Cosa c’è dentro i decreti del governo sull’intelligenza artificiale

Mercoledì il governo italiano ha adottato in via preliminare due decreti attuativi sull’intelligenza artificiale (AI) che definiscono e completano una legge approvata lo scorso settembre: il primo riguarda soprattutto la formazione, sia scolastica che professionale, mentre nel secondo si definiscono i criteri per l’utilizzo dei sistemi di AI nelle attività di polizia e le responsabilità civili e penali legate all’uso di questi sistemi.

Al momento il governo non ha pubblicato i decreti ma si è limitato a diffondere un comunicato stampa che li riassume con toni entusiasti. I testi sono però circolati attraverso canali informali, e sembrano seguire le indicazioni del cosiddetto “AI Act”, il regolamento approvato dall’Unione europea nel 2024 e che rimane gerarchicamente superiore. Tra i due decreti, comunque, quello oggetto di maggiori attenzioni e preoccupazioni è il secondo, sull’AI e sulle attività di polizia, perché tra le altre cose regola questioni controverse come i sistemi di riconoscimento facciale.

Il governo ha definito il proprio approccio «antropocentrico», cioè centrato sugli esseri umani e sull’idea che nessun sistema di AI possa prendere decisioni importanti senza l’intervento e il controllo degli umani. Tra i vari aspetti su cui interviene, per esempio, ci sono le applicazioni dell’AI nei rapporti di lavoro e nell’utilizzo di software con cui valutare la performance dei dipendenti. La legge stabilisce che «le scelte che incidono sulla vita lavorativa delle persone devono rimanere comprensibili, verificabili e imputabili a un decisore umano», e che il lavoratore ha diritto a chiedere e ottenere «una motivazione intelligibile della decisione che lo riguarda». In sostanza un licenziamento deciso sulla base di sistemi AI senza l’intervento di un essere umano è considerato illegittimo, secondo la legge.

Il primo decreto si occupa di dare attuazione a quanto espressamente richiesto agli stati dell’Unione europea dall’AI Act, specificando i compiti delle autorità che governeranno e vigileranno sul settore e sulle applicazioni dell’AI in Italia. La legge approvata a settembre aveva già designato l’Agenzia per l’Italia Digitale (AgID) come autorità di notifica (l’ente statale che sceglie quali organismi sono abilitati a controllare e verificare l’utilizzo di questi prodotti) e l’Agenzia per la Cybersicurezza Nazionale (ACN) come autorità di vigilanza del mercato e punto di contatto con le istituzioni dell’Unione europea.

Le funzioni di vigilanza sull’utilizzo di sistemi AI nella fornitura di servizi finanziari spettano invece alla Banca d’Italia, alla Consob (la Commissione nazionale per le società e la Borsa) e all’Ivass (l’Istituto per la vigilanza sulle assicurazioni). Il Garante per la protezione dei dati personali mantiene invece la competenza sui sistemi di AI considerati ad alto rischio, come quelli sulla prevenzione e la repressione dei reati e per la gestione dell’immigrazione e il controllo delle frontiere, permesse dall’AI Act.

Per quanto riguarda la formazione, è prevista un’«alfabetizzazione di base» per tutti i dipendenti pubblici, per il personale della pubblica amministrazione e della giustizia, e una formazione più approfondita per dirigenti e responsabili della transizione digitale. Anche per gli operatori sanitari è prevista una formazione obbligatoria su questi strumenti. Il decreto prevede anche un piano di formazione dei docenti con una dotazione di 100 milioni di euro, con l’obiettivo di «prevenire rischi, dipendenze digitali, opacità algoritmica e forme di condizionamento dei minori».

Il secondo decreto regola l’utilizzo dell’AI nell’attività di polizia, in particolare per quanto riguarda la raccolta e l’analisi dei dati biometrici, come le impronte digitali o i tratti del volto. Da tempo, infatti, software di intelligenza artificiale vengono usati per il riconoscimento facciale delle persone. È una pratica che l’AI Act ha stabilito che può avvenire solo in determinate occasioni, sia in tempo reale sia a posteriori: nel primo caso, questi sistemi vengono usati direttamente mentre la persona viene inquadrata dalle telecamere; nel secondo, su materiale registrato in precedenza.

Il decreto ammette l’identificazione biometrica in tempo reale solo per gravi minacce alla sicurezza, sospetto di terrorismo, ricerca di persone scomparse o localizzazione di indagati per reati gravi, con un’autorizzazione della durata massima di quindici giorni. Il riconoscimento facciale a posteriori può essere attivato invece solo dopo che il reato è già stato commesso, e sulla base di prove oggettive per come sono definite dal regolamento europeo. Il decreto prevede anche che all’accesso a luoghi o eventi «rispetto ai quali sussistono esigenze di ordine e sicurezza pubblica» i dati biometrici del volto di tutti i presenti vengano raccolti e conservati per sette giorni.

La nuova legge permette di fatto l’utilizzo di queste tecnologie anche negli stadi o nei grandi eventi pubblici. Nonostante le rassicurazioni del ministro dell’Interno Matteo Piantedosi, per cui «non c’è nessun Grande Fratello generalizzato», il rischio segnalato dai critici è che una legge simile possa essere interpretata in vari modi, rendendo sempre più facile e comune l’utilizzo di servizi AI di questo tipo.

L’approvazione dei due decreti attuativi è arrivata nella stessa settimana in cui è entrato in vigore il patto sulla migrazione e sull’asilo, cioè la revisione del quadro dell’Unione europea in materia di politiche migratorie, considerato più conservatore e restrittivo del precedente. Secondo Giovanni Zaccaroni, professore associato di diritto dell’Unione europea presso l’Università Milano Bicocca, parte di questo decreto sembra pensata per aumentare la possibilità che le forze di polizia facciano uso di strumenti AI, almeno in determinati ambiti. Il decreto contiene anche una modifica al codice di procedura penale, che stabilisce che il pubblico ministero debba richiedere al giudice per le indagini preliminari (gip) l’autorizzazione all’impiego dell’AI per l’identificazione biometrica remota in tempo reale. Nei casi di maggiore urgenza il pubblico ministero può decidere l’uso del sistema per decreto, comunicandolo al gip entro 24 ore; quest’ultimo ha poi 48 ore per convalidare la decisione. Qualora non si potesse aspettare nemmeno la decisione del pubblico ministero, ad attivare i sistemi può essere la polizia giudiziaria, che deve notificarla al pubblico ministero entro dodici ore.

Il decreto aggiunge anche un nuovo reato per cui «chiunque, nella progettazione, addestramento, produzione, immissione sul mercato o utilizzo professionale di sistemi di intelligenza artificiale ad alto rischio» ometta le misure di sicurezza previste rischia da uno a cinque anni di carcere, qualora ne derivi un pericolo concreto per la vita, e fino a dieci anni nel caso in cui sia a rischio la sicurezza dello Stato.

Sono inoltre previsti strumenti processuali civili per chi subisce un danno da un sistema di AI. In questo caso, il punto più rilevante è la cosiddetta presunzione del nesso di causalità: se il danno deriva dalla violazione di uno o più obblighi previsti dall’AI Act, il collegamento tra quella violazione e il danno si dà per scontato, e spetta a chi ha fornito o usato il sistema dimostrare il contrario.

Secondo Zaccaroni, alla base di questi decreti ci sarebbe l’«impeto regolatorio e codificatore» del governo, che finisce però per aggiungere ulteriori strati legislativi a un settore complesso, su cui era già intervenuta l’Unione europea con un regolamento vasto e completo. Invece di semplificare il quadro normativo, magari limitandosi a una legge sulla governance e sulla formazione professionale (il primo decreto), il rischio segnalato da Zaccaroni è che lo complichi ulteriormente e crei conflitti con l’Unione europea stessa.

Anche il fatto di essere il primo paese ad approvare una legge sull’AI (come sottolineato questa settimana dal sottosegretario alla presidenza del Consiglio Alfredo Mantovano) può essere uno svantaggio, proprio perché i possibili riferimenti e modelli su cui basarsi non ci sono, o sono ancora in fase di sviluppo da parte degli altri paesi. A maggio anche la Spagna aveva approvato una legge sul settore, recependo il regolamento europeo ma concentrandosi su sanzioni contro i deepfake e altri abusi delle AI da parte di cittadini o aziende.