Appunti di lezione di Diritto dell'ambiente informatico

CHAT GPT:

-​ GPT = Trasformatore, Generativo, Preaddestrato

-​ I GPT sono modelli di IA progettati per generare testo simile a quello umano

-​ Sono addestrati su grandi quantità di dati per comprendere e produrre un linguaggio naturale

-​ PROBLEMA → manca la causalità (le connessioni non hanno causa-effetto)

-​ Algoritmo è una Black Box = non spiegabile (ci vorrebbero centinaia di anni)

OGGI → OLTRE LA DICOTOMIA DEDUZIONE-INDUZIONE:

ARGOMENTI NON DEDUTTIVI BASATI SULLA LOGICA INDUTTIVA:

-​ ARG analogici → se 2 cose sono simili in alcuni aspetti, saranno simili anche in altri aspetti

-​ ARG causa-effetto → se un evento provoca una conseguenza specifica

-​ ARG di autorità → un'affermazione è vera perché è stata fatta da un'autorità riconosciuta

-​ ARG statistici → in base ad analisi di dati

-​ ARG emotivi → in base all’utilizzo di emozioni per influenzare la persuasione

DA RULES DRIVEN A DATA DRIVEN:

-​ CAUSALITA’ RULES DRIVEN → perché i rapporti tra i dati sono causali (causa-effetto)

-​ CORRELAZIONE DATA DRIVEN → producono deduzione partendo dai dati (senza causalità)

-​ Approccio basato sui dati (fatti oggettivi e non sensazioni personali)

PROBLEMI GIURIDICI ALGORITMI IA:

-​ IMPREVEDIBILITA’ → dovuta dalla Black Box (difficile comprendere motivi di certe decisioni)

-​ INCERTEZZA → dovuta dalle decisioni automatizzate (senza supervisione)

-​ Decisioni possono essere influenzate da dati incompleti, bias o errori

-​ BIAS → discriminazioni che rendono errata una previsione (IA parla solo di maschi)

-​ Uso IA in ambiti giuridici (sentenza automatica) può portare a decisioni errate

-​ NO CERTEZZA GIURIDICA → non rispetta il principio della certezza giuridica

-​ Che implica che le leggi e le decisioni siano chiare e prevedibili

-​ NO GIUSTIFICAZIONE OUTPUT → IA non riesce a spiegare le decisioni (risultato è opaco)

-​ Mancanza di trasparenza rende difficile attribuire la responsabilità

-​ INDUZIONE PUO’ SBAGLIARE→ esempio tacchino induttivista:

-​ Un tacchino viene sfamato ogni giorno alla stessa ora

-​ Perciò si arriva all’INDUZIONE che sarà per sempre così → ma NON è così

-​ Un giorno non gli danno da mangiare ma lo uccidono

USO IA NEL GDPR:

-​ ART 22 GDPR → decisioni e trattamenti automatizzati di dati personali:

-​ Stabilisce diritti e protezioni per gli interessati

-​ ART 2 GDPR → ambito di applicazione territoriale:

-​ Stabilisce norme precise riguardo l'ambito di applicazione territoriale e la giurisdizione

-​ AI ACT si applica anche a fornitori e deployer di sistemi IA stabiliti fuori UE:

-​ se l'output prodotto da tali sistemi è destinato a essere utilizzato nell'UE

REGOLAMENTO UE 2024/1689 SULL’IA → AI ACT

URGENZA DI REGOLARE IA:

-​ Urgenza di evitare di essere sopraffatti dalla tecnologia

-​ Problema principale → imprevedibilità e incertezza decisionale dell’IA

-​ AI ACT Mira a stabilire un equilibrio tra l'innovazione dell'IA e la protezione dei diritti

-​ Rispettando i principi sanciti dalla Carta dei diritti fondamentali dell'UE:

-​ Protezione elevata rispetto agli interessi pubblici e ai diritti della persona

-​ Applicazione coerente (comune) delle nuove regole in tutta l'UE

ART 3 - DEFINIZIONI:

-​ SISTEMA DI IA:

-​ Sistema che utilizza tecniche di IA per eseguire compiti solitamente per umani

-​ Sistema automatizzato, autonomo con modalità di autoapprendimento che deduce

dall'input come generare l’output (previsioni, contenuti, raccomandazioni o decisioni)

-​ MODELLO DI IA PER FINALITA’ GENERALI:

-​ Modello IA progettato per svolgere una vasta gamma di compiti di diversi settori

-​ ES: traduttori automatici, assistenti virtuali…

4 LIVELLI DI GESTIONE DEL RISCHIO:

-​ Applicazioni IA classificate in base al loro rischio potenziale per la sicurezza delle persone

-​ AI ACT mira a controllare questi rischi attraverso:

-​ Obblighi di trasparenza, monitoraggio e gestione dei rischi

REGIME SANZIONATORIO:

-​ AI ACT stabilisce sanzioni in caso di violazioni delle disposizioni:

-​ Multe o sanzioni non pecuniarie (divieto di utilizzo sistemi IA, cessazione attività)

-​ A seconda del livello di rischio si adottano misure più o meno severe:

1)​ RISCHIO INACCETTABILE → pericolo grave per la sicurezza (salute, diritti fondamentali)

-​ VIETATO (Es: sorveglianza di massa)

2)​ RISCHIO ALTO → rischi elevati per sicurezza, privacy o diritti fondamentali

-​ Devono rispettare rigorosi requisiti normativi (ES: trattamento pazienti nella sanità)

3)​ RISCHIO LIMITATO → rischi moderati che non impattano sui diritti o sicurezza delle persone

-​ Devono rispettare alcuni requisiti minimi di trasparenza (ES: IA scopo

ludico/educativo)

4)​ RISCHIO MINIMO/NULLO → non presentano rischi significativi per la sicurezza

-​ Non sono regolamentati (Es: assistenti virtuali)

ALTRI RISCHI:

-​ SISTEMI INTRUSIVI → sistemi che raccolgono informazioni personali senza consenso

esplicito

-​ Hanno l’obbligo di informazione chiara e trasparente

-​ RISCHIO SISTEMICO dei GPAI (IA per finalità generali):

-​ Hanno rischi ampi a causa della versatilità (Es: chatbots in settori di sanità/istruzione)

-​ E’ un rischio specifico dei modelli che hanno un impatto tale da poter causare effetti

negativi sulla salute pubblica, sicurezza e diritti fondamentali

SISTEMI IA VIETATI - RISCHIO INACCETTABILE:

-​ Sistemi di sorveglianza biometrica in spazi pubblici (senza consenso)

-​ Sistemi di manipolazione del comportamento umano

-​ Sistemi di IA per il riconoscimento delle emozioni

-​ Sistemi di IA di categorizzazione biometrica (in base a razza, opinioni politiche)

-​ Sistemi che utilizzano punteggi sociali in base al comportamento (Social Scoring)

-​ Sistemi di IA per la previsione dei reati → POLIZIA PREDITTIVA:

-​ 2 categorie a seconda dell'oggetto:

-​ Place-based → identificare zone in cui è più probabile che si verifichino reati

-​ Person-based → identificare soggetti coinvolti in attività criminali (liste di persone)

-​ Sistemi di IA che creano banche dati di riconoscimento facciale mediante scraping non

mirato:

-​ Raccogliendo immagini facciali da internet o da filmati di telecamere

-​ SCRAPING → tecnica che utilizza un programma per estrarre dati da altro

programma

CASO CLEARVIEW AI:

-​ Società americana creatrice di un motore di ricerca per il riconoscimento facciale

-​ Utilizza un suo database per dare informazioni su persone in base al riconoscimento facciale

-​ Utilizza tecniche di web scraping (scraping tramite internet) per raccogliere immagini da

internet

-​ Dalle immagini si acquisiscono le caratteristiche del soggetto (poi messe nel

database)

-​ Immagini rimangono anche quando vengono rimosse o rese private dal sito d’origine

ALLEGATO II AI ACT → elenca i reati per i quali l'uso dell'IA è considerato ad alto rischio:

-​ Terrorismo

-​ Tratta di esseri umani

-​ Sfruttamento sessuale di minori e pornografia infantile

-​ Criminalità organizzata

-​ Omicidio volontario e lesioni gravi

SISTEMI IA AD ALTO RISCHIO:

-​ IA reputata come sistema ad alto rischio quando:

-​ Sistema IA supera 10^25 FLOPs (numero operazioni per sec)

-​ Comporta rischi significativi di pregiudizio ai soggetti dei settori indicati dall'Allegato III

-​ Influenza materialmente l'esito del processo decisionale

-​ ALLEGATO III AI ACT - materie indicate ad alto rischio:

-​ Uso critico dei sistemi biometrici (quelli permessi)

-​ Gestione infrastrutture digitali critiche: traffico, riscaldamento,...

-​ Assegnazione di persone agli istituti e valutazione delle prove

-​ Occupazione e gestione dei lavoratori (assunzione o selezione di personale)

AI ACT - PRINCIPI CHIAVE:

-​ Approccio basato sul rischio

-​ Sicurezza, trasparenza, spiegabilità, protezione diritti fondamentali e responsabilità

-​ Divieto alcune applicazioni di IA (sorveglianza biometrica, sistemi manipolativi)

-​ Innovazione e cooperazione internazionale

PRINCIPIO DI TRASPARENZA → ART 13 e 50 AI ACT:

-​ Art 13 → stabilisce obblighi di trasparenza dei sistemi IA

-​ Art 50 → stabilisce sistema di sanzioni graduato in base alla gravità della violazione

-​ Sistemi devono essere progettati per funzionare in modo trasparente

-​ Devono consentire di capire come si arriva alle decisioni e come vengono usati i dati degli

utenti

-​ IA però manca di certezza giuridica e di giustificazione degli output

-​ Rimedio mediante obblighi di compliance:

-​ Documentazione tecnica → istruzioni su come funziona il programma

-​ Valutazione della conformità e monitoraggio costante dei rischi

-​ Banca dati → strumento che consente alle autorità di monitorare le IA e la loro conformità

ART 2 - AMBITO DI APPLICAZIONE:

-​ AI ACT si applica a chiunque tratti dati personali o fornisca sistemi di IA

-​ AI ACT SI APPLICA PER:

-​ FORNITORI che immettono sul mercato sistemi di IA nell'UE

-​ DEPLOYER dei sistemi IA che sono situati all'interno dell'UE

-​ Fornitori e Deployer di sistemi IA di un paese terzo dove l'output è utilizzato nell'UE

-​ Importatori e distributori di sistemi di IA

-​ Persone interessate che si trovano nell'UE

OBBLIGHI E RESPONSABILITA’ SOGGETTI COINVOLTI:

-​ Fornitore → chi sviluppa un sistema e lo immette sul mercato

-​ Responsabile per la progettazione sicura e la messa in commercio (+ resp)

-​ Deployer → (fornitore/utilizzatore) chi utilizza un sistema IA

-​ Responsabile per l'uso sicuro e il monitoraggio (- resp)

-​ OBBLIGHI PARTICOLARI → se si lavora su 3 tipi di IA ad alto rischio:

-​ Riconoscimento emozioni - categorizzazione biometrica - trattamento dati sensibili

-​ AI ACT pone particolari obblighi in capo sia ai fornitori che ai deployer per una maggiore

privacy:

-​ Trasparenza, consenso esplicito, monitoraggio costante

-​ Se deployer è un datore di lavoro ha più obblighi di trasparenza

-​ Deve verificare che il sistema non violi i diritti fondamentali dei lavoratori

RESPONSABILITA’ PER DANNO INGIUSTO:

-​ Responsabilità soggettiva per colpa → responsabili solo se con colpa (negligenza,

imprudenza)

-​ Responsabilità oggettiva senza colpa → responsabili anche senza colpa o intenzione

A CHI NON SI APPLICA AI ACT:

-​ AI ACT non si applica ai sistemi IA messi in servizio