non credo che riusciremo a ottenere una protezione totale contro le fake news, ma almeno potremo costruire uno spazio dell’informazione molto più sano di quello attuale. Per quanto riguarda l’IA Act, le norme relative all’uso dell’IA in contesti elettorali o politici sono state inserite dal Parlamento nella categoria di alto rischio⁵. Anche se, a causa del periodo di transizione, l’IA Act non entrerà ancora in vigore nel 2024, potrebbe esserci un quadro di conformità volontaria una volta che il testo sarà stato finalizzato. Questo è ciò che è stato fatto con la DSA. Quindi, se il testo verrà adottato entro la fine dell’anno, anche se avremo un periodo di transizione di un anno o un anno e mezzo, non c’è nulla che impedisca alle aziende pronte a iniziare a conformarsi di farlo prima del dovuto.

È fiducioso che gli Stati membri e l’Unione Europea saranno in grado di attrarre i talenti e le competenze giuste per implementare la normativa sull’IA e garantirne la corretta applicazione?

Ho avuto conversazioni molto recenti con i rappresentanti della Commissione nell’ambito del processo di negoziazione dell’IA Act e della sua governance. Sono rimasto positivamente sorpreso quando ho appreso che la Commissione è riuscita ad assumere un numero molto elevato di ricercatori e dottorandi in intelligenza artificiale per far parte del team che esaminerà e verificherà gli algoritmi ai sensi della DSA. Questo è incoraggiante. 

Ho sempre difeso la governance dell’IA Act a livello europeo, anziché delegarla completamente agli Stati membri, proprio per questo tipo di problema. È più probabile che una governance centralizzata dell’IA Act a livello UE attiri i talenti necessari, piuttosto che lasciare l’attuazione completamente decentralizzata ai 27 Stati membri. Spero anche che per la parte che rimane nelle loro mani, si faccia uno sforzo per attrarre il giusto livello di competenza. Per affrontare i modelli più avanzati di IA, quelli che hanno maggiori probabilità di causare i rischi e i danni da cui stiamo cercando di proteggere la società, abbiamo chiesto la creazione di un «ufficio» sull’IA a livello europeo⁶.

Come possono gli europei costruire un’altra convergenza, quella con la Cina, l’altra superpotenza dell’IA? 

Ho sempre detto che una volta trovato un allineamento tra europei, dovremo inevitabilmente dialogare anche con la Cina, perché la tecnologia e in particolare questi grandi modelli di IA, il loro impatto o il tipo di rischi che inducono sono gli stessi, indipendentemente dal fatto che vengano impiegati o utilizzati in una giurisdizione o in un’altra.

Il dialogo con la Cina è inevitabile, ma per me è molto importante che prima ci sia un dialogo tra democrazie liberali. Ecco perché il contesto del G7 e il dialogo al suo interno sono un passo importante. Il Trade and Technology Council ⁷e tutto il coordinamento transatlantico che abbiamo avviato sono importanti per raggiungere un chiaro consenso sul modo in cui vediamo la tecnologia. I Paesi democratici, che sono allineati su valori comuni, devono anche essere in grado di discutere con coloro che fanno un uso molto diverso della tecnologia nella società. Anche se i valori e gli interessi differiscono, dobbiamo accettare questo dialogo.

Diversi gruppi di ricerca e alcune delle voci più autorevoli nel campo dell’IA hanno proposto vari modelli istituzionali per la governance dell’IA, con obiettivi che vanno dalla ricerca del consenso scientifico e politico alla stabilizzazione di situazioni di crisi. Abbiamo bisogno di una nuova istituzione globale responsabile della governance globale dell’IA? 

Attualmente si parla molto della necessità di un’agenzia globale per l’IA, come nel caso dell’energia atomica, ad esempio. Ancora una volta, sono convinto che abbiamo assolutamente bisogno di una convergenza. Tutti gli sforzi in questa direzione sono benvenuti. Le Nazioni Unite hanno iniziato il proprio lavoro e stanno per istituire un organo consultivo per iniziare a pensare a possibili opzioni di governance globale sotto la loro egida. Si tratta di una buona iniziativa in cui tutti dovremmo investire. Vedremo se al Vertice di Londra ci sarà anche una proposta per un quadro internazionale. Capire come adottare un approccio globale alla governance dell’IA richiederà tempo e dovremo attraversare alcuni passaggi essenziali. 

Avremo bisogno di molti tentativi, prove e interazioni prima di poter capire meglio cosa deve essere affrontato a livello globale e cosa può essere lasciato alla scala regionale o nazionale: dobbiamo concentrarci solo sui modelli di IA alla frontiera tecnologica o avere un quadro internazionale più ampio? Questa domanda sarà oggetto di discussioni a Londra, per esempio. Una volta che avremo avuto queste discussioni, vedremo di che tipo di struttura istituzionale abbiamo bisogno. Alcune esigenze sono ovvie: consultarsi, informarsi e garantire la condivisione di conoscenze e competenze, ma dovremo includere elementi di sicurezza e possibilmente di difesa. Il doppio uso della tecnologia porta inevitabilmente a un punto in cui le discussioni sull’applicazione commerciale e della difesa devono convergere. Tutti questi elementi devono essere esaminati prima che una qualche struttura istituzionale possa emergere.