Si può ottenere la fiducia dei cittadini digitali attraverso nuove regole?

Andrea Lisi
Responsabile Sezione Artificial Intelligence

Direttore responsabile della Rivista di divulgazione scientifica DIGEAT. Avvocato esperto in diritto applicato all'informatica e protezione dei dati, Titolare di Studio Legale Lisi e coordinatore di Digitalaw e D&L NET. Presidente di ANORC Professioni. Componente del Comitato di Esperti di comprovata esperienza e qualificazione in materia di innovazione tecnologica e transizione digitale della PA presso il Sottosegretariato alla Presidenza del Consiglio con delega all’innovazione tecnologica.

Abstract

L’ipertrofica produzione del Legislatore europeo in ambito IT rischia di complicare, piuttosto che di favorire, lo sviluppo dei mercati digitali. I più recenti regolamenti UE sono molto puntigliosi, dettagliati, ricchi di norme stringenti. A queste si somma l’AI Act che contiene vere e proprie liste di cose da fare e da assicurare. Il Diritto dovrebbe invece essere astrazione e non pruriginosa burocratizzazione: l’attuale mancanza di sintesi rischia di essere indigesta a chi è abituato a una diversa fruibilità delle norme generali che – se ben scritte – sanno ricomprendere normalmente ciò che sfugge al più capillare dei regolamenti. Dunque, quale potrebbe essere la strada giusta per realizzare una vera innovazione che possa infondere fiducia – e non nuovi timori- nei cittadini digitali?

Recuperare e consolidare la fiducia nei mercati digitali è un obiettivo costante che si ritrova e viene ribadito in tutte le recenti (e piuttosto copiose) regolamentazioni UE. Ma siamo sicuri che per cavalcare un’innovazione digitale sorprendente abbiamo bisogno di lacci e lacciuoli, di regole puntigliose, di divieti e pesanti sanzioni o dovremmo invece aspirare alla fissazione e condivisione di principi fondamentali e di ampie regole da rispettare a livello internazionale con un approccio davvero neutrale dal punto di vista tecnologico?

Innovazione e fiducia: costruire il futuro digitale dell’UE

Il considerando 6 del Regolamento UE 2024/1689 (altrimenti noto come AI Act) recita solennemente: in considerazione dell’impatto significativo che l’IA può avere sulla società e della necessità di creare maggiore fiducia, è essenziale che l’IA e il suo quadro normativo siano sviluppati conformemente ai valori dell’Unione sanciti dall’articolo 2 del trattato sull’Unione europea (TUE), ai diritti e alle libertà fondamentali sanciti dai trattati e, conformemente all’articolo 6 TUE, alla Carta. Come prerequisito, l’IA dovrebbe essere una tecnologia antropocentrica. Dovrebbe fungere da strumento per le persone, con il fine ultimo di migliorare il benessere degli esseri umani.

L’obiettivo primario di questa ennesima regolamentazione europea che ha a che fare con l’innovazione digitale, quindi, è di infondere maggiore fiducia nell’utilizzo dei sistemi di Intelligenza Artificiale.

In realtà, questa primaria finalità contenuta nell’AI Act non è nuova allorché si ha cura di leggere il considerando 7 del Regolamento (UE) 2016/679 (più conosciuto con l’acronimo GDPR dedicato – come noto – alla protezione dei dati personali e alla loro libera circolazione) dove si afferma: tale evoluzione (ndr. si fa riferimento all’evoluzione tecnologica e alla globalizzazione evocate nel precedente considerando 6) richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno.

Anche qui, pertanto, la fiducia viene individuata come finalità ultima dell’azione legislativa onde favorire lo sviluppo dell’economia digitale.

Allo stesso modo il Regolamento UE n. 910/2014 (eIDAS, dedicato all’identificazione elettronica e ai servizi fiduciari per le transazioni elettroniche)[1] nei considerando 1 e 2 testualmente ci riferisce che instaurare la fiducia negli ambienti online è fondamentale per lo sviluppo economico e sociale. La mancanza di fiducia, dovuta in particolare a una percepita assenza di certezza giuridica, scoraggia i consumatori, le imprese e le autorità pubbliche dall’effettuare transazioni per via elettronica e dall’adottare nuovi servizi” e, quindi, che “il presente regolamento mira a rafforzare la fiducia nelle transazioni elettroniche nel mercato interno fornendo una base comune per interazioni elettroniche sicure fra cittadini, imprese e autorità pubbliche, in modo da migliorare l’efficacia dei servizi elettronici pubblici e privati, nonché dell’eBusiness e del commercio elettronico, nell’Unione europea.

Non possiamo non chiederci, però, se effettivamente questo modus operandi che sembra caratterizzare da qualche anno a questa parte l’azione del legislatore comunitario, il quale insegue con regolamentazioni puntigliose le varie sfaccettature della digitalità, possa davvero ambire a conseguire l’obiettivo ambizioso di stimolare il mercato digitale attraverso un’iniezione di diffusa fiducia, anche a suon di sanzioni in caso di violazione delle disposizioni ivi previste.

E non possono, in proposito, non tornarci in mente le ultime dichiarazioni di Mario Draghi che sembrano confermare le preoccupazioni di chi trova pericolosa l’ipertrofica regolamentazione in ambito UE nel momento in cui nel suo Report per l’Europa afferma che “sosteniamo di favorire l’innovazione, ma continuiamo ad aggiungere oneri normativi alle aziende europee, che sono particolarmente costosi per le PMI e autodistruttivi per quelle dei settori digitali. Più della metà delle PMI in Europa indica gli ostacoli normativi e gli oneri amministrativi come la loro sfida più grande.”

È davvero così? L’ipertrofica normativa europea in ambito IT rischia di complicare le cose invece di favorire lo sviluppo dei mercati digitali?

La vertigine dell’IA e la “nuova” digitalità

A leggere faticosamente l’AI Act effettivamente si ha la netta sensazione che il legislatore UE arranchi nel tentativo di trovare una sintesi tra le diverse discipline che si sono sommate nei vari ambiti dell’innovazione odierna, tanto che nel considerando 64 si afferma che i pericoli dei sistemi di IA disciplinati dai requisiti del presente regolamento riguardano aspetti diversi rispetto alla vigente normativa di armonizzazione dell’Unione e pertanto i requisiti del presente regolamento completerebbero il corpus esistente della normativa di armonizzazione dell’Unione. Ad esempio, le macchine o i dispositivi medici in cui è integrato un sistema di IA potrebbero presentare rischi non affrontati dai requisiti essenziali di sicurezza e di tutela della salute stabiliti nella pertinente normativa armonizzata dell’Unione, in quanto tale normativa settoriale non affronta i rischi specifici dei sistemi di IA. Ciò richiede un’applicazione simultanea e complementare dei vari atti legislativi. Al fine di garantire la coerenza ed evitare oneri amministrativi e costi inutili, i fornitori di un prodotto contenente uno o più sistemi di IA ad alto rischio cui si applicano i requisiti del presente regolamento e della normativa di armonizzazione dell’Unione basata sul nuovo quadro legislativo ed elencata in un allegato del presente regolamento dovrebbero avere flessibilità per quanto riguarda le decisioni operative sulle maniere per garantire in modo ottimale la conformità di un prodotto contenente uno o più sistemi di IA a tutti i requisiti applicabili di tale normativa armonizzata dell’Unione. Tale flessibilità potrebbe significare, ad esempio, che il fornitore decide di integrare una parte dei necessari processi di prova e comunicazione, nonché delle informazioni e della documentazione richieste a norma del presente regolamento nella documentazione e nelle procedure già esistenti richieste dalla vigente normativa di armonizzazione dell’Unione sulla base del nuovo quadro legislativo ed elencate in un allegato del presente regolamento. Ciò non dovrebbe in alcun modo compromettere l’obbligo del fornitore di rispettare tutti i requisiti applicabili.

Il legislatore UE sembra così abdicare alla sintesi delle norme sino ad oggi partorite in modo vorticoso nei vari ambiti del digitale o in settori specifici e armonizzati (e che in quest’ultimo caso vengono quanto meno indicati nell’AI Act, nell’allegato I) per affidare direttamente a fornitori e deployer (sostanzialmente gli utilizzatori professionali dei sistemi IA) il compito di applicarle in modo flessibile.

Anche alla luce di questo stimolo del legislatore UE, ossia di essere flessibili nell’applicare discipline armonizzate differenti e potenzialmente tutte applicabili nello sviluppo (o semplice utilizzo professionale) di sistemi di IA, quanto può risultare semplice oggi essere compliant nel porre sul mercato (o anche semplicemente utilizzare) i propri servizi digitali? È una domanda, questa, che genera un inevitabile senso di vertigine, perché ormai tutti siamo informatizzati e utilizziamo e/o sviluppiamo servizi che hanno dimensioni digitali.

La digitalità pervade ogni nostra azione, da quelle più professionali o aziendali, sino a quelle insite della nostra dimensione intima e personale. Ma essere digitali oggi implica anche attenzione, verifica di diverse regole tutte potenzialmente applicabili, conoscenza dei principi di trasparenza informativa, security, data protection, tutele consumeristiche e ancora regolazione di modelli organizzativi che siano davvero calzanti con ciò che siamo. E ovviamente tali adempimenti si diversificano a seconda del nostro ambito di appartenenza (ciò che è indispensabile nel mondo finanziario non coincide con ciò che è stato regolamentato in ambito sanitario). E ciò vale a maggior ragione per lo sviluppo, o anche il semplice utilizzo, di sistemi o soluzioni di Intelligenza Artificiale, di cui tanto si parla oggi.

Come regolamentare contrattualmente, quindi, lo sviluppo di sistemi di Intelligenza Artificiale?

I sistemi di IA restano comunque sofisticate soluzioni software poggiate su piattaforme cloud, quindi, essi sommano al loro interno le problematiche giuridiche e contrattuali dello sviluppo e del mantenimento di software, intrecciandosi con questioni di security e privacy (intesa, quest’ultima, come protezione dei dati personali che possono essere trattati all’interno di tali soluzioni).

L’architettura contrattuale (pur nella sua atipicità) è da tempo nota, quindi, a noi studiosi della materia e le stesse clausole su cui confrontarsi sono sempre quelle proprie di chi conosce da tempo la contrattualistica informatica e telematica. Anche l’impianto giuridico su cui poggiare le fondamenta di una soluzione di IA si dipana all’interno di principi generali (e di buon senso) che da tempo animano (o dovrebbero animare) le architetture digitali.

La vera innovazione tra architetture e prigioni normative

La bussola per chi si occupa di queste questioni dovrebbe pertanto rimanere una solida base giuridica con esperienza acquisita nella contrattualistica e una dimestichezza verso i tecnicismi informatici e la data protection. Insomma, le problematiche in punto di diritto sono sempre quelle e non si stravolgono lungo l’evoluzione tecnologica (pur sfrenata) a cui stiamo assistendo oggi.

Ovvio, però, che la tensione con i big player e lo strapotere da essi accumulato in questi anni (di cui da tanti anni mi occupo nella mia attività divulgativa), combinati con le paure verso scenari possibili di schiavitù digitale, hanno portato il legislatore europeo a regolamentare in modo ipertrofico i vari aspetti della digitalità imposta che ci riguarda.

I vari regolamenti UE DSA, DGA, DMA, Data Act, GDPR sino all’AI Act (comprese le indicazioni delle direttive NIS che si occupano di security e che con la NIS 2 hanno ampliato il novero dei soggetti che devono assicurarne l’applicazione, tra i quali rientrano i fornitori di servizi fiduciari) sono molto puntigliosi, dettagliati, ricchi di norme stringenti meditate per arginare una situazione potenzialmente pericolosa per i nostri diritti e libertà fondamentali. A queste normative oggi si somma l’AI Act che contiene veri e proprie liste della spesa di cose da fare e da assicurare, dalla valutazione di conformità alla valutazione di impatto sui diritti fondamentali.

Ma molti di quegli adempimenti ivi previsti, a volte meticolosissimi, straripano verso il mondo delle PMI, rischiando di costruire prigioni normative che non sempre fanno bene al diritto e senz’altro possono danneggiare alla lunga il nostro piccolo mercato IT. Regole troppo minuziose rischiano di costruire un’arida cella e non possiamo, a mio avviso, cadere nella tentazione di regolamentare ancora ciò che pensiamo che ci serva per essere digitali senza rischi. Abbiamo già chiesto e fatto anche troppo con le regole attualmente in vigore.

E su questo le preoccupazioni di Mario Draghi hanno purtroppo colto nel segno. Avremmo invece bisogno di vera accountability, di regole ampie (e chiare) su cui disegnare micro-ordinamenti indipendenti in grado di garantire i rapporti complessi del mondo digitale, assicurando garanzie precise ai destinatari dei vari servizi. Briglie sciolte per il diritto non significa per forza far west digitale. Può significare piuttosto, per un giurista davvero preparato, avere la possibilità di disegnare un mondo con ruoli e responsabilità definite contrattualmente in un’architettura informatica che consenta alla PA o all’impresa di essere efficiente ed efficace.

Per fare un esempio, ricordiamoci del dualismo perfetto tra firma digitale e firma autografa che caratterizzava il diritto nazionale applicato all’informatica di circa 25 anni fa. Era dottrinalmente rassicurante nella sua essenzialità, ma non rifletteva la moltitudine espressiva del mondo dell’eCommerce e dell’eGov che si andava sviluppando in Europa.

Oggi abbiamo un approccio neutrale tecnologicamente con le firme elettroniche a livello europeo che consente a giuristi e informatici di liberare le transazioni elettroniche pur mantenendo rigide garanzie per gli utenti, a seconda dei contesti di riferimento.

Questa è vera innovazione.

L’AI Act è senz’altro un primo tentativo di arginare ciò che viene avvertito come un delicato problema, il legislatore UE ha focalizzato effettivamente la sua attenzione soprattutto sui sistemi ad alto rischio, arrivando a vietare pratiche ritenute totalmente incompatibili con i nostri diritti e libertà fondamentali. Ma procedendo in questo modo si è azzardato appunto di inserire ex lege nel nostro ordinamento una lunghissima lista di adempimenti dettati dalla paura di ciò che peraltro si è ancora compreso poco.

E la paura non sempre è amica dell’innovazione. E peraltro accanto a questa normativa, estremamente analitica e di difficile lettura (e applicazione), già si affastellano normative nazionali che vorrebbero completarla[2]. Il Diritto dovrebbe invece essere astrazione e non pruriginosa burocratizzazione. L’AI Act, che ripete ossessivamente principi già noti a tante altre discipline e che impone un “elenco della spesa” di cose da fare (a suon di sanzioni), rischia così di essere davvero indigesto a chi è abituato a una diversa fruibilità delle norme generali, che – se ben scritte – sanno ricomprendere normalmente ciò che sfugge al più capillare dei regolamenti[3].

La recentissima Convenzione del Consiglio d’Europa sull’IA, ad esempio, è di fatto il primo trattato internazionale che si occupa della tematica in modo generale ed è stata firmata anche dagli USA e altri Paesi non UE. Trovo questo testo normativo molto più asciutto ed efficace rispetto all’AI Act per le ragioni precedentemente espresse, e sicuramente risulta essere molto più aperto alla cooperazione internazionale che su questa tematica è indispensabile per non isolarsi a livello europeo.

Ora è arrivato il momento di (ri-)studiare i principi generali del diritto applicandoli con logica e buon senso a ciò che si va costruendo lungo le onde digitali che sembrano investirci in questi giorni.

Di questo futuro, a mio avviso, hanno disperato bisogno i cittadini digitali.

NOTE

[1] Come noto, recentemente modificato con il Regolamento (UE) 2024/1183 del Parlamento europeo e del Consiglio, dell’11 aprile 2024.

[2] Si fa riferimento, ad esempio, al disegno di legge nazionale in materia di intelligenza artificiale che è in corso di esame a livello parlamentare.

[3] I tecnicismi e le regole specifiche ben possono essere affidati alle normative secondarie e/o tecniche e/o volontarie.

Indice

Abstract
Innovazione e fiducia: costruire il futuro digitale dell’UE
La vertigine dell’IA e la “nuova” digitalità
La vera innovazione tra architetture e prigioni normative

PAROLE CHIAVE: accountability / AI / digitalità / eIDAS / fiducia / gdpr / innovazione / neutralità / regolamenti

Tutti i contenuti presenti in questa rivista sono riservati. La riproduzione è vietata salvo esplicita richiesta e approvazione da parte dell’editore Digitalaw Srl.
Le foto sono di proprietà di Marcello Moscara e sono coperte dal diritto d’autore.

Cookie	Tipo	Durata	Descrizione
cookielawinfo-checkbox-advertisement	1	11 months 29 days 23 hours 59 minutes	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category ''Advertisement''.
cookielawinfo-checkbox-analytics	1	11 months 29 days 23 hours 59 minutes	This cookies is set by GDPR Cookie Consent WordPress Plugin. The cookie is used to remember the user consent for the cookies under the category ''Analytics''.
cookielawinfo-checkbox-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-non-necessary	0	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Non Necessary".
cookielawinfo-checkbox-performance	1	11 months 29 days 23 hours 59 minutes	This cookie is used to keep track of which cookies the user have approved for this site.
viewed_cookie_policy	0	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wordpress_test_cookie	1	session	This cookie is used to check if the cookies are enabled on the users'' browser.

Cookie	Tipo	Durata	Descrizione
_ga	1	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site''s analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gat_gtag_UA_92838381_1	0	1 minute	This cookie is installed by Google Analytics. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
GPS	1	29 minutes	This cookie is set by Youtube and registers a unique ID for tracking users based on their geographical location
vuid	1	1 years 11 months 28 days 23 hours 59 minutes	This domain of this cookie is owned by Vimeo. This cookie is used by vimeo to collect tracking information. It sets a unique ID to embed videos to the website.

Cookie	Tipo	Durata	Descrizione
IDE	1	1 years 23 days 23 hours 59 minutes	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
VISITOR_INFO1_LIVE	1	5 months 26 days 23 hours 59 minutes	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.