Intervista Iannuzzi

A cura di Miriam Viscusi

Nella scorsa legislatura della Commissione europea abbiamo avuto un'intensa produzione normativa di regolamenti da parte dell'Unione Europea che ha “avvolto” il digitale in una serie di regole, seguendo l'idea che le tecnologie si possono regolare. I principali atti normativi della scorsa legislatura sono stati il Digital Services Act, ma anche il Data Governance Act, sul versante della circolazione dei dati, l'AI Act sulla regolazione dell'intelligenza artificiale. Anche sul versante della cyber security ci sono tantissimi atti a partire dalla direttiva NITZ2, al regolamento Dora o al Cyber Services Act, quindi tantissimi regolamenti che in questa legislatura richiederanno un'attuazione.

Una valutazione sul regolamento Chat control 2.0, sia sulla proposta complessiva che in alcune parti specifiche? E come si può rispondere alle preoccupazioni sollevate da diverse figure politiche e organizzazioni che parlano di una forma di sorveglianza di massa?

Io ho un'opinione negativa sul regolamento, soprattutto in merito a due aspetti che non mi risultano chiari, innanzitutto il rapporto fra questa proposta e il regolamento generale sulla protezione dei dati personali, che mi sembra andare in una direzione del tutto opposta.

Da una parte la protezione della riservatezza, dall'altra invece l’ostensione di controllo e di pubblicità della corrispondenza privata, che crea, secondo me, un secondo profilo di criticità relativamente a tutta la costituzionale della riservatezza e della corrispondenza. Un altro aspetto negativo - ma di contesto - è l'eccessiva politicizzazione che è stata fatta del regolamento. Un regolamento che inizia il suo iter, sarà sperabilmente migliorato e richiede un dibattito tecnico approfondito successivamente. L'impostazione che ha è quella della fine dell'anonimato su Internet e si tratta di una questione che va affrontata con serietà, senza ideologismi, senza contrapposizioni e radicalizzazioni, perché forse ci dobbiamo chiedere cosa sono diventati i social network, che sembravano uno spazio di libertà assoluta, dell'uso che ne facciamo e dell'uso che ci viene proposto di farne.

Per quanto riguarda l'AI Act, qual è una valutazione generale dell'impianto, della proposta e com’è delineato il quadro normativo?

Il giudizio sull'AI Act secondo me è assolutamente positivo: innanzitutto è un regolamento che completa tutta una serie di atti normativi adottati dall'Unione Europea. Sicuramente c'è stato un legame molto stretto tra l'AI Act e i regolamenti generali sulla protezione dei dati personali: non siamo arrivati impreparati come ordinamento europeo al regolamento dell'intelligenza artificiale, l'Unione Europea è sempre caratterizzata per una intensa attenzione al fenomeno digitale e l'AI Act è l'ultimo di questi atti. Si pone esattamente in linea con i regolamenti generali sulla protezione dei dati personali, quindi la valutazione positiva è anche dipendente dal fatto che ne faccio una considerazione opposta rispetto a quella del chat control. L’AI Act è un regolamento molto incoraggiante in termini di prospettiva, innanzitutto c'è stato un gran lavoro da parte degli organi costituzionali dell'Unione Europea nel tentativo di definire l'intelligenza artificiale.

Nel diritto, definire è sempre un'attività molto complessa anche se talvolta è quasi impossibile definire l'intelligenza artificiale in un momento in cui si sta evolvendo e mutando velocemente. La definizione che ci dà l'AI Act è importante perché si pone in un stretto rapporto con altre definizioni che sono state adottate anche a livello di altri Stati Paesi come gli Stati Uniti, e anche con altri atti di diritto internazionale. In particolare la stessa definizione si ritrova nel diritto convenzionale della Convenzione europea dei diritti dell'uomo e nella raccomandazione dell'Ocse che segna una convergenza a livello internazionale sull'oggetto della regolazione. L’auspicio è andare verso una regolazione condivisa a livello di Stati dell'intelligenza artificiale perché il fenomeno è globale e universale e difficilmente sarà cambiato da regole locali, ha necessità di condivisione di regole a livello universale,

Mi pare che oltre alla definizione, anche sull'aspetto dei principi cominci ad avvertirsi una condivisione a livello internazionale. Parlo del principio della trasparenza algoritmica, di quello della supervisione umana e del diritto di utilizzo di questi strumenti in totale automazione, in totale autonomia rispetto all'uomo, il principio di non discriminazione,

Sulle questioni strettamente di principio sembra iniziare a registrarsi una convergenza e senz'altro questo è forse il merito principale dell'AI Act, secondo il cosiddetto “effetto Bruxelles” che l'Unione Europea vuole conseguire cioé proporre questi regolamenti non solo come strumenti vincolanti all'interno del territorio dell'Ue, ma come esempi di buona legislazione che possono porsi come modello di regolazione nel mondo.

Detto questo, l'altro aspetto generale estremamente positivo dell'AI Act è l'accento che pone non su una critica dello strumento in sé (anche perché l'intelligenza artificiale è uno strumento che ha opportunità positive straordinarie, ci aiuterà a curarci meglio, a strutturare decisioni pubbliche in maniera più efficiente, servizi pubblici e cittadini più efficienti, le possibilità di utilizzo sono straordinarie) ma sui suoi utilizzi, vietando gli utilizzi che corrispondono a rischi inaccettabili. Secondo un'impostazione generale il regolamento si basa su una valutazione del rischio: quando il rischio è valutato come inaccettabile, i sistemi di intelligenza artificiale vengono a essere vietati, mentre quando la valutazione del rischio conduce a un esito di alto rischio, i sistemi di intelligenza artificiale in quegli utilizzi vengono a essere fortemente limitati, e protetti da una regolazione che prevede obblighi per i fornitori, per i deployer e per tutti fino all'utilizzatore finale, oltre a uno stretto e capillare controllo da parte della Commissione europea. Gli obblighi degradano progressivamente quando gli utilizzi dell'intelligenza artificiale non comportano una valutazione del rischio preoccupante, fino ad arrivare al punto in cui il regolamento prevede gli utilizzi meno rischiosi, meno impattanti e richiede semplicemente degli obblighi di trasparenza.

La valutazione del rischio potrebbe sembrare una formula generica, in realtà deve essere commisurata al parametro della misurazione dell'impatto negativo che questi strumenti possono avere sui diritti fondamentali dell'uomo: in questa accezione la valutazione del rischio è una valutazione che commisurando l'utilizzo dei sistemi di intelligenza artificiale all'impatto sui diritti fondamentali protegge la libertà dell'individuo.

Penso che uno degli aspetti più importanti del regolamento sia l’importanza che assegna agli obiettivi di alfabetizzazione informatica, perché siamo davanti a uno strumento nuovo, in larga parte ignoto al più e l'utilizzo di questi strumenti deve essere fatto in maniera consapevole.

Quando si parla della classificazione dei sistemi a rischio inaccettabile e rischio alto, può fare degli esempi? Quali sono gli ambiti in cui è considerato rischio inaccettabile, rischio alto e poi via via degradando?

Il regolamento nasce con una preoccupazione enorme, legata al rischio che i sistemi di intelligenza artificiale applicati a sistemi di riconoscimento biometrico possano fornire una sorveglianza di massa che poi alla fine diventa una schedatura. Per questo, in un primo momento la preoccupazione del legislatore era soprattutto limitare questi utilizzi e quindi la valutazione dei rischi inaccettabili è soprattutto rivolta a questi ambiti.

Sui sistemi di intelligenza artificiale ad alto rischio, i settori individuati sono quelli relativi alla sanità, all'istruzione, alla giustizia. Sappiamo che sono settori in cui si è provato a introdurre nel mondo sistemi di intelligenza artificiale, soprattutto nel campo della giustizia, ad esempio abbiamo la statistica di utilizzi e ormai anche una giurisprudenza che ci ammonisce contro i rischi di utilizzo errato dei sistemi di intelligenza artificiale. Mi riferisco in particolare al caso Lumis, il fenomenale caso Compas in cui il sistema di intelligenza artificiale era stato usato per valutare automaticamente l'applicazione della recidiva a un sistema di intelligenza artificiale a un imputato che poi era stato condannato con una pena più severa, non per una valutazione giuridica individuale, ma attraverso una catalogazione di alcune sue caratteristiche che erano soprattutto legate al colore della pelle o alla zona svantaggiata di nascita. Questi precedenti hanno ammonito il legislatore europeo che utilizzare questi strumenti in settori delicati, sensibili e correttamente impattati dai diritti fondamentali della persona, possa essere estremamente rischioso.

Anche il lavoro è un grande tema: chiaramente le misure di selezione dei candidati per una selezione a un lavoro non possono essere affidati esclusivamente all'algoritmo di intelligenza artificiale. C’è un dibattito molto acceso e anche con posizioni tra loro divergenti su quello che sarà l'impatto dell'intelligenza artificiale sul lavoro. Da una parte c'è chi sostiene che soprattutto nella fase iniziale produrrà una contrazione del lavoro, dall'altra invece ci sono alcuni rapporti economici che ci dicono che nel lungo periodo invece si creeranno nuove opportunità. Certamente sappiamo che l'impatto sul lavoro sarà rivoluzionario in un senso e in un altro e quindi questa valutazione delimita e sottopone a una stretta verifica di sistemi di intelligenza artificiale dedicati al lavoro, al settore del lavoro e chiaramente influenzata da questi fattori. Abbiamo un altro settore in cui i sistemi sono valutati ad alto rischio, quello del controllo dei flussi migratori: anche qui c'è sempre la preoccupazione che questi strumenti possano essere utilizzati non con una finalità positiva, ma con una finalità discriminatoria.

Quali potrebbero essere delle forme di discriminazione che potrebbero essere amplificate dall'utilizzo dell'intelligenza artificiale? In questo caso secondo lei allo stato attuale si sta contribuendo a diffondere e aumentare questi stereotipi anche di discriminazione razziale o anche di genere nei vari settori che lei ha menzionato e come si potrebbe affrontare dal punto di vista del diritto e anche del diritto europeo questa possibilità, come si potrebbe prevenire?

Il tema del rapporto tra discriminazione e intelligenza artificiale è stato secondo me impostato male all'inizio, nella letteratura internazionale. Nel dibattito scientifico internazionale è chiaro a tutti che l'intelligenza artificiale autonomamente non discrimina, quindi forse parlare di discriminazioni algoritmiche o di discriminazione dell'intelligenza artificiale è sbagliato, nel senso che abbiamo verificato che in realtà quello che fa l'intelligenza artificiale è amplificare le discriminazioni umane.

Le discriminazioni che sono prodotte dall'utilizzo dell'intelligenza artificiale replicano le discriminazioni che leggono nei dati. L'intelligenza artificiale si alimenta di dati, di informazioni, vede e legge nei dati che l'uomo discrimina. E in modo preoccupante, in modo che dobbiamo studiare ancora e capire come è possibile, l'intelligenza artificiale amplifica le discriminazioni che l'uomo reitera. Chiaramente il modo più semplice sarebbe evitare che l'uomo continui a commettere delle ingiustizie o a discriminare. L'intelligenza artificiale non ci consegna un mondo senza discriminazioni, non ci consegna neanche un mondo con discriminazioni diverse, ma riproduce le discriminazioni che noi uomini purtroppo abbiamo nel corso della storia reiterato. L'intelligenza artificiale è legato sempre a un fattore umano, ai bias culturali che ha sicuramente il progettatore dell'algoritmo. Da questo punto di vista i sistemi di intelligenza artificiale sono condizionati da pregiudizi umani. Come risolvere questi problemi, dicevo prima, è oggi una questione importante e non risolta. Regolare i dati, fare avere attività dei dati di maggiore qualità, maggiori fonti, e allenare questi sistemi di intelligenza artificiale con fonti di natura diversa. Ad esempio, se abbiamo in un sistema di intelligenza artificiale le fonti giudiziarie, magari si vedrà che chi è nato in una determinata parte del territorio ha una percentuale di commissione di reati più alta. Con altri dataset che mostrano comportamenti di beneficenza, di altruismo, magari riusciamo a contrastare questa visione mostrando che persone che sono nate in territori svantaggiati possono essere in percentuale più propense a rivolgere delle azioni benefiche. Quindi è molto importante aumentare la pluralità delle fonti da cui si estraggono i dati.

Non mi convincono molto invece i sistemi di autocorrezione algoritmica, perché riproducono delle correzioni che sono così evidenti dall'output dell'intelligenza artificiale che è poco affidabile e meno credibile.

Parlando di mercati e di Big Tech, in che modo il Digital Market Act potrebbe trasformare il modo in cui le Big Tech fanno business in Europa e allo stesso tempo se questo potrebbe essere collegato a nuove opportunità per le imprese italiane. (Qual è lo scenario di questo strumento e come potrebbe regolare il mercato, se lo può fare?

Anche il DMA è uno strumento fondamentale. Forse il più grande problema che c'è oggi nella società digitale mondiale è il problema della regolazione della compra. E' chiaro che è una concorrenza fortemente reale e iniqua, quindi paradossalmente le regole sulla concorrenza che dovrebbero avvantaggiare i più piccoli, nel mondo avvantaggiano i più grandi. Quindi l'applicazione del DMA, da interpretare sicuramente in uno strettissimo raccordo al Digital Services Act è quella di riportare le politiche della concorrenza nel loro giusto ordine che è quello di valorizzare e tutelare i piccoli rispetto ai grandi. La preoccupazione di tutelare le piccole e le medie imprese è fortemente centrale in tutti i regolamenti dell'Unione Europea che riguardano la società digitale, non solo nel DMA.

Noi abbiamo un tessuto europeo imprenditoriale che, come dicevo prima, è composto in larga prevalenza da piccole e medie e micro imprese e quindi innanzitutto la prima cosa che dobbiamo chiederci (e che forse il legislatore europeo si è chiesto nei momenti in cui ha adottato questi atti) è che cosa fanno queste piccole e medie imprese nella società digitale? C'è spazio nel mercato digitale per delle imprese così piccole? Nelle mie letture e nei miei studi ho visto che la risposta è stata sì, nel senso che le imprese italiane e le imprese europee sono riuscite a internazionalizzarsi e a digitalizzarsi molto bene e in fretta e sono oggi delle aziende che riescono a imporsi soprattutto nella creazione di componentisticadi qualità,

Lo spazio di mercato c'è, le imprese riescono a stare sul mercato in maniera efficiente, chiaramente bisogna tutelarle, bisogna anche creare, incentivare lo spazio di mercato e soprattutto quello che forse adesso ci aspettiamo da questa legislatura europea è lavorare di più sul piano degli investimenti per stimolare i piccoli imprenditori a produrre ricchezza, a migliorare i rendimenti in questi.

Serve sicuramente un programma di investimento massiccio che punti anche a far capire che digitalizzazione e sicurezza informatica sono più un investimento per gli imprenditori che un costo: serve lavorare sulla consapevolezza e sulla cultura degli imprenditori, che faccia capire l’importanza di saper rispondere a degli attacchi informatici, anche dall’altra parte semplificando alcune regole europee che in ogni caso puntano a investire e a incentivare anche le piccole e medie imprese a lavorare sulla sicurezza informatica.

Ormai siamo in una società digitalizzata in cui il lavoro è digitalizzato, i dati dei lavoratori sono digitalizzati, l'e-commerce è ormai presente dappertutto e anche loro sono esposti a dei rischi, tutti i piccoli sono esposti a dei rischi che devono comprendere.

Secondo lei in questo senso il programma Europa Digitale interviene anche su questo e può essere sufficiente, migliorabile? Quali sono le prospettive di questo piano che interviene tra le altre cose anche sulla sicurezza informatica?

Il programma Europa Digitale è un primo passo nella direzione giusta, io penso che si possa invertire la rotta. Molto spesso in questi ambiti ci chiediamo se siamo talmente indietro da dover accettare una dipendenza tecnologica e quindi il fatto che non riusciremo ad affermare aziende europee in questi ambiti. Io penso che il programma sia un primo passo che ci dimostra che si può invertire la rotta e questo dipende da una serie di argomenti. Il primo è che le nuove tecnologie, le tecnologie digitali emergenti sono nuove per definizione: se ne creano sempre di altre, siamo in un settore che è fortemente dinamico e in rapidissima evoluzione. Quindi oggi magari siamo in ritardo sulle piattaforme, ma su tecnologie nuove come i computer quantistici e il cloud, su cui il mercato si sta iniziando a muovere, l’Ue ha ancora la possibilità di dire la propria, con capacità tecniche ed eccellenze nella ricerca del campo.

Dobbiamo cercare di accantonare la tentazione ritornare a investire e innovare all'interno dei confini statali, ma capire che siamo troppo piccoli a livello di singoli Stati per comprendere i mercati globali quali quelli digitali. Dall'altra parte dobbiamo valorizzare i poli europei di innovazione digitale. Molto abbiamo fatto anche negli ultimi anni grazie al PNRR in Italia, il next generation dell'Unione Europea, ci sono tantissimi anche centri universitari, centri di banche fondazioni, centri europei che hanno già ricevuto dei finanziamenti scorsira il grande tema è come dare continuità a queste società, a queste fondazioni, a questi istituti pubblici o privati che sono stati sostituiti sulla base di finanziamenti occasionali e temporanei e come finanziarli nel lungo periodo. Penso che non possiamo però limitarci alla miopia di pensare che l'innovazione è finanziata soltanto dal pubblico, dobbiamo cercare anche di attrarre capitali privati, c'è bisogno di sinergie importanti tra pubblico e privato, ma anche di capitali esclusivamente privati.

Quanto Digital Service Act può effettivamente essere sufficiente a proteggere tutti gli utenti, quindi anche gli utenti più vulnerabili e come può contribuire in modo positivo questo strumento a rendere l'Internet un po' più sicuro?

Il regolamento centrale nella società digitale continua a essere il regolamento generale sulla protezione dei dati personali, che secondo me, anche se ha quasi 10 anni di tempo, ha dimostrato tutta la sua efficacia e la lungimiranza della posizione europea, ed è mantenuto nell'impalcatura essenziale.

Il Digital Service Act è uno strumento fondamentale nella regolazione delle piattaforme: il web, le piattaforme, non possono essere far west. Noi siamo partiti dall'illusione che Internet e le piattaforme potessero essere uno spazio di libertà assoluta, così ampio da offrire uno spazio di libertà anche per gli utenti con esclusione delle regole giuridiche. Era una prospettiva “anarcoide”, forse per alcuni affascinante, però alla prova dei fatti si è dimostrata un'illusione vana. Il Dsa parte dalla consapevolezza, invece, che questi spazi vanno assoluti. Perché altrimenti diventano spazi di soprusi, spazi in cui quelli grandi diventano sempre più grandi e in cui i diritti degli individui faticano a essere rispettati.

Il Dsa è forse lo strumento che nella legislatura scorsa ha dato una risposta maggiore alla volontà politica della Commissione europea di affermare la sovranità digitale e condivisa a livello europeo, che è stato quello strumento che ha imposto delle regole, soprattutto alle big tech, che si mostravano riluttanti e continuano a mostrarsi riluttanti all'applicazione di queste regole.

Il Digital Services Act è stato l'atto normativo che mi ha fatto capire meglio che questa sovranità digitale europea dovevamo interpretarla nel senso che l'Unione europea diventi, essendo un organo politico, il diritto di regolare qualcosa che qualcuno pensava che non fosse regolabile, soprattutto le big tech oggi si sentono così forti da poter o voler pretendere di non sottoporsi a nessuna regola giuridica e questo non è un bene per nessuno perché mina il concetto stesso di stato di diritto.

Le regole del Dsa puntano a imporre diversamente degli obblighi di moderazione dei contenuti, l'obiezione che i gestori delle piattaforme muovono riguarda la difficoltà di monitorare e moderare miliardi di contenuti che ogni giorno gli utenti propongono. In realtà mi parla un'obiezione molto pretenziosa, molto discutibile perché se una piattaforma gestisce e monitora miliardi di utenti non può avere difficoltà tecniche a moderare i contenuti.

Da questo punto di vista il Dsa stabilisce delle regole che ragionevoli, mi riferisco in particolare alla moderazione dei contenuti sulla base di segnalazioni ricevute dagli utenti stessi, la previsione dei segnalatori di attività che aiuta e crea una collaborazione virtuosa tra chi utilizza le piattaforme e chi le gestisce. Non dobbiamo neanche dimenticare che oggi questa attività di moderazione dei contenuti è ampliata dal comando dell'algoritmo di deterrenza detergenza artificiale, quindi le modalità tecniche di moderazione esistono, basta impostare correttamente gli algoritmi.

L'altra grande questione che si pone soprattutto nel rapporto tra piattaforme di provenienza statunitensi e regolazione europea è legata alla diversa valenza costituzionale che noi diamo al tema della libertà di manifestazione del pensiero. Sappiamo che negli Stati Uniti il free speech è il valore costituzionale primario e che non è limitato, mentre nella nostra cultura giuridica tutti i diritti fondamentali sono bilanciabili e limitabili.

La sanzione che la Commissione europea ha inflitto a X, la piattaforma di Elon Musk, per una serie di violazioni moltoe evidenti di questa piattaforma, un'ammenda di 120 milioni di Euro è proprio un’applicazione del Digital Services Act. Sappiamo che la reazione dei proprietari della piattaforma di Elon Musk è stata violenta, ha accusato sostanzialmente l'Europa di non essere democratica. In realtà le cose vanno lette e raccordate oggettivamente: qui ci sono almeno tre violazioni contestate importanti. Innanzitutto l'uso che la Commissione europea definisce ingannevole della “spunta blu”, che è diventato un servizio invece che la piattaforma di X vende a pagamento e va a vantaggio a chi ha i fondi per pagare il servizio e quindi rende l'autenticità degli account non un servizio oggettivo, ma un servizio a pagamento che espone gli utenti a truffe e manipolazione da parte di attori malintenzionati.

L'altro aspetto è la mancanza di trasparenza degli annunci politici: usciamo da una stagione terribile in Europa in cui le elezioni della Romania sono state annullate perché sono stati desecretati alcuni rapporti dei servizi segreti, annullati con una tendenza della Corte Costituzionale, sul fatto che una serie di messaggi pubblicitari su alcune piattaforme non X erano stati veicolati senza trasparenza sul finanziamento pubblico o privato di questi messaggi. C'è chiaramente una forte incidenza e forse la preoccupazione maggiore che dobbiamo avere di questi sistemi delle piattaforme è sulla disinformazione e sul tema della manipolazione politica, di chi finanzia gli annunci politici.

Mondo Internazionale APS - Riproduzione Riservata ® 2025