Danni Commessi da IA e Robot: La Ricerca di un Modello di Responsabilità
Algoritmi, robot e intelligenze artificiali fanno sempre più parte della nostra società, e il loro utilizzo spazia in un gran numero di campi, dall’ambito produttivo, dove sempre più macchine e programmi vengo utilizzati in sostituzione dell’uomo, all’utilità personale, con la sempre più massiccia presenza degli assistenti personali (es. Alexa, Siri, etc…).
La grande diffusione si spiega con facilità, dal momento che queste macchine e programmi nascono con l’obiettivo specifico di agevolare la vita delle persone, facendo risparmiare tempo e risorse.
Tuttavia, l’evoluzione e la diffusione di queste tecnologie sono fin troppo repentine per permetterne la comprensione e il corretto utilizzo da parte della grande maggioranza dell’utenza; infatti, non sono sempre rose e fiori quando si ha a che fare con le IA, perché se è pur vero che queste tecnologie nascono per facilitare la nostra vita, è altrettanto vero che le loro grandi potenzialità le rendono anche altamente pericolose se utilizzate nel modo non corretto o senza controllo.
Prendiamo il caso dell’automobile a guida autonoma: l’IA che governa il mezzo deve essere programmata in modo tale da sapersi comportare nel modo corretto in caso di pericolo, in modo da scegliere la miglior soluzione possibile e limitare i danni; questo può voler dire che l’IA può essere chiamata a scegliere se effettuare una manovra tale da mantenere indenne il conducente, ma che rechi danno alle altre persone o cose sulla strada, o viceversa. È chiaro come in questo caso si tratti di affidare una scelta di grande responsabilità all’IA della vettura, scelta che può arrecare danni alle persone (con buona pace della Prima Legge di Asimov sulla Robotica).
Ma come dicevo prima, il grande problema di fondo relativo a queste tecnologie consiste nel fatto che si sono diffuse troppo in fretta perché tutto il mondo fosse pronto per saperle gestire correttamente, e uno dei campi in cui è necessario adeguarsi al più presto a queste novità è senza dubbio il diritto; come deve comportarsi la legge di fronte a un algoritmo che ha causato danni? E come si articola una responsabilità delle IA?
Si tratta di domande estremamente complesse, perché coinvolgono soggetti (meglio, oggetti) chiaramente incompatibili con l’architettura del diritto, pensato per adattarsi all’uomo e alle sue azioni. Eppure, le IA sono ormai presenti nel nostro mondo a qualsiasi livello e detengono grandi poteri; posseggono e trattano i nostri dati, decidono quali prodotti proporci, valutano le nostre competenze o la affidabilità creditizia, etc.
Da grandi poteri derivano grandi responsabilità, ed è quindi possibile che macchine, AI e algoritmi compiano attraverso un malfunzionamento azioni molto dannose per l’uomo. Il punto in questo caso è che non sappiamo come configurare una responsabilità per le azioni delle IA, e in particolare, come sanzionare eventuali comportamenti illeciti: non possiamo metterle in prigione, e non possiamo obbligarle a pagare a risarcimento dei danni causati. Come bisogna comportarsi quindi di fronte a delle IA “colpevoli”?
La prima strada percorribile, la più semplice, consiste nel ricondurre la responsabilità della macchina a una persona fisica o giuridica, ritenuta responsabile per la condotta della macchina/IA/algoritmo.
Questo significa individuare, volta per volta, un soggetto responsabile, operazione non semplice perché le opzioni di scelta non sono quasi mai riducibili ad un singolo soggetto: si può ritenere responsabile il programmatore della macchina, o il proprietario, o ancora l’utilizzatore della macchina stessa.
La chiave del discorso in questo senso è quella di effettuare un’operazione logica simile a quella che ha portato al riconoscimento della responsabilità per la persona giuridica. Le persone giuridiche sono sempre state ritenute incompatibili con una qualsiasi forma di responsabilità: Il principio societas delinquere et puniri non potest è stato infatti granitico e inscalfibile fino alla fine del ‘900, quando l’evoluzione delle società, l’affermazione del modello societario e i sempre più frequenti illeciti commessi da società rimasti impuniti hanno imposto un cambio di paradigma.
La scelta effettuata al tempo per configurare una responsabilità in capo alle società non è stata quella di pensare un diritto ad hoc per le società, bensì quella di adattare il diritto alle società, considerandole alla stregua di persone. Tuttavia, così come avviene per le IA, rimaneva il problema di come inquadrare le modalità di azione della società: la società di fatto è una creazione fittizia, che si manifesta tramite le azioni delle persone fisiche che ne fanno parte.
Per questo motivo, si è pensato di far coincidere le azioni dei dipendenti e dei dirigenti con le azioni della società; una scelta a primo impatto semplicistica, ma con il considerevole vantaggio di responsabilizzare i componenti della società, indirizzandoli verso comportamenti virtuosi.
Il meccanismo prevede infatti l’instaurazione di un circolo virtuoso, per cui sono le società stesse che, per evitare sanzioni, incentivano, formano, istruiscono i propri dipendenti verso comportamenti virtuosi. Questo principio è stato articolato in forme diverse nei vari paesi: nei paesi di common law (USA, UK) è riconosciuto come “respondeat superior”, una sorta di meccanismo di immedesimazione organica del dipendente con la società, mentre in Italia è stato tradotto nella “colpa di organizzazione” del decreto legislativo 231/2001, per cui la società risponde del fatto illecito se commesso dalla persona fisica nell’interesse o a vantaggio della società stessa.
Questa digressione sulla responsabilità societaria è utile per comprendere come potrebbe costruirsi una responsabilità per le azioni degli algoritmi e delle IA. Una complicazione di questo modello risiede nel fatto che non sempre il singolo algoritmo è riconducibile ad un solo responsabile; come accennato, può sorgere una responsabilità in capo al programmatore, al produttore, al proprietario, o all’utente finale. Riprendendo l’esempio dell’automobile a guida autonoma, in caso di incidente potrebbe essere ritenuta responsabile sia la casa produttrice, che l’autore del software di guida, o anche il proprietario del mezzo che lo utilizza in modo improprio.
Questo inconveniente potrebbe risolversi seguendo un altro modello di responsabilità, ossia identificando l’algoritmo come un prodotto. In questo modo, l’algoritmo dovrebbe essere considerato alla stregua di un qualsiasi altro prodotto, e in quanto tale, risponderebbero di eventuali vizi o malfunzionamenti le società che utilizzano l’algoritmo.
Tuttavia, si tratta di una strada non percorribile, per le seguenti ragioni. In primo luogo, un algoritmo non è identificabile come un prodotto; non si tratta di merce venduta che se risultante dannosa o inefficiente può dar luogo ad un risarcimento, ma di uno strumento che il più delle volte viene utilizzato per fornire un servizio, e il cui funzionamento non avviene in modo esplicito e di immediata percezione, per cui potrebbe essere complicato anche solo percepirne eventuali malfunzionamenti da parte dell’utente esterno (si prenda l’esempio dell’algoritmo che raccoglie i dati di navigazione, di cui l’utente non ha modo di verificare l’elaborazione dei dati).
In secondo luogo, è molto frequente che il danneggiato dal malfunzionamento di un algoritmo non sia l’utente, ma un soggetto terzo: in questo caso, la possibilità di ottenere un risarcimento per via del malfunzionamento del prodotto viene disinnescata dal fatto che, generalmente, l’unico legittimato a lamentare il malfunzionamento di un prodotto sia il suo utilizzatore. Infine, la responsabilità del prodotto è un meccanismo che può funzionare solo sul piano civile, mentre i potenziali danni causati da un algoritmo possono concretizzarsi in condotte penalmente rilevanti e che necessitano pertanto di una risposta ben più incisiva.
Il meccanismo della responsabilità societaria inoltre potrebbe inoltre essere inattuabile a breve anche per il seguente motivo: oggi la grande maggioranza dei codici degli algoritmi non è interamente scritta dai programmatori, poiché questi “insegnano” all’algoritmo come comportarsi in determinate situazioni, attraverso determinati particolari esempi; si tratta del cd “machine learning”, il processo attraverso il quale una IA impara a riconoscere determinati input e restituire determinati output. E ancora, sono sempre più frequenti i casi di IA “intelligenti”, in grado di modificare o completare il proprio codice a seconda delle esigenze.
Si prenda ad esempio il caso degli algoritmi inventori, in grado di inventare in modo autonomo soluzioni a determinati problemi, come il caso di “DABUS”, in favore del quale era stata recentemente presentata domanda di brevetto per delle sue creazioni (una in particolare, molto interessante, una confezione per alimenti in grado di automodificarsi a seconda del prodotto contenuto). In entrambi i casi, il prodotto finale non è più riconducibile al suo creatore, dal momento che l’algoritmo si comporta in modo autonomo, e non più come strumento nella mano del programmatore. Il rischio in questo caso consiste nel fatto che in capo al responsabile dell’algoritmo potrebbe nascere un obbligo di controllo impossibile da soddisfare, poiché le IA si comporterebbero in maniera indipendente e fuori dal controllo del responsabile.
In attesa di una profonda discussione sul futuro del diritto, l’opzione di far coincidere le azioni dell’algoritmo con quelle di chi lo programma/utilizza, sul modello della responsabilità delle persone giuridiche, rimane forse, per ora, la scelta più valida. Il punto forte di questo modello, su cui insistere per fare in modo di limitare il verificarsi di azioni dannose da parte delle IA, è la possibilità che ha chi programma e utilizza gli algoritmi per fare in modo che questi si comportino nel modo corretto.
Se è pur vero che gli algoritmi e le IA saranno presto in grado di comportarsi in modo totalmente autonomo, è altrettanto vero che è possibile fare in modo di attenuare il rischio di comportamenti scorretti attraverso una buona programmazione e un controllo continuo e mirato. Considerando un algoritmo alla stregua di un dipendente, così come è possibile “guidare” il dipendente lontano da comportamenti scorretti attraverso la sua formazione, il controllo, e il comando diretto, allo stesso modo dovrebbe essere possibile monitorare gli algoritmi, migliorandoli laddove necessario in modo da evitare il verificarsi di eventi dannosi.
In particolare, un efficiente sistema di controlli sugli algoritmi dovrebbe seguire questi passaggi: un’accurata programmazione iniziale, una selezione più attenta dei training set (l’insieme di dati utilizzato per “allenare” gli algoritmi), una fase di test prima dell’utilizzo più estesa e accurata, controlli regolari post-release e un continuo aggiornamento in risposta ad eventuali bug, anche di lieve entità.
Queste operazioni comportano chiaramente dei costi, che non chiunque può permettersi. Così come avviene per i modelli organizzativi previsti dal decreto 231/2001, strumento previsto dalla norma per eliminare le carenze organizzative in grado di favorire la commissione di illeciti nella società, la cui adozione è rimessa ad una libera scelta della società in base ad un’analisi costi-benefici, allo stesso modo queste operazioni devono essere quantificate in termini economici in modo da determinarne la necessità o meno.
Chiaramente, le esigenze di colossi come Apple o Tesla saranno completamente differenti da quelle della piccola società di programmazione, per cui sarà normalmente necessario adottare questi controlli più nel primo caso che nel secondo; è altrettanto vero però che bisogna considerare il danno che potenzialmente può causare l’algoritmo: l’incidente autostradale causato dal malfunzionamento dell’IA della Tesla può provocare gravi danni a cose e persone, ma lo stesso può accadere per “colpa” del malfunzionamento dell’IA che governa un macchinario in fabbrica, che potrebbe schiacciare o colpire mortalmente l’operaio; in questo caso non è detto che dietro alla programmazione del macchinario ci sia una grossa società in grado di effettuare tutti i controlli necessari.
Resta sempre da sciogliere il nodo riguardo l’individuazione del singolo responsabile per il fatto commesso dalla macchina. Considerando i diversi soggetti già citati potenzialmente responsabili, da un singolo evento dannoso discenderebbero in questo caso diverse responsabilità; una conseguenza tanto ingiusta, poiché non tutti i soggetti coinvolti hanno lo stesso grado di controllo sulla macchina, quanto inefficace sul piano della tutela della sicurezza contro l’uso scorretto delle IA. Per questo motivo, è necessario individuare un criterio attraverso il quale stabilire un vincolo che leghi l’evento dannoso all’effettivo responsabile del malfunzionamento della macchina.
In questo senso, torna ancora utile il meccanismo individuato dal D.lgs. 231/2001, che richiede, per configurare una responsabilità in capo alla società per il fatto illecito a) che sia commesso da un soggetto legato alla società, dipendente o apicale, sul quale la società effettua quindi un controllo; b) che sia commesso nell’interesse o a vantaggio della società. Prendendo spunto da questi criteri, una responsabilità per illecito commesso da IA dovrebbe essere verificata sulla base della sussistenza in contemporanea del requisito del controllo sulla IA, e del beneficio derivante dall’utilizzo della IA.
Con il rispetto di questi requisiti, dovrebbe essere più agevole individuare correttamente il vero responsabile della macchina/algoritmo, sia per assicurare che il responsabile paghi, sia per fare in modo che chi ne ha la responsabilità metta in campo tutti gli strumenti possibili per prevenire eventuali situazioni dannose.
L’argomento dei diritti e delle responsabilità delle macchine è destinato ad aumentare di importanza nel prossimo futuro, e per questo motivo i vari paesi iniziano a muoversi in modo da regolamentare questa nuova materia. In particolare, a riprova dell’interesse per la materia a livello di Unione Europea, è stato pubblicato da parte della Commissione Europea un Libro Bianco sull’Intelligenza Artificiale.
Inoltre, è in programma nel 2020 la presentazione di una proposta di legge da parte della Commissione Europea in tema di intelligenza artificiale, finalizzata a regolamentare l’utilizzo, la commercializzazione e altri temi legati alle macchine.
Il Libro Bianco, per il futuro quadro normativo delle IA, pone l’accento in particolare su: dati di addestramento; la tenuta dei dati e dei registri i dati di addestramento; la tenuta dei dati e dei registri le informazioni da fornire; la robustezza e la precisione; la sorveglianza umana; prescrizioni specifiche per determinate applicazioni particolari dell’IA, come quelle utilizzate a fini di identificazione biometrica remota.