ChatGPT è la nuova frontiera dell’Intelligenza Artificiale, che con algoritmi avanzati di apprendimento automatico elabora risposte simili a quelle umane; e con il suo scopo generico si presta a essere impiegata nei settori più diversi della vita individuale e collettiva. Già da tempo l’uso della Chat ha posto non pochi problemi al giurista e, in particolare, al costituzionalista per l’inestricabile relazione tra il ricorso alle tecnologie innovative e la doverosa tutela dei diritti fondamentali; nonché per il suo impatto, quanto all’oggetto, sull’intero fascio delle libertà, e quanto al soggetto, su intere categorie di destinatari.
Inoltre, il fatto che la quasi assenza di eteronomia sia supplita dall’autoregolazione degli stessi operatori mette in tensione il principio di responsabilità politica, visto che le regole sulle nostre libertà sono dettate da privati estranei al circuito politico-rappresentativo.
Si vuole richiamare l’attenzione su due questioni di fondo:
- Il framework normativo europeo è in grado di tutelare efficacemente le libertà fondamentali; oppure questa forma di Intelligenza Artificiale impone l’adozione di una nuova regolazione, well tailored alle sue peculiarità tecniche?
- Una regolazione sovranazionale può integralmente o anche parzialmente derogare alla disciplina costituzionale interna posta a garanzia delle libertà fondamentali, nonché al principio di responsabilità politica?
Nell’era beyond the imitation game l’intelligenza artificiale si è appropriata di una delle caratteristiche più tipicamente umane: il linguaggio, che rappresenta l’aspetto caratterizzante di chat GPT (e degli altri sistemi ad essa concorrenti come BLOOM, Stable Diffusion, Dall-E, ecc.).
I sistemi di IA che impiegano i Large Language Models possono produrre testi (peraltro con un grado di approfondimento e con stile diversi a seconda degli input ricevuti), ma anche traduzioni, immagini, suoni, video e così via. La possibilità poi che tali sistemi si integrino con altre intelligenze artificiali ne amplifica la capacità di impego, sia per gli utenti (professionisti e non) che per l’autorità pubblica e/o quella giudiziaria. Queste ultime vi potrebbero ricorrere per fare previsioni, adottare raccomandazioni o prendere decisioni.
Di fronte all’avanzare così pervasivo di questa nuova tecnologia, la dottrina (De Minico, Too many rules or zero rules for Chatgpt?, in BioLaw Journal, in corso di pubblicazione), che già lavorava sulle regole di Internet, si è interrogata sull’opportunità che il diritto si estenda alla chat e quale legal framework sia rispettoso della generalità di scopo. Mentre un gruppo di personalità autorevoli lo scorso marzo ha chiesto un freno all’avanzamento tecnologico per riuscire a governarlo (Pause Giant Ai Experiments: An Open Letter), in Europa scienziati e studiosi del diritto hanno invece trovato nella proposta di regolamento europeo dell’intelligenza artificiale – 2021/0106(COD) – la sede più adatta per un intervento di natura legislativa.
Individuata la sede, la domanda successiva da porsi è se il risk management approach valido per l’IA “classica” sia utile anche per quella generativa a scopo plurimo, così come emerge dagli emendamenti del Consiglio del 6 dicembre 2022, che inserisce la seconda tra i sistemi ad alto rischio. Tale schema, tuttavia, sembra essere meno adatto all’IA generativa, poiché nel tentativo di assegnare al fornitore dell’IA la responsabilità della previsione e dell’adozione di misure idonee a prevenire tutti i pericoli che la chat potrebbe generare si corre il rischio di imporre regole impossibili da sostenere sia per ragioni di tecnica che di costi (Hacker et al., Regulating ChatGPT and other Large Generative AI Models, Working Paper, 2023). Con la conseguenza che le stesse si rivelerebbero inidonee a proteggere la lesione dei diritti fondamentali degli utenti/cittadini e a realizzare un sistema efficace di accountability.
Negli emendamenti proposti dal Parlamento europeo l’11 maggio 2023 l’intelligenza generativa cambia nome e sede, ora si parla di foundation models all’art. 28b. La novità più di rilievo è che quel rischio astrattamente considerato, ora si riferisce a situazioni concretamente definibili e quindi più adatte a rientrare nel paradigma dell’algorithm constitutional by design (De Minico, Towards an “Algorithm Constitutional by Design”, in BioLaw Journal, 1, 2021).
In queste settimane si sta aprendo in Europa la procedura informale dei triloghi per arrivare a negoziare cosa dei tre testi verrà mantenuto nel futuro AI Act. Il dibattito tra esperti, che ha preceduto la relazione del Parlamento, ha certamente giovato ai contenuti qui brevemente tracciati. È necessario continuare a studiare quali siano i vuoti legislativi e gli eccessi di cautela per spingere anche il policy maker europeo ad adottare un sistema di regole quanto più vicino all’avanzamento dello sviluppo tecnologico ed evitare così di approvare un regolamento già vecchio.
A chi scrive sembra che l’utilizzo dell’AI generativa sfugga per definizione da un approccio di mitigazione preventivo esaustivo, poiché i LLMs hanno la capacità di portare a termine compiti al di fuori di quelli per cui sono stati specificamente addestrati. E allora forse occorrerà che il framework Ue dettagli non solo le attività ex ante, ma anche i controlli e i limiti che corrono lungo l’arco di vita della chat o di qualsivoglia sistema che si fondi sull’impiego dei LLMs, specialmente quando siano coinvolte libertà e diritti fondamentali della persona. Tra questi si segnalano diversi aspetti: riguardo alla disinformazione, ai contenuti odiosi o alle fake news sarebbe opportuno estendere le regole del Digital Services Act a Chat GPT; riguardo alla catena delle responsabilità la distinzione non dovrebbe operare solo tra fornitore e sviluppatore ma estendersi all’utilizzatore e all’utente finale, quando questi ultimi siano responsabili delle violazioni delle normative in vigore; infine, costruire un sistema di rimedi più robusto e con regole specifiche: se ad esempio di fronte alla violazione dell’AI Act l’autorità nazionale non provvedesse alla sospensione e al ritiro del sistema IA, di fronte a quale autorità ci si potrebbe rivolgere per far valere l’eventuale inerzia? E se viceversa ci si volesse opporre alla decisione dell’autorità nazionale, quale autorità sarebbe a ciò preposta?
Queste sono solo alcune sollecitazioni che si auspica trovino collocazione nel testo da approvare.
Non è certamente una novità che l’evoluzione della tecnologia intersechi quella del diritto al crocevia della responsabilità del decisore politico. La tecnologia opera come fattore esogeno della decisione politica non rispetto alla qualificazione dei contenuti, ma in rapporto alla definizione degli obiettivi.
Infatti, l’implementazione dei sistemi di intelligenza artificiale, privati, basati su Large Language Models consegue alla loro diffusione e utilizzo nella realtà sociale: essi diventano “rilevanti” per il diritto sotto almeno tre profili problematici.
Il primo, la individuazione dei soggetti responsabili; il secondo, la tutela della natura commerciale di tali sistemi e terzo, la protezione dei diritti individuali e collettivi.
Tali filoni dovrebbero costituire l’orizzonte di una norma che, se si guarda alle nuove proposte di regolamento sull’IA ad opera del Consiglio (dicembre 2022) si avvia soltanto a superare una fase embrionale ma forse soffre ancora di un approccio “classico” e statico alle nuove sfide. Come autorevolmente sostenuto in dottrina (De Minico, 2023; Hacker, 2023; Helberger, 2022), il framework normativo rischia di fluttuare tra l’eccesso di regole o al contrario la loro relativa assenza o sommarietà.
Al momento, l’unico elemento stabile conosciuto dal giurista è che i sistemi di IA generativa sono costruiti in base a cd. catene del valore che generano risposte in base agli input e ai prompt.
Ne discende che è innanzitutto interesse del privato “proprietario” di detti sistemi che il responso non assomigli a un oracolo indecifrabile: più è precisa la risposta, banalmente, più il prodotto è commercialmente valido e quindi utilizzabile su larga scala. Questo vuol dire anche che maggiore è il livello di specializzazione delle competenze e delle figure tecniche e più immediato sarà individuare l’ “anello debole” della catena.
Se per il privato la correzione dell’errore tecnico mira alla acquisizione di un vantaggio egoistico futuro e certo, per il legislatore detta operazione guarda al raggiungimento di un vantaggio collettivo, solidaristico, ma incerto. Tale incertezza è tale sia a monte, perché il potere pubblico non può conoscere l’evento se non su esplicita segnalazione o istanza proveniente dall’utente finale, e sia a valle, perché l’intervento postumo sul soggetto responsabile può rivelarsi inefficace e tardivo.
Risulta evidente come i due profili problematici della imputazione soggettiva della responsabilità giuridica e della natura commerciale dei sistemi di LLM si combinino ponendo il decisore politico dinanzi a una scelta: controllare in via precauzionale e generale le attività del privato oppure adottare approcci meno invasivi.
La prima ipotesi è quella al momento apparentemente adottata dal decisore unionale: in tal senso va la presunzione assoluta, di cui all’art. 4b della proposta di Regolamento sull’IA, secondo cui i sistemi generativi sono sussumibili nella categoria delle attività ad alto rischio. Come variamente sostenuto da voci autorevoli, tale approccio, oltre a violare il principio di proporzionalità (De Minico, 2016 e 2021; Hickman, 2007), che costituisce l’argine di legittimità della regola precauzionale, potrebbe anticipare eccessivamente la soglia di tutela e, di conseguenza, la risposta sanzionatoria pubblica. Inoltre, questo meccanismo rischia di non considerare affatto le singole responsabilità sulla catena del valore. All’opposto, “spezzettare” la regola precauzionale su tale catena e attribuire specifici obblighi comportamentali ai singoli soggetti coinvolti conterrebbe il rischio uguale e contrario di ingessare il funzionamento della Chat (o di sistemi simili), che non per forza devono essere considerati in senso negativo o come pericolosi. Inoltre, il segreto commerciale che copre i codici sorgente rende ancor più ardua la sfida preventiva poiché la presunta asimmetria normativa dovrebbe controbilanciare la cd. asimmetria informativa che pone il provato su un terreno di maggiore forza.
Diversamente un approccio negoziale (Allain, 2005; Bernal 2014) tra il potere pubblico e i privati potrebbe contenere l’opportunità che si cela dietro gli approcci innovativi. Un esempio utile viene dalla nuova disciplina delle telecomunicazioni e dal Codice europeo delle Comunicazioni elettroniche: accanto ai classici strumenti di regolazione asimmetrica, il legislatore unionale ha posto nuovi remedies di natura negoziale (es. accordi di coinvestimento o modello dell’operatore wholesale only), i quali si fondano sulla reciproca collaborazione premiale tra regolatore e privato. È bene sottolineare subito come questi rimedi siano orientati a garantire il pluralismo, l’equilibrio competitivo e il diritto di accesso al mercato, nel settore delle telecomunicazioni. Per la disciplina degli strumenti di IA, è chiaro, che l’obiettivo sarebbe invece la tutela dei diritti degli utenti.
Si ritorna così alla premessa posta in partenza rispetto all’incidenza della tecnologia sulla decisione politica: l’obiettivo minimo non sarebbe più solo controllare lo strumento tecnologico e provare a prevenire gli usi illeciti, anticipando la soglia di tutela, bensì garantire i diritti.
È quindi possibile immaginare la definizione di un framework normativo contenente principi e norme inderogabili e consentire al regolatore di stipulare veri e propri accordi con le società produttrici delle chat?
I vantaggi sarebbero plurimi: dal lato del potere pubblico, l’interesse a conoscere e controllare il codice-sorgente e tutti i possibili utilizzi della chat degraderebbe dinanzi alla capacità di intervenire solo in via correttiva sugli illeciti; questi ultimi sarebbero individuabili in modo più immediato se oggetto degli accordi fosse l’attribuzione di specifiche competenze e conseguenti responsabilità alle singole figure sulla catena del valore e il problema della sovrapposizione degli ordinamenti sarebbe risolto individuando nella norma comunitaria di principio, la fonte principale.
Dal lato del privato, invece, i benefici conseguenti alla mitigazione del controllo pubblico consentirebbero lo sviluppo di tecnologie sempre più fini, precise e “conformi” (Richardson, 2023) ai prompt immessi, garantendo la segretezza del brevetto industriale ma uniformando i criteri di definizione dei prompt ai limiti posti dal potere pubblico.
Keep calm and deregulate!
Chaptgpt è stata forse una delle prime applicazioni dell’AI che ha suscitato un vivo dibattito nella sfera pubblica italiana ed è sicuramente anche una delle prime applicazioni, al di là dei chat bot commerciali, che ha riscontrato un notevole “successo” nel nostro paese.
Rispetto ai commenti precedenti, mi pongo da una prospettiva leggermente diversa. Mi concentrerei sulle applicazioni che questo strumento potrebbe avere nella “sfera pubblica piattaformizzata”, mediante la formulazione di notizie, discorsi, la gestione di profili sui social.
Penso in particolare che la tecnologia che sottende tale strumento, come rilevato da vari analisti e come sinteticamente ma efficacemente tracciato nel commento di Michela Tuozzo, possa essere usata per produrre propaganda (odiosa, attività di trolling) ma soprattutto (dis)informazione. Il giornalismo automatizzato è qualcosa che era stato già parzialmente sviluppato prima di tali ultime innovazioni tecnologiche, ma pare che questa tecnologia permetta di renderlo di più facile impiego. Un uso sistematico di tale tecnologia potrebbe innovare tanto la produzione di notizie e informazioni, quanto gli strumenti della propaganda online.
Come provato dagli esperimenti di NewsGuard i sistemi di controllo di chatgpt non sono nemmeno completamente esenti dalla possibilità di diffondere disinformazione nella produzione di interazioni con gli utenti, soprattutto in quelle zone del mondo dove il controllo in sede di programmazione sia stato meno “attento” (https://www.newsguardtech.com/special-reports/chatgpt-generates-disinformation-chinese-vs-english/). Inoltre, non mi sorprenderei se si rilevassero anche problemi legati a bias ideologici nelle risposte fornite dal bot.
In relazione a questi aspetti, mi sembra che la questione cardine di questa nuova tecnologia si componga di due particolari elementi, quello della trasparenza e quello della responsabilità (accountability). Il primo elemento forse richiederebbe che nelle applicazioni di questa AI si renda necessaria una disclosure della sua identità non umana nel momento delle interazioni con il pubblico (come il CA Bot Act californiano proponeva); il secondo elemento potrebbe rendere necessarie, da un lato, una forma di controllo/correzione dei bias incorporati nel codice di questa AI e, dall’altro, un’importante riflessione sulla responsabilità per la creazione delle informazioni generate da questa tecnologia (si tratta di temi toccati già nel 2018 da F. Pizzetti (a cura di), Intelligenza artificiale, protezione dei dati personali e regolazione, Torino, 2018).
Con queste considerazioni in mente, penso che attualmente il migliore framework di regolazione della AI sia quello europeo. In tale contesto credo che sia auspicabile, nel complesso percorso di sviluppo dell’AI Act, un confronto a 360° con vari stakeholders in una prospettiva interdisciplinare (o, forse meglio, transdisciplinare). Probabilmente, non sarebbe nemmeno da scartare l’idea di pensare una normativa come la Directive on Automated Decision-Making canadese, che richiede costanti aggiornamenti e contatti con gli stakeholders. A mio parere, l’attuale framework europeo non appare tuttavia in grado di regolamentare molte delle innovazioni e sfide introdotte dalla possibile applicazione su larga scala di questa tecnologia. La considerazione sulla centralità dell’operato dell’Unione si scontra inevitabilmente con la limitata responsabilità politica del Legislatore unionale e con l’incompletezza del federalizing process (inceppato?) europeo che ne limita le competenze.
Guardare al fenomeno aiuterà se non a dare le risposte quantomeno a orientarle.
Il Garante per la protezione dei dati personali a marzo, esercitando i suoi poteri correttivi, ha limitato il trattamento di tutti i dati personali degli interessati stabiliti nel territorio italiano da parte della società statunitense proprietaria di ChatGPT, mediante la sospensione del suo utilizzo.
Perché l’ha fatto? Ha ritenuto che i dati personali degli utenti di ChatGPT fossero stati trattati per l’addestramento degli algoritmi strumentali all’erogazione del servizio medesimo, in assenza di qualsiasi forma di trasparenza, liceità, correttezza, minimizzazione, esattezza, pertinenza, limitazione delle finalità e della conservazione dei dati, integrità e riservatezza, nonché responsabilizzazione, e più in generale, in violazione dei principi privacy by design e by default (non scenderò nel merito delle contestazioni per ovvie ragioni).
Cosa ne è conseguito? La maggior parte degli interessati (stabiliti nel territorio italiano) hanno continuato a usare/addestrare chatGPT, attiva negli altri Paesi, mediante l’utilizzo di una VPN.
Il Garante ha avviato una interlocuzione con Open IA e ad aprile ha sospeso l’efficacia del proprio provvedimento di limitazione provvisoria in ragione dei ravvedimenti della Società; ad avviso della scrivente molto discutibili, si pensi molto banalmente che i principi di privacy by design per loro stessa definizione si applicano ex ante (fin dalla progettazione) e non in “dieci minuti” ex post violazione di dati personali per correre ai ripari.
Ora, è vero che il Regolamento UE sull’Intelligenza Artificiale è ancora una bozza, ma non lo è il GDPR – che è la normativa di settore in virtù della quale il Garante ha mosso le sue contestazioni – che dal 2018 esplica i suoi effetti e che pone alla sua base lo stesso approccio risk based su cui si fonda la proposta di Regolamento sull’IA.
Allora, forse il framework non aderisce, come deve, alla realtà cangiante e va ripensato così come va ripensata la portata delle norme perché le regole non siano monche o inadeguate.
I diritti fondamentali non hanno una portata europea. Quando un diritto è applicabile, deve essere efficace senza confini di spazio. Diversamente, si limita fortemente l’effettività, in questo caso, del diritto alla protezione dei dati personali (e di tutti quelli che trascina con sé) che non dovrebbe variare a seconda della geolocalizzazione del destinatario dei dati o del trattamento posto in essere.
E qui salto alla seconda domanda: il nocciolo duro del diritto esige di esplicare i suoi effetti sul territorio globale e si impone allo stesso legislatore perché il contenuto minimo essenziale non può essere consegnato all’indirizzo politico di maggioranza, neanche europeo.
Mi permetto di aggiungere una terza domanda: in questo nuovo scenario europeo, che paradossalmente ha visto ampliarsi i poteri delle Autorità di controllo, dove sono le Linee Guida e provvedimenti di carattere generale vincolanti dell’Autorità? Qual è divenuto esattamente il suo ruolo?