La rivoluzione digitale nello specchio del diritto: l’immagine pixellata con i deepfake. Una questione sotto la lente di ingrandimento dell’Europol
Abstract
Il presente lavoro offre le chiavi per una lettura consapevole dei rischi apportati dalla tecnologia deepfake, richiamando l’attenzione sull’impatto che ha, nel contesto forense, e rintraccia la fondamentale linea di intervento avviata dagli Organismi Europei.
The present work offers the keys to a conscious reading of the risks brought by deepfake technology, drawing attention to the impact it has in the forensic context, and traces the fundamental line of intervention launched by the European Bodies.
1. Il passo incalzante dell’intelligenza artificiale nello scenario socioculturale
1.1 Brevi riflessioni sulla Proposta di Regolamento sull’IA
1.2 Le ricadute giuridiche della rivoluzione digitale
2. Lo sgretolamento dell’apparato probatorio nelle aule dei tribunali
3. La cooperazione internazionale. Il principio del mutuo riconoscimento come conditio sine qua non
4. Profili operativi dell’EUROPOL tracciati dal legislatore
4.1 L’investimento europeo con il Regolamento 2022/991
4.2 I “deepfakes” tra le sfide dell’ultimo grido dell’Europol (Report del 28/04/2022)
5. Conclusioni
1. The pressing step of artificial intelligence in the cultural area
1.1 Brief reflections on the Proposal for a Regulation on AI
1.2 The legal consequences of the digital revolution. The digital revolution in the mirror of law
2. The crumbling of the evidentiary apparatus in the courtrooms
3. The international cooperation. the principle of mutual recognition as a conditio sine qua non
4. Operational profiles of EUROPOL outlined by the legislator
4.1 The European investment with Regulation 2022/991
4.2 About deepfakes, the challenges of the last cry of EUROPOL (Report of 28/04/2022)
1. Il passo incalzante dell’intelligenza artificiale nello scenario socioculturale
L’incipiente cammino euro-unitario verso l’indottrinamento digitale deve prendere le mosse dalla definizione chiara e puntuale di “intelligenza artificiale” (IA): de jure condendo, si tratta di una disciplina dei computer science, volta alla creazione di sistemi, i quali sono in grado di realizzare – a loro volta – operazioni che, tipicamente, sono riconducibili alle capacità cognitive e decisionali degli esseri umani[1]. Attraverso un apprendimento di tipo induttivo[2], i sistemi algoritmici in questione elaborano un output sulla base delle informazioni estrapolate dai dati che gli sono stati forniti dall’operatore, o sono stati raccolti autonomamente.
In sostanza, l’agente è colui che svolge l’attività de quo in un ambiente computazionale predefinito, nel quale il contributo umano è pressocché minimo.
Senza addentrarsi in questioni terminologiche, con l’intento di rintracciare la ratio dell’irruenza con cui le tecnologie IA si sono diffuse in breve tempo, di seguito sono state ripercorse sinteticamente le fasi essenziali di sviluppo e congelamento finora attraversate[3]. All’indomani dei vari successi che hanno visto protagonista l’IA – valorizzata altresì dall’impatto mediatico – sull’ascesa delle applicazioni informatiche, senza alcun dubbio, hanno notevolmente influito tanto la nascita dei Big Data[4], quanto lo sviluppo delle tecniche di machine learning[5]. In questo senso, la figura dell’operatore – il quale, come già anticipato, aveva il compito di fornire i dati al sistema – è stata totalmente sostituita.
Questo importante traguardo ha permesso di identificare le applicazioni digitali, non più alla stregua di uno strumento tecnologico, bensì di un vero e proprio agente artificiale razionale, dotato di autonomia. Da quest’ultima, che costituisce un presupposto connaturato, ne deriva che tali agenti sono in grado di modificare il processo decisionale, loro delegato, talvolta anche elaborando delle soluzioni inaspettate[6].
1.1 Brevi riflessioni sulla Proposta di Regolamento sull’IA[7]
Questa concreta consapevolezza da parte della Commissione europea, ben si coniuga con l’intento di creare una leadership globale sul versante dell’IA.
La prima osservazione, ad opera di attenta dottrina[8], sul testo della proposta è inerente all’impianto strutturale che, coerentemente con il volere del Parlamento Europeo, ha assunto una natura orizzontale[9].
La logica sottesa alla normativa de quo del based risk[10] è volta all’armonizzazione delle discipline nazionali nel campo della responsabilità civile. Ciò spiega la previsione del biennio c.d. grace period[11], il quale mira a favorire tutti gli operatori che sono chiamati ad allinearsi alle prescrizioni organizzative e ad acquisire le conoscenze tecniche in un arco di tempo ragionevolmente largo.
La scelta di mettere a disposizione sistemi, anche “ad alto rischio[12]”, è collegata alla previsione del consueto riesame, volto al costante aggiornamento delle situazioni, senza dimenticare altresì il carattere volubile della materia. Invero, per identificare e analizzare i rischi in itinere, e quelli che potrebbero insorgere da un uso improprio, si è avvertita l’esigenza di predisporre un sistema di gestione del rischio. Ciò nonostante, l’attenzione agli eventuali rischi – che spinge a adottare misure volte all’informatizzazione di utenti o alla mitigazione – anche con riferimento al sistema di governance dei dati, impone il rispetto di criteri qualitativi prestabiliti, a salvaguardia dei principi di imparzialità e corretta gestione.
Tra i tratti innovativi del futuro Regolamento, con riferimento al suddetto sistema di governance dei dati, rientra la previsione secondo la quale, in deroga all’art. 9 del GDPR[13], è autorizzato l’accesso a quei dati che sono in grado di rivelare l’origine razziale, etnica, le opinioni politiche, convinzioni religiose e/o filosofiche, appartenenza sindacale, dati genetici e biometrici, stato di salute e orientamento sessuale.
Venendo al lato soggettivo, la Commissione prevede altresì una serie di obblighi specifici in capo ai soggetti attivi delle operazioni: nonché il fornitore[14] e l’utente[15], legati necessariamente da un vincolo di trasparenza e cooperazione.
Sebbene il testo si faccia carico dei principali problemi legati ad alcuni sistemi di IA, si presenta laconico sotto alcuni profili: ad esempio quello inerente allo scopo perseguito – la Commissione si astiene dall’adottare una definitiva ed esaustiva definizione di IA – o in merito alle potenziali criticità derivanti dall’applicazione[16] concreta, la quale è subordinata alla volontà degli attori internazionali[17] di darvi un seguito.
1.2 Le ricadute giuridiche della rivoluzione digitale
Le questioni sviscerate dagli studiosi di tale trasformazione sono essenzialmente due: la qualificazione giuridica di tali agenti artificiali razionali nonché il regime di responsabilità degli operatori per le offese a diritti e beni giuridici, come conseguenza del funzionamento del sistema artificiale.
Quanto alla prima questione, diverse sono state le tesi protagoniste del dibattito ma, una volta recepita l’inevitabile interazione con gli agenti umani, ha avuto esito negativo la richiesta di riconoscimento della personalità giuridica ai suddetti agenti artificiali.
La seconda, invece, costituisce il quid disputandum[18] che viene affrontato a più riprese dalla giurisprudenza.
A ben vedere, il legislatore non è rimasto inerme dinnanzi alla rivoluzione digitale, ed è intervenuto nel tentativo di evitare che le maglie delle singole fattispecie non venissero eccessivamente allargate per mano della giurisprudenza. Allo scetticismo dei conservatori e l’euforia dei filo-comunitari, il legislatore ha risposto con l’introduzione di nuove fattispecie[19]. L’elemento che accomuna le disposizioni di nuovo conio è il locus commissi delicti giacché coincide con lo spazio virtuale.
L’elemento spaziale, in ragione della sua peculiare astrattezza, suscita non poche difficoltà in sede giudiziaria: basti pensare all’individuazione sia dei soggetti coinvolti (attivo e passivo) e sia alla competenza territoriale, nonché dubbi circa la legittimità costituzionale del modus procedendum.
Dai recenti studi[20], sono emersi ambiti esposti in maniera significativa ai rischi derivanti dalla digitalizzazione: come i mercati finanziari, dove spesso le transazioni sono eseguite per conto di un utente interposto; i traffici internazionali di sostanze stupefacenti o di armi (o anche altri prodotti illeciti) i quali sono agevolati dall’impiego di droni a guida autonoma; nell’informatica forense, i reati informatici in senso stretto (emblematico è il DeepPhishing[21]) e i reati contro la persona. Questi ultimi, data la risonanza sociale, e il non irrilevante valore del bene giuridico leso, costituiranno il cuore della presente trattazione.
2. Lo sgretolamento dell’apparato probatorio nelle aule dei tribunali
L’avanzamento della digitalizzazione nel contesto giudiziario nazionale, scandito in varie fasi[22], ha contribuito ad alimentare le angosce degli operatori del diritto[23]. L’irreversibile avanzata dei sistemi algoritmici, segnatamente nel processo penale, ha determinato un sovvertimento del sistema conoscitivo della società moderna, prediligendo il “tecnocentrismo”[24]. In altri termini, si registra un superamento di quell’ideale personologico – di cui sono intrisi i sistemi classici – secondo il quale il soggetto umano può essere sia responsabile di una condotta criminosa, sia artefice di una decisione giudiziaria.
Alla luce delle potenzialità tecnologiche sperimentate in ambito organizzativo, in termini di efficienza e utilità[25], molti ordinamenti giuridici hanno dato il benvenuto alla cyber justice[26], punto di incontro tra la razionalità e la good governance intelligente.
Per leggere tutti i contributi della rivista, CLICCA QUI!
[1] Questa è la definizione che viene condivisa di PANATTONI, in Intelligenza artificiale: le sfide per il diritto penale nel passaggio dall’automazione tecnologica all’autonomia artificiale, in Diritto dell’informazione e dell’informatica, 2/2021, 317; Tra i tanti che si sono cimentati nel tentativo di dare una definizione vi sono: SARTOR, Intelligenza artificiale e diritto: un’introduzione, Milano, 1996, che la considera “una scienza intesa a sviluppare modelli computazionali del comportamento intelligente, e quindi a far sì che gli elaboratori possano eseguire compiti che richiederebbero intelligenza da parte dell’uomo”; o ancora, KAPLAN, Intelligenza Artificiale. Guida al futuro prossimo, Roma, 2016 “creare programmi informatici o machine capaci di comportamenti che riterremmo intelligenti se messi in atto da essere umani”; ROSSI, Il confine del futuro. Possiamo fidarci dell’intelligenza artificiale?, Milano, 2019.
[2] Già di per sé questo costituisce un notevole passo in avanti, soppiantando il precedente metodo deduttivo.
[3] PANATTONI, cit., 319.
[4] Vd. BONFANTI, A., Big data e polizia predittiva: riflessioni in tema di protezione del diritto alla privacy e dei dati personali, in MediaLaws, 24 ottobre 2018; ZAVRSNIK, A., Big Data, Crime and Social Control, Routledge, Londra, 2017.
[5] Già dalla traduzione italiana, si evince una la straordinaria innovatività, configurando dei meccanismi che permettono a una macchina intelligente di migliorare le proprie capacità e prestazioni nel tempo.
[6] Questo è quello che la comunemente viene definita “comportamento emergente”.
[7] La quale è stata presentata dalla Commissione EU il 21 aprile 2021.
[8] TAMPIERI, M., L’intelligenza artificiale e le sue evoluzioni, Ed. CEDAM, 2022. Prospettive civilistiche. Studi di Diritto comparato.
[9] Risoluzione del Parlamento europeo del 20 ottobre 2020 recante raccomandazioni alla Commissione su un regime di responsabilità civile per l’intelligenza artificiale 2020/2014: “benché siano preferibili regolamentazioni settoriali per l’ampia gamma delle possibili applicazioni [dell’IA, appare necessario un quadro giuridico orizzontale basato su principi comuni, per fissare norme uniformi in tutta l’Unione e tutelare efficacemente i valori europei”.
[10] Sono riportati negli Allegati II e III della proposta di Regolamento.
[11] Applicazione dopo 24 mesi dalla sua effettiva entrata in vigore, con decorrenza di ulteriori 12 mesi affinché entri in vigore il sistema sanzionatorio previsto.
[12] Di uso comune nella giustizia penale, in quanto sono usati per l’identificazione biometrica e la categorizzazione di individui o per la gestione di questioni in materia di immigrazioni.
[13] Il quale è rubricato “Trattamento di categorie particolari di dati personali” e prevede: “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1; b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell’Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell’interessato; c) il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso; d) il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali, a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato; e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato; f) il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali; g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato; h) il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3; i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale; j) il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici in conformità dell’articolo 89, paragrafo 1, sulla base del diritto dell’Unione o nazionale, che è proporzionato alla finalità perseguita, rispetta l’essenza del diritto alla protezione dei dati e prevede misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. 3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti. 4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.
[14] Questo è tenuto a predisporre un sistema di gestione della qualità, a redigere la documentazione tecnica del sistema ad alto rischio dell’IA, a conservare i log generati autonomamente da quest’ultimo e ad effettuare una procedura di valutazione sulla conformità prima di immetterlo sul mercato; al termine di questa operazione, sono tenuti ad apporvi il marchio CE che ne attesti la conformità.
[15] L’art. 29 prevede l’uso conforme alle istruzioni di utilizzo al quale è tenuto l’utente che, nello stesso tempo, deve informare tempestivamente il fornitore di eventuali rischi.
[16] Nello specifico, gli oneri previsti per i SIA di categoria inferiore non sono presenti in quelli ad alto rischio: l’utente che interagisce con un’intelligenza artificiale a basso rischio è a conoscenza di avere a che fare con una macchina, cosa che invece non avviene per i SIA ad alto rischio in cui figure professionali possono intrometterli anche nella scelta dell’intelligenza artificiale (art. 14).
[17] I quali potrebbero temere che una regolamentazione così stringente possa disincentivare le aziende nello sviluppo delle tecnologie, emigrando in paesi con meno vincoli. Sul punto, LAVORGNA, A., e SUFFIA, G., La nuova proposta europea per regolamentare i sistemi di IA e la sua rilevanza nell’ambito della giustizia penale, in Giustizia penale e nuove tecnologie, 2/2021.
[18] Il problema della responsabilità è dato dal fatto non riuscire spesso a ricondurre specifiche azioni dannose dei sistemi di IA a uno specifico input umano, o a decisioni adottate in fase di progettazione: tuttavia, una soluzione potrebbe essere quella di considerare responsabili le varie persone nella catena del valore che creano il sistema di IA, ne eseguono la manutenzione o ne controllano i rischi associati. Parimenti, la Proposta di regolamento (art. 5) prevede introduce l’obbligo a carico degli operatori di stipulare una polizza assicurativa, specie se operanti nel settore di IA ad alto rischio.
[19] Nel titolo VII tra i “DELITTI CONTRO LA FEDE PUBBLICA”, sono state inserite le fattispecie di cui agli artt. 491-bis e 495-bis c.p.; Titolo XII “DELITTI CONTRO LA PERSONA”: 615 quinquies, 635 bis, 625 ter, 625 quater, 63 quinquies, 640 quinquies. Un esempio chiave è dato dalla previsione del domicilio informatico di cui all’art. 615-ter c.p., sulla falsa riga della violazione di domicilio ex art. 614 c.p. oggetto del commento di LUPARIA, L., privacy, diritti della persona e processo penale, in Riv. Dir. Proc., 5/2019, 1448.
[20] Report dell’UNICRI e dell’Europol, “Malicious Uses and Abuses of Artificial Intelligence”, reperibile al sito: http://www.unicri.it/News/Report-Criminals-Leverage-AI-for-Malicious-Use.
[21] Tecnica di phishing che utilizza le tecnologie di IA per creare sistemi in grado di imparare da altri attacchi, evitando i filtri spam e aumentando le probabilità di successo, in letteratura si veda. Bahnsen, A. C, Torroledo I., Camachoet, L. C. al., DeepPhish: simulating malicious AI, 2018, reperibile al sito: https://www.semanticscholar.org/paper/DeepPhish-%3A-Simulating-Malicious-AI-Bahnsen –
Più generalmente sull’utilizzo delle tecnologie di IA (quale strumento di social engineering). Dupont, B, Stevens, Y., Westermannet, H., Artificial Intelligence in the Context of Crime and Criminal Justice, Report for the Korean Institute of Criminology, Canada Research Chair, in Cybersecurity, ICCC, 2018, 40.
[22] Il protagonista della prima fase è stato il diritto amministrativo: il DPCM 40/2016, ha introdotto il sistema informativo della giustizia amministrativa (SIGA); la seconda fasi è riconducibile al codice della privacy (d. lgs. 196/2003); da ultimo, il d. lgs. 51/2018, in attuazione della direttiva europea 2016/680 relativa alla protezione del trattamento dei dati.
[23] Principalmente per il fatto di dover far fronte a nuove situazioni con uno strumento normativo impregnato di canoni tradizionalisti.
[24] Sul punto Nagni, E., in Sistema penale, 7/2020, 7; PAJNO, A., CANZIO, G., SALVI, G., MANES, V., PIGNATONE, G., PINELLI, F., QUATTROCOLO, S., SEVERINO, P., Processo penale e Intelligenza Artificiale. Conversazione 20 ottobre 2020, Position Paper n. 1, in Fondazione Leonardo Civiltà delle Macchine, 2020.
[25]Espressione del connubio tra diritto e artificial intelligence è il consolidamento del datebase giurisprudenziale dal quale ne deriva una massimizzazione delle decisioni in giurisprudenza.
[26] Neologismo coniato dalla CEPEJ (European Commission For the Efficiency of Justice) la quale si riunisce, e al termine emana un rapporto nel 2018, con lo scopo di rintracciare I benefici e le criticità delle due componenti. Sul punto, ASARO, P.M, A Body to Kick, but still No to Damn: Legal Perspectives on Robotics, in P. LIN, K. ABNEY, G. BEKEY, Robot Ethics: The Ethical and Social Implication of Robotics, MIT Press., Cambridge, 2012; BURGESS, M., From “Trust us” to Partecipatory Governance: Deliberative Publics and Science Policy, in Public Understanding of Science, 2014.
