Il DDL Meloni sull'intelligenza artificiale, tra imparzialità e la questione web scraping
Quanto manca all'entrata in vigore dell'AI Act, ormai approvato dall'UE? Come si sta organizzando l'Italia? Cosa contiene il DDL n.1146? Perché si parla tanto di web scraping?
<\Monitor di giugno vi aggiorna sull’iter parlamentare del disegno di legge sull’intelligenza artificiale proposto dal governo Meloni, ancora al vaglio del Senato, sugli ultimi provvedimenti in fatto di data protection e web scraping (cos’è, si mangia? Niente paura, ve lo spieghiamo tra qualche paragrafo), sugli appelli che abbiamo rivolto alle istituzioni, sugli eventi in programma e tanto altro ancora. Se ancora non sei iscritto, clicca qui per ricevere <\Monitor (gratuitamente!):
A che punto siamo con l’AI Act
Ebbene, siamo (quasi) giunti al termine della corsa. Sull’Artificial Intelligence Act (AI Act), l’atto normativo proposto dalla Commissione Europea nel 2021 al fine di disciplinare i sistemi d’intelligenza artificiale all’interno dell’Unione, non resta più molto da aggiungere.
Il regolamento, dopo essere stato approvato sia al Parlamento (marzo 2024) che al Consiglio (maggio), al momento attende solo la pubblicazione in Gazzetta ufficiale e la conseguente entrata in vigore, previste nei prossimi due mesi (luglio e agosto). L’AI Act sarà quindi pienamente applicabile nei successivi 24 mesi, ma alcune parti saranno applicabili prima:
il divieto per i sistemi di intelligenza artificiale che presentano rischi inaccettabili si applicherà 6 mesi dopo l'entrata in vigore;
i codici di condotta si applicheranno 9 mesi dopo l'entrata in vigore;
le norme sui sistemi di intelligenza artificiale per uso generico che devono rispettare i requisiti di trasparenza si applicheranno 12 mesi dopo l'entrata in vigore;
I sistemi ad alto rischio avranno più tempo per conformarsi ai requisiti poiché gli obblighi relativi ad essi saranno applicabili 36 mesi dopo l'entrata in vigore.
E l’Italia? È pronta alla sfida?
Subito dopo l'approvazione, questa primavera, il governo italiano ha agito con tempestività per implementare le disposizioni contenute nell’AI Act, designando come autorità co-responsabili della governance dell'IA due agenzie, Agid (Agenzia per l'Italia Digitale) e Acn (Agenzia per la cybersicurezza nazionale).
Entrambe le agenzie sono relativamente recenti, istituite rispettivamente nel 2012 e nel 2021 tramite decreto-legge. I loro direttori sono nominati direttamente dalla Presidenza del Consiglio, il che tradisce il ruolo d'importanza strategica assegnata all'IA dal governo.
Avevamo descritto nel dettaglio i compiti affidati alle due agenzie nell’edizione di <\Monitor di aprile, nella quale parlavamo anche dell’appello lanciato assieme ad altre associazioni italiane alle istituzioni affinché l’AI governance in Italia venisse affidata ad autorità più independenti, imparziali e slegate da organi di governo/partiti politici.
In ogni caso, la scelta del governo Meloni di affidare ad Agid e Acn un ruolo centrale nella governance dell'IA si inserisce in un disegno di legge più ampio che delinea la strategia italiana per lo sviluppo e l'utilizzo di sistemi di intelligenza artificiale – il DDL n. 1146.
Il processo di stesura e l'iter parlamentare di questo DDL, approvato dal Consiglio dei Ministri il 23 aprile scorso, hanno visto il coinvolgimento di numerosi uffici governativi e di diversi ministri, tra cui il senatore Lorenzo Basso (PD).
Secondo gli ultimi aggiornamenti (pubblicamente accessibili dal sito del Senato della Repubblica), durante la seduta di mercoledì 26 giugno, la più recente, Basso ha chiesto informazioni sullo svolgimento delle audizioni.
Le audizioni previste dall’iter di legge sono fondamentali per far sì che i pareri della società civile vengano ascoltati e, ci si auspica, tenuti in considerazione durante le varie sedute delle commissioni parlamentari che si dedicano a definire la normativa in questione.
Hermes Center ha fatto richiesta per potervi partecipare, anche se al momento non abbiamo ancora ricevuto indicazioni per una data precisa. La discussione del DDL n. 1146 è in carico a due commissioni, la 8ª (Ambiente, transizione ecologica, energia, lavori pubblici, comunicazioni, innovazione tecnologica) e la 10ª (Affari sociali, sanità, lavoro pubblico e privato, previdenza sociale).
La società civile europea chiede indipendenza e la trasparenza sull’AI governance
Martedì 25 giugno, BEUC (The European Consumer Organisation) ha inviato due lettere redatte insieme ad Hermes Center e Access Now alla Commissione Europea e a DG Connect, la Direzione Generale delle Reti di comunicazione, dei contenuti e delle tecnologie dell'Unione Europea.
Le lettere erano due copie identiche di una lettera firmata da 34 organizzazioni europee e intitolata “Need for independent national market surveillance authorities under the AI Act”, chiedono che tutti gli Stati membri rispettino i principi di indipendenza e trasparenza richiesti dall'AI Act per le autorità di governance dell'intelligenza artificiale. Testualmente:
(154) The national competent authorities should exercise their powers independently, impartially and without bias, so as to safeguard the principles of objectivity of their activities and tasks and to ensure the application and implementation of this Regulation. The members of these authorities should refrain from any action incompatible with their duties and should be subject to confidentiality rules under this Regulation.
Le organizzazioni firmatarie esprimono preoccupazione per il fatto che in alcuni paesi, come Italia e Danimarca, la governance dell'IA è stata affidata ad agenzie governative o ad organi non del tutto indipendenti. In particolare, sottolineano che Acn è persino affiliata politicamente in modo esplicito (ricordate Bruno Frattasi alla conferenza di Fratelli d’Italia?).
Noi tutti riteniamo che sia fondamentale designare autorità di vigilanza in grado di operare in modo indipendente e imparziale, senza influenze da parte di governi o imprese private. Questa è vista come un'assoluta priorità, data la portata senza precedenti della tecnologia di intelligenza artificiale in tutti gli aspetti della nostra vita.
L'appello delle organizzazioni mira a garantire che l'AI Act sia attuato correttamente e che i cittadini europei siano protetti dai potenziali rischi associati all'intelligenza artificiale.
Questione web scraping: passi avanti sì, ma c’è ancora da lavorare
Il 7 giugno 2024, il Garante per la Protezione dei Dati Personali (GPDP) ha pubblicato un provvedimento contenente misure per tutelare i dati degli utenti online. Hermes Center, pur apprezzando l'impegno del Garante, ritiene che il provvedimento non sia ancora all'altezza della sfida.
Il provvedimento, secondo noi, manca di soluzioni concrete e attuabili. La responsabilità di implementare misure di protezione spesso complesse e costose grava eccessivamente sui gestori dei siti web. Inoltre, non è stata chiarita la base giuridica per il trattamento dei dati raccolti tramite web scraping.
Il web scraping è una tecnica informatica che consente di estrarre dati strutturati o non strutturati da siti web. Funziona tramite software o script che simulano la navigazione umana, analizzando il codice HTML delle pagine web e identificando i dati di interesse.
I dati estratti possono essere utilizzati per vari scopi, come la ricerca di mercato, il monitoraggio dei prezzi, l'analisi dei dati e l'aggregazione di contenuti.
Il provvedimento del GPDP è stato redatto in seguito ai suggerimenti raccolti con un'indagine conoscitiva in materia di web scraping (aperta da gennaio a marzo 2024), a cui avevamo partecipato anche noi di Hermes Center.
Nel suo contributo, consultabile a questo link, Hermes Center aveva proposto di aggiornare il robots.txt, il file utilizzato dai motori di ricerca per indicare quali pagine di un sito possono essere scansionate, e di tutelare lo scraping ad uso civile, ad esempio per il giornalismo d'inchiesta. Purtroppo, queste proposte non sono state considerate nel provvedimento.
I prossimi eventi in ambito tech/diritti digitali
Mentre giugno ha visto decine di organizzazioni europee, compresa EDRI, la coalizione European Digital Rights di cui facciamo parte anche noi, partecipare al workshop di CDT (Centre for Democracy and Technology) sull’implementazione dell’AI Act, luglio e agosto saranno mesi più tranquilli, lato eventi.
Non temete però: a settembre si ritorna con un’agenda piena e promettente. Senza anticiparvi troppo, il team di Hermes ci tiene a segnalare in particolare un paio di eventi, il MOCA (occasione per conoscere le ultime innovazioni nel campo della sicurezza informatica, della programmazione e del digital activism) e il DIG, il principale festival europeo dedicato al giornalismo investigativo, in cui troveranno il loro spazio a fianco dei vari collettivi, anche associazioni come la nostra.
<\Monitor invece seguirà regolarmente la programmazione, uscendo sempre a fine mese, a ridosso del fine settimana. Cosa aspetti, diffondi il link per iscriversi tra amici e conoscenti!