Integrità ed affidabilità delle e-evidence nell’IA

di Roberto Murenec

Nell’Era della Digital Economy che stiamo vivendo l’acquisto e lo scambio di beni e servizi è controbilanciato dal pagamento con due “monete” diverse: il tradizionale denaro, “comprendendo” in maniera grossolana anche le monete virtuali, ed i dati personali, il cui utilizzo improprio può comportare possibili violazioni in termini di diritto alla riservatezza e ad altri doveri costituzionali. Se per certi aspetti si vive un mercato del libero scambio – il più delle volte inconsapevole – dei dati digitali, talvolta quei dati posso diventare importanti, quasi indispensabili, per un’attività d’intelligence o per un’attività investigativo-operativa e quindi, attesa poi la finalità penal-processuale, debbono essere appresi secondo modalità certificate e rituali. In tutti i settori l’utilizzo e l’acquisizione di quei dati apre la strada ai concetti intrinseci di “integrità” ed “affidabilità” dei dati, i quali sono fondamentali per garantire l’efficacia di funzionamento dei sistemi tecnici, in particolar modo nei “domini” dell’Artificial Intelligence (AI – secondo il linguaggio comune nazionale) e della Digital Forensics (DF). Questo articolo approfondisce le definizioni di integrità e affidabilità delle digital evidence, in particolare nel settore dell’Intelligenza Artificiale, ne esplora gli aspetti tecnici e passa alle implicazioni legali attraverso diverse giurisdizioni. Il punto è che tali concetti vengono menzionati ed enfatizzati negli standard internazionali, non ultimo l’ISO/IEC 42001:2023, che li richiamano e nelle migliori pratiche di trattamento, facendo leva sull’assoluta necessità di armonizzazione tra standard tecnici e giuridici al fine del mantenimento e del consolidamento dell’integrità e dell’affidabilità dei sistemi digitali.

Perché i dati sono importanti?

Riprendendo quanto appena accennato in premessa non va sottovalutato il mondo del web¹ in particolare quello del sottoinsieme Internet che è diventato un vero e proprio “mercato” in cui imprese commerciali e consumatori interagiscono secondo nuove modalità: le prime continuano a vendere i propri beni e servizi ma i clienti hanno iniziato a “ricambiare” pagando con due monete diverse, il tradizionale denaro ed i dati personali. Tuttavia, mentre la moneta è tangibile e quantificabile, le informazioni personali rappresentano ancora, da questo punto di vista, un’entità indefinita, pur costituendo, ormai incontestabilmente, la nuova moneta dell’era digitale.
Tutte le aziende che si sono affacciate nel settore digitale raccolgono i dati personali degli utenti tramite diversi algoritmi e tecnologie, in primis attraverso i browser che quotidianamente profilano gli utenti, utilizzandoli per ottenere un vantaggio competitivo sulla concorrenza e sfruttandoli per finalità diverse a seconda del rispettivo settore di attività. Spotify, ad esempio, raccoglie notizie di base come età, posizione e cronologia di ascolto, focalizzandosi sui gusti musicali per personalizzare le varie playlist programmate; eBay, invece, cerca di consigliare beni in vendita e all’asta correlati ad acquisti precedenti effettuati sulla medesima piattaforma; lo stesso fa Amazon nell’ambito dell’e-commerce, mentre negli altri servizi come Prime Video e Twitch suggerisce contenuti in base a film, serie TV, documentari o streamer visti in precedenza.
Gli esperti del mondo di marketing e management hanno già compreso come questo nuovo modello di business rappresenti una vera e propria rottura rispetto a quelli tradizionali poiché la fonte di liquidità privilegiata è diventata, appunto, l’informazione. L’era digitale ha quindi visto nascere quella che viene chiamata “economia della conoscenza”, espressione con cui si indica proprio l’utilizzo delle informazioni e della conoscenza in ogni sua forma per generare valore, dedicando particolare attenzione ai processi di creazione, diffusione, trasformazione e trasferimento dei dati. Nel 2006 il matematico britannico Clive Humby ha affermato che “i dati sono il nuovo petrolio” e negli anni successivi le aziende di tutte le dimensioni hanno cercato e archiviato sempre più dati sui propri clienti e sulle operazioni aziendali per guidare le prestazioni e la crescita nel perseguimento dei propri obiettivi. Esattamente come il petrolio, i dati, per risultare “funzionali”, devono essere “raffinati” perché allo stato grezzo sono scarsamente utilizzabili. Lo stesso Clive Humby ha spiegato che “come il petrolio, i dati sono preziosi, ma se grezzi non possono essere realmente utilizzati. Deve essere trasformato in gas, plastica, prodotti chimici, ecc. per creare un’entità di valore che guidi un’attività redditizia. Quindi, i dati devono essere scomposti, analizzati affinché abbiano valore”.
A differenza del petrolio, però, i dati possono essere riutilizzati all’infinito – tanto che una caratteristica delle digital evidence è quella di poter essere replicate “n” volte – senza perdere la loro qualità o utilità e non sono una risorsa limitata: non solo ci sono molti dati posseduti direttamente dalle aziende ed altri pubblicamente disponibili su internet, ma ogni giorno vengono creati o immessi, anche inconsapevolmente, sempre più dati dalle persone. Ogni volta che guardiamo un film su Netflix, che acquistiamo un prodotto su Amazon o ascoltiamo una canzone su Spotify, magari tramite l’assistente vocale, viene creato un nuovo set di dati. E grazie a milioni di questi, le grandi aziende tecnologiche sono in grado di aggregare e sviluppare sistemi capaci di prevedere quale film o canzone potrebbe piacere o suggerire prodotti da acquistare in base alla cronologia degli acquisti, generando “bisogni indotti”. Sono questi i dati forse più importanti, fra tutti quelli classificati macroscopicamente come “Big Data²”, che definiscono il successo delle aziende digitali.

L’importanza dei dati per le imprese: una risorsa!

Se pensiamo già a partire dai primi anni 2000 molti studi riguardanti il marketing nell’era digitale hanno evidenziato come la crescita esponenziale di Internet ed il continuo sviluppo dei sistemi hanno cambiato le regole della competizione tra moltissime industrie, costringendole a focalizzarsi su una nuova strategia non tradizionale basata sul potenziale del web nell’interattività e personalizzazione dell’esperienza dell’utente. La sopravvivenza concorrenziale delle aziende, quindi, può dipendere dalla capacità di raccogliere e disporre di dati³. Le aziende di tutte le dimensioni ora comprendono il potere dei dati per servire meglio i propri clienti, identificare nuove opportunità di business, aumentare le vendite e migliorare i processi. I dati consentono decisioni aziendali migliori e più intelligenti e, quindi, i dati di un’azienda sono considerati una delle sue maggiori risorse. Per questo motivo si assiste, sempre di più, alla “monetizzazione dei dati”: in alternativa alle pubblicità, che costituiscono la fonte di finanziamento al posto degli abbonamenti, lo sviluppatore potrebbe scegliere di raccogliere e trasferire i dati riguardanti il dispositivo, la connessione e il Paese in cui si trova l’utente tramite un videogioco o un’applicazione qualsiasi, magari con tantissimi utenti attivi quotidianamente, a compagnie pubblicitarie di telecomunicazioni. Più dati queste ultime ricevono, più soldi guadagnerà lo sviluppatore.
Gli esempi sono infiniti e ciò che se ne ricava è che si va nella direzione secondo cui i siti web utilizzano i nostri dati (ricerche online, “Mi piace” sui social, consultazione di contenuti pubblicati in rete) per mappare la nostra “impronta digitale 2.0” e creare un profilo degli interessi, delle preferenze, dei desideri per poi “intercettare” gli annunci perfetti per noi, progettando un’esperienza pubblicitaria completamente personalizzata e velocizzando le nostre attività online quando cerchiamo beni e servizi⁴. Sono proprio queste pubblicità a valere moltissimo per tutte le aziende e ciò ha determinato, come spesso accade con tutto ciò che è in grado di recare profitti, l’emergere di aspetti patologici. Le aziende hanno infatti iniziato ad “esagerare”. Nonostante esista un regolamento rigoroso finalizzato a rafforzare la protezione dei dati personali dei cittadini e dei residenti nell’UE, (Reg. UE n. 2016/679, noto come GDPR – General Data Protection Regulation⁵), molte realtà aziendali hanno continuato a cercare di ottenere i dati personali dei consumatori⁶ in modi sempre diversi e la relazione con il cliente è diventata sempre più complessa: se per esempio si vogliono visualizzare i contenuti di un sito, talvolta la piattaforma chiede obbligatoriamente di registrarsi con nome, indirizzo e-mail e data di nascita prima di accedervi oppure, in alternativa all’eventuale abbonamento, di prestare il consenso al trattamento di tutti i dati; o ancora, anche minando gli stessi principi del GDPR, altri siti negano l’accesso se l’utente ha bloccato i cookie e i tracker per la pubblicità durante il primo accesso.

Dal rischio di diffusione e trattamento a quello di raccolta indiscriminata dei dati

La nuova minaccia alla privacy degli utenti, infatti, non consiste più in un rischio esplicito, ovvero una violazione ed un furto dei propri dati, bensì in un rischio più celato, a noi impercettibile, consistente in una raccolta massiccia ed un utilizzo sistematico e scientifico, che può sfociare in illegittimo, dei dati raccolti mentre gli utenti navigano. Non a caso uno dei grandi cambiamenti recati dal Regolamento europeo riguarda proprio la possibilità di scegliere quali dati di navigazione condividere con il sito visitato, i cd. “cookie”, iniziativa che molte piattaforme non hanno gradito e che ha ricevuto in Italia una certa regolamentazione per effetto dell’intervento del Garante per la Protezione dei Dati Personali⁷. Tuttavia, quando si tratta di gestire e sfruttare i dati, le aziende devono considerare non sono solo le questioni normative ma anche quelle aziendali. Nello specifico, con l’avvento dei Big data i set di dati sono diventati così voluminosi che i software di elaborazione tradizionali non sono più in grado di gestirli. Ciò ha portato allo sviluppo di nuovi modelli di elaborazione, che hanno permesso alle aziende di diventare più competitive, sia attraverso una riduzione dei costi, sia perché i nuovi sistemi sono in grado di archiviare, trasferire e combinare i dati con maggiore velocità ed in maniera agile. Ad esempio, poiché sempre più aziende abbracciano iniziative di trasformazione digitale per migliorare le operazioni, individuare nuove opportunità di guadagno, espandere le linee di business e migliorare le esperienze e la fidelizzazione dei clienti, molte organizzazioni si stanno ora rivolgendo a modelli di intelligenza artificiale e machine learning.⁸
Ma anche in questo caso, le implicazioni del ricorso a tali innovazioni hanno importanti riflessi anche sulla società e sulla vita umana in generale. L’Intelligenza Artificiale (IA), infatti, rappresenta l’ennesima rivoluzione che rischia di scardinare il domino dell’essere umano da settori di enorme rilevanza: informazione, lavoro, diffusione del sapere. Basti pensare al fenomeno delle fake news, con cui ci dovremo confrontare molto nei prossimi anni e che i sistemi attualmente presenti sulla rete non aiutano ad arginare, anzi, essendo basati sulla raccomandazione, sull’interesse, sui like, sulla condivisione dei link sui sistemi di “upvote” e via dicendo. Le fake news hanno dimostrato quanto sia facile, da parte di persone malintenzionate e di robot, diffondere notizie infondate, e non solo per semplice “divertimento” ma talvolta proprio con l’obiettivo di orientare l’opinione pubblica, sfruttando la grande potenza di fuoco dei social media. Una delle lotte principali dei nostri tempi sarà infatti quella per il controllo delle informazioni, per determinare se i big data diventeranno, in realtà, una forza in grado di influenzarci in modi di cui non siamo consapevoli. Esistono quindi anche problemi etici connessi alla raccolta dei dati.

Affidabilità e Integrità dei dati: definizioni

Se i dati digitali di qualsiasi settore sono importanti, non meno importanti sono le modalità di loro acquisizione che richiedono il rispetto di procedure certificate e rituali. I concetti di integrità e affidabilità oltre ad afferire a specifiche “qualità umane” che dovrebbero – uso il condizionale – costituire la base intrinseca di qualsiasi persona essi sono altrettanto cruciali per garantire l’efficace funzionamento dei sistemi tecnici e diventano essenziali qualora le digital evidence debbano essere utilizzate nello sviluppo di algoritmi di Intelligenza Artificiale o debbano essere acquisite secondo tecniche di Digital Forensics. Pertanto, risulta molto importante analizzare il significato generale delle parole:

• l’integrità si riferisce alla qualità di essere onesti e avere forti principi morali. Esso denota anche lo stato di essere intero e indiviso, garantendo coerenza e accuratezza nelle proprie azioni e dichiarazioni;
• l’affidabilità, d’altra parte, è la qualità di essere affidabili e performanti costantemente bene. Implica la capacità di fare affidamento per fornire risultati accurati e precisi risultati stabili in varie condizioni.

Integrità ed affidabilità nell’AI: un punto di vista tecnico

Nel regno dell’IA, i concetti di integrità e affidabilità sono fondamentali perché i data set su cui i sistemi di Intelligenza Artificiale poggiano richiedono una base progettuale che tenga conto, sin dall’inizio, non solo dell’efficienza e della funzionalità, ma anche della sicurezza intrinseca e della protezione del modello, dei dati di addestramento, del software di preparazione dei dati, delle interfacce software (come i prompt) e delle API utilizzate per interrogare il modello lungo tutto l’arco delle fasi del ciclo di vita nonché dei processi di manutenzione e acquisizione, in un’ottica che ormai dev’essere sempre più improntata alla “security by design”.
Addentrandoci nel particolare, l’integrità – nell’intelligenza artificiale – attiene alla garanzia che quei dati e quegli algoritmi progettati rimangano accurati, coerenti, e inalterati durante tutto il loro ciclo di vita. Ciò comprende diversi aspetti chiave, che per certi aspetti porta il ragionamento su un piano dualistico, afferente all’:

• integrità dei dati: intesa come garanzia che i dati utilizzati per la formazione e il funzionamento dell’IA poggia su modelli accurati e non manomessi. Ciò richiede la verifica della fonte e dell’autenticità di quei dati, oltre a mantenerne l’accuratezza durante la fase di memorizzazione e di trasmissione;
• integrità algoritmica: tesa a garantire che gli algoritmi funzionino secondo le modalità in cui sono progettati, rendendoli esenti da modifiche dannose. Questo risultato richiede validazioni e test rigorosi confermare che gli algoritmi aderiscano alla progettazione specificata e ai risultati attesi.

L’affidabilità – nell’intelligenza artificiale – è la capacità di un sistema di funzionare in modo coerente secondo quanto specificato dalle condizioni per cui è stato programmato e per un periodo di tempo predeterminato. L’affidabilità include:

• Coerenza: la capacità del sistema di IA di produrre risultati stabili e prevedibili tenendo conto dei diversi input e del fattore tempo;
• Robustezza: la capacità del sistema di IA di gestire errori, input imprevisti o condizioni avverse senza fallire;
• Disponibilità: garantire che il sistema di IA sia operativo e accessibile in qualsiasi momento è necessario, il che implica l’implementazione di meccanismi di ridondanza e failover⁹ riducendo al minimo i tempi di inattività.

Garantire l’integrità e l’affidabilità dei sistemi di AI è fondamentale per la loro accettazione ed efficacia nelle applicazioni del mondo reale e ciò implicherebbe una equa combinazione delle migliori pratiche nella gestione dei dati, nello sviluppo di algoritmi, nella progettazione di sistemi e nel monitoraggio continuo per rilevare e/o mitigare eventuali errori, bug di sistema o deviazioni dal comportamento previsto.

Integrità e affidabilità nell’AI: dal punto di vista tecnico a quello giuridico un esempio pratico

Un esempio di sistema di intelligenza artificiale che dimostra integrità tecnica e affidabilità, ma che fallisce subito dal punto di vista legale, è rinvenibile negli algoritmi matematici di polizia predittiva¹⁰. Tecnicamente, questi algoritmi basati su sistemi di intelligenza artificiale possono essere altamente affidabili e performanti (quando c’è un’enorme quantità di dati acquisiti), perché grazie alla loro crescente capacità di auto apprendimento di cui sono dotati questi algoritmi decisionali consentono di implementare autonomamente risorse in modo efficiente ed aggregare costantemente grandi quantità di dati per elaborarli e restituire, sotto forma di “alert”, evidenze circa la presenza di potenziali fenomeni criminosi sul territorio nazionale ed internazionale nonché l’accertamento e la valutazione di questioni di pericolosità sociale. L’integrità dei dati viene mantenuta ed assicurata attraverso una “solida” raccolta e archiviazione degli stessi e tramite interne tecniche di lavorazione, garantendo risultati accurati e coerenti.
Il ricorso alle tecniche di ottimizzazione predittiva, pur accelerando, in termini di teorica efficienza ed efficacia, il complessivo iter decisionale previsto per assumere una scelta finale, sembra realizzare una sorta di procedimentalizzazione formalmente asettica dell’output, fondato sulla pretesa infallibilità oggettiva dei modelli algoritmici utilizzati che, di fatto, però esautora praticamente del tutto l’opinabilità soggettiva tipica di un qualsivoglia giudizio di responsabilità su cui si basa l’adozione di una decisione umana: in altre parole un calcolo corretto in senso di coerenza statistica non è detto che possa considerarsi “equo” in termini di giustizia sociale, senza, inoltre, tralasciare i rischi di eventuali pregiudizi e malfunzionamenti codificati nella programmazione degli algoritmi stessi.
Oltretutto, da un punto di vista giuridico, questa tipologia di sistemi possono presentare problematiche di privacy dei dati, con effetti distorsivi nell’utilizzo degli stessi e con conseguenti rischi di trovarsi di fronte a fake news oltre che a rischi potenziali di trasparenza nelle modalità con cui vengono prese le decisioni. Queste preoccupazioni rischiano di sfociare in violazioni di legge e/o discriminazioni nei confronti di determinati soggetti, evidenziando il divario tra prestazioni tecniche e standard legali ed etici, e di conseguenza rischiano di mettere in discussione l’intera progettazione.
Attesi i limiti operativi sopracitati, poiché esistono difetti strutturali nell’analisi predittiva degli algoritmi che non consentono sempre di misurare e monitorare tutto ciò che esiste nella realtà, lo sviluppo di quegli algoritmi di ottimizzazione predittiva rende necessaria la garanzia di un generale accesso ai dettagli di implementazione del relativo modello per consentire agli utenti di conoscerne il funzionamento mediante una spiegazione chiara e completa sulle sue caratteristiche operative, con la possibilità di opporsi in qualsiasi momento e di contestarne l’uso. Pertanto, è preferibile che i data set su cui i sistemi di IA poggiano siano, sempre più, orientati su una base progettuale improntata alla “security by design”.

Integrità ed affidabilità da un punto di vista giuridico

Il panorama giuridico e tecnico negli ultimi anni, sospinto dallo sviluppo e dall’integrazione sempre più massiccia dell’IA in vari settori – oserei dire anche spropositata in talune circostanze – ha subito un’accelerazione significativa, in particolare con l’adozione diffusa di modelli di Intelligenza Artificiale generativi disponibili al grande pubblico, una fra tutti l’”esplosione” di ChatGPT, chatbot che ha creato moltissimo interesse (o hype) e che ha dato vita a innumerevoli dibattiti sulle sue potenzialità, tanto da destare l’interesse anche del Garante per la Protezione dei Dati Personali.
Questo rapido progresso ha amplificato la necessità di una regolamentazione prudente di queste tecnologie, poiché le loro applicazioni stanno avendo un impatto sempre più profondo e pervasivo sulla società e sugli individui. Inizialmente la discussione sulla regolamentazione dell’IA confinato in teorie e prospettive, si è trasformato in azioni concrete in entrambi i settori tecnico e giuridico, portando alla creazione di quadri normativi specifici per l’IA.
La necessità di standardizzazione ha spinto varie associazioni internazionali, come ad esempio IEEE (Institute of Electrical and Electronics Engineers¹¹), ISO (International Organization for Standardization) e CEN/CENELEC (Comitato Europeo per Normalizzazione e Comitato Europeo di Normalizzazione Elettrotecnica¹²), a sviluppare e lavorare su standard tecnici per garantire l’etica, le prestazioni e la sicurezza delle tecnologie IA.
Questi sforzi sono stati accompagnati da una stretta collaborazione con la comunità di ricerca, che ha contribuito in modo significativo alla definizione della regolamentazione di norme, spesso supportate da ingenti finanziamenti pubblici e collaborazioni internazionali. Un esempio rilevante è il Piano Nazionale di Ripresa e Resilienza (PNRR) dell’Italia teso a migliorare l’infrastruttura digitale del Paese e le capacità di Intelligenza Artificiale, stimolando la crescita economica nazionale attraverso l’Innovazione Tecnologica e lo sviluppo di algoritmi di Intelligenza Artificiale. Parallelamente a questi sforzi tecnici, è emersa una chiara necessità di inquadrare l’IA dal punto di vista economico, legale ed etico. In Europa, questo sforzo si è inizialmente concretizzato con l’adozione del Regolamento (UE) n. 2016/679¹³ cd. GDPR (General Data Protection Regulation), che ha stabilito norme rigorose per il trattamento e la circolazione dei dati personali per finalità di protezione e privacy e con quello, è bene ricordarlo, della Direttiva (UE) n. 2016/680¹⁴ che ha stabilito norme rigorose anche per il trattamento e la circolazione dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali.
Successivamente, l’attenzione si è spostata sull’Intelligenza Artificiale con l’introduzione recentissima del Regolamento UE n. 2024/1689¹⁵ conosciuto come AI Act (Artificial Intelligence Act), prima legge trasversale al mondo sull’Intelligenza Artificiale che introduce un approccio “basato sul rischio¹⁶” e mira ad armonizzare l’uso che viene fatto della stessa, affinché venga sviluppata ed utilizzata in modo sicuro, etico, trasparente e rispettoso dei diritti fondamentali e dei valori europei. Quest’ultima rappresenta un significativo ampliamento del percorso già intrapreso con il GDPR.
Sebbene il testo presenti ancora alcune lacune, soprattutto di carattere etico, il nuovo regolamento è volto a promuovere lo sviluppo e l’adozione di sistemi di IA sicuri e affidabili nel mercato unico dell’UE da parte di soggetti pubblici e privati, garantendo, al contempo, il rispetto dei diritti fondamentali dei cittadini dell’UE e a stimolare gli investimenti e l’innovazione sull’intelligenza artificiale in Europa.
La legge sull’IA si applica solo ai settori che rientrano nel diritto dell’UE e prevede esenzioni, ad esempio per i sistemi utilizzati esclusivamente per scopi militari e di difesa e per la ricerca. Classifica i diversi tipi di intelligenza artificiale in base al rischio: i sistemi di IA che presentano solo un rischio limitato sarebbero soggetti a obblighi di trasparenza molto leggeri, mentre i sistemi di IA ad alto rischio sarebbero autorizzati, ma soggetti a una serie di requisiti e obblighi per accedere al mercato dell’UE che li debbono rendere compatibili. I sistemi di IA come, ad esempio, la manipolazione cognitiva del comportamento e il social scoring saranno banditi dall’UE perché il loro rischio è considerato inaccettabile.
La stessa legge vieta anche l’uso dell’AI per la polizia predittiva basata sulla profilazione e i sistemi che utilizzano dati biometrici per classificare le persone in base a categorie specifiche come razza, religione o orientamento sessuale. Tratta anche l’uso di modelli di IA per scopi generali (GPAI), i quali, se non presentano rischi sistemici, saranno soggetti ad alcuni requisiti limitati, ad esempio per quanto riguarda la trasparenza; quelli che presentano invece rischi sistemici dovranno rispettare regole più severe. Prevede, altresì, ammende per le infrazioni alla legge sull’IA fissate come una percentuale del fatturato annuo globale dell’azienda trasgressore nell’esercizio finanziario precedente o di un importo predeterminato, a seconda di quale sia più alto; le PMI e le start-up sono soggette a sanzioni amministrative proporzionali.
In realtà, l’AI Act ha tratto significativa ispirazione dalle Linee Guida Etiche per un’Intelligenza Artificiale affidabile sviluppata da un gruppo di esperti di alto livello istituito dalla Commissione europea sulla materia. Queste linee guida, che non sono state direttamente integrate nell’AI Act e quindi non sono vincolanti, miravano a fornire un quadro etico per uno sviluppo ed un utilizzo consapevole dell’intelligenza artificiale in Europa sulla base di requisiti chiave come azione umana, robustezza tecnica, privacy, trasparenza, diversità e responsabilità.
Attraverso l’AI Act, l’Europa riafferma il proprio impegno a favore di un’Intelligenza Artificiale che metta gli esseri umani in una posizione di vantaggio al centro, sottolineando l’integrità e la tutela degli individui nell’era digitale, ma l’UE non è l’unica a svolgere un ruolo centrale. Secondo la proposta di legge sull’IA, un’autorità significativa sarà comunque riservata alle autorità nazionali di ciascun membro stato. Queste autorità saranno responsabili del monitoraggio e della garanzia della conformità con le norme dell’AI Act all’interno delle loro giurisdizioni. Valuteranno i sistemi di intelligenza artificiale per il rispetto degli standard stabiliti, in particolare per le applicazioni ad alto rischio, garantendo che questi sistemi non compromettano la sicurezza o gli interessi pubblici. Inoltre, forniranno linee guida per le organizzazioni sull’implementazione delle tecnologie di intelligenza artificiale in linea con la legge sull’intelligenza artificiale requisiti, migliorando così la governance complessiva dell’IA in tutta l’UE.
Di conseguenza ogni Paese europeo dovrà armonizzare – e staremo a vedere come lo farà – anche queste direttive con le proprie normative, garantendo un approccio coeso e globale alla governance dell’IA rispetta sia il quadro generale europeo che le specificità giuridiche e culturali contesti dei singoli Stati membri. Questo processo di armonizzazione è cruciale per creare un contesto normativo unificato ed efficace in grado di favorire l’innovazione tutelando al tempo stesso interesse pubblico e diritti individuali in tutto il continente.

1. R. MURENEC, “Tra Internet e il WWW: uno sguardo su questo sconosciuto mondo del Dark Web!”, in Compliance, 2022, n. 12, contributo nel quale viene fatta una precisazione tra ciò che è Internet e ciò che è la “ragnatela mondiale” del World Wide Web “…Trattasi di due termini che spesso vengono usati come sinonimi, ma che invece rappresentano due realtà profondamente diverse, atteso che “Internet” è l’infrastruttura tecnologica che permette di trasferire i dati online e che ha reso possibile non solo il web, ma anche lo sviluppo della posta elettronica (e-mail), delle applicazioni su Smartphone, delle prime Chatroom, dei trasferimenti FTP e di parecchie altre cose, mentre il mondo del Web (WWW) è uno dei servizi che, sfruttando l’infrastruttura di Internet, permette al contempo di navigare, condividere contenuti ipertestuali e multimediali, costituiti cioè da un insieme di contenuti testuali, con eventuale aggiunta di immagini, audio o video, nonché usufruire dei collegamenti proposti attraverso i siti e molto altro ancora…”. ↩︎
2. Locuzione con cui si indica genericamente una raccolta di dati informatici così estesa in termini di volume, velocità e varietà da richiedere tecnologie e metodi analitici specifici per l’estrazione di valore o conoscenza. Non esiste una definizione normativa, né domestica né internazionale, e scarsi sono i riferimenti che possono essere presi a modello. A titolo esemplificativo, l’esplorazione delle fonti di possibile interesse ha permesso di evidenziare, a livello unionale, che la Commissione Europea – in una pubblicazione finalizzata a delineare le strategie per la Costituzione di un singolo mercato digitale – nel suo Shaping Europe’s digital future, consultabile al link: https://ec.europa.eu/digital-single-market/en/big-data – nel cercare di definire i Big Data ha utilizzato la locuzione “refers to large amounts of data produced very quickly by a high number of diverse sources”. La breve definizione, per quanto non contenuta in un atto normativo, può essere utile perché pone in evidenza tre elementi caratterizzanti la categoria dei big data: grande volume di dati, prodotti ed elaborati molto velocemente, provenienti da un numero elevato di fonti differenti. ↩︎
3. La crescente importanza nell’ambito del marketing delle risorse informative legate ai clienti di un’azienda è infatti dovuta alla circostanza che, a parità di condizioni, tali informazioni permettono all’azienda di ottenere e sostenere un vantaggio competitivo sul mercato d’appartenenza e, dunque, prestazioni finanziarie superiori, specialmente se si tratta di risorse raccolte in ambienti digitali, interattivi e collegati a Internet. ↩︎
4. Potrebbe essere sufficiente un semplice “Mi piace” su Instagram e Facebook per modificare le pubblicità mostrate mentre osserviamo i contenuti caricati da altri utenti o anche la condivisione di un video YouTube per cambiare gli altri filmati presenti nella sezione dei consigliati.
   Come del resto, in certi contesti, ricordo anche che l’apposizione di un semplice “Like” o un “Post” su Instagram e Facebook può assumere rilevanza penale nel contesto dei cosiddetto “reati d’odio” commessi su Internet, Cass. Sez. I, 6 dicembre 2021, n. 4534. ↩︎
5. S. D’AMBRUOSO, “Il Cyberterrorismo di matrice religiosa”, in Cybercrime, a cura di Cadoppi, Canestrari, Manna, Papa, Milano, 2019, p. 201, nell’evidenziare le direttrici della riforma Europea per il futuro della Cybersecurity ha considerato che una di esse è rappresentata proprio dal GDPR, Regolamento Generale dell’Unione Europea sulla Protezione dei Dati n. 679/2016 (cosiddetto GDPR) che ha trovato applicazione in Italia a far data dal 25/05/2018 e che nelle sue novità ha riguardato, tra l’altro, la disciplina dei casi di violazioni di sicurezza (cosiddetto Data Breach) che comportano “accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati (art. 4)”. Nello specifico, tale normativa, ha introdotto parametri di risposta e tracciamento (artt. 33 e 34) volti ad innalzare il livello di attenzione e responsabilizzazione del Titolare del trattamento dei dati, per prevenire e contrastare il verificarsi dei più gravi incidenti di sicurezza informatica e di violazione della privacy. Il nuovo quadro di obblighi e misure – oltre a garantire maggiore cooperazione e scambio di informazioni tra tutte le autorità nazionali ed europee che operano nell’ambito del trattamento dei dati personali in caso di incidenti di sicurezza – tende ad assicurare il coinvolgimento degli interessati nel processo di gestione dei dati personali, con procedure più chiare per la richiesta del consenso e meccanismi di comunicazione obbligatoria in caso di data breach (Una delle prime fu la segnalazione del 21 marzo 2017 fatta dalla società Wind Tre Spa al Garante della privacy, ai sensi dell’art. 32-bis del Codice, e che ha riguardato il sistema informatico di selfcare “tre.it” con la conseguente illecita visualizzazione ed acquisizione di credenziali contenute in un file recante dati personali riferiti provvisoriamente a 5118 clienti). ↩︎
6. Google, per esempio, nel gennaio 2019 è stata multata dalla Commission Nationale de l’Informatique et des Libertés francese per 50 milioni di euro. ↩︎
7. Cfr. “Linee guida cookie e altri strumenti di tracciamento” del 10 giugno 2021 pubblicato in Gazzetta Ufficiale n. 163 del 9 luglio 2021 a cui si fa rimando al link https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9677876. ↩︎
8. Trattasi di due concetti differenti. L’intelligenza artificiale si può definire come la scienza che sviluppa l’architettura necessaria affinché le macchine funzionino come il cervello umano e le relative reti neurali; il suo obiettivo è quello di creare dei computer con capacità di ragionamento simili (se non uguali) all’essere umano al fine di prendere decisioni in perfetta autonomia.
   Il Machine Learning (ML) è un sottoinsieme dell’intelligenza artificiale (AI) che si occupa – attraverso degli algoritmi – di creare sistemi che apprendono o migliorano le performance in base ai dati che utilizzano. Intelligenza artificiale è un termine generico e si riferisce a sistemi o macchine che imitano l’intelligenza umana. I termini Machine Learning e AI vengono spesso utilizzati insieme e in modo interscambiabile, ma non hanno lo stesso significato. Un’importante distinzione è che sebbene tutto ciò che riguarda il Machine Learning rientra nell’Intelligenza Artificiale, non è vero viceversa e, pertanto, l’Intelligenza Artificiale non include solo il Machine Learning.
   Attualmente, il Machine Learning è utilizzato ovunque. Quando interagiamo con le banche, acquistiamo online o utilizziamo i social media, vengono utilizzati gli algoritmi previsionali di Machine Learning per rendere la nostra esperienza efficiente, facile e sicura. Il Machine Learning e la tecnologia associata si stanno sviluppando rapidamente e noi abbiamo appena iniziato a scoprire le loro funzionalità. Nel Machine Learning due sono i potenziali approcci che, a scelta dell’utente, possono essere utilizzati:
   – il Machine Learning supervisionato, basato su un approccio “condizionato” di un data scientist che fa da guida e che insegna all’algoritmo i risultati da generare;
   – il Machine Learning non supervisionato, basato su un approccio più indipendente, in cui un computer impara a identificare processi e schemi complessi senza la guida attenta e costante di una persona. ↩︎
9. In informatica e tecnologie correlate alle reti, per failover si intende la tecnica che prevede in caso di guasto o interruzione anomala nel funzionamento di un server, un componente hardware o una rete, la commutazione automatica a una struttura analoga ridondante o in standby, in modo che il nuovo dispositivo rimpiazzi quello non più funzionante. Il failover e lo switchover sono essenzialmente la stessa operazione, tranne per il fatto che di solito il failover è automatico e opera senza preavviso, mentre lo switchover richiede l’intervento umano (tratto da Wikipedia, l’enciclopedia libera: https://it.wikipedia.org/wiki/). ↩︎
10. Tale metodologia si concretizza nella creazione di un “indice di rischio generale” costituito dalla ponderazione di singoli indici di rischio afferenti ad aspetti di pericolosità che riguardano differenti aree di interesse con riguardo ad una data platea di soggetti, siano essi persone fisiche che giuridiche. Un indice di rischio connesso al profilo soggettivo delle persone fisiche potrebbe riguardare, tra gli altri, gli interessi e le relazioni che esse evidenziano rispetto al controllo ed alla partecipazione alla gestione, diretto o indiretta, di aziende. Tale indice tiene inoltre conto della presenza di precedenti giudiziari e di polizia provenienti dalle diverse banche dati in uso alle Forze di Polizia. A questi si può aggiungere un indice di rischio patrimoniale che evidenzia possibili dati di interesse relativi al patrimonio, alle fonti di reddito e ad altre informazioni di natura economico-finanziaria. Un altro indice di rischio può essere tratto dalla valutazione della struttura aziendale e dall’analisi dei bilanci che la stessa ha presentato, provando a contestualizzare alcuni segnali a livello contabile del tipo come sopra descritto. La costruzione di tali indici richiede l’attribuzione a monte di un “peso” delle variabili coinvolte e un valore – normalmente compreso tra 0 e 1 secondo una logica di tipo fuzzy – che definisce la contestualizzazione degli oggetti analizzati. Attribuendo il valore massimo 1 a ciascuna variabile si ottiene, di conseguenza, il valore di rischio massimo ammesso. ↩︎
11. Associazione Internazionale di scienziati professionisti con l’obiettivo della promozione delle scienze tecnologiche con sede a New York. ↩︎
12. Organizzazione senza scopo di lucro con sede a Bruxelles. ↩︎
13. Regolamento (Ue) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (regolamento generale sulla protezione dei dati) pubblicato sulla Gazzetta Ufficiale dell’Unione Europea L 119/1 del 04 maggio 2016, entrato in vigore dal 25 maggio 2018, a cui si fa rimando al link https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016R0679. ↩︎
14. Direttiva (Ue) n. 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio pubblicata sulla Gazzetta Ufficiale dell’Unione Europea L 119/89 del 04 maggio 2016, entrata in vigore a far data dal 6 maggio 2018, a cui si fa rimando al link https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L0680&qid=1726152459685. ↩︎
15. Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale) pubblicato sulla Gazzetta Ufficiale dell’Unione Europea L 119/89 del 12 luglio 2024, entrato in vigore a far data dal 3 luglio 2024, a cui si fa rimando al link https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=OJ:L_202401689. ↩︎
16. Secondo cui: “tanto maggiore è il rischio di arrecare danni alla società, quanto più rigorose sono le regole”. ↩︎