L’intelligenza artificiale (IA) è una delle tecnologie emergenti più promettenti del nostro tempo, in quanto strumento dall’enorme potenziale agevolativo dai normali percorsi operativi dell’uomo in ambito scientifico.
Secondo la definizione fornita nella Comunicazione della Commissione europea del 2018 (Communication Artificial Intelligence for Europe) – e che qui si ritiene di riproporre come quella, tra le molte, più intuitiva –, l’IA si riferisce a sistemi che mostrano un comportamento intelligente, che sanno analizzare il loro ambiente e agire – con un certo grado di autonomia – per raggiungere obiettivi specifici.
In altre parole, l’intelligenza artificiale consiste nell’abilità di una macchina di mostrare capacità umane quali l’apprendimento, il ragionamento, la creatività e la pianificazione: sistemi intelligenti, in grado di adattare il loro comportamento sulla base degli effetti delle azioni precedentemente inoculate. Ciò avviene tramite la ricezione di dati, preparati e raccolti mediante sensori da parte di un computer che, una volta processati, risponde lavorando in autonomia.
Nonostante si tratti di un’importante innovazione, dalla sua applicazione derivano non solo vantaggi, bensì anche molteplici rischi. Difatti, come noto, i sistemi di IA vengono attualmente utilizzati anche in attività di prevenzione e contrasto di fenomeni illeciti eppure, allo stesso tempo, costituiscono uno strumento invitante altresì per la commissione di reati[1].
In questo contesto, riveste un ruolo centrale l’AI Act, la prima normativa al mondo che stabilisce uno standard globale per la regolamentazione dell’IA.
Recentemente approvata all’unanimità dal Consiglio europeo, l’innovativa legge segue un approccio “risk based”: maggiore è il rischio di causare danni alla società, più severe saranno le regole.
In particolare, il Legislatore europeo prevede che i sistemi di IA possano essere utilizzati a supporto delle Autorità giudiziarie e amministrative nella prevenzione e nel contrasto del crimine: basti pensare alle forme di polizia predittiva o agli strumenti di intercettazione. È fondamentale, però, che il ricorso a tali sistemi sia gestito in modo corretto e sicuro, tenendo conto dei diritti inviolabili garantiti dalla Carta dei diritti fondamentali dell’Unione Europea.
Più nello specifico, in tema di diritto penale, rileva il Capo II (“Pratiche di IA vietate”) dell’AI Act e, in particolare, l’art. 5, che impone specifici divieti concernenti l’utilizzo di software intelligenti. Tra i più rilevanti vi sono:
- l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di un sistema di IA per effettuare valutazioni del rischio relative a persone fisiche al fine di valutare o prevedere la probabilità che una persona fisica commetta un reato, unicamente sulla base della profilazione di una persona fisica o della valutazione dei tratti e delle caratteristiche della personalità. Divieto che non si applica ai sistemi di IA utilizzati a sostegno della valutazione umana del coinvolgimento di una persona in un’attività criminosa, che si basa già su fatti oggettivi e verificabili direttamente connessi a un’attività criminosa (art. 5, comma primo, lett. d));
- l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a fini di attività di contrasto a meno che, e nella misura in cui, tale uso sia strettamente necessario per uno degli obiettivi seguenti: […] iii) la localizzazione o l’identificazione di una persona sospettata di aver commesso un reato, ai fini dello svolgimento di un’indagine penale, o dell’esercizio di un’azione penale o dell’esecuzione di una sanzione penale per i reati di cui all’allegato II[2], punibile nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà della durata massima di almeno quattro anni (art. 5, comma primo, lett. h)).
È necessario, dunque, che vengano rispettate le tutele e le condizioni necessarie e proporzionate per l’utilizzo di tali sistemi, in conformità al diritto nazionale[3].
Per quanto concerne, invece, la polizia predittiva (c.d. predictive policing[4]), il Regolamento AI, all’art. 26, rubricato “Obblighi dei deployer dei sistemi di IA ad alto rischio”, esclude le applicazioni di IA che potenzialmente possano costituire una minaccia per la salvaguardia dei diritti fondamentali[5].
Di rilievo è il comma 10, secondo cui: «Fatta salva la Direttiva 2016/680/UE[6], nel quadro di un’indagine per la ricerca mirata di una persona sospettata o condannata per aver commesso un reato, il deployer di un sistema di IA ad alto rischio per l’identificazione biometrica remota a posteriori chiede un’autorizzazione, ex ante o senza indebito ritardo ed entro 48 ore, da parte di un’Autorità giudiziaria o amministrativa la cui decisione è vincolante e soggetta a controllo giurisdizionale, per l’uso di tale sistema, tranne quando è utilizzato per l’identificazione iniziale di un potenziale sospetto sulla base di fatti oggettivi e verificabili direttamente connessi al reato. Ogni uso è limitato a quanto strettamente necessario per le indagini su uno specifico reato. Se l’autorizzazione richiesta di cui al primo comma è respinta, l’uso del sistema di identificazione biometrica remota a posteriori collegato a tale autorizzazione richiesta è interrotto con effetto immediato e i dati personali connessi all’uso del sistema di IA ad alto rischio per il quale è stata richiesta l’autorizzazione sono cancellati».
Alla luce di quanto disposto, si evidenzia, dunque, come l’utilizzo dei software intelligenti in ambito penale e giudiziario sia ammesso limitatamente ai reati “ad alto rischio”, in virtù di un necessario bilanciamento tra i diritti fondamentali e gli interessi degli Stati membri.
Una disposizione comunque che non si presta ad essere applicata con uniformità e certezza, in quanto sono sempre ardue le interpretazioni in tema penale delle attività di polizia giudiziaria e investigativa.
E, non da ultimo, si pongono problemi di disallineamento normativo con il GDPR e la c.d. “Direttiva di Polizia”, la n. 2016/680.
Immagine: Foto di Scott Webb su Unsplash
[1] Le macchine intelligenti, godendo di un ampio grado di autonomia, fanno emergere nuove possibili condotte criminose dietro le quali vi sarebbe l’uomo; basti pensare alle frodi mediante sostituzione di persona, alla diffusione di disinformazione e fake news, alla diffamazione aggravata, al sextortion, al ghostbot, allo stalking o al revenge porn.
[2] A tal proposito, l’allegato II dell’AI Act fornisce l’elenco dei crimini – di cui all’art. 5, par. 1, comma primo, lett. h), punto iii) –, ossia: «terrorismo, tratta di esseri umani, sfruttamento sessuale di minori e pornografia minorile, traffico illecito di stupefacenti o sostanze psicotrope, traffico illecito di armi, munizioni ed esplosivi, omicidio volontario, lesioni gravi, traffico illecito di organi e tessuti umani, traffico illecito di materie nucleari e radioattive, sequestro, detenzione illegale e presa di ostaggi, reati che rientrano nella competenza giurisdizionale della Corte penale internazionale, illecita cattura di aeromobile o nave, violenza sessuale, reato ambientale, rapina organizzata o a mano armata, sabotaggio, partecipazione a un’organizzazione criminale coinvolta in uno o più dei reati elencati sopra».
[3] Difatti, l’art. 5, comma quinto, del Regolamento recita che ogni Stato membro possa prevedere la possibilità di autorizzare, in tutto o in parte, l’uso di tali software di identificazione, entro i limiti e alle condizioni dell’AI Act.
[4] Sull’argomento si vedano, G. Ferguson, Policing predictive policing, in Washington University Law Review, 2017, 1109; S. Brayne, Big data surveillance: the case of policing, in American sociological review, 2017, 977; C. Cath, S. Wachter, B. Mittelstad, M. Taddeo, L. Floridi, Artificial Intelligence and the “Good Society”: the US, EU, and UK approach, in Science and Eng. Ethics, 2018; L. Bennet Moses, J. Chan, Algorithmic prediction in policing: assumptions, evaluation, and accountability, in Policing and Society, 2018, 28, 7, 806 – 822.
[5] Nello specifico, il comma 2, precisa che: «I deployer affidano la sorveglianza umana a persone fisiche che dispongono della competenza, della formazione e dell’Autorità necessarie nonché del sostegno necessario».
[6] La Direttiva è dedicata alla protezione delle persone fisiche relativamente al trattamento dei dati personali da parte delle Autorità competenti, con lo scopo di attività di prevenzione, indagine, accertamento e perseguimento dei reati o di esecuzione di sanzioni penali e di libera circolazione dei dati.
