di Francesco Borgesano
Sommario
1. Introduzione
2. Il problema della cybersecurity nel prisma dei modelli di regolazione della realtà digitale
3. Il rapporto di interdipendenza tra “responsabilità” e “sicurezza”
4. La dimensione multifunzionale dell’istituto responsabilistico nel contesto dell’intelligenza artificiale
5. Considerazioni conclusive
-
Introduzione
I sistemi d’intelligenza artificiale costituiscono una straordinaria opportunità funzionale sia per lo sviluppo economico, sia per la promozione del benessere dell’umanità. Ed invero, attraverso tali sistemi, la ricerca scientifica, la prevenzione sanitaria e ambientale, i servizi essenziali e la produzione industriale raggiungono livelli di efficienza, esattezza e certezza certamente maggiori rispetto al passato. Di contro, il rovescio della medaglia, e quindi una eventuale utilizzazione abusiva dei sistemi di intelligenza artificiale, possono integrare una vera minaccia, con conseguenze molto gravi sia sul piano ambientale e sia relativamente alla violazione e repressione di diritti inviolabili della persona1.
Infatti, nonostante il sistema di I.A sia molto eterogeneo, esiste il rischio che le decisioni automatizzate assunte dalla “macchina” possano fondarsi su dati incompleti od errati, ovvero subire manipolazioni esterne, tali, quindi, da renderne l’“azione autonoma” funzionale alla creazione di situazioni di pericolo od altamente pregiudizievoli2. Di conseguenza prioritariamente3 è strettamente necessario predisporre un modello di cybersecurity che sia adeguato alle caratteristiche strutturali e funzionali dei sistemi di IA che implichi la convergenza simultanea di una pluralità di fattori eterogenei di natura “giuridica”, “tecnica” ed “organizzativa” e di per sé una rimodulazione della fisionomia stessa del principio di responsabilità. Infatti, il principio di responsabilità accanto alla sua normale dimensione “reattiva”, aggiunge anche una dimensione “proattiva”, tendente a prevenire la verificazione del pregiudizio (in ciò convergendo nell’obiettivo della sicurezza) mutuando così, la dimensione funzionale e teleologica risipetto al modello tradizionale4.
In tema di sicurezza nel contesto dell’intelligenza artificiale, si è cercato, da un lato, di riconoscere e garantire ampio spazio alla sperimentazione ed allo sviluppo dell’IA; dall’altro, si è cercato di adottare un metodo fondato sul «rischio», funzionale alla creazione di un modello generale di «sicurezza digitale», destinato ad integrarsi con le misure stabilite da altri atti normativi di settore, ma che in sé costituisce l’attualizzazione interattiva dei principi di precauzione, prevenzione e responsabilità5.
-
Il problema della cybersecurity nel prisma dei modelli di regolazione della realtà digitale
Il problema della “sicurezza” dei sistemi di IA è profondamente connesso al problema della “regolazione” della “realtà digitale”, rispetto al quale si evidenzia l’inidoneità sostanziale allo scopo disciplinare di un approccio puramente etero-normativo, che alla prescrizione positiva d’un precetto fa discendere la previsione di una sanzione per l’ipotesi di sua violazione6.
V’è da precisare che i principi tipici della realtà “digitale” e cioè la “a-terittorialità”, la “delocalizzazione”, la “dematerializzazione”, se anche avessero una norma proibitiva o prescrittiva, finirebbero per relegarla alla sua “ineffettività sostanziale” nell’ipotesi di sua infrazione, incontrando un limite nel particolarismo giuridico delle legislazioni dei vari Stati7. Pertanto, si deve creare una nuova concezione del diritto che non va a collocarsi in una dimensione prescrittiva ma dovrebbe essere inserita, per così dire, nella struttura dei sistemi digitali, così de rendere preventivamente possibile o impossibile una certa condotta. È chiaro che non deve venir meno la tradizionale funzione direttiva del diritto di fonte autoritativa, ma, al contrario, il fattore “normativo” deve “cooperare” con quello “tecnico” e con quello “organizzativo”, così da ritrovare la misura della “giuridicità” delle regole tecno-giuridiche così prodotte nelle potenzialità insite nel principio di sussidiarietà sostanziale8.
-
Il rapporto di interdipendenza tra “responsabilità” e “sicurezza”
Fondamentale è il ruolo sella sussidiarietà nelle dinamiche che coinvolgono responsabilità” e “sicurezza”, le quali vengono a porsi in un rapporto strumentale. La sussidiarietà, aldilà di quanto già evidenziato, acquista una specifica connotazione metodologica individuando, nella cooperazione tra fattori eterogenei, il criterio strutturale che incide sui modelli di sicurezza applicabili ai sistemi informatici.
Nel contesto della realtà virtuale/digitale, la responsabilità è il mezzo attraverso il quale si può raggiungere il fine della sicurezza, convergendo la prima nella realizzazione della seconda, quest’ultima colta sia sul piano della “integrità”, “resilienza” e “robustezza” del sistema (rispetto a malfunzionamenti dello stesso ovvero ad attacchi esterni – e perciò a livello “proattivo” –), sia su quello della “garanzia” di interessi meritevoli che possono essere “automaticamente” ed “autonomamente” repressi dal sistema informatico.
Nasce la responsabilità digitale. Si supera la tradizionale configurazione “sanzionatoria” o “compensativa” della responsabilità che acquisisce anche una specifica dimensione “proattiva” che si manifesta nella “minimizzazione” del rischio digitale attraverso la procedimentalizzazione (tecno-giuridico-organizzativa) della sua gestione; pur mantenendo la propria connotazione “reattiva” che si manifesta a seguito della verificazione del pregiudizio.
-
La dimensione “multifunzionale” dell’istituto responsabilistico nel contesto dell’intelligenza artificiale
Sul piano “proattivo”, l’istituto della responsabilità estrinseca la propria funzione quale principio di “responsabilizzazione” o accountability – ampiamente accolto nel modello di “sicurezza” definito negli atti normativi europei (si v. reg. UE 2016/679 GDPR; prop. reg. UE sull’intelligenza artificiale del 21 aprile 2021)9 – che si contrassegna per la convergenza di fattori normativi, tecnici, organizzativo-gestionali, che seguono l’attivazione del sistema informatico e rilevano sul piano della diligenza professionale, implicando obblighi di controllo, supervisionamento ed aggiornamento dei sistemi, ma che, in ipotesi di violazione, implicano anche il ricorso di obblighi di attivazione, segnalazione ed intervento10. Sotto il profilo “reattivo” – ossia successivo alla verificazione di un pregiudizio – l’istituto della responsabilità acquisisce una specifica dimensione “compensativo-sanzionatoria” che, però, sfugge, almeno parzialmente ai canoni tradizionali; ciò in considerazione dei significativi problemi che vengono posti – segnatamente rispetto ai sistemi di IA e del più o meno incisivo grado di autonomia decisionale degli stessi – con riguardo all’imputabilità della condotta ed alla allocazione degli oneri risarcitori11.
Molteplici sono le soluzioni prospettate in dottrina – dal riconoscimento ai sistemi di IA di una propria “soggettività giuridica”12 al ricorso analogico ad istituti romanistici come quello del peculium, fino a soluzioni improntate all’obbligo assicurativo, etc. – anche con riguardo all’applicazione delle norme codicistiche in tema di responsabilità civile (segnatamente di “responsabilità speciali” ex artt. 2050 e 2051 c.c.). A fronte di queste, sicuramente, deve segnalarsi il modello proposto dalle istituzioni europee (si v. Risoluzione del Parlamento europeo del 20 ottobre 2020, recante “raccomandazioni alla Commissione sul regime di responsabilità civile per l’intelligenza artificiale”), chiaramente ispirato a sussidiarietà, atteso che, pur proponendo la definizione di una serie di regole specificamente dedicate all’IA, non tende a sostituire, ma semmai a concorrere, con le altre normative di settore, segnatamente con riguardo a quelle in punto di responsabilità per prodotto difettoso13.
Il modello in questione risulta incentrato sul concetto di “rischio funzionale” – declinato in ragione della natura dell’attività svolta dal sistema di IA e dal suo ambito di riferimento funzionale; dal suo grado di autonomia decisionale e dalla potenziale entità dei pregiudizi che possono derivarvi – e conosce una diversificazione disciplinare che si estrinseca in un regime di responsabilità oggettiva con riguardo ai sistemi c.d. “ad alto rischio” ovvero di responsabilità “speciale” (con inversione dell’onere probatorio), rispetto a sistemi “a rischio non alto” (benché questi ultimi individuati per esclusione), valorizzando in modo particolare, al fine dell’affermazione della responsabilità, il profilo della “gestione” funzionale ed organizzativa del “rischio digitale”. Si delinea, pertanto, un assetto disciplinare in cui l’istituto della responsabilità assume una dimensione “multifunzionale”14 che, oltre che per una propensione punitivo-sanzionatoria, si contrassegna per i profili preventivo-precauzionali, andando a valorizzare la “responsabilizzazione” dell’operatore e la sua diligenza nel “controllare” il rischio digitale, ma che non perde anche la tradizionale connotazione compensativa rispetto al pregiudizio subito.
-
Considerazioni conclusive
La responsabilità assume, quindi, una configurazione “ibrida” e “multilivello” che dalla “responsabilizzazione” (accountability) di tutti coloro che concorrono nel “ciclo vitale” del sistema di IA (dalla fase progettuale a quella di vigilanza, intervento ed aggiornamento) giunga (liability) fino alla compensazione dei pregiudizi verificatisi, nonché alla repressione ed alla sanzione delle violazioni degli standard giuridici, tecnici e organizzativi, afferenti al profilo della sicurezza15. Per quanto concerne l’allocazione degli oneri risarcitori e (soprattutto) l’individuazione degli strumenti funzionali a garantire una effettiva tutela compensativa al danneggiato, è essenziale affermare la solidarietà degli obblighi risarcitori gravanti in capo a tutti i soggetti coinvolti nel “ciclo vitale” dell’IA al fine di evitare che il danneggiato resti privo di tutela risarcitoria, stante, a volte, l’impossibilità di dimostrare l’effettivo responsabile del danno.
_
Note
1 D. Benedetti, IA e (in)sicurezza informatica, in F. Pizzetti (a cura di), Intelligenza artificiale, protezione dei dati personali e regolazione, Torino, 2018, p. 249 ss.; M. Franzoni, Lesione dei diritti della persona, tutela della privacy e intelligenza artificiale, in U. Ruffolo (a cura di), XXVI Lezioni di diritto dell’intelligenza artificiale, Torino, 2021, p. 339 ss.
2 A. Lepore, I.A. e responsabilità civile. Robot, autoveicoli e obblighi di protezione, in Tecn. dir., 2021, p. 190 ss.; V. Manes, L’oracolo algoritmico e la giustizia penale: al bivio tra tecnologia e tecnocrazia, in U. Ruffolo (a cura di), Intelligenza artificiale. Il diritto, i diritti e l’etica, Milano, 2020, p. 557 ss.
3 P. Perlingieri, Note sul «potenziamento cognitivo», in Tecn. dir., 2021, p. 209 ss.
4 P. Laghi, Struttura della rete e responsabilità: cybersecurity, in P. Perlingieri, S. Giova e I. Prisco (a cura di), Rapporti civilistici e intelligenze artificiali: attività e responsabilità, Atti del 15° Convegno Nazionale Sisdic 14-15-16 maggio 2020, Napoli, 2020, p. 255 ss.
5 Cfr. A. Amidei, La proposta di Regolamento UE per un Artificial Intelligence Act: prime riflessioni sulle ricadute in tema di responsabilità da Intelligenza Artificiale, in Tecn. dir., 2022, p. 1 ss.
6 Si rinvia ampiamente a P. Laghi, Cyberspazio e sussidiarietà, Napoli, 2015, p. 80 ss.
7 P. Laghi, Lex informatica, in Dig. disc. priv., Sez. civ., Agg. XI, Torino, 2018, p. 305 ss.; U. Pagallo, Il diritto nell’età dell’informazione. Il riposizionamento tecnologico degli ordinamenti giuridici tra complessità sociale, lotta per il potere e tutela dei diritti, Torino, 2014, p. 29.
8 P. Laghi, o.l.u.c.; P. Femia, Una finestra sul cortile. Internet e il diritto all’esperienza metastrutturale, in C. Perlingieri e L. Ruggieri (a cura di), Internet e Diritto civile, Napoli, 2015, p. 51.
9 G. Finocchiaro, Il principio di accountability, in Giur. it., 2019, p. 2778 ss. ed ivi ampi riferimenti bibliografici; si v. anche M. Gambini, Algoritmi e sicurezza, ivi, p. 1736
10 G. Lusardi, Regolamento UE sull’Intelligenza Artificiale: uno strumento articolato per gestire il rischio, in Quotidiano giur., 3 giugno 2021.
11 È da considerare che i profili di autonomia operativa, non sempre o comunque difficilmente, potrebbero consentire di imputare eventuali danni ad errori o difetti di progettazione, tali da permettere di invocare la disciplina della responsabilità del produttore, stante la natura “dinamica” dei sistemi operativi, sicché la “causa” di un eventuale danno potrebbe ascriversi più che a vizi di progettazione, proprio nel “comportamento” del sistema eventualmente alterato dalla bassa qualità del set di dati utilizzati per il training.
12 G. Teubner, Soggetti giuridici digitali? Sullo status privatistico degli agenti software autonomi, a cura di P. Femia, Napoli, 2019, p. 30.
13 P. Serrao d’Aquino, La responsabilità civile per l’uso di sistemi di intelligenza artificiale nella Risoluzione del Parlamento europeo 20 ottobre 2020: “Raccomandazioni alla Commissione sul regime di responsabilità civile e intelligenza artificiale”, in giustiziainsieme.it, 18 novembre 2021, § 2.
14 Cfr. M. Costanza, L’Intelligenza Artificiale e gli stilemi della responsabilità civile, in Giur. it., 2019, p. 1686 ss.
15 G. Comandè, Intelligenza artificiale e responsabilità tra “liability” e “accountability”. Il carattere trasformativo dell’IA e il problema della responsabilità, in An. giur. econ., 2019, p. 169 ss.