PA e IA: per guidare la macchina dell’intelligenza artificiale serve un buon pilota

Di intelligenza artificiale si parla da anni, ma è in questo ultimo periodo, direi quasi in questi ultimi mesi, che l’interesse sul tema si è amplificato. Il merito va sicuramente all’iniziativa legislativa europea in materia, mi riferisco all’IA Act da poco licenziato dal Parlamento europeo, ma anche a vicende che hanno coinvolto personaggi famosi e che hanno suscitato grande interesse nell’opinione pubblica.

Premessa

L’ambito di applicazione delle nuove tecnologie di intelligenza artificiale è vastissimo e comprende settori come la sanità, l’automazione industriale, la finanza, la cybersecurity, il riconoscimento biometrico, ma in questa sede ho voluto dedicarmi principalmente alla compatibilità dei nuovi processi decisionali automatizzati con le garanzie che presidiano l’esercizio delle funzioni pubbliche e dunque con alcuni dei principi generali del diritto amministrativo.

Quando si parla di procedimento e provvedimento amministrativo, forse un dato è sempre stato dato per scontato, ossia che il contenuto della decisione di un provvedimento amministrativo sia sempre frutto di una determinazione di una persona fisica, imputabile all’ente attraverso l’istituto della c.d. immedesimazione organica secondo cui vi è un nesso di imputazione della condotta dell’uomo sull’organo e quindi sull’ente. Questo nesso implicherebbe obbligatoriamente una perfetta immedesimazione tra i tre soggetti (uomo, organo, ente).

L’implementazione di sistemi intelligenti in grado di supportare il processo decisionale delle pubbliche amministrazioni, in ausilio od in sostituzione dell’opera intellettuale umana, sembra oggi non solo possibile, ma anche auspicabile, soprattutto in relazione a quei procedimenti ripetitivi e predeterminati che potrebbero essere facilmente automatizzati (esempio i provvedimenti sanzionatori in materia edilizia, per i quali, tra l’altro, non è richiesta nemmeno una specifica motivazione trattandosi di atto dovuto).

Appare dunque legittimo chiedersi:

  1. se il sistema algoritmico decide autonomamente, o meglio impara a decidere, come imputare l’azione all’amministrazione?
  2. Inoltre, se le informazioni si trasformano in predizioni attraverso una c.d. black box in un modo che non è pienamente conoscibile, come motivare il provvedimento?
  3. Da ultimo ma certamente non meno importante, su chi ricade la responsabilità dell’uso di algoritmi per l’assunzione delle decisioni?

CORSO DI FORMAZIONE: AI ACT E GDPR-COME GARANTIRE LA CONFORMITÀ A IMPRESE E ORGANIZZAZIONI

Le normative europee sull’intelligenza artificiale (AI) e la protezione dei dati, come l’AI Act e il GDPR, stanno diventando sempre più rilevanti per le imprese e le organizzazioni che utilizzano tecnologie avanzate. Per essere conformi, è essenziale adottare misure specifiche e aggiornarsi sulle ultime disposizioni legislative. Il corso di formazione di Maggioli Editore, tenuto da esperti del settore come Luca Bolognini, Michele Iaselli e Luisa Annamaria Di Giacomo, offre un’opportunità unica per comprendere appieno i requisiti normativi e imparare come implementare pratiche adeguate. Attraverso esempi concreti e un approccio pratico, i partecipanti potranno acquisire competenze strategiche per garantire la conformità alle normative e gestire responsabilmente i dati, assicurando al contempo una maggiore tutela per i loro clienti e stakeholder.

<<Per info ed iscrizioni>>

Le tipologie di algoritmi

Nel linguaggio matematico, per algoritmo, si intende “una sequenza di passaggi elementari, secondo una sequenza finita e ordinata di istruzioni chiare e univoche per la risoluzione di un dato problema”.

Attualmente si distinguono due gruppi principali di algoritmi.

Algoritmi condizionali, l’algoritmo viene programmato affinché questo, al ricorrere di una determinata condizione (se), esegua un certo comando (allora). La caratteristica principale di questi algoritmi è che la loro capacità di assumere decisioni deriva dall’applicazione di regole predeterminate in fase di programmazione, cioè l’algoritmo esegue comandi che sono stati precedentemente stabiliti (dall’uomo). Il relativo codice di programmazione (modello) è dunque perfettamente intellegibile per un essere umano dotato delle necessarie competenze tecniche.

Il processo logico che caratterizza questi algoritmi sembra essere allineato con il ragionamento giuridico. Posta una norma – la regola – al ricorrere di determinati eventi – condizioni – si producono determinate conseguenze (giuridiche).

L’utilizzo di algoritmi intelligenti di tipo condizionale nell’azione amministrativa non sembrerebbe quindi stravolgere il processo di formazione delle determinazioni amministrative tutte le volte che la norma da applicare al caso concreto possa essere trasformata in una o più regole informatiche che possano essere applicate da una macchina. Questo è evidente in relazione alle determinazioni vincolate. In questi casi, ove i presupposti siano quantificabili e misurabili da una macchina, potrà essere programmato un algoritmo che, quando questi ultimi si verifichino, produca il risultato predeterminato dalla legge.

Un simile discorso potrebbe essere svolto anche laddove venga in rilievo, nell’esercizio di un potere vincolato, un’attività tecnico-discrezionale, dove la valutazione da operare si basi su conoscenze scientifiche che possano essere tradotte in regole informatiche di tipo condizionale.

La programmazione informatica di tipo condizionale presuppone, come abbiamo detto, che tutte le condizioni (regole) rilevanti per valutare un determinato contesto debbano essere predeterminate, questa tecnica di intelligenza artificiale risulta quindi impraticabile tutte le volte in cui il numero di condizioni (regole) da valutare non sia quantificabile, o sia comunque estremamente elevato. Nell’attività amministrativa, una tale circostanza si verifica quando il potere sia in tutto od in parte caratterizzato da discrezionalità. In questi casi, la scelta da operare si deve muovere all’interno di confini non rigidamente predeterminati dalla legge, potendo l’amministrazione selezionare l’opzione che, nel caso concreto, appaia più opportuna (merito).

Calando quanto detto in campo informatico, immaginiamo di voler creare un algoritmo intelligente capace di riconoscere la presenza di un determinato oggetto in un’immagine, usando l’algoritmo condizionale si dovrebbero individuare e tradurre in codice tutte le caratteristiche che distinguono graficamente l’oggetto scelto. Tuttavia lo stesso oggetto può apparire in innumerevoli modi (a colori, in bianco e nero, in posizioni e da prospettive diverse, di diversa forma e dimensione, ecc.), le variabili che identificano uno specifico oggetto sono elevatissime. Di un tanto codificare tutte le regole informatiche finalizzate ad individuare tale specifico elemento in un’immagine sarebbe, se non impossibile, certamente di estrema complessità. inoltre, il software che si creerebbe sarebbe tanto specializzato da essere inutile ad altro scopo, in quanto non sarebbe riutilizzabile ad esempio, per identificare un altro oggetto.

Ed è proprio per superare le difficoltà/limiti degli algoritmi condizionali che si è sviluppato il secondo gruppo di algoritmi che si basa sulla tecnica del machine learning.

Negli algoritmi machine learning le nozioni (regole) necessarie per l’assunzione di una determinazione sono estrapolate dalla macchina stessa, analizzando grandi quantità di dati (c.d. big data) ed apprendendo da questi i parametri necessari per successivamente adottare decisioni informate. Più nel dettaglio, i sistemi di machine learning sono composti da due componenti fondamentali:

  • codice sorgente, assimilabile a quello proprio degli algoritmi condizionali. Anche in questo caso si ha un testo scritto in linguaggio di programmazione dunque conoscibile.
  • modello, generato durante la c.d. “fase di apprendimento” (training). Nella fase di apprendimento, l’algoritmo, processando enormi quantità di dati (big data), forma quella che potremmo definire l’“idea”, il concetto che si vorrà andare a valutare. Tale “idea” viene utilizzata in fase di esecuzione dell’algoritmo per verificare se un set di nuovi dati vi si conformino, e quindi possano essere ricondotti al medesimo concetto, o se non presentino sufficienti caratteristiche e debbano quindi essere considerati estranei a tale “idea” (modello).

Trovato il modello, si può passare all’esecuzione vera e propria dell’algoritmo. In questa fase, immettendo nuovi dati, di cui non si conosce la corretta interpretazione, il modello verrà usato dalla macchina per interpretare i dati ignoti e quindi operare la valutazione per la quale l’algoritmo è stato creato. Un ulteriore elemento imprescindibile dell’algoritmo machine learning è il grado di attendibilità/affidabilità ossia, calcolare quanto il nuovo dato sia in linea con la rappresentazione matematico-numerica dei dati valutati in fase di apprendimento.

L’IA Act europeo

L’attuale quadro normativo in materia di automazione dei procedimenti amministrativi è privo di un’univoca base legale.

A livello nazionale, il Codice dell’Amministrazione digitale (CAD) d.lgs. 82/2005, si limita ad affermare che la riorganizzazione della PA debba avvenire anche attraverso il migliore e più esteso utilizzo delle tecnologie dell’informazione e della comunicazione che garantisca lo sviluppo del processo di digitalizzazione.

La normativa è principalmente incentrata sulla realizzazione di infrastrutture digitali, sulla interoperabilità e sicurezza dei sistemi informativi, sulla cittadinanza digitale (SPID, Carta di identità elettronica, Anagrafe nazionale della popolazione residente). Le pubbliche amministrazioni possono sfruttare i c.d. big data, ma il legislatore non ha ancora adottato disposizioni specifiche relative all’uso degli algoritmi.

Diverso è lo scenario normativo europeo:

– il Regolamento UE n. 2016/679 (GDPR) del 27/4/2016, è applicabile anche al trattamento automatizzato dei dati personali, inclusa la fattispecie della c.d. profilazione.

– all’intelligenza artificiale è invece riferito l’AI Act, il primo atto normativo al mondo volto a disciplinare l’applicazione dell’intelligenza artificiale. La proposta di regolamento risale all’aprile del 2021. Recentemente, a dicembre 2023, Il Parlamento, il Consiglio e la Commissione hanno raggiunto l’accordo politico sul testo. Lo scorso 21 maggio è stato approvato il testo e diverrà pienamente applicabile 24 mesi dopo la sua entrata in vigore.

A differenza del GDPR che ha portata generale, il regolamento si applicherà ai soggetti pubblici e privati, all’interno e all’esterno dell’UE, a condizione che il sistema di IA sia immesso sul mercato dell’Unione o che il suo utilizzo abbia effetti su persone situate nell’UE. Tale quadro giuridico può riguardare tanto i fornitori (ad esempio uno sviluppatore di uno strumento di screening dei CV) quanto gli operatori di sistemi di IA ad alto rischio (ad esempio, una banca che acquista il suddetto strumento di screening).

La normativa europea in questione non si applica ai componenti di IA forniti in base a licenze gratuite e open source a meno che non si tratti di sistemi di IA vietati o ad alto rischio. Quanto agli obblighi per i fornitori e per i soggetti che utilizzano sistemi di intelligenza artificiale, questi sono correlati ai livelli di rischio che possono avere origine dal processo di trattamento dei dati.

  1. RISCHIO INACCETTABILE: una serie molto limitata di usi dell’IA particolarmente dannosi, che contravvengono ai valori dell’UE perché violano i diritti fondamentali e saranno pertanto vietati:

– punteggio sociale, per finalità pubbliche e private;

– sfruttamento delle vulnerabilità delle persone, utilizzo di tecniche subliminali;

– identificazione biometrica remota in tempo reale in spazi accessibili al pubblico, fatte salve limitate eccezioni (sistemi di identificazione biometrica a distanza “post”, dove l’identificazione avviene dopo un significativo ritardo, che saranno consentiti per perseguire reati gravi ma solo previa autorizzazione dell’autorità giudiziaria.);

– categorizzazione biometrica delle persone fisiche sulla base di dati biometrici per dedurne o desumerne la razza, le opinioni politiche, l’appartenenza sindacale, le convinzioni religiose o filosofiche o l’orientamento sessuale; sarà ancora possibile filtrare set di dati basandosi su dati biometrici nel settore delle attività di contrasto;

– polizia predittiva su singoli;

– riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione, eccetto per motivi medici o di sicurezza (ad esempio il monitoraggio dei livelli di stanchezza di un pilota);

– estrazione non mirata di immagini facciali da internet o telecamere a circuito chiuso per la creazione o l’espansione di banche dati;

  1. ALTO RISCHIO: sono considerati ad alto rischio i sistemi di IA che influiscono in modo negativo sulla sicurezza o sui diritti fondamentali. Il Regolamento, in questo caso, individua due diversi gruppi:

1) Sistemi di IA utilizzati in prodotti soggetti alla direttiva dell’UE sulla sicurezza generale dei prodotti.

2) Sistemi di IA che rientrano in aree specifiche individuate nell’elenco allegato al regolamento,  e che dovranno essere registrati in un database a livello europeo ad esempio: identificazione e categorizzazione biometrica di persone naturali; gestione e funzionamento di infrastrutture critiche; istruzione e formazione professionale; occupazione, gestione dei lavoratori e accesso all’autoimpiego; accesso e fruizione di servizi privati essenziali e servizi pubblici e vantaggi; forze dell’ordine; gestione delle migrazioni, asilo e controllo delle frontiere; assistenza nell’interpretazione e applicazione legale della legge.

  1. RISCHIO LIMITATO: questo tipo di sistemi di IA dovranno rispettare requisiti minimi di trasparenza che consentano agli utenti di prendere decisioni informate. Gli utenti, infatti, dovranno essere sempre informati quando interagiscono con l’IA, come ad esempio i chatbot. Questo gruppo include i sistemi di IA c.d. generativa che sono in grado di generare o manipolare contenuti di immagini, audio o video.
  2. RISCHIO MINIMO O NULLO: tutti gli altri sistemi di IA possono essere sviluppati e utilizzati nel rispetto della legislazione vigente senza ulteriori obblighi giuridici; la grande maggioranza dei sistemi di IA attualmente utilizzati rientra in questa categoria. Esempio videogiochi, filtri antispam.

Data la definizione di algoritmi e disegnata a grandi capi la cornice normativa in materia, occorre ora cercare di trovare le risposte ai quesiti interpretativi che ci eravamo posti all’inizio circa il rapporto tra l’IA e il diritto amministrativo.

L’imputabilità del provvedimento amministrativo generato da processi decisionali automatizzati

L’organo amministrativo è il risultato di un raggruppamento di funzioni attorno alla persona titolare; l’atto amministrativo è una dichiarazione di volontà. L’assenza di intervento di una persona fisica nell’adozione di una decisione amministrativa sembra non collocarsi bene nella definizione di organo e atto amministrativi. Nell’attività automatizzata infatti la funzione viene esercitata da una macchina e l’atto risultante, prodotto dalla macchina, non può essere inteso come espressione di una volontà, in quanto la macchina è priva di arbitrio.

Le domande che si pongono a questo punto sono due:

  • se è possibile mantenere la teoria classica dell’organo amministrativo secondo cui l’organo amministrativo non è altro che il risultato di un raggruppamento di funzioni amministrative in capo ad una persona, l’esercizio delle quali, cioè il risultato di esse, si imputa direttamente all’ente (c.d. immedesimazione organica);
  • se rientra nella nozione di atto amministrativo quello adottato attraverso strumenti elettronici automatizzati.

Quanto al primo quesito, la circostanza che la decisione sia stata adottata in maniera automatizzata, senza l’intervento diretto di una persona, non implica che l’attività venga imputata alla macchina, ma la paternità dell’atto ricadrà in ogni caso sull’organo amministrativo che detiene la potestà ed esercita la competenza avvalendosi del sistema elettronico. La macchina, anche se agisce con un certo grado di autonomia, rimane uno strumento al servizio del titolare dell’organo. Ciò viene dedotto dalla concorrenza di due elementi: il principio di legalità, che connette tutta l’attività amministrativa con la norma attributiva del potere; i principi di certezza giuridica e trasparenza, i quali esigono che si determini la connessione tra persona e attività e si sappia come essa opera.

In merito alla seconda domanda, se si ricorre alla classica definizione di provvedimento amministrativo, per cui questo sarebbe l’atto amministrativo mediante il quale l’autorità amministrativa dispone in ordine all’interesse pubblico che deve curare, esercitando la propria potestà e conseguentemente incidendo su situazioni soggettive del privato, risulta chiaro che rientrano in questa definizione tanto la decisione materialmente adottata da una persona fisica così come quella realizzata attraverso un’applicazione informatica o un algoritmo.

Si tratta, in sostanza, di una scelta sul modo di soddisfare l’interesse pubblico nel caso concreto o, detto diversamente, nella volontà dell’organo.

Occorre ora verificare se vi sono differenze tra imputazione di una decisone frutto di un algoritmo di tipo condizionato e imputazione di una decisione elaborata da un algoritmo di machine learning.

Come si è detto prima, l’algoritmo condizionale può essere utilizzato solo in situazioni in cui vi sia un’attività completamente vincolata, o al più nei casi di discrezionalità tecnica. Si tratta di attività che sono interamente predeterminate sia nei loro presupposti, sia nei loro contenuti.

Che sia una persona fisica o un software ad operare la valutazione determinante per la decisione finale, ossia inserire i codici di programmazione, poco cambia. Il risultato atteso per l’attività da svolgere deve essere in ogni caso lo stesso. Sotto un profilo di imputabilità della decisione, dunque, il fatto che l’organo decidente si sia avvalso di un software per formare la decisione non appare rilevante, essendo rilevante il solo risultato.

La questione dell’imputabilità è più complessa in relazione alle tecniche di intelligenza artificiale rientranti nella categoria del machine learning. Si è detto che in questi casi nella fase di apprendimento l’algoritmo, data una serie di input e relativi output in grado di produrre le regole da applicare nella successiva fase di esecuzione per analizzare e valutare input sconosciuti. In altre parole, qui le regole sono create dalla macchina in fase di apprendimento e non dal programmatore persona fisica.

Calando tale paradigma nell’azione amministrativa, ciò significa che un sistema di machine learning, per poter decidere su determinate questioni, dovrebbe essere “allenato” sulla base di un enorme set di precedenti decisioni amministrative relative ad uno specifico ambito.

Quindi ai fini dell’imputabilità della decisione amministrativa adottata con l’ausilio di un sistema di machine learning, sembra fondamentale che l’amministrazione utilizzatrice abbia il pieno controllo del set di dati utilizzato nella fase di apprendimento della macchina. È infatti sulla base del set di dati che il modello viene elaborato, quindi solo se il set di dati di apprendimento è imputabile all’amministrazione, può esserlo anche il modello generato sulla base di tale set di dati e dunque anche l’output/risultato/decisione generato dall’algoritmo.

LA motivazione di una decisione frutto di procedure automatizzate

Anche in questo caso appare opportuno analizzare separatamente le due ipotesi: algoritmi condizionali rispetto a quelli basati su tecniche di machine learning.

In ragione delle modalità di funzionamento degli algoritmi condizionali, sotto un profilo contenutistico e formale, la motivazione non diverge da quella che normalmente si rinviene in relazione a decisioni caratterizzate dall’esercizio di un potere vincolato interamente redatte da un funzionario pubblico senza l’ausilio di una macchina. Si è infatti richiamata l’affinità tra il processo logico che caratterizza questi algoritmi con il ragionamento giuridico. Posta una norma – la regola – al ricorrere di determinati eventi – condizioni – si producono determinate conseguenze (giuridiche).

In applicazione del principio di trasparenza ed imparzialità, è inoltre necessario garantire a qualsiasi interessato la possibilità di verificare la legittimità della decisione anche attraverso l’esame del codice sorgente dell’algoritmo e, quindi, l’analisi delle effettive modalità di funzionamento.

Come rilevato anche dalla giurisprudenza, solo attraverso la completa visione del codice sorgente è possibile verificare che le regole informatiche scritte in fase di programmazione dell’algoritmo applichino fedelmente il dettato normativo. L’esame del codice sorgente è perciò un elemento essenziale per la comprensione delle ragioni della decisione. Sicché lo stesso, in quanto testo, deve essere considerato una parte integrante della motivazione (anche per relationem).

Quindi nel caso di decisione automatizzata con algoritmi condizionali l’onere motivazionale di cui all’articolo 3 della legge 241/1990 può dirsi soddisfatto solo quando, oltre ai consueti contenuti dell’atto, sia reso disponibile sia il codice sorgente dell’algoritmo, sia tutta la documentazione tecnica necessaria per una maggiore comprensione di quest’ultimo.

Più complessa appare la questione della motivazione delle decisioni automatizzate con algoritmi basati sul machine learning. Come si è detto, in questo caso il software non applica regole informatiche a vario modo proceduralizzate e, perciò, verificabili da un essere umano. Viceversa, la decisione si basa sulla valutazione della questione rispetto ad un modello matematico-numerico precedentemente generato in fase di training ed è la maggiore o minore aderenza del caso esaminato a detto modello che determina la decisione.

In dottrina si è parlato di black box in relazione agli algoritmi basati sul machine learning, in quanto il processo valutativo operato dalla macchina non può essere analizzato e quindi compreso, potendosi valutare solo l’output dell’operazione.

Il primo elemento della motivazione da considerare è il testo dell’atto stesso prodotto dalla macchina. Infatti è imprescindibile che gli algoritmi basati sulla tecnica del machine learning possano essere utilizzati nella sfera pubblica se programmati per produrre un output testuale, assimilabile a quello che un funzionario produrrebbe sulla medesima questione A ciò si aggiungono ulteriori elementi che consentono un controllo più penetrante rispetto a quello possibile sugli atti adottati da una persona.

Si può infatti:

  • misurare la deviazione dell’algoritmo rispetto ai precedenti sui quali si è allenato
  • nonché l’idoneità stessa dei precedenti ad informare la decisione del caso di specie.

Quanto al primo profilo, occorre tenere presente che sia durante il training sia durante l’esecuzione un algoritmo basato sul machine learning indica il livello di affidabilità delle predizioni. Il che dovrebbe comportare che un algoritmo di machine learning possa essere impiegato solo in presenza di un altissimo livello di affidabilità. Per un alto livello di affidabilità occorre che il sistema di intelligenza artificiale sia stato allenato sulla base di dati che siano rappresentativi di provvedimenti che applicano correttamente il quadro normativo di riferimento. Con un basso livello di affidabilità si dovrebbe ritenere l’atto viziato da eccesso di potere, in quanto un basso valore di affidabilità manifesterebbe l’elevata incertezza circa l’effettiva riconducibilità del risultato finale prodotto dalla macchina rispetto ai precedenti già noti.

Sul secondo profilo, ossia se i dati di training non fossero rilevanti rispetto al caso da valutare, si avrebbe un eccesso di potere, questa volta riconducibile, a seconda dei casi, alla figura del travisamento dei fatti, all’errore in fatto, all’omessa istruttoria od altra figura sintomatica atta a manifestare una discrasia tra il caso oggetto di decisione e quelli usati per il training.

Per garantire che tali circostanze siano verificabili dagli interessati è necessario non solo fornire l’indicatore del livello di precisione dell’algoritmo, ma occorre dare accesso sia al codice sorgente dell’algoritmo, al pari di quanto avviene in relazione agli algoritmi condizionali, sia al dataset utilizzato per il training. Questi tre elementi sono fondamentali per comprendere come il sistema funzioni e per valutare se l’algoritmo sia stato allenato su dati effettivamente rispondenti alla fattispecie da valutare.

Quindi in relazione alle decisioni automatizzate con algoritmi basati sul machine learning, si può ritenere che l’onere motivazione ex articolo 3 della legge 241/1990 possa essere assolto in modo anche più penetrante rispetto agli algoritmi condizionali.

Il regime di responsabilità applicabile alle decisioni automatizzate

Com’è noto, la gestione delle attività necessarie alla definizione della sequenza procedimentale è affidata della legge 241/1990 al responsabile del procedimento, le cui funzioni non si esauriscono nella verifica circa la sussistenza dei presupposti rilevanti per l’esercizio del potere, nello svolgimento dell’istruttoria e nell’interlocuzione con i soggetti possibili destinatari dell’atto amministrativo o ad esso comunque interessati, ma possono estendersi, se previsto o stabilito, all’adozione del provvedimento finale. L’articolo 6, della legge 241 del 1990 dispone infatti che il responsabile del procedimento “adotta, ove ne abbia la competenza, il provvedimento finale, ovvero trasmette gli atti all’organo competente per l’adozione”. Il medesimo articolo prevede inoltre che “[l]’organo competente per l’adozione del provvedimento finale, ove diverso dal responsabile del procedimento, non può discostarsi dalle risultanze dell’istruttoria condotta dal responsabile del procedimento se non indicandone la motivazione nel provvedimento finale”.

Dal tenore della disposizione si desume quindi che il dirigente, quando formalizza in un provvedimento amministrativo il risultato dell’istruttoria senza manifestare un motivato dissenso rispetto alle proposte di decisione presentate dal responsabile del procedimento, esprime la volontà dell’ente nel quale si immedesima e risponde congiuntamente all’ente delle conseguenze giuridiche dell’atto.

Questo modello di imputazione degli atti giuridici si applica anche nelle ipotesi in cui l’Amministrazione si avvalga di strumenti di automazione dei processi decisionali. Per la dottrina “i sistemi di Intelligenza Artificiale non possono in alcun modo sostituire le competenze e le responsabilità del funzionario amministrativo persona fisica”.

L’utilizzo di tecnologie informatiche nell’ambito dell’attività amministrativa può dar luogo a danni risarcibili per ragioni tecniche di diversa specie: la scelta di software non funzionali al concreto perseguimento dell’interesse pubblico può determinare l’elaborazione di risultati incongrui, così come l’inserimento di dati invalidi o l’erroneo utilizzo del programma informatico vanificano i risultati vantaggiosi che si potrebbero ottenere attraverso l’impiego di sistemi di automazione decisionale.

Nella fase procedimentale, l’operatore umano, e dunque l’amministrazione, è tenuto a:

  1. selezionare il programma informatico più adeguato al concreto perseguimento degli scopi di interesse pubblico;
  2. assicurare l’attendibilità e la completezza dei dati destinati all’immissione e alla rielaborazione elettronica.
  3. Garantire un controllo sulla conformità del trattamento informatico dei dati personali alla disciplina nazionale ed europea sulla tutela del diritto alla riservatezza. Infatti l’impiego delle tecnologie informatiche non esime l’Amministrazione dall’osservanza del c.d. principio di “non discriminazione algoritmica”, in forza del quale la programmazione dei sistemi di automazione decisionale deve fondarsi su criteri che impediscano la formulazione di conclusioni erronee, contraddittorie o discriminatorie.

Anche nella fase decisoria l’intervento umano sembra indispensabile. Il responsabile del procedimento e il dirigente competente all’adozione del provvedimento finale devono sempre:

– analizzare i risultati prodotti dal programma informatico, approvando quelli validi e respingendo quelli fallaci. La giurisprudenza amministrativa infatti ritiene che il c.d. principio di “non esclusività della decisione algoritmica” impone al funzionario-persona fisica un esame definitivo del provvedimento informatico proposto dall’elaboratore elettronico, non soltanto sotto il profilo della sua conformità ai parametri legali, ma anche in relazione alla sua intrinseca logicità, credibilità e razionalità. Ci si riferisce al modello noto ai programmatori come HITL (human-in-the-loop), in cui, per produrre il suo risultato è necessario che la macchina interagisca con l’essere umano”.

La giurisprudenza amministrativa in materia di decisioni automatizzate

Le più importanti pronunce in materia di decisioni amministrative algoritmiche sono legate alle note questioni relative al personale docente della scuola. La legge n. 107/2015, c.d. “Buona scuola”, prevedeva infatti un piano straordinario di assunzioni a tempo indeterminato e di mobilità su scala nazionale, relativo sia alla scuola primaria che a quella secondaria. Il MIUR, per predisporre le graduatorie aveva deciso di servirsi di un software, tuttavia, a causa di un errore dell’algoritmo, molti docenti si sono visti trasferire lontano dalla propria sede, sebbene il loro punteggio fosse superiore ad altri ai quali era stata assegnata una sede nella stessa provincia. Il problema era stato generato dal fatto che i tecnici, predisponendo l’algoritmo, avevano considerato come prioritario il criterio delle preferenze e, solo successivamente, quello del punteggio, creando così di fatto una specie di graduatoria per ciascuna preferenza.

Sulla vicenda sia il Tar Lazio che il Consiglio di Stato si sono pronunciati favorevolmente ai ricorrenti, ma la posizione del Tar Lazio e quella del Consiglio di Stato non sono state omogenee. Il Tar si è dimostrato più restrittivo sulla possibilità di delegare alle macchine decisioni amministrative, dichiarando incompatibile l’esercizio del potere discrezionale con l’elaborazione elettronica dell’atto; mentre il Consiglio di Stato si è attestato su una linea di maggiore apertura, limitandosi più che altro a fissare dei criteri relativi all’utilizzo di queste nuove tecnologie.

In primo grado, le principali questioni giuridiche emerse sono state ricondotte a due tematiche principali:

  1. l’accesso all’algoritmo decisionale ex articolo 22 della legge 241/1990;
  2. la legittimità dei provvedimenti amministrativi, alla stregua del principio di trasparenza e di partecipazione procedimentale, nonché con riferimento all’obbligo di motivazione delle decisioni amministrative.

Rispetto alla prima tematica, il Tar Lazio con sentenza 3769/2018 i giudici di prime cure hanno fatto prevalere il profilo dell’accessibilità alla decisione algoritmica, in quanto documento amministrativo, rispetto alla tutela della proprietà intellettuale del software, anche per via della mancata previsione tra le cause di esclusione dell’accesso documentale di cui articolo 24 della legge 241/1990 di una menzione relativa alla tutela della proprietà intellettuale.

Rispetto ai profili di legittimità amministrativa, il Tar evidenzia che l’utilizzo di procedimenti decisionali interamente automatizzati comporterebbero un vulnus per le «correlate garanzie processuali in relazione al diritto di azione e difesa in giudizio di cui all’articolo 24 Costituzione», poiché l’eventuale assenza di motivazione «non permette inizialmente all’interessato e successivamente al Giudice, di percepire l’iter logico – giuridico seguito dall’amministrazione per giungere ad un determinato provvedimento» .

Il Tar Lazio ha ribadito inoltre il principio di strumentalità del ricorso agli algoritmi nell’ambito dei procedimenti amministrativi, affermando che l’impiego di un algoritmo a «circoscritte e ben isolate fasi di un’istruttoria», può essere consentito «mediante norme regolamentari apposite», e solo al fine di rendere il sistema maggiormente conforme ai principi costituzionali che governano l’azione amministrativa. I giudici di prime cure hanno, inoltre, sottolineato nuovamente che la parte conclusiva del procedimento amministrativo, e segnatamente quella predecisoria e quella decisoria, deve essere in ogni caso «attribuita all’attività dianoetica del funzionario o responsabile del servizio, che dovrà provvedere a correggere e rettificare eventuali aporie o aberrazioni determinative, al pari di carenze o omissioni istruttorie, la cui omessa rilevazione ed elisione […] produrrebbe immancabilmente l’illegittimità del provvedimento finale inespresso e illegittimamente sostituito dal risultato dell’operazione algoritmica».

In appello, il Consiglio di Stato si è, invece, mostrato più morbido. L’impiego di tecnologie algoritmiche è stato valutato in linea di principio positivamente sia nella sentenza n. 2270/2019 che, da ultimo, nella sentenza n. 8472/2019,

La sentenza 8472/2019 ha fissato tre principi da tenere in considerazione nell’esame e nell’utilizzo degli strumenti informatici:

  • il principio di conoscibilità: ognuno ha diritto di conoscere l’esistenza di processi decisionali automatizzati che lo riguardino e, in questo caso, di ricevere indicazioni sulla logica utilizzata (principio di comprensibilità).
  • il principio di non esclusività della decisione algoritmica: in osservanza dell’articolo 22 del GDPR, nel caso in cui una decisione automatizzata procuri effetti giuridici che riguardino o incidano significativamente su una persona, questa ha diritto a che tale decisione non sia basata unicamente sul processo automatizzato.
  • il principio di non discriminazione algoritmica: il titolare del trattamento dati deve utilizzare procedure matematiche o statistiche appropriate per la profilazione, mettendo in atto misure tecniche ed organizzative adeguate al fine di garantire che siano corretti i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e discriminazioni.

Un esempio di algoritmo con effetto discriminatorio è quello avvenuto in Olanda. Nel 2014, il Ministero per gli Affari Sociali e il Lavoro olandese aveva ideato un avveniristico sistema automatizzato di controllo per valutare situazioni di rischio sociale e scovare frodi assistenziali.

Nel febbraio 2020, il Tribunale dell’Aia ha dichiarato tale modello di calcolo illegale, in violazione del GDPR e dei diritti umani. Lo stesso Governo Olandese ha ammesso che, per anni, migliaia di persone erano state selezionate e controllate sulla base di criteri, ritenuti poi illegittimi, che erano stati inseriti nell’algoritmo. Tra questi vi era anche il criterio della doppia nazionalità utilizzato da sistema per determinare i rischi di frode. In quel periodo, dunque, chi aveva la doppia nazionalità (if) veniva automaticamente inserito in una lista di controllo antifrode (then).

Conclusioni e prospettive future

Concludendo, l’intelligenza artificiale rappresenta sicuramente una straordinaria risorsa per le autorità pubbliche e può contribuire in modo significativo al miglioramento dell’azione amministrativa, rendendola più efficiente ed efficacie. In particolare, l’implementazione di sistemi intelligenti nell’amministrazione può consentire di automatizzare tutte quelle attività svolte quotidianamente in modo ripetitivo.

Come abbiamo detto, il processo di informatizzazione non può però prevalere sui principi generali del diritto amministrativo che tutelano e al contempo realizzano l’interesse pubblico. L’impiego di queste nuove tecnologie richiede un costante controllo umano sulla costruzione, sulla scelta e sull’utilizzo dei software di automazione decisionale in modo tale che l’elaboratore elettronico eviti conclusioni illogiche, incoerenti o irrazionali o, peggio ancora, discriminatorie.

In ogni caso, i programmi informatici non possono sostituirsi integralmente al responsabile del procedimento o al dirigente competente all’adozione del provvedimento finale. Il regime di responsabilità previsto dall’articolo 28 Costituzione presuppone che, se il procedimento è gestito mediante tecnologie informatiche, la determinazione finale sia adottata, o comunque validata, da un organo-persona fisica all’esito di una verifica sul risultato proposto dall’elaboratore elettronico (principio di non esclusività della decisione algoritmica).

Concludendo, merita considerare un ulteriore elemento che può incidere sull’effettività dell’utilizzo di strumenti di IA nel settore pubblico, ossia il “fattore umano”. Non si può ignorare che il destinatario di un atto “confezionato” da un sistema di IA possa accettare con maggior difficoltà una determinazione sfavorevole, rispetto ad una uguale ma prodotta da un essere umano. Fattori psicologici, più che giuridici, possono giocare un ruolo fondamentale nel determinare quanto il destinatario dell’atto sarà propenso ad accettare senza contestazioni la decisione.

È quindi fondamentale anche per capire quali sono le modalità più idonee per prospettare al destinatario dell’atto le modalità con cui è stata adottata la decisione che lo coinvolge. Modalità che dovrebbero andare oltre al semplice onere informativo sul fatto che si sia ricorso all’uso di un algoritmo come prescritto dal citato Regolamento 2016/679/UE. Si dovrebbe cercare delle modalità che spieghino al privato che la determinazione negativa relativa alla sua istanza e generata dalla macchina costituisce nel caso di specie la miglior soluzione a disposizione dell’amministrazione.

SCRIVI IL TUO COMMENTO

Scrivi il tuo commento!
Per favore, inserisci qui il tuo nome

cinque × due =

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.