Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN
Access denied. You must log in to view this page.

I dolori di una giovane IA

intelligenza artificiale
intelligenza artificiale

Altri articoli dell'autore

Storia /

Il caso Pellico è mio

Diritto /

Dalla parte di Ippocrate

Diritto /

La tecnica legislativa: un bilancio di primo secolo

I dolori di una giovane IA

 

Abstract l'IA nel settore sanitario: problemi di privacy e di diagnosi corrette. L'uomo – a tutto il 2025 in corso – è supervisore indefettibile.

AI and healthcare: privacy and accurate diagnosis issues. Today, supervisors are human.

Keywords: referto, ia, decalogo sistemi sanitari e ia, AI Act, MDR.

 

Incipit

Il presente intervento parte dalla problematica del referto e della cd Intelligenza artificiale.

Molto brevemente, il referto è, di regola, la segnalazione che ogni esercente una professione sanitaria ha l'obbligo di far pervenire entro 48 ore (o, se vi è pericolo nel ritardo, immediatamente) al PM o qualsiasi ufficiale di polizia giudiziaria del luogo in cui ha prestato la propria opera e assistenza qualora la diagnosi presupponga un delitto perseguibile d'ufficio. Nella prassi comune, esso può indicare anche una relazione inerente diagnosi e prognosi.

Ciò premesso, le piattaforme di Intelligenza Artificiale hanno fatto il loro ingresso anche in questo settore. Purtroppo, anche se non siamo ancora arrivati al punto in cui Odoacre depone Romolo Augustolo, tale “investitura” di competenza  comporta i seguenti rischi:

sotto il profilo formale, la perdita di controllo su dati sensibili inerenti l'ambito sanitario;

sotto il profilo sostanziale, la creazione di risposte erronee da parte della IA a riguardo dello stato di salute.

La soluzione consiste nel controllo da parte del  professionista umano.

Intanto, iniziamo in via abduttiva con la cronologia diacronica del GDPR.

 

Diacronia del GDPR

Nell' Ottobre 2023, il Garante Privacy, sub doc.web n. 9938038, ha emanato il decalogo per la realizzazione di servizi sanitari nazionali attraverso sistemi di intelligenza artificiale.

L' idoneo presupposto di liceità richiede una norma ad hoc per consentire l'elaborazione di dati sanitari attraverso sistemi di IA, qualora il trattamento sia svolto per motivi di interesse pubblico.

Per quanto riguarda i principi di accountability e di privacy, by design e by default, il metodo e i principi delineati dal GDPR guidano la progettazione delle tecnologie di IA; per la privacy le finalità di trattamento possono essere molteplici; l'utilizzo di algoritmi non deve permettere prassi discriminatorie; inoltre, la valutazione di impatto rientra nel campo applicativo dell'art 35 gdpr, per cui il titolare del trattamento effettua una valutazione ove ogni nuova tecnologia presenti un elevato rischio per i diritti e le libertà della persona fisica.

Infine, la qualità dei dati deve essere ispirata a criteri di esattezza, correttezza e aggiornamento, volti all'efficace funzionamento del sistema; deve essere garantita la sicurezza dei dati, per integrità e riservatezza; occorre rispettare i principi di trasparenza, rispetto e dignità della persona; infine, è necessaria la supervisione umana fin dalla fase di addestramento.

Nel mese di Maggio 2024, è stata la volta del documento del Garante sul web scraping, sub doc. web n.10020334, inerente i rischi derivanti dalla raccolta di dati personali dal web per finalità di addestramento dei modelli di Intelligenza Artificiale generativa. Per Web scraping si intende ogni attività di raccolta di dati esistenti su siti web e piattaforme on line; ciò avviene tramite bot, che simulano il comportamento umano onde ottenere informazioni di vario genere. Il termine deriva da to scrape, “raschiare”, anche se, forse, l'idea della pratica sportiva della “pesca a strascico” sarebbe piu' imaginifica ed idonea. le contromisure  sono già parte della nostra quotidianità: la creazione di aree riservate, clausole di divieto di scraping nei termini di servizio,  monitoraggio del traffico di rete, interventi contro i “bot” - programma adatto ad azioni ripetitive ben piu' rapido di qualsiasi operatore umano.

Infine, in data 30 luglio 2025, l'autorità garante della privacy ha nuovamente affrontato la prassi di caricare analisi cliniche, radiografie e altri referti medici sulle piattaforme di intelligenza artificiale generativa al fine di ottenere la diagnosi.

Tali piattaforme, di regola, permettono all'utenza di scegliere il trattamento di documenti e dati che vi siano stati caricati. A questo riguardo, dunque, l'Autorità raccomanda l'intermediazione umana, ai sensi del Regolamento europeo sull'IA.  Da specificare sull'argomento che CdS n.7891/21 sancisce che un algoritmo avanzato non costituisce un sistema di IA qualora non sia dotato di apprendimento automatico (machine learning); ad adiuvandum, Tar Campania, n.7003/22, specifica che l'algoritmo è una mera sequenza finita di operazioni, e non uno strumento di IA, capace per intrinseco Know how di evoluzione nelle proprie conoscenze.

 

“Grosso guaio”: cosa si può verificare nella realtà fenomenica?

Di fatto, quali eventi possono accadere? Poniamo il caso che una radiografia non segnali una lesione tumorale. Ciò può essere imputato alla negligenza del medico, al malfunzionamento del software o alle disposizioni inadeguate della struttura sanitaria? In ipotesi, le attuali tecniche di deep learning portano alla questione della cd black box AI, ovvero l'inesattezza relativa alla spiegazione dei procedimenti logici seguiti dalla IA per giungere ad una certa diagnosi. Ne deriva il rischio di attribuire erroneamente la diagnosi errata al professionista sanitario; ecco quindi che i criteri di colpa medica e di responsabilità del prodotto diventano insufficienti.

Come ben sappiamo, l'art. 590 sexies, comma 1, cp libera il medico che abbia rispettato linee guida e buone pratiche clinico-assistenziali; purtroppo, le best pratice per i sistemi IA risultano in continua evoluzione e non suscettibili di codificazione uniforme e certa. In secondo luogo, l'accertamento del nesso di causalità deve tener conto di dispositivi il cui comportamento varia nel tempo in funzione dell'apprendimento. Per quanto concerne la struttura sanitaria, essa deve predisporre adeguati protocolli di verifica e sorveglianza. In generale, quest'ultima può rispondere di responsabilità contrattuale, con onere probatorio a proprio carico, mentre il medico può rispondere di responsabilità extracontrattuale, con onere del paziente di dimostrare la sussistenza del nesso causale tra errore diagnostico e danno subito. Quindi, in via teorica, la colpa professionale del medico in caso di mancata segnalazione della lesione tumorale di cui sopra è configurabile se si dimostri che l'adozione del sistema IA sia avvenuta con negligenza, imperizia e imprudenza, utilizzando un algoritmo privo delle necessarie certificazioni o un software con limiti tecnici molto gravi.

 

Nel magma del diritto: brevi noterelle su normativa, dottrina e case law

A livello normativo, i sistemi di IA utilizzati in ambio sanitario sono veri e propri dispositivi medici, come dalla Direttiva 85/374/CEE e dal Regolamento (UE) 2017/45, relativi all'immissione in commercio e alla sicurezza di prodotti medici (ovvero i dispositivi cd MDR). Ne deriva , dunque, l'applicabilità in materia della responsabilità da prodotto difettoso, con oneri di relativa garanzia a carico dei produttori. In piu', l' AI act, adottato in data  24 maggio 2024 , sottopone, sub art 6, i sistemi di IA ad alto rischio a maggior obblighi in tema di trasparenza, gestione del rischio e conformità alle normative di sicurezza. Ecco quindi che si pone rimedio alla problematica della black box visto sopra: a questo riguardo, i produttori devono assicurare la tracciabilità degli outputs generati dalla IA, perchè il professionista sanitario possa essere consapevole dei dati ottenuti e elaborarli con le migliori pratiche. Comunque sia, il medico conserva una posizione di garanzia nei confronti del paziente, con il dovere di valutare criticamente il referto ottenuto, in posizione di controllo attivo e diligente. Sul punto, dunque, possiamo concludere in tesi che la legislazione ha compreso ed arginato il problema applicativo

Nel dibattito dottrinale, degna di nota è la posizione di Andrea Bertolini (Scuola Superiore Sant'Anna): quest'ultimo propone modelli di responsabilità “proporzionale”, graduati in base al controllo sul sistema di IA. Difatti, l'Autore ha escluso la possibilità di considerare l'IA quale un agente responsabile, criticando peraltro la disciplina europea sulla produzione, per sua ricostruzione inidonea a garantire, da sola, la sicurezza ex ante e il risarcimento della vittima ex post. Da ricostruzioni simili a questa deriva tutta la problematicità della questione in esame: abbiamo una pluralità di soggetti, in quanto anche lo sviluppatore, l'addestratore e il manutentore partecipano alla funzionalità e all'efficacia del sistema di IA. Tale aspetto è stato ben colto dall'AI Act, che prevede una quota di responsabilità maggiore a seconda del ruolo rivestito nella catena di sviluppo del sistema.

Le soluzioni raffigurate costruiscono, quindi, una sorta di responsabilità condivisa.

 Per quanto riguarda la relativa giurisprudenza, risultano rilevanti: Cassazione civile n. 18901/22, che qualifica quale prodotto difettoso un algoritmo non sufficientemente testato; Cass. Civ. n.28358/23, per cui occorre il consenso informato per trattamenti che coinvolgano strumenti di IA, richiedendo che l'algoritmo sia descritto in modo chiaro e comprensibile, secondo le norme della l. 219/17; Tribunale di Milano n.2387/23, ove scaturisce una responsabilità congiunta del medico e della struttura sanitaria per un errore diagnostico imputabile all'uso “acritico”di un algoritmo non validato; Tribunale di Roma n.4125/23, che sancisce la responsabilità del produttore del software in quanto il difetto di progettazione dell'algoritmo ha cagionato una diagnosi errata.

 

Una ROAD MAP legislativa

L'Ai Act, entrato in vigore il primo agosto 2024, prevede il seguente tragitto:

2 febbraio 2025, divengono applicabili i divieti per i sistemi di IA ad “alto rischio inaccettabile”, quali la manipolazione e il social scoring pubblico (punteggio sociale attribuito alle condotte dei cittadini, ndr), oltre all'obbligo di alfabetizzazione IA del personale; 2 agosto 2025, scattano obblighi specifci per i modelli di IA generativa di uso generale (GPAI) e di nomina delle autorità competenti da parte degli stati membri; 2 agosto 2026, si applicano obblighi residuali per i sistemi “ad alto rischio”; 2 agosto 2027, si completano le normative inerenti la conformità del prodotto.

 

Conclusione apertissima

Al momento, la storia clinica del paziente, il suo contesto personale e sociale di vita, la discrezionalità e la gradualità delle prognosi restano appannaggio della valutazione critica del  professionista, com'è inevitabile che sia. Ho comunque aperto questa finestra su un argomento in continua evoluzione: ai posteri l'ardua sentenza.

 

Epilogo con dedica:

Laura, rimembri ancor quando al centro ti dirigevi

linguistico d'Ateneo

e i seminari, giuridici, d'informatica

a cui grave attendevi

mentre il sottoscritto vacuamente scherzava

su IA e AI

di acronimica tenzon

Articoli più letti su questo argomento

Società /

L’intelligenza artificiale tra razionalità e poesia: un’umanità da riscoprire

Economia /

​​​​​​​L'intelligenza artificiale nel digital lending: quali soluzioni

Diritto /

La IA per la gestione del patrimonio delle Casse di previdenza

Newsletter Abbonamenti