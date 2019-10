Accountability: l'insostenibile pesantezza della vera responsabilità di Alessandro Curioni

4' di lettura

Praticamente intraducibile in italiano con una singola parola, il termine “accountability” non significa soltanto essere responsabili, ma anche essere in grado di giustificare le proprie scelte. Esso sta diventando per L'Unione Europea il leitmotiv di tutte le norme, direttive, linee guida e regolamenti che in qualche modo hanno attinenza con la cyber security e più in generale con la società dell'informazione. A inaugurare in grande stile questo trend è stato il Regolamento Europeo in Materia di Protezione dei Dati, l'ormai famigerato GDPR, che ne è completamente intriso, al punto da potere essere definito il primo caso di un regolamento senza “regole”, ma completamente orientato a rimettere nelle mani dei destinatari la scelta di quello che si può fare e non si può fare. Ancora più di recente il “Progetto di orientamenti etici per un'IA affidabile” dell'aprile 2019 prodotto da un gruppo di esperti per la Commissione Europea: parla della necessità di “accountability” per tutto il ciclo di vita delle intelligenze artificiali, e sempre ad essa si fa riferimento negli “human-centred AI Principles” del G20 pubblicati a giugno di quest'anno. Si tratta soltanto di alcuni esempi espliciti, ma ormai ogni atto normativo, più o meno cogente, che tende a regolamentare o indirizzare la società dell'informazione si fonda su questo principio e da questo iniziano i veri problemi per le aziende.



L'accountability si lega indissolubilmente a un altro concetto non meno inquietante: l'idoneità. Soprattutto giuridicamente esso suscita immediatamente inquietudini perché quando in una norma si parla di “idoneità” significa che se qualcosa va storto scatta l'inversione dell'onere della prova ovvero in un tribunale si è colpevoli a meno che non si dimostri il contrario. In effetti anche il tema dell'adeguatezza è ormai onnipresente nei provvedimenti europei e la sua combinazione con quel particolare tipo di “responsabilizzazione” sta generando una confusione senza precedenti. Questo vale soprattutto per le aziende italiane da sempre abituate a un legislatore che ha l'ambizione di “spaccare il capello in quattro” (con risultati non di rado poco chiari se non contraddittori). Alle nostre imprese, invece, viene oggi richiesto di farsi delle domande e seguire un ragionamento logico. Si deve dimostrare di avere fatto delle scelte basate su ragionamenti condivisibili e supportati da un'adeguata analisi della propria attività e delle sue aree di rischio.

In seguito si decideranno quali sono i controlli, le misure e le modalità attraverso cui svolgere il lavoro minimizzando la possibilità che i rischi si concretizzino. Tutto questo è un atto che l'azienda compie con un'autonomia pressoché assoluta, semplicemente guidata da alcuni principi cardine senza però alcune certezza di come essi debbano essere declinati nella pratica. In ultima analisi le aziende e le pubbliche amministrazione del Belpaese dovranno abituarsi a convivere con una domanda: “Avrò fatto la cosa giusta?” Se provaste a porre la questione al legislatore probabilmente vi risponderebbe: “Non faccio il tuo mestiere, quindi sono il meno indicato per risponderti. Certo se qualcosa va storto è evidente che potevi fare meglio”. Non resta quindi che rassegnarsi a questo nuovo stato di cose, ma possiamo legittimamente porci una domanda: per quale ragione le normative hanno preso questa piega? Senza sforzare troppo la fantasia si tratta dell'inevitabile conseguenza di come le nuove tecnologie stanno cambiando il mondo o, per meglio dire, della velocità con cui lo modificano. Prendiamo ad esempio il caso del GDPR la cui trasformazione da proposta finale della Commissione Europea a norma definitivamente applicata ha richiesto sei anni: dal gennaio 2012 al maggio 2018.



Nel mezzo c'è stato il caso Snowden e quello dell'avvocato austriaco Max Schrems, che a partire dal 2011 sta lottando con Facebook per l'utilizzo dei dati personali degli utenti e nel 2013 ha messo in crisi le relazioni Europa-Stati Uniti sul tema del trasferimento dei dati. A norma approvata, ma non ancora applicabile, è arrivato anche il caso Cambridge Analytica. Insomma dal momento in cui il Regolamento è stato concepito è successo… l'inconcepibile. Proprio per questa ragione qualsiasi norma uscirà dal parlamento europeo non potrà fare a meno di essere sufficientemente “generica” da resistere alla prova del tempo, ma allo stesso tempo abbastanza vincolante da non permettere “vie di fuga”.

Di certo il modo migliore di garantirne la durata sarà quella di formulare dei principi che possano durare nel tempo ed essere sempre considerati validi, ma quando si parla di evitare “aggiramenti” della norma sarà l'accountability a giocare un ruolo fondamentale. Non a caso ho citato anche le indicazioni in materia di intelligenza artificiale.

Oggi è impossibile prevedere quali saranno le applicazione di questi algoritmi o il livello di interazione con gli esseri umani e l'influenza che avranno sulla nostra realtà fisica. Impossibile non condividere un pensiero come quello espresso dalla Commissione Europea che ha fatti proprio il pensiero di 52 esperti in materia di intelligenza artificiale: “Il requisito dell'accountability completa gli altri ed è strettamente connesso al principio di equità. Sono necessari dei meccanismi che garantiscano la responsabilità l'accountability per i sistemi di intelligenza artificiale e quello che possono generare, sia prima che dopo il loro sviluppo, istallazione e utilizzo”. In altri termini, noi rappresentiamo i cittadini e come loro non sappiamo come potranno essere utilizzate le intelligenze artificiali, ma voi che le costruite e utilizzate sarete vincolati a saperlo e quindi ne dovrete rispondere: nel bene e nel male. Tutto sommato non fa una grinza.

Presidente DI.GI. ACADEMY