intelligenza-artificiale-unione-europea-GI-1138358728 jpg

Le sfide all’intelligenza artificiale per la governance pubblica

by
Articoli IA

Fonte: Conferenza sull’intelligenza artificiale Bruxelles 28-29 gennaio 2024

Trasformazione della vita delle persone attraverso le piattaforme digitali pubbliche

Al giorno d’oggi l’evoluzione tecnologica ci mette a disposizione degli strumenti che sono in grado di trasformare in modo profondo tanto le organizzazioni pubbliche quanto quelle private. Tra questi strumenti, un ruolo di primo piano è assunto dalle piattaforme digitali, le quali stanno ridisegnando non solo le modalità che gli individui hanno di relazionarsi tra di loro, ma anche con il potere pubblico.

Non c’è dubbio che, tra le innumerevoli potenzialità delle piattaforme, figuri anche quella di indirizzare l’attività della pubblica amministrazione verso obiettivi, tra l’altro, di efficienza, trasparenza e semplificazione. È in questa direzione che si muovono istituti quali la firma elettronica, la posta elettronica certificata, la carta nazionale dei servizi, il Sistema Pubblico di Identità Digitale (SPID), che il Codice dell’amministrazione digitale definisce disciplinando l’utilizzo delle tecnologie dell’informazione e della comunicazione nell’attività amministrativa. Quelle citate peraltro non sono le uniche “infrastrutture abilitanti” attualmente operative, tra le quali troviamo ad esempio anche la Carta d’identità elettronica, l’applicazione dei servizi pubblici IO, la fatturazione elettronica, l’Anagrafe nazionale della popolazione residente o, ancora, il sistema di Gestione elettronica dei pagamenti verso la PA (PagoPA).

Il percorso di digitalizzazione dei servizi della Pubblica Amministrazione, avviato quasi vent’anni fa, è stato senz’altro accelerato dalla pandemia, la quale ha messo in luce l’importanza delle infrastrutture della rete e della connettività. Non a caso, la realizzazione degli obiettivi di crescita digitale, di modernizzazione della pubblica amministrazione e di rafforzamento della capacità amministrativa del settore pubblico sono considerate una priorità per il rilancio del sistema Paese da parte del Piano nazionale di ripresa e resilienza.

La digitalizzazione delle pubbliche amministrazioni, in particolare, assume un ruolo centrale nel contesto del Piano, costituendo, assieme alla innovazione e alla sicurezza nella PA, una delle tre componenti progettuali attorno cui si sviluppano le linee di intervento della Missione n. 1.

Un’altra finalità a cui il progresso tecnologico può verosimilmente rivolgersi è quella di favorire la partecipazione democratica. Lo stesso Codice dell’amministrazione digitale, a tale proposito, introduce un vero e proprio diritto di partecipazione democratica elettronica laddove prevede che i cittadini sono chiamati a partecipare al processo democratico e ad esercitare i propri diritti politici usufruendo delle possibilità offerte dalle nuove tecnologie. Quello della “democrazia elettronica” costituisce comunque un terreno piuttosto scivoloso, ad oggi fermo a una fase di isolate sperimentazioni, essendo molteplici e innegabili i rischi connessi a una concezione digitale della democrazia. La delicatezza del tema, d’altra parte, mal si presta a raccogliere facili entusiasmi.

Più in generale, a fronte delle straordinarie opportunità che offrono le infrastrutture digitali, notevoli sono anche i rischi connessi al loro utilizzo, a cominciare da quelli che corrono, ad esempio, i minori, la garanzia della cui sicurezza oggi rappresenta una priorità assoluta. Ma i rischi connessi alla digitalizzazione sono, in realtà, molteplici, e non si limitano a riguardare soltanto soggetti, per così dire, deboli.

Si pensi, a tale riguardo, all’aumento estremamente significativo, sia in termini di quantità che di sofisticatezza, degli attacchi informatici che hanno interessato le istituzioni pubbliche negli ultimi anni. Il che, oltre a rendere evidente la vulnerabilità di questi sistemi, manifesta in tutta la sua impellenza la necessità di intervenire per migliorare la resilienza e le capacità di risposta agli incidenti informatici, investendo nel settore della cibersicurezza, come d’altra parte sia l’Italia che l’Europa stanno facendo.

Il potenziamento della protezione delle reti, dei sistemi informativi e dei loro utenti dalle minacce informatiche rappresenta un obiettivo prioritario per la tutela dei cittadini, delle imprese e delle stesse istituzioni pubbliche, rispetto al cui conseguimento la cooperazione tra Stati è in grado di giocare un ruolo fondamentale.

Le sfide dell’implementazione dell’intelligenza artificiale nel settore pubblico

Esistono molteplici ragioni per cui l’implementazione della tecnologia AI nelle istituzioni governative è più complicata di quanto lo sia per le imprese private. Queste sfide includono:

• Vincoli finanziari: molti governi dispongono di risorse finanziarie limitate rispetto alle grandi aziende che possono investire massicciamente in nuove tecnologie come l’intelligenza artificiale. Di conseguenza, le organizzazioni del settore pubblico potrebbero avere difficoltà a stanziare i fondi necessari per sviluppare e implementare progetti di intelligenza artificiale.

  • processo decisionale burocratico: a differenza delle entità aziendali in cui le decisioni tendono a muoversi rapidamente attraverso le gerarchie, il processo decisionale governativo spesso richiede tempo a causa di processi burocratici o considerazioni politiche. Ciò può portare a ritardi nell’implementazione dei progetti di intelligenza artificiale e ostacolarne la tempestiva attuazione;
  • conformità normativa: le organizzazioni governative spesso operano in base a normative rigorose, che possono limitare la loro capacità di adottare determinate tecnologie o richiedere passaggi aggiuntivi al momento della loro introduzione. Le leggi sulla protezione dei dati, le preoccupazioni sulla privacy e le questioni etiche relative agli algoritmi di apprendimento automatico devono essere attentamente considerate prima dell’implementazione;
  • infrastruttura tecnologica: le organizzazioni del settore pubblico potrebbero non disporre dell’infrastruttura tecnologica necessaria per supportare i progetti di intelligenza artificiale. Ciò include hardware, software e funzionalità di rete necessarie per eseguire algoritmi avanzati di intelligenza artificiale e gestire set di dati di grandi dimensioni;
  • fiducia e responsabilità pubblica: i governi devono mantenere la fiducia del pubblico e garantire la responsabilità nell’implementazione della tecnologia IA. Ciò implica affrontare le preoccupazioni relative alla privacy, all’equità e ai potenziali pregiudizi nei sistemi di intelligenza artificiale.

Approcci regolatori e politiche pubbliche in materia di AI nei settori dell’amministrazione pubblica, delle istituzioni e dei processi democratici e dei diritti fondamentali

Attraverso l’eGovernment Benchmark la Commissione europea ogni anno effettua un test su un campione di servizi digitali pubblici, nazionali e locali, per verificarne affidabilità, efficienza ed efficacia per gli utenti, e stila una classifica dei paesi più virtuosi. Gli indicatori e sottoindicatori utilizzati per effettuare tale valutazione sono la centralità dell’utente, la trasparenza, la mobilità transfrontaliera e i fattori chiave abilitanti, vale a dire le precondizioni tecniche per la fornitura dei servizi digitali.

Nella classifica stilata per gli anni 2021 e 2022, l’Italia ha ottenuto 61 punti su 100, posizionandosi al di sotto della media (70) dei paesi partecipanti all’esercizio del Benchmark (EU27+).

L’organo consultivo sull’intelligenza artificiale attivato dal Segretario generale delle Nazioni Unite ha emesso il documento Interim Report: Governing AI for Humanity – attualmente in consultazione pubblica –, in cui si suggerisce un più stretto allineamento tra le norme internazionali e il modo in cui l’intelligenza artificiale viene sviluppata e implementata e si propone come rafforzare la governance internazionale dell’IA.

In particolare, il report rileva che le opportunità e i rischi connessi all’IA per le persone e la società sono entrambi evidenti ma non equamente distribuiti. Questa tecnologia pertanto richiede una governance, non solo per affrontare le sfide e i rischi, ma anche per garantire che il suo potenziale venga sfruttato in modo da non lasciare indietro nessuno.

Una governance globale con una partecipazione di tutti gli Stati è necessaria per rendere le risorse accessibili, i meccanismi di rappresentanza

e di supervisione ampiamente inclusivi, nonché garantire che la competizione geopolitica non conduca ad una IA irresponsabile.

L’European Committee on Legal Co-operation supervisiona il lavoro del Consiglio d’Europa nel campo del diritto pubblico e privato, sviluppando standard comuni e promuovendo la cooperazione giuridica. Esso è incaricato di affrontare le nuove ed emergenti sfide derivanti dall’uso dell’IA nella sua area di competenza, ovvero il diritto pubblico, il diritto privato e l’amministrazione della giustizia.

Il principale documento prodotto nel contesto di tale attività è lo “Studio comparativo sul diritto amministrativo e sull’uso dell’IA e di altri sistemi algoritmici nel processo decisionale amministrativo negli Stati membri” (2022).

L’European Committee on Democracy and Governance – che è il forum intergovernativo del Consiglio d’Europa per la definizione e lo scambio di standard nel campo della democrazia e della governance e il rafforzamento delle istituzioni democratiche a tutti i livelli di governo – offre una guida agli Stati membri, a tutti i livelli di governo, per sfruttare le opportunità offerte dalla trasformazione digitale riducendo al contempo i possibili rischi, in particolare per quanto riguarda l’uso dell’IA e del processo decisionale automatizzato nel settore pubblico.

I principali documenti prodotti in tale ambito sono:

  • Linee guida sull’uso delle tecnologie dell’informazione e della comunicazione (TIC) nei processi elettorali (2022);
  • Studio sull’impatto della trasformazione digitale, compresa l’intelligenza artificiale e il processo decisionale automatizzato, sulla democrazia e sul buon governo (2021);
  • Manuale sulla democrazia elettronica (2020);
  • Raccomandazione sugli standard per il voto elettronico (2017). La Commissione di Venezia, che è l’organo consultivo del Consiglio d’Europa sulle questioni costituzionali, fornisce consulenza legale agli Stati membri nei settori delle istituzioni democratiche e dei diritti fondamentali, della giustizia costituzionale e della giustizia ordinaria, nonché in materia di elezioni, referendum e partiti politici. La Commissione elabora anche

rapporti trasversali e ha già prodotto due documenti riguardanti le tecnologie digitali e le elezioni. Inoltre, ha dedicato la 19a Conferenza europea degli organi di gestione elettorale al tema “Intelligenza artificiale e integrità elettorale”.

I principali documenti disponibili sul tema sono i seguenti:

  • Conclusioni della 19a Conferenza europea degli organi di gestione elettorale “Intelligenza artificiale e integrità elettorale” (2022);
  • Principi per un uso delle tecnologie digitali conforme ai diritti fondamentali nei processi elettorali (2020);
  • Rapporto congiunto della Commissione di Venezia e del direttorato della Società dell’Informazione e Azione contro il Crimine della Direzione generale per i diritti umani e lo stato di diritto (DGI) sulle tecnologie digitali e le elezioni (2019).
  • Dal rapporto The Council of Europe & Artificial Intelligence del Consiglio d’Europa emerge che l’obiettivo principale del suo Steering Committee for Human Rights è quello di garantire che le attività di definizione degli standard dell’IA siano compatibili con le norme sui diritti umani stabilite dalla Convenzione europea dei diritti dell’uomo, così come interpretate dalla Corte europea dei diritti dell’uomo. Il Comitato è incaricato di preparare un manuale sull’intelligenza artificiale e i diritti umani entro il 2024. Le attività in corso presso la Camera dei deputati Mercoledì 19 Aprile 2023 la I Commissione (Affari costituzionali) della Camera dei deputati ha svolto l’audizione del sottosegretario alla Presidenza del Consiglio con delega all’innovazione tecnologica e alla transizione digitale, Alessio Butti, sulle linee programmatiche dell’attività di Governo in materia di digitalizzazione della pubblica amministrazione. Mercoledì 29 novembre 2023 il sottosegretario Butti è stato audito dalle Commissioni riunite I (Affari costituzionali) e IX (Trasporti, poste e telecomunicazioni) della Camera dei deputati sullo stato di attuazione delle misure relative alla transizione digitale nell’ambito del PNRR.

Accordo tra Camera e Agenzia per la Cybersicurezza Nazionale sulla protezione dalle minacce informatiche

La Camera dei deputati e l’Agenzia per la Cybersicurezza Nazionale hanno sottoscritto un protocollo d’intesa in materia di sicurezza informatica. La collaborazione si inserisce in un contesto globale in cui la minaccia cyber si è fatta sempre più forte e in cui la collaborazione e il confronto sulle strategie di rafforzamento diventano cruciali anche in considerazione del percorso di trasformazione digitale avviato dalla Camera nello svolgimento della sua funzione istituzionale. In questo scenario, lo scambio di informazioni per il potenziamento dei servizi di gestione e contenimento delle minacce cibernetiche, la realizzazione di sinergie attraverso la definizione di buone pratiche e l’aggiornamento e la formazione del personale rivestono una straordinaria importanza. L’accordo permetterà di avviare un qualificato confronto a tutela dell’Istituzione e nell’interesse generale del Paese.

La disciplina vigente in materia di sicurezza cibernetica

La materia della sicurezza cibernetica è regolata a livello di Unione europea dalla c.d. direttiva NIS (Network and Information Security, direttiva (UE) 2016/1148) che reca misure per conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione europea5.

La direttiva è stata recepita nell’ordinamento italiano con il decreto legislativo n. 65 del 2018, che costituisce la cornice legislativa delle misure da adottare per la sicurezza delle reti e dei sistemi informativi ed individua i soggetti competenti per dare attuazione agli obblighi previsti dalla direttiva NIS.

uccessivamente, al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, nonché degli enti e degli operatori nazionali, pubblici e privati, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale, è stato adottato il decreto-legge n. 105 del 2019 con il quale è stato istituito un perimetro di sicurezza nazionale cibernetica e sono state introdotte misure volte a garantire i necessari standard di sicurezza rivolti a minimizzare i rischi.

Dando seguito all’art. 1, comma 2, lettera b), del citato decreto-legge, è stato adottato il Regolamento in materia di notifiche degli incidenti aventi impatto su reti, sistemi informativi e servizi informatici (DPCM n. 81 del 2021).

In base a quanto disposto dall’art. 3 del DPCM, i soggetti pubblici e privati che abbiano ricevuto la comunicazione di inclusione all’interno del perimetro provvedono anotificare al CSIRT italiano le tipologie di incidenti previste nell’allegato A del medesimo DPCM che impattino sui beni ICT di propria pertinenza. Tale obbligo di notifica è esteso, dal comma 3 del medesimo articolo, anche agli incidenti che impattino su beni “contigui” a quelli ICT.

La notifica deve essere effettuata entro sei ore, qualora si tratti di un incidente individuato nella tabella 1 dell’allegato A (meno grave), ed entro un’ora, qualora si tratti di un incidente individuato nella tabella 2 del medesimo allegato (più grave). Tali termini decorrono dal momento in cui i soggetti inclusi nel perimetro sono venuti a conoscenza di un incidente riconducibile a una delle tipologie individuate nell’allegato A.

A fronte dell’esigenza di garantire la conoscenza delle informazioni relative agli incidenti anche laddove questi non colpiscano i beni ICT o quelli ad essi contigui, nell’art. 1 del decreto-legge n. 105 del 2019 è stato inserito il nuovo comma 3-bis6, il quale per l’appunto stabilisce che l’obbligo di notifica di cui si è detto sorga anche in presenza di incidenti aventi un impatto sulle reti, sui sistemi informativi e sui servizi informatici di pertinenza del soggetto “diversi” dai beni ICT. In questi casi la notifica deve essere effettuata entro il termine di 72 ore.

La determina del 3 gennaio 2023 del Direttore Generale dell’Agenzia per la Cybersicurezza Nazionale riporta la tassonomia degli incidenti informatici relativi

alla cybersicurezza che hanno un impatto su reti, sistemi informativi e servizi informatici attinenti ai soggetti che sono tenuti alla notifica ai sensi dell’art. 1, comma 3-bis, del decreto-legge n. 105 del 2019.

Con il decreto-legge n. 82 del 2021 si è proceduto, poi, a definire l’architettura nazionale di cybersicurezza e ad istituire l’Agenzia per la cybersicurezza nazionale7, in attuazione di precisi obiettivi del Piano nazionale di ripresa e resilienza (PNRR) che, in considerazione dell’accresciuta esposizione alle minacce cibernetiche ad oggi riscontrabile, individua la sicurezza cibernetica come uno dei principali interventi da realizzare nell’ambito della trasformazione digitale della p.a. e della digitalizzazione del Paese8.

La normativa europea è stata aggiornata dalla c.d. direttiva NIS 2 (direttiva (UE) 2022/2555), che ha sostituito il quadro di riferimento in materia al fine di tener

conto di una crescente digitalizzazione del mercato interno e di un panorama in evoluzione delle minacce alla cybersicurezza.

L’aggiornamento della direttiva mira inoltre ad eliminare le ampie divergenze riscontrabili tra gli Stati membri, i quali hanno attuato gli obblighi stabiliti dalla direttiva NIS in materia di sicurezza e segnalazione degli incidenti, nonché di vigilanza ed esecuzione, in modi significativamente diversi, con un effetto potenzialmente pregiudizievole sul funzionamento del mercato interno. La delega per la trasposizione della direttiva NIS 2 nel diritto interno è contenuta nel disegno di legge di delegazione europea 2022-2023, attualmente all’esame delle Camere (A.C. 1342).

Abrogando la NIS 1, direttiva NIS 2 si propone, dunque, di eliminare le divergenze esistenti tra gli ordinamenti degli Stati membri, rafforzando gli obblighi di cybersecurezza, ampliando il numero di settori e di soggetti coinvolti e potenziando la cooperazione tra le autorità competenti di ciascuno Stato al fine di raggiungere una maggiore uniformità di applicazione. Nel perseguimento di tali obiettivi, la direttiva NIS 2:

  • –  pone in capo agli Stati membri l’obbligo di adottare strategie nazionali in materia di cybersicurezza, di designare o creare autorità nazionali competenti, autorità di gestione delle crisi informatiche, punti di contatto unici in materia di sicurezza e team di risposta agli incidenti di sicurezza informatica (CSIRT);
  • –  stabilisce misure in materia di gestione dei rischi di cybersicurezza e obblighi di segnalazione per i soggetti operanti nei settori ad alta criticità e nei settori critici di cui agli allegati I e II, nonché per soggetti identificati come critici dalla direttiva (UE) 2022/2557 (Direttiva CER- Resilience of Critical Entities);
  • –  introduce norme e obblighi in materia di condivisione delle informazioni sulla cybersicurezza tra le varie autorità europee;
  • –  prevede in capo agli Stati membri obblighi di vigilanza ed esecuzione a cui sottoporre gli operatori destinatari della direttiva. Per quanto riguarda le principali novità introdotte dalla direttiva NIS 2, essa, come si è anticipato, anzitutto amplia il novero dei settori di applicazione della normativa9, nonché quello dei soggetti destinatari della medesima.

Mentre, ai sensi della previgente direttiva NIS, la responsabilità di determinare quali soggetti soddisfacessero i criteri per essere considerati operatori di servizi essenziali spettava agli Stati membri, la nuova direttiva NIS 2 introduce, invece, la regola della soglia di dimensione, in virtù della quale tutti i soggetti di medie e grandi dimensioni che operano nei settori o forniscono i servizi contemplati dalla direttiva medesima rientrano nel suo ambito di applicazione10.

Ad alcuni soggetti – come, tra l’altro, quelli ritenuti critici per i settori citati, i fornitori di reti di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, quelli che forniscono servizi di registrazione dei nomi di dominio, nonché le pubbliche amministrazioni centrali e regionali11 – la NIS 2 si applica indipendentemente dalla loro dimensione12.

Come si accennava, la direttiva NIS 2 essenzialmente rafforza gli obblighi già previsti dalla NIS 1.

Anzitutto, adottando un approccio “multirischio”, la direttiva stabilisce che gli Stati membri provvedano affinché i soggetti essenziali e importanti individuati adottino misure di sicurezza tecniche, operative ed organizzative adeguate e proporzionate: per gestire i rischi per la sicurezza dei sistemi informatici e di rete che tali soggetti utilizzano nelle loro attività o nella fornitura dei loro servizi; nonché per prevenire o ridurre al minimo l’impatto degli incidenti sui destinatari dei loro servizi e su altri servizi (art. 21). Le misure minime da implementare sono stabilite dalla medesima disposizione13.

Essa, inoltre, rafforza gli obblighi di segnalazione e notifica di “incidenti significativi” alle autorità competenti e al CSIRT gravanti sugli operatori di servizi essenziali o importanti, prevedendo una procedura articolata in più fasi con tempistiche predefinite (art. 23)14.

Gli Stati membri devono provvedere affinché le sanzioni amministrative pecuniarie imposte ai soggetti essenziali e importanti in relazione alle violazioni della direttiva siano effettive, proporzionate e dissuasive, tenendo conto delle circostanze di ogni singolo caso. Laddove ad essere violati siano gli obblighi di cui agli artt. 21 e 23, gli Stati membri provvedono affinché: i soggetti essenziali siano soggetti a sanzioni pecuniarie amministrative pari a un massimo di almeno 10 000 000 EUR o a un massimo di almeno il 2 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto essenziale appartiene, se tale importo è superiore; i soggetti importanti siano soggetti, a sanzioni pecuniarie amministrative pari a un massimo di almeno 7 000 000 EUR o a un massimo di almeno l’1,4 % del totale del fatturato mondiale annuo per l’esercizio precedente dell’impresa cui il soggetto importante appartiene, se tale importo è superiore.

Al fine di colmare le differenze riscontrabili tra gli Stati membri in tema di reporting sugli incidenti e successive azioni di rafforzamento, la direttiva NIS 2 prevede, poi, l’istituzione di una rete europea delle organizzazioni di collegamento per le crisi informatiche (CyCLONe, Cyber Crisis Liaison Organisation Network), chiamata a supportare la gestione coordinata degli incidenti di sicurezza informatica su vasta scala.

Tags: No tags

Add a Comment

Your email address will not be published. Required fields are marked *