L’intervento di Fabiana Di Porto, professoressa di diritto dell’economia alla Luiss e di diritto e tecnologia
Lo scorso 7 settembre il Governo ha presentato la strategia per il Cloud di dati e servizi della Pubblica amministrazione. Si tratta di un’infrastruttura strategica per l’Italia nell’offerta dei servizi pubblici del futuro. Il bel documento propone una complessa rete di governance dei rapporti tra soggetti pubblici e privati: più il servizio è critico meno il privato sarà ammesso a partecipare, e viceversa. Il modello di governance è interessante, ma molto diverso da quello adottato, ad esempio, in Francia o Danimarca per la gestione dei dati pubblici, dove sono partiti prima di noi. Quello dell’agenda Cloud è uno dei tanti casi che mi consentono di evidenziare l’utilità di avvalersi di un metodo sperimentale, prima di adottare una configurazione in modo definitivo: quello delle Regulatory Sandbox.
Quando è l’intelligenza artificiale a regolare…insieme agli umani
La regulatory sandbox serve ai legislatori e regolatori a decidere in ambiti affetti da grande incertezza (quale il rapporto tra l’umanità e i robot). Consente di sperimentare diverse soluzioni in ambiente controllato prima di traslarle su larga scala, al fine di osservarne i possibili effetti sugli stakeholder. In tal senso, la Regulatory sandbox consente di definire i confini tra quanto rischio siamo disposti ad accettare e quanto invece è meglio vietare, oppure assoggettare a controllo in attesa di maggiori informazioni. Oggi questa possibilità sperimentale è espressamente prevista dalla proposta di Regolamento UE sull’Intelligenza Artificiale dalla Commissione, del 21 aprile 2021. Nell’economia del regolamento, la Regulatory sandbox serve a disegnare regole ‘future-proof’ o disegnate per restare (come certi edifici), e resilienti (cioè adattabili a condizioni ambientali variabili).
Per norme giuridiche future-proof nell’Ai disegnarle per principi, e non in dettaglio
Venendo allo specifico dell’Intelligenza artificiale, dire che una norma giuridica debba essere future-proof, significa disegnarla per principi (anziché con disciplina di dettaglio), mentre renderla resiliente significa ancorare tali principi su due punti cardinali: la proporzionalità (a piccolo rischio poca intrusività della regola) e la promozione dell’innovazione. Raggiungere questi obiettivi sarà possibile, secondo la Commissione, se ci si avvarrà di regulatory sandboxes, un modo certo non classico di fare diritto e regole. Esse sono indicate nella proposta di Regolamento come ‘innovation friendly’ e ‘resilient to disruption’. Come dire che, affinché la creazione del diritto sia capace di assicurare l’innovazione, deve farsi innovativo anch’esso. E questo è un messaggio che il legislatore europeo ha fatto proprio. Nel caso dell’IA gli effetti del suo utilizzo sono solo in parte prevedibili. Nel senso che i sistemi che si avvalgono di questa innovazione potrebbero in futuro far sorgere rischi per la salute, la sicurezza e i diritti fondamentali. Ma al tempo stesso non possiamo bloccarne lo sviluppo senza neppure testarne le potenzialità, in quanto queste potrebbero essere positive, ed esserlo in maniera dirompente (o disruptive). Ecco, quindi, che a livello europeo, il principio chiave della regolazione dei sistemi potenzialmente rischiosi di IA è quello di consentire agli Stati membri di sperimentarli prima di immetterli sul mercato.
Nella Ue occorre dotarsi di spazi normativi controllati dove sviluppare le applicazioni di Ai
Gli articoli 53, 54 e 55 definiscono la procedura. Gli Stati membri sono tenuti a dotarsi di sandboxes domestiche, ovverosia di spazi normativi controllati, nell’ambito dei quali le applicazioni di Intelligenza artificiale (Ai) potranno essere sviluppate, testate e temporaneamente validate. Ove nella sandbox si rilevasse un rischio per la salute, la sicurezza o i diritti fondamentali non mitigabile attraverso le regole, allora le stesse saranno accantonate. La novità consiste pertanto nel ‘carattere temporaneo’ delle regole. Queste potranno infatti essere ‘adattate’, nella regulatory sandbox, o ‘accantonate’ per un periodo di tempo specifico, al fine di verificare se saranno in grado di funzionare meglio su un determinato prodotto. Chiaramente, la circostanza che si tratti di un ambiente controllato diviene fondamentale per il buon esito della sperimentazione della regola. L’iniziativa è assunta dal regolatore nazionale (che nel caso italiano potrebbe essere l’Agcom o l’Autority cyber), al quale spetta individuare i soggetti (pochi) che parteciperanno alla sperimentazione. La logica è quella di consentire l’ingresso di un nuovo prodotto normativo (o la governance del Cloud) che, ancorché non necessariamente conforme alle regole esistenti, possa arrecare un possibile o effettivo beneficio per gli utenti o i consumatori. Il regolatore accompagna così lo sviluppo dell’innovazione, sorvegliandone l’ingresso sul mercato. Più coorti di innovatori concorderanno con il regolatore come svolgere gli esperimenti, che tipo di regole vigenti sospendere, e quali regole dovranno essere rispettate.
Gli interrogativi sulle regulatory sandbox
Fin qui le potenzialità delle Regulatory sandbox sembrano indubbie. Ma non mancano gli interrogativi: la disciplina dettata è molto scarna. Non sappiamo, ad esempio, come saranno organizzate in concreto le sandboxes negli Stati membri. Sarà, ovviamente, importante superare la diversità del disegno delle regulatory sandbox. L’attuale formulazione della proposta di Regolamento, infatti, sembra lasciare margini agli Stati membri per delle differenze. Spetterà alla disciplina di attuazione stabilire in futuro regole comuni per l’implementazione delle sandbox normative e per la cooperazione tra gli Stati membri. L’esempio delle sandbox usate in ambito FinTech non fa ben sperare: sono molto diversi i modelli adottati ed ancora non è prevalso un tipo istituzionale più efficiente di altri. Tuttavia, alcune regole di funzionamento che si ripetono cominciano ad emergere, come ad esempio quella di stabilire un set di regole da cui i regolatori possono deviare ed un set, per così dire, inderogabile. E’ verosimile attendersi che per le sandbox nell’Intelligenza artificiale sarà fatto lo stesso. Inoltre, l’esempio FinTech è interessante anche sotto altro profilo. Esso è servito e tuttora aiuta a stimolare l’innovazione finanziaria specialmente dei piccoli operatori.
Faranno ricorso a questi strumenti Pmi e startup
Anche qui, dunque, c’è da attendersi che le piccole e medie imprese e le startup faranno un certo ricorso a questi strumenti, essendone i principali beneficiari. Al tempo stesso, tuttavia, è difficile immaginare che le Big Tech trarranno davvero profitto da questo strumento. Esso resterà, molto verosimilmente, un modello utile per garantire che ci sia innovazione prodotta da piccoli e medi soggetti. Un ultimo punto riguarda le regole di partecipazione e trasparenza delle regulatory sandbox. Affinché si possano produrre regole in linea con standard minimi di legittimità democratica, è necessario che siano definite regole (anche minime) per la partecipazione alla sandbox e di trasparenza delle decisioni. Quello che infatti può apparire un tema tecnico di validità “esterna” degli esperimenti (ad es. quante Pmi devono partecipare alla sandbox? Quindici o cinquanta? E quanti regolatori? Solo settoriali o generali? E chi tra i data scientist?) è anche e forse ora soprattutto un problema istituzionale. Chiariamo il punto. Stabilire chi è ammesso a una sperimentazione è certamente un problema di design di un esperimento, come sanno bene gli economisti. Esso condiziona la validità dei risultati e quindi l’efficacia del messaggio. Nel caso delle regulatory sandboxes applicate all’Intelligenza artificiale, si stanno testando regole per applicazioni potenzialmente dannose. Disegnare l’ambiente del testing è quindi non solo un problema di efficacia teorica dell’esperimento, ma anche questione di produrre regole partecipate da un numero di soggetti rappresentativi secondo canoni di democraticità; significa altresì dare accesso, con modalità da definire, ai metodi e alle procedure con cui si è addivenuti a quelle regole; significa infine motivare, la scelta operata. La strada per la definitiva approvazione di questa proposta di Regolamento è ancora lunga. Sono dunque da attendersi molti cambiamenti nei prossimi anni. Per questo ritengo che l’idea della regulatory sandbox sia particolarmente confacente al modello di una normativa a prova di futuro per l’innovazione, per l’Intelligenza artificiale, attraverso la sperimentazione in ambienti controllati, ma da definire nel quadro di regole di partecipazione (o co-regolazione) “umana”.
10/9/2021
