Il 21 aprile 2021 è stata pubblicata la bozza del Regolamento sull’approccio europeo per l’intelligenza artificiale della Commissione Europea.
Scopo di questa iniziativa è garantire che le applicazioni di IA rispettino la legislazione in materia di diritti fondamentali.
Ancora oggi, infatti, esiste grande preoccupazione per la complessità e opacità di molti algoritmi di IA, soprattutto in riferimento al cosiddetto problema della black box o scatola nera. Spesso, infatti, non c’è modo neanche per gli stessi utilizzatori di questa tecnologia di conoscere i criteri utilizzati per prendere una decisione, che potrebbe quindi essere stata causata da errori o pregiudizi.
Il regolamento sull’IA, come successo con il GDPR da cui riprende molte logiche, comporterà del lavoro aggiuntivo sia per chi produce questa tecnologia, sia per le aziende che la importano e distribuiscono, sia per le imprese che la utilizzano per il proprio business.
Dovranno infatti essere rispettati determinati requisiti pena sanzioni che sembrano essere ancora più sostanziose che nel GDPR e potranno arrivare fino al 6% del fatturato globale annuo.
Nelle intenzioni della Commissione Europea il regolamento – unito ad altre iniziative di finanziamento dell’IA – servirà anche a un maggiore sviluppo di questa tecnologia in Europa, per portare il continente a competere con Stati Uniti e Cina.
Il quadro normativo potrebbe contribuire a una maggiore adozione dell’IA in due modi. Da un lato, l’aumento della fiducia farà crescere la domanda di questi sistemi nelle imprese e nelle pubbliche amministrazioni. Dall’altro, un regolamento dettagliato e condiviso permetterà ai fornitori di IA di accedere a mercati più grandi.
Va sottolineato ancora una volta che si tratta di una bozza, di un regolamento che per forza di cosa dovrà rimanere flessibile per poter regolamentare una tecnologia ancora in continua evoluzione.
Va anche detto che al momento la maggior parte dei produttori non sembrerebbe in grado di soddisfare i criteri impostati, soprattutto per i sistemi considerati ad alto rischio, di cui fanno parte diversi algoritmi pensati per il settore Risorse Umane.
Vediamoli più nel dettaglio
I sistemi di IA ad alto rischio e il settore HR
L’annex 3 al Regolamento sull’approccio europeo per l’intelligenza artificiale contiene la lista degli algoritmi considerati ad alto rischio, in quanto le decisioni che prendono possono avere un forte impatto sulla vita delle persone.
Come detto, ne fanno parte anche sistemi IA pensati per il settore HR e in particolare:
- Sistemi di IA per il recruiting e in particolare per lo screening e il ranking automatico dei candidati.
- Sistemi di IA per la gestione dei dipendenti, che forniscono suggerimenti su promozioni e licenziamenti e valutazioni sulle performance.
C’è poi il tema dei sistemi di rilevazione biometrica. Nell’annex 3 si fa riferimento a sistemi pensati per l’identificazione biometrica delle persone in tempo reale e in differita e non è chiaro se vi rientrino i sistemi utilizzati dalle aziende per la rilevazione presenze e il controllo accessi. Va ricordato che già il GDPR e il Garante della privacy in qualche modo scoraggiano l’utilizzo di tali strumenti, dato che permettono di incamerare dati sensibili senza una necessità reale (nella maggior parte dei contesti è sufficiente il classico badge).
Ad alto rischio potrebbe essere considerati, inoltre, sistemi di IA che determinino i corsi di formazione a cui iscrivere i dipendenti.
L’utilizzo di questi strumenti HR di IA da parte delle aziende andrà considerato con grande cautela, dato che non saranno soltanto i produttori ma anche gli utilizzatori – nel caso di organizzazioni – a dover rispondere ai requisiti richiesti.
I sistemi ad alto rischio sono ritenuti tali quando presentano un rischio alto per uno dei seguenti aspetti:
- Rischio per la salute
- Rischio per la sicurezza
- Rischio per diritti e libertà fondamentali
Di conseguenza, produttori e utilizzatori devono mettere in campo una serie di misure tecniche e organizzative per limitare tale rischio.
Devono, in particolare, sottostare a questi requisiti.
Data governance
Gli algoritmi dovranno essere sottoposti a una serie di attività durante le fasi di training, validation e testing dell’algoritmo per accertarsi che funzionino come previsto e in modo sicuro.
In fase di training bisogna focalizzarsi sul database di dati e alla definizione delle caratteristiche e attributi che determinano l’output dell’applicazione. Il database deve essere rilevante e pertinente agli scopi del sistema, completo e privo di errori.
Durante la fase di validation va posta attenzione sui fenomeni di overfitting. Se si dà troppo valore a dati di training ovvero a eccezioni alla regola statistica, infatti, l’algoritmo finirà per non generalizzare abbastanza.
Durante la fase di testing, infine, si dovranno trovare conferme sulle prestazioni attese dal sistema.
Un ultimo aspetto fondamentale di questa fase è la messa a punto dell’algoritmo. Per assicurarsi che dia risposte coerenti con i soggetti o gruppo di soggetti sui quali verrà utilizzato, l’algoritmo dovrà essere addestrato su dati che prendano in considerazione le caratteristiche geografiche, comportamentali e funzionali del contesto sul quale sarà applicato. Algoritmi addestrati su enormi database americani, per fare un esempio, non saranno quindi probabilmente adatti a un impiego in Italia.
Documentazione tecnica
Prima di essere immesso sul mercato, un sistema di Intelligenza Artificiale dovrà essere corredato da una esaustiva documentazione che dimostri la conformità del sistema di IA rispetto al regolamento.
Questa documentazione, continuamente aggiornata, dovrà consentire di capire come sia stato sviluppato l’algoritmo e le sue performance nel ciclo vitale.
Sistemi di logging
Le applicazioni HR che sfruttano l’intelligenza artificiale dovranno essere dotate di sistemi di logging che registrino gli eventi più importanti occorsi durante il loro utilizzo, in modo da poter essere monitorati anche dopo il rilascio sul mercato.
I sistemi ad alto rischio dovranno essere in grado di registrare informazioni quali la data e orario di inizio e fine di ogni utilizzo e il database con il quale i dati sono stati messi a confronto.
Trasparenza
I sistemi di IA ad alto rischio devono essere disegnati e sviluppati in un’ottica di trasparenza. La logica con la quale prendono le decisioni deve quindi essere comprensibile ai suoi utenti.
Questo vuol dire, per esempio, che i motivi di esclusione di un candidato da un processo di selezione devono essere chiari e ricostruibili per tutti.
Altrettanto chiari devono essere i rischi che il sistema comporta per la salute, la sicurezza e le libertà fondamentali degli utenti.
L’utilizzo di un linguaggio chiaro è un tema ricorrente anche nel GDPR.
Supervisione umana e formazione
I Sistemi di IA ad alto rischio devono, fin dalla progettazione, prevedere la possibilità di un intervento umano o per lo meno di appellarsi a un intervento umano.
Le persone fisiche, insomma, devono essere in grado di controllarne il comportamento.
Ciò deve essere reso possibile attraverso una serie di vincoli operativi previsti all’interno del processo decisionale dell’algoritmo che non possono essere ignorati dal sistema.
Tutto questo comporta la necessità, sia per la pubblica amministrazione che per le aziende, di prevedere e formare personale con le competenze adeguate per intervenire sull’operato del sistema IA quando questo sembra erroneo o discriminatorio o per decidere che il suo utilizzo non sia adeguato alle circostanze.
Nel regolamento si menziona addirittura la possibilità di utilizzare un “pulsante d’arresto” o una procedura simile per interrompere il funzionamento del sistema.
Si tratta probabilmente di nuove competenze che dovranno entrare a far parte del bagaglio tecnico dell’ufficio HR, in collaborazione con l’IT aziendale.
Accuratezza, robustezza e sicurezza informatica
I sistemi HR di IA devono essere valutati anche in funzione della precisione, correttezza ed equità dell’output algoritmico.
Un sistema deve inoltre offrire una forte resilienza ai suoi stessi limiti, ai suoi errori, guasti, incongruenze e alle situazioni impreviste. Dovrà anche disporre di soluzioni di ridondanza come backup e piani di sicurezza per ridurre e mitigare i rischi da questi danni. La stessa resilienza dovrà essere dimostrata anche contro azioni dannose che possono compromettere la sicurezza e provocare comportamenti dannosi.
C’è poi il tema della sicurezza informatica e quindi della resilienza a minacce informatiche – la cybersecurity. In particolare occorrerà fare attenzione al data poisoning, ovvero al rischio che i dati, soprattutto quelli di training, possano essere “inquinati”.
Tutto questo serve a garantire che i sistemi ad alto rischio generino un output corretto che non sia distorto da minacce interne ed esterne.
Conclusioni
La bozza del regolamento, atteso in forma definitiva nei prossimi anni, solleva l’attenzione sui problemi etici e di opacità che hanno dominato le discussioni sull’intelligenza artificiale e hanno spinto molte aziende a fare marcia indietro e dismettere sistemi di questo tipo nell’attesa di una tecnologia più matura e trasparente.
In futuro le aziende UE dovranno quindi avere l’accortezza di scegliere fornitori che rispettino il regolamento e valutare quanto sia opportuno utilizzare sistemi HR di IA per esigenze che non lo richiedono strettamente, esponendosi così a rischi inutili.
Credito fotografico: ©thodonal/Adobe Stock