di Francesco Borgesano
L’Unione Europea, sempre al passo con i tempi, guardando ed analizzando il contesto storico, sociale ed economico in cui viviamo, ha compreso che il fenomeno tecnologico, lungi dall’essere innocuo, potrebbe portare numerosi pregiudizi per la collettività tutta. L’evoluzione del concetto di sicurezza da computer security a information security trova riscontro negli interventi del legislatore comunitario: da principio, la sicurezza era orientata a garantire il funzionamento delle reti pubbliche di comunicazione (sin dalla direttiva 90/387/CE sull’istituzione del mercato interno per i servizi delle telecomunicazioni), fino a giungere, poi, ad una nuova visione focalizzata sulla protezione dei dati e delle informazioni nella strategia europea del digital single market dove la sicurezza dell’informazione diventa un pilastro per creare un clima di fiducia nell’ambiente digitale1. Spesso, i giuristi, forse per pigrizia, applicano strumenti e categorie vecchie a fenomeni completamente nuovi, chiaramente inidonei a svolgere un ruolo per cui non sono stati pensati. A nuovi fenomeni, strumenti nuovi e, quindi, una nuova categorizzazione, un nuovo modello di diritto che sia in grado di esplicare quella che è la sua funzione di controllo sociale. Questo è il senso con cui nasce la proposta di regolamento UE.
La tecnologia 2.0 sta perdendo il suo classico ruolo strumentale e funzionale al soddisfacimento dei bisogni umani, per assumere una propria soggettività. Si può davvero pensare di riconoscere ad una macchina – seppur super evoluta, e capace di apprendere tramite programmi sviluppati ad hoc i cosiddetto machine learning – un’autonoma soggettività? Questo è uno dei tanti interrogativi ai quali si deve necessariamente rispondere quando si ha a che fare con la realtà digitale. Le implicazioni problematiche di una risposta affermativa ad un interrogativo del genere sarebbero pressoché infinite, stante l’incapacità, a cui sono giunte dottrina e giurisprudenza, di condannare una IA in quanto soggetto autonomo responsabile.
La proposta di regolamento UE sull’IA si è resa necessaria, in ragione delle caratteristiche tipiche dell’IA e dell’intero sistema digitale in cui queste nuove tecnologie operano. La realtà digitale è il presente e sarà il futuro. I nuovi fenomeni, come quello della digitalizzazione del mondo, devono essere affrontati in maniera diversa dal passato. Il diritto esclusivamente positivo non riesce ad attecchire in una realtà artificiale dove vigono nuove regole. Tra i profili caratterizzanti della «rete digitale» devono considerarsi l’«a-centralità», l’«a-territorialità» e l’«a-temporalità», ciò in quanto essa non dispone di un «centro» dotato di un ruolo direttivo ed ubicabile territorialmente, ma si spande ed avvolge l’intero pianeta come una sorta di «involucro» e permette di superare – grazie alla sua assenza di fisicità – la naturale scansione cronologica degli eventi, collocandosi nell’estemporanea «simultaneità». Un ulteriore esempio dell’espansione dei confini di interazione tra ambiente e sistemi informativi è dato dall’Internet delle cose, o Internet of Things (IoT)2.
Il nuovo modello di diritto che viene a formarsi, in ragione proprio di quanto si è analizzato in precedenza, deve essere creato tenendo conto della natura delle cose da regolamentare. A determinare quindi, questo nuovo modello di diritto è certamente la cooperazione tra il formante tecnico e quello positivo, al fine di minimizzare il rischio digitale. A fare da collante tra l’aspetto tecnico e quello legislativo ci sarà il principio di sussidiarietà che opererà sia sul piano verticale che su quello orizzontale. Il ruolo chiave del principio di sussidiarietà in questo sistema è giustificato dalla totale assenza di confini geografici, come si è avuto modo di evidenziare, in ambito tecnologico e dal pericolo di eccessiva frammentazione normativa che potrebbe derivarne.
La direttiva (UE) 2016/11483, nota come direttiva NIS “Network and Information Security”, è il primo atto legislativo europeo in materia di cybersecurity. Tale direttiva ha imposto agli Stati membri la definizione di un programma nazionale in materia di cybersecurity, intensificando le forme di coordinamento a livello europeo ed internazionale, è stato chiesto, infatti, agli Stati Membri, di garantire che gli attori rispettino, secondo il criterio della valutazione del rischio, gli obblighi in materia di misure di sicurezza e di notifica degli incidenti, tra questi, quelli con un impatto rilevante sulla continuità di servizi essenziali e sulla fornitura di servizi digitali dovranno essere notificati all’autorità nazionale ed a quella europea. L’Italia ha recepito la direttiva con il decreto legislativo n. 65 del 2018, adottando un approccio prudente e poco incisivo sulle dinamiche di mercato4.
La strategia del 2020 assurge programmaticamente il concetto di cybersecurity a bene meritevole di tutela in sé e, contemporaneamente, a bene strumentale per la tutela e il godimento di diritti fondamentali. Il modello generale di sicurezza descritto dalla Commissione UE nella «proposta» si colloca – ancorché parzialmente – sulla medesima linea seguita dalle istituzioni comunitarie in altri settori disciplinari, caratterizzandosi per taluni aspetti ulteriori che in esso vengono integrati e, da parte loro, costituenti la concretizzazione di princípi affermatisi nel corso del processo europeo di regolazione del fenomeno dell’intelligenza artificiale. Vengono in rilievo i princípi di precauzione, prevenzione e responsabilizzazione, sfruttando le caratteristiche regolamentari del design. Il modello descritto dalla Commissione mira alla cooperazione dei fattori normativi e tecnici al fine di minimizzare il rischio digitale procedimentalizzando le eventuali conseguenze pregiudizievoli nella fase genetica.
Già nella Comunicazione dell’8 aprile 2019 (COM-2019/168)5 con cui la Commissione ha definito i requisiti fondamentali per una IA «affidabile» si faceva riferimento all’esigenza di un «approccio antropocentrico» – che ponesse cioè l’essere umano al centro dell’intero ciclo di progettazione e di funzionamento dei sistemi di IA. Si parla, infatti, del principio della cosiddetta «autonomia supervisionata» l’obiettivo è, già in fase di progettazione del sistema dell’IA, inserire e vincolare la macchina alla componente umana, ovvero fornire all’operatore umano la facoltà di intervenire al fine di controllarne ed eventualmente di correggerne l’esecuzione6. L’Unione promuove, come si è illustrato nel corso dell’articolo, un approccio strategico di tipo globale, generale, fondato sulla cooperazione internazionale avendo come principio guida, il principio di sussidiarietà, e sulla condivisione di informazioni a tutti livelli.
La cybersecurity può essere intesa come bene pubblico in termini di protezione della collettività. In tale visione si auspica una cooperazione, che superi quindi il paradigma classico della collaborazione, tra il settore pubblico e quello privato, al fine di creare un sistema solido che realizzi, nel pubblico interesse, un clima di fiducia. Sarà quindi compito del settore pubblico stabilire norme, procedure di certificazione, collaudo e verifica del sistema in grado di garantire un livello sufficiente di sicurezza, dall’altra parte, il settore privato sarà responsabile della progettazione di sistemi robusti e dello sviluppo e del miglioramento di nuovi metodi di sicurezza7.
Questa breve analisi del dato normativo, frammentato ed ancora in divenire, evidenzia la scelta del legislatore eurounitario di rafforzare ulteriormente il quadro giuridico di rifermento, infatti, tale orientamento, a livello mondiale, è confermato anche dalla stretta regolamentativa adottata dalla presidenza Biden negli Stati Uniti, a seguito dell’attacco «Solarwind» del febbraio 2021. L’Ordine Esecutivo del 12 maggio 2021, e non quindi atto del Congresso, mira a rafforzare il livello generale delle difese cibernetiche del Paese, incoraggiando le aziende private ad adottare le migliori pratiche cyber, in mancanza delle quali verrebbero estromesse dai contratti d’appalto federali8. La strada da percorrere è lunga e tortuosa, e deve essere condivisa ed unitaria, saranno creati nuovi equilibri globali nei rapporti di forza tra gli Stati, saranno coinvolti soggetti pubblici e privati, la cooperazione tra tutti gli attori di mercato nazionali ed internazionali sarà alla base per la creazione di di infrastrutture robuste, atte a contrastare attacchi informatici ed a creare un sistema idoneo a garantire, alla collettività tutta, la tanto agognata sicurezza.
_
Note
1 Su questa linea si collocano, in particolare, il Regolamento Generale sulla Protezione dei Dati, anche noto come GDPR (General Data Protection Regulation, Regolamento UE 2016/679) e il Regolamento UE 91/2014 eIDAS (electronic IDentification Authentication and Signature).
2 A. RAYES e S. SALAM, Internet of Things: from Hype to Reality, Springer, seconda edizione, 2019, p. 2.
3 Direttiva (UE) 2016/1148 del Parlamento Europeo e del Consiglio, del 6 luglio 2016, recante misure per un livello comune elevato di sicurezza delle reti e dei sistemi informativi dell’Unione.
4 B. BRUNO, Cybersecurity tra legislazioni, interessi nazionali e mercato: il complesso equilibrio tra velocità, competitività e diritti individuali, in Federalismi.it, n. 14, 2020. p. 14.
5 si legge «La tecnologia dell’IA dovrebbe invece essere sviluppata in modo da porre al centro l’essere umano e permetterle di conquistare la fiducia del pubblico. Di conseguenza, le applicazioni di IA dovrebbero non solo rispettare la legge, ma anche osservare i princípi etici e garantire che le loro attuazioni pratiche non comportino danni indesiderati. La diversità in termini di sesso, razza o origine etnica, religione o convinzioni personali, disabilità ed età dovrebbe essere garantita in ogni fase dello sviluppo dell’IA. Le applicazioni di IA dovrebbero dare potere alle persone e rispettarne diritti fondamentali; dovrebbero puntare a rafforzare le capacità dei cittadini, non a sostituirsi a loro, e consentire l’accesso anche alle persone con disabilità».
Per tali ragioni la Commissione ha dichiarato di appoggiare i requisiti fondamentali per un’IA affidabile (Creare fiducia nell’intelligenza artificiale antropocentrica) contenuti negli orientamenti elaborati dal gruppo di esperti ad alto livello sull’IA appositamente dalla stessa nominati. Tali «orientamenti partono dal presupposto che per ottenere un’“intelligenza artificiale affidabile” sono necessari tre elementi: 1) l’IA dovrebbe rispettare la legge, 2) dovrebbe osservare i princípi etici e 3) dovrebbe dimostrare robustezza. Sulla base di questi tre elementi e dei valori europei (…) gli orientamenti individuano sette requisiti fondamentali che le applicazioni di IA dovrebbero soddisfare per essere considerate affidabili. Gli orientamenti contengono anche una lista di controllo che aiuta a verificare nella pratica se tali requisiti sono soddisfatti. I sette requisiti fondamentali sono: intervento e sorveglianza umani, robustezza tecnica e sicurezza, riservatezza e governance dei dati, trasparenza, diversità, non discriminazione ed equità, benessere sociale e ambientale, accountability».
6 Significativo, al riguardo, è l’aneddoto – riportato da numerosi autori – del tenente colonnello Stanislav Evgrafovič Petrov; l’ufficiale sovietico che il 26 settembre 1983 ignorò un allarme del satellite spia sugli armamenti americani, che segnalava il lancio di 5 missili intercontinentali. Petrov, affermò di aver sentito «una strana sensazione nelle viscere» che lo indusse a pensare che se gli Stati Uniti avessero voluto scatenare una guerra nucleare contro la Russia, non si sarebbero limitati a 5 missili, ma avrebbero effettuato un attacco imponente. Ritenne, perciò, che il sistema di rilevazione fosse in errore e che si trattasse di un falso positivo; decise, quindi, di non lanciare una rappresaglia, ed ebbe ragione. Quella «strana sensazione nelle viscere» era la capacità critica del tenente colonnello Petrov, che impedì all’errore della macchina di far scoppiare un devastante conflitto nucleare. Che cosa sarebbe accaduto, se al posto di Petrov, vi fosse stato un programma di IA che, automaticamente ed autonomamente, a fronte del segnale di allarme, avesse fatto partire il contrattacco? Certo i sistemi di IA odierni non sono comparabili quanto ad efficienza a quelli di 40 anni fa; ma il «controllo umano» resta la più ampia garanzia di sicurezza.
7 M. TADDEO, Is Cybersecurity a Public Good?, in Minds & Machines, n. 29, Springer, 2019, p. 351. Così anche Laura Carpini, Capo Unità per le politiche e la sicurezza dello spazio cibernetico presso presso il Ministero degli Affari Esteri e Cooperazione Internazionale (MAECI), nella conferenza Cyber – The New Frontier of Security. The EU Approach, SIOI, Ambasciata di Romania in Italia e Formiche.net, 23/06/2021.
8 GOVERNO DEGLI STATI UNITI D’AMERICA, Executive Order on Improving the Nation’s Cybersecurity, 2021