Categoria: Dark pattern

Pubblicato il

Sostenibilità dell’AI: la sfida giuridica del presente

Sostenibilità dell’AI, alla luce di DSA, GDPR, AI ACT, sovrapposizioni e mancanze. Questo il tema che ho proposto al Privacy Symposium 2024, consolidatosi ormai tra gli eventi internazionali centrali nel settore del diritto digitale.

Traccio di seguito una sintesi dei principali punti dell’intervento, in tema di sostenibilità dell’intelligenza artificiale.

Privacy Symposium 2024. Photo Vincenzo Tiani

Photo: courtesy of avv. Vincenzo Tiani. Chair: avv. Rocco Panetta. Relatori: dott. Piercosma Bisconti, avv. Marta Staccioli, dott.ssa Serena Alvino, dott.ssa Nadia Giusti, avv. Enrico Pelino

Sovrapposizioni e fenditure

AI Act1, GDPR, DSA sono normative corpose, di complessità notevole, con vocazione di autosufficienza e corredo di ricco apparato di considerando, eppure costituiscono una porzione soltanto dell’ancora più estesa strategia digitale dell’Unione europea (menzioniamo, fra gli altri, il DMA, il DGA, il Data Act, ecc.).

In un breve giro d’anni, un Big Bang normativo ha prodotto un nuovo universo giuridico. Eppure, questa fioritura di discipline e di logiche d’approccio non sempre si dispone in una tessitura ordinata. Ai giuristi del digitale l’onere di ricomporla in un quadro unitario, anzi è proprio su questo che si gioca, oggi, la competenza e l’efficacia dell’assistenza ai clienti. Detto altrimenti, non si può ormai applicare il GDPR senza conoscere il DSA e l’AI Act, e viceversa. Anche a una ricerca per parola chiave, il regolamento (UE) 2016/679 compare nell’AI Act ben 29 volte.

Ora, il punto è che i tre atti registrano non solo interessanti sovrapposizioni e collegamenti, ma, esaminati con attenzione, rivelano anche aree irragionevolmente scoperte, poiché non presidiate da tutela proprio dove la attenderemmo.

Potremmo chiamarle “fenditure”, perché è da lì che scivolano via le garanzie del mondo digitale.

E’ ben singolare (eppure molto prevedibile) che, nonostante la stratificazione di regole su regole, qualcosa resti scoperto.

Sovrapposizioni, i dark pattern

E quali sono le sovrapposizioni? Un esempio per tutti, i “dark pattern” o modalità ingannevoli di presentare i contenuti. Il GDPR non li menziona ma li disciplina, il DSA li menziona e li disciplina, l’AI Act ne considera gli effetti, ove particolarmente gravi. Colpisce il giurista, e ha indubbio rilievo ermeneutico, che all’art. 5.1.a) AIA troviamo la stessa coppia di termini deception / manipulation che leggiamo all’art. 25 DSA, cfr. anche considerando 67.

Fenditure, gli accertamenti fiscali AI-powered

Esempio di “fenditura” è la disciplina in materia di accertamenti fiscali automatizzati. Ci si attenderebbe che l’area meno illuminata di tutte, la più alchemica, ossia il misterioso esito dell’incrocio algoritmico automatico di banche dati per gli accertamenti sui contribuenti sia tra le più presidiate. Invece, sorpresa, nell’AI Act neppure figura tra i sistemi ad alto rischio. Il DSA ovviamente non ne parla, per diversità di ambito.

Nel GDPR il trattamento si inserisce nelle pieghe dell’art. 22, integrando sì automazione ma introdotta per legge, dunque permessa e non assistita dalle garanzie del secondo paragrafo. Per di più operano qui le limitazioni dell’art. 23 e, sul piano nazionale, dell’art. 2-undecies d.lgs. 196/03.

Su questa base si è pervenuti all’audacia dell’art. 1, co. 1, lett. e) d.lgs. 219/2023 che ha dichiarato non oggetto di contraddittorio per il contribuente gli esiti della black box di Stato, rimettendo il lavoro “più sporco” di precisazione a decreti ministeriali, puntualmente materializzatisi nel dm 24 aprile 2024 del MEF2.

E’ fondamentale pagare alla cassa comune, purché non si paghi in diritti. La situazione di evasione diffusa è intollerabile, tuttavia questo non significa risparmiare sulla trasparenza e sulla verificabilità. Nulla dovrebbe essere più chiaro, razionale e contestabile dei risultati dell’AI applicata agli accertamenti fiscali, altrimenti entriamo nel campo della magia. Per fortuna, disponiamo di altre norme giuridiche, sia nel GDPR sia a livello più alto, per correggere la lacuna. Però, vedete, la lacuna è stata possibile, perché le fenditure ci sono e il giurista deve saperle trovare.

Capire la logica dei tre atti normativi

I tre atti normativi. Lungi dall’essere tre strati di regole, vanno visualizzati nella loro struttura tridimensionale, che li fa incrociare secondo angoli completamente diversi. E diverso è anche l’approccio e la logica.

  • Il GDPR è il più astratto e a vocazione generalista, dei tre è l’unico ad avere la struttura di un vero e proprio codice. Non menziona mai espressamente i sistemi di raccomandazione, i dark pattern, la moderazione di contenuti, lo shadow banning, l’amplificazione algoritmica, ma ad essi si applica. Il limite del GDPR è che protegge solo le persone fisiche e solo nella misura in cui siano almeno individuabili e siano trattati i loro dati. Inoltre, alcune garanzie andrebbero ampliate per rispondere meglio alle nuove esigenze.
  • Il DSA, pur avendo un nucleo generale e astratto, è concreto e fenomenico. Definisce e disciplina tutto quanto sopra menzionato. Tutela non solo le persone fisiche ma anche le persone giuridiche. Trova il proprio limite nell’occuparsi unicamente di servizi intermediari della società dell’informazione. Inoltre la logica dell’atto normativo è tutta sui contenuti, come quella del GDPR è tutta sugli individui.
  • L’AI Act pone al centro provider e deployer e solo in maniera tangente riguarda le persone fisiche, punto terminale degli utilizzi di intelligenza artificiale. La logica è sui sistemi di AI, e solo marginalmente sui contenuti e sulle persone. La matrice originaria è quella di stabilire un corpo di regole per la marchiatura CE di conformità, innanzitutto in termini di safety, non quella di fornire una costituzione per l’uomo in epoca digitale. Dissipato il fumo degli interventi del Parlamento europeo, la matrice originaria resta. Anche il molto declamato diritto alla spiegazione risulta declinato in termini minimali e ampiamente derogabili. Molto più solido il vecchio diritto a conoscere informazioni significative sulla logica del trattamento scolpito nel GDPR. Inoltre, l’AI Act trova un limite profondo nell’approccio compartimentato per tipi e categorie.

Conclusioni

La sostenibilità giuridica dell’AI mi pare si giochi oggi su due direttrici:

  • comprensione delle sovrapposizioni e delle sinergie tra GDPR, DSA e AI Act. Ad esempio, quanto può rivelarsi utile l’emersione normativa del concetto di automation bias all’art. 14.4.b) AIA rispetto all’esegesi dell’art. 22 GDPR? L’automation bias è la fiducia eccessiva nella correttezza dei risultati dell’AI e colpisce, come abbiamo appena visto a proposito dell’AI applicata al contrasto dell’evasione, anche il legislatore. Perfino a prescindere dall’applicazione dell’art. 14 AIA, richiamare il concetto di automation bias ogni qualvolta venga in considerazione un processo decisionale automatizzato, richiamarlo cioè come strumento interpretativo può rilevarsi estremamente efficace. Queste sono appunto le sinergie. E su sinergie e contagi abbiamo, in concreto, bisogno di studi specifici (tecnicamente “interplay” tra le normative), di linee guida.
  • individuazione delle fenditure, ossia degli squarci di tutela che richiedono intervento normativo. Esistono strumenti generali di diritto per colmarli, tuttavia è necessario tenere vivo il dibattito su questi vuoti e richiamare la pretesa che il legislatore appresti gli strumenti di tutela che soddisfino davvero le attese della società in un contesto digitale. L’AI Act, sotto questo profilo, è estremamente deludente. Permette allo Stato, ossia al soggetto più insidioso quando si parla di applicazione dell’intelligenza artificiale, uno spazio di libertà inimmaginabile.
  1. Al momento in cui si scrive non ancora pubblicato nella Gazzetta ufficiale dell’UE. ↩︎
  2. Cfr. ivi art. 2, co. 1: “Ai fini del presente decreto, si considera automatizzato e sostanzialmente automatizzato ogni atto emesso dall’amministrazione finanziaria riguardante esclusivamente violazioni rilevate dall’incrocio di elementi contenuti in banche dati nella disponibilità della stessa amministrazione; conseguentemente, sono esclusi dall’obbligo di contraddittorio, di cui all’art. 6-bis della legge 27 luglio 2000, n. 212, i seguenti atti: a)  i ruoli e le cartelle di pagamento […]”. ↩︎
Pubblicato il

Il Digital Services Act e il Digital Markets Act – in libreria

DSA e DMA sono i due pilastri normativi nella nuova disciplina europea dei mercati e degli spazi digitali. Che cosa prevedono, come si coordinano con le leggi esistenti, come incidono sull’economia, sulla manifestazione del pensiero, sulla manipolazione dei contenuti? Quali opportunità offrono e quali limiti, invece, espongono?

Sulla complessa tematica, di estrema attualità, siamo lieti di segnalare l’uscita del primo volume italiano di commento, per la collana “Tech e-Law” dell’editore Giuffrè.

L’opera, curata dall’avvocato Enrico Pelino, nostro partner di studio, assieme ai colleghi Luca Bolognini e Marco Scialdone, raccoglie, oltre ai contributi dei curatori, che sono anche co-autori, le riflessioni di firme d’eccellenza del diritto “digitale”.

I contenuti

Il volume tocca temi d’avanguardia come la disciplina dello shadow banning, sostanzialmente incompatibile con il DSA, delle tecniche di moderazione, dei cd. trusted flagger, ossia i segnalatori attendibili, dei dark pattern.

Volume_DSA-DMA

Cerca inoltre di tracciare i rapporti, ancora tutti da saggiare nell’esperienza applicativa, tra la nuova disciplina e il GDPR, ossia uno dei principali strumenti normativi attraverso i quali sono stati finora affrontati questi temi.

L’opera esamina in profondità l’argomento centrale del DSA, ossia l’accountability di piattaforme e motori di ricerca rispetto ai rischi sistemici dell’ambiente digitale, si pensi alla manipolazione dell’offerta informativa determinata dai sistemi di raccomandazione e dall’innesco, talvolta, di dinamiche di diffusione virale dei contenuti.

Qui: l’indice dell’opera e un breve estratto.

Ambizioni e realtà

Quella introdotta dal DSA è realmente la “nuova Costituzione digitale”, come enfaticamente sostenuto in occasione dell’entrata in vigore, oppure si tratta di un intervento normativo regressivo in tema di diritti? Il libro affronta luci e ombre del complesso corpo di regole.

E inoltre esamina in dettaglio la disciplina dei gatekeeper, ossia dei “guardiani” delle infrastrutture virtuali attraverso le quali viaggiano le iniziative imprenditoriali. Il DMA impone realmente regole di neutralità e di ripristino di una leale concorrenza? La risposta offerta da questa prima riflessione sistematica sul tema rivela al lettore un assetto ricco di sfumature e distinguo.

Buona lettura!