Riportiamo qui l’articolo di Giusella Finocchiaro pubblicato su Bologna Forense il 2 marzo 2020.
L’intelligenza artificiale non è fantascienza: fa già parte delle nostre vite”. Così la Commissione europea affermava già nel 2018 nella Comunicazione intitolata L’intelligenza artificiale per l’Europa. Infatti, oggi espressioni come Virtual Agent, Machine Learning e Smart Contract si sono prepotentemente diffuse, conducendo a una riflessione sulle conseguenze, anche giuridiche, dell’intelligenza artificiale.
Il giurista si interroga sull’impatto dell’intelligenza artificiale su alcuni istituti e su alcuni corpi normativi ormai consolidati. In questo breve contributo, mi occuperò dell’impatto dell’intelligenza artificiale sul contratto, sulla protezione dei dati personali e sulla responsabilità civile.
In primo luogo, dunque, il contratto.
Com’è noto, uno degli sviluppi più rilevanti dell’intelligenza artificiale è quello concernente gli smart contract, protocolli informatici avanzati che, tra le molteplici applicazioni, permettono o agevolano la negoziazione, la stipula e l’esecuzione di un contratto. Il principale interrogativo è proprio se gli smart contract possano essere considerati contratti. La risposta è da individuare caso per caso, con riguardo alla specifica applicazione considerata. Gli smart contract, infatti, come si suole ormai ripetere, spesso non sono né smart, né contract, ma sono invece una mera esecuzione di un contratto già concluso.
Passando dunque in rassegna i requisiti del contratto nell’era dell’intelligenza artificiale, con riguardo all’identificazione dei contraenti, va ricordata la rilevanza del Regolamento (UE) 910/2014 (“eIDAS”), con cui il legislatore europeo ha perseguito l’obiettivo di permettere a tutti i cittadini dell’Unione di identificarsi on line garantendo “l’interoperabilità giuridica” ossia il mutuo riconoscimento dei sistemi di identificazione in tutti gli Stati membri.
Con riferimento alle tecniche di imputazione della volontà delle parti, invece, il nostro ordinamento riconosce ormai numerose tipologie di firme elettroniche, disciplinate dal “Codice dell’amministrazione digitale” (d.lgs. 7 marzo 2005, n. 82 e ss.mm.ii.) e dal citato Regolamento eIDAS. Si tratta principalmente della firma elettronica, della firma elettronica avanzata, della firma elettronica qualificata e della firma digitale, le quali – oltre ad essere lo strumento di manifestazione della volontà del contraente – possono consentire al documento informatico al quale sono associate di soddisfare il requisito della forma scritta e di avere efficacia probatoria. Ciascuna firma infatti, come è noto, attribuisce al documento informatico a cui è apposta una diversa efficacia probatoria, in taluni casi pari a quella di una scrittura privata ex 2702 c.c. (come nel caso della firma digitale, qualificata o avanzata), in altri invece liberamente valutabile dal giudice (come nel caso della firma elettronica semplice). Parimenti, il requisito della forma scritta ad substantiam è soddisfatto tenendo conto della tipologia di firma impiegata e della natura del documento da sottoscrivere: per le scritture private di cui all’art. 1350 c.c., comma 1°, nn. da 1 a 12, occorrerà la firma qualificata o digitale; gli atti di cui all’art. 1350 c.c., comma 1°, n. 13), invece, potranno essere sottoscritti non solo con firma elettronica qualificata o digitale, ma anche con firma elettronica avanzata.
Infine, quanto all’oggetto del contratto, occorre riflettere sul fatto che talune applicazioni di intelligenza artificiale impiegano algoritmi i quali sono in grado di apprendere in modo autonomo e di prendere decisioni senza che il processo decisionale sia necessariamente compreso dall’uomo. In questi casi, il contraente potrebbe non essere in condizione di conoscere anticipatamente e in modo compiuto il contenuto del contratto che andrà a concludere, ma avrà comunque espresso rispetto alla conclusione del contratto la propria dichiarazione positiva di volontà. Il contenuto del contratto è dunque determinabile, ma secondo modalità che non sempre consentono una pre-comprensione.
Alla luce di questa breve disamina circa il percorso di conclusione del contratto e dei requisiti dello stesso, non pare che, nel caso in cui il contratto sia uno smart contract, sia richiesto al giurista di superare le categorie consolidate, né di inventarne di nuove. Ciò che si richiede è uno sforzo di comprensione e di qualificazione del fenomeno attraverso lo strumento principe dell’interpretazione. L’identificazione delle parti, le tecniche di imputazione della volontà, la conoscenza del contenuto del contratto concluso “per automatico”, come scriveva Cicu nel 1901, la forma digitale sono temi già approfonditi dalla dottrina e dalla giurisprudenza e in taluni casi già oggetto di un intervento normativo.
Un secondo tema di grande rilevanza è quello relativo alla normativa in materia di protezione dei dati personali e alla sua applicazione ai sistemi di intelligenza artificiale che, come è noto, si nutrono di dati, con le implicazioni giuridiche che ne conseguono.
Al riguardo, la criticità maggiore concerne la valutazione dell’adeguatezza del Reg. (UE) 2016/679 (“GDPR”) che, seppure di recente introduzione, non tiene conto della complessità dei grandi flussi di dati, i c.d. Big Data. Il consenso dell’interessato non può infatti ritenersi una condizione di liceità adeguata in relazione ai trattamenti effettuati tramite sistemi di intelligenza artificiale, le cui finalità possono non essere compiutamente definite a priori e i cui esiti sono altrettanto incerti. In tali casi l’interessato non è quindi in grado di fornire un consenso realmente informato e consapevole, come invece richiesto dal GDPR. Il modello appare inadeguato al fenomeno da regolare: ci si concentra sul singolo dato invece che sul flusso dei dati da gestire e da governare.
Fondamentale poi per le applicazioni di intelligenza artificiale è la qualità dei dati, da intendersi come l’adeguatezza, l’esattezza e la pertinenza dei dati rispetto alle finalità per le quali sono trattati. La qualità dei dati rileva infatti con riferimento al risultato dell’attività di intelligenza artificiale: qualora vengano immessi dati qualitativamente non corretti, i sistemi elaboreranno tali dati, producendo un risultato inevitabilmente non corretto. Ciò può avere conseguenze particolarmente negative, come ad esempio la discriminazione, qualora sulla base di quei risultati errati siano adottate decisioni idonee ad incidere sui diritti e sulle libertà degli individui. Nella recente Risoluzione approvata il 21 gennaio 2020, lo stesso Parlamento europeo ha ribadito l’importanza che i sistemi di intelligenza artificiale utilizzino set di dati di alta qualità e imparziali nonché “algoritmi spiegabili e imparziali” al fine di aumentare la fiducia e l’accettazione dei consumatori.
Altrettanto rilevante è assicurare la trasparenza degli algoritmi di elaborazione, come già la giurisprudenza ha stabilito, in particolare, con riferimento al ricorso ad algoritmi per l’adozione di provvedimenti amministrativi, il cui meccanismo deve essere trasparente e consentire la piena conoscibilità della regola espressa in un linguaggio differente da quello giuridico (Cons. Stato, sez. VI, 13 dicembre 2019, n. 8472).
Infine, come accennato all’inizio di questo contributo, inevitabilmente l’intelligenza artificiale porta a riflettere sull’adeguatezza dei regimi di responsabilità civile vigenti. Oggi la novità è costituita dal caso in cui vi sia una certa autonomia decisionale nel programma e il metodo utilizzato per raggiungere il risultato non sia deterministico. La complessità può anche dipendere dal numero di dati che devono essere processati e analizzati e dal modo in cui si creano le connessioni, attraverso le cosiddette reti neurali. In questo caso, i soggetti a vario titolo potenzialmente coinvolti quali l’autore dell’applicazione, il produttore, il venditore e l’utilizzatore, non sono in grado di prevederne a priori il risultato.
Si pone, dunque, il problema di attribuire la responsabilità giuridica in caso di danni cagionati dall’applicazione. Se il quesito si pone a legislazione vigente, allora con un necessario sforzo interpretativo si applicheranno le norme in materia di responsabilità civile e responsabilità del produttore.
Se invece la ricerca si svolge cercando di definire nuove norme e nuovi modelli, occorrerà, cercare di elaborare un approccio innovativo che utilizzi il criterio dell’accountability e prescinda dagli elementi soggettivi della responsabilità e financo dall’individuazione dell’errore.
Com’è noto, il modello di responsabilità presente nel GDPR e basato sul principio di accountability impone al titolare del trattamento di adottare misure giuridiche, organizzative e tecniche a protezione dei dati personali e di dimostrarne, su richiesta, l’efficacia e l’effettiva attuazione. In questo come in altri casi, il legislatore affida al soggetto che trae vantaggio dall’operazione economica l’onere di individuare le misure più adeguate alla fattispecie concreta.
Oltre a ciò, si rende necessario un mutamento di approccio che affronti il problema della responsabilità sotto il profilo dell’allocazione del rischio, evitando di concentrarsi sugli elementi soggettivi e anche sulla stessa ricerca dell’errore. Si potrebbe quindi prospettare la costituzione di un fondo per eventuali risarcimenti ovvero imporre meccanismi di assicurazione in capo ai soggetti che potrebbero essere chiamati a risarcire il danno.
Dunque, anche con riguardo ai problemi giuridici sollevati dall’intelligenza artificiale, in parte le norme vigenti possono trovare applicazione, reinterpretate alla luce dei nuovi fenomeni, mentre in parte sarebbe opportuno procedere alla formulazione di modelli normativi più adeguati.