Il Comunicato stampa del Garante, datato 30 gennaio 2025, ha annunciato il blocco di DeepSeek che, come si legge nel Comunicato medesimo, è il software di intelligenza artificiale relazionale, progettato da una startup cinese per comprendere ed elaborare le conversazioni umane, che è stato introdotto di recente sul mercato mondiale, dove è stato scaricato in pochi giorni da milioni di utenti. L’Autorità, oltre a disporre la limitazione del trattamento, ha contestualmente aperto un’istruttoria.

Il provvedimento del Garante ripropone il tema dell'intelligenza artificiale (IA) e dell'effettiva ammissibilità, nell'attuale contesto, di una sua introduzione ed utilizzazione pratica da parte delle Pubbliche Amministrazioni che, ad esempio, già intendono fare ricorso a ChatGPT, Gemini, Claude o DALL·E.

Al riguardo, va tenuto presente che l’AI Act distingue i sistemi di IA in base al rischio.

L’IA generativa, come ChatGPT, Gemini, Claude o DALL·E, rientra principalmente in due categorie:

• Sistemi ad alto rischio (se utilizzati in ambiti critici come, a mero titolo esemplificativo, sanità, istruzione, giustizia, sicurezza pubblica).
• Modelli di IA di uso generale e sistemi di IA ad alto impatto (come i foundation models, che devono rispettare requisiti specifici di trasparenza e sicurezza).

L'introduzione di modelli o sistemi di intelligenza artificiale da parte di enti pubblici o privati che erogano servizi pubblici deve rispettare una serie di vincoli giuridici e principi fondamentali, in particolare in relazione alla sicurezza, al principio di uguaglianza e all'universalità dei servizi pubblici. L'AI Act dell'Unione Europea fornisce un quadro normativo essenziale per disciplinare l'uso dell'IA in questi contesti.

Se non chè, allo stato attuale, non vi è alcun sistema di intelligenza artificiale generativa che possa soddisfare pienamente i criteri di sicurezza stabiliti dall’AI Act.

E’ vero che sono già disponibili soluzioni IA per automatizzare i processi, gestendo grandi masse dati e documenti. Tuttavia, tali sistemi difficilmente possono essere considerati conformi alle regole di sicurezza e tutela del dato a cui sono tenute le Pubbliche Amministrazioni in base, da ultimo, all’AI Act.

1. Vincoli di sicurezza

L'AI Act classifica i sistemi di IA in base al rischio, imponendo obblighi specifici per quelli ad alto rischio, tra cui:

• valutazione del rischio: i sistemi di IA usati in ambito sanitario, educativo, amministrativo e nei servizi pubblici sono spesso considerati ad alto rischio e, quindi devono garantire sicurezza e affidabilità;
• trasparenza e tracciabilità: l'IA deve essere spiegabile, con audit e registrazioni che permettano di verificare le decisioni prese;
• gestione della qualità: gli operatori devono adottare un sistema di gestione per garantire conformità agli standard tecnici (ad es. sicurezza informatica, protezione da bias discriminatori);
• cybersecurity e protezione dei dati: il trattamento di dati particolari (es. sanitari) e di dati para sensibili in ambito scolastico, amministrativo, contabile impone il rispetto del GDPR e delle norme nazionali sulla sicurezza informatica (es. Perimetro di Sicurezza Nazionale Cibernetica);
• obblighi di sorveglianza: monitoraggio continuo dei sistemi IA per prevenire usi impropri o impatti negativi.

2. Principio di uguaglianza e universalità dei servizi pubblici

L’uso dell’IA nei servizi pubblici non deve compromettere l’accesso equo e non discriminatorio ai cittadini. L’AI Act e altre normative impongono:

• non discriminazione: le decisioni prese dall'IA non devono generare bias discriminatori su base di sesso, etnia, età, disabilità o altre categorie protette;
• accessibilità e inclusione: l'IA deve garantire che tutti gli utenti possano usufruire del servizio, compresi anziani, persone con disabilità o soggetti svantaggiati;
• supervisione umana: nei servizi essenziali (es. sanità, istruzione, amministrazione pubblica), le decisioni automatizzate devono essere soggette a revisione umana, per garantire equità ed evitare errori;
• diritto all'informazione e alla contestazione: gli utenti devono essere informati sull’uso dell’IA e avere la possibilità di contestare le decisioni automatizzate.

3. Altri obblighi e best practices

• valutazione d’impatto dell’IA (AI Impact Assessment) sui diritti e le libertà: prima di implementare sistemi IA, le PA e le aziende erogatrici di servizi pubblici devono valutare i rischi sui diritti e le libertà fondamentali e gli effetti sociali;
• governance e trasparenza: occorre definire chi è responsabile per gli errori dell'IA e garantire che l’algoritmo non crei decisioni arbitrarie o opache, aggiornando se del caso le coperture assicurative;
• uso etico dell’IA: le PA devono aderire a principi di etica digitale e garantire che la tecnologia sia un mezzo per migliorare i servizi senza sostituire il ruolo umano nei processi decisionali.

Conclusione

L'introduzione dell'IA da parte delle PA è da considerarsi un processo ad alto rischio che richiede, preliminarmente, l'esecuzione di molte misure e azioni in attuazione dell’IA Act, che richiede interventi in diversi ambiti per garantire sicurezza, legittimità, liceità eticità degli output prodotti dalla IA.

In pratica, l’IA nelle PA deve rispettare vincoli stringenti per evitare discriminazioni e lesioni di diritti e libertà fondamentali, garantire sicurezza e mantenere l’universalità dei servizi.

Il rispetto dell’AI Act, del GDPR e delle normative europee e nazionali sui diversi temi da salvaguardare (sicurezza, diritti, legalità, integrità e eticità) è essenziale per una futura implementazione priva di responsabilità a carico delle PA e dei pubblici dipendenti fruitori.