Il divario di governance: perché la regolamentazione dell'intelligenza artificiale sarà sempre in ritardo

L'innovazione si evolve alla velocità delle macchine, mentre la governance si muove alla velocità umana. Con la crescita esponenziale dell'adozione dell'IA, la regolamentazione è in ritardo, il che è abbastanza tipico quando si tratta di tecnologia. In tutto il mondo, governi e altre entità si stanno affrettando a regolamentare l'IA, ma abbondano approcci frammentati e disomogenei.

Parte della sfida è che non esiste una progettazione tecnologica apolitica. Esistono diverse normative e proposte, dall'AI Act dell'Unione Europea ai sandbox normativi statunitensi, ognuno con la propria filosofia. Mentre Governance dell'IA intrinsecamente in ritardo rispetto all'innovazione, la vera sfida è gestire la sicurezza e le policy in modo responsabile all'interno di tale ritardo.

La natura del divario: innovazione prima, supervisione dopo

Il ritardo normativo è un inevitabile sottoprodotto del progresso tecnologico. Ad esempio, Henry Ford non stava sviluppando il Modello T con un'attenzione primaria alla sicurezza stradale e alle norme stradali. Storicamente, i modelli normativi seguono l'innovazione; esempi recenti includono la privacy dei dati, la blockchain e i social media. La rapida evoluzione dell'intelligenza artificiale supera la formazione e l'applicazione delle politiche. In altre parole, il carro è stato messo davanti ai buoi già da un po'.

Parte della sfida è che i decisori politici spesso reagiscono ai danni anziché anticipare i rischi, il che crea cicli di governance reattiva. Il problema non è il ritardo in sé, ma piuttosto la mancanza di meccanismi di adattamento per tenere il passo con i modelli di minaccia emergenti e la mancanza di volontà di compromettere un vantaggio competitivo in nome della sicurezza. È uno scenario di "corsa al ribasso"; stiamo erodendo la nostra sicurezza collettiva in nome di guadagni competitivi localizzati.

Il mosaico globale della governance dell’IA rappresenta filosofie frammentate

Gli approcci principali alla governance dell'IA nel mondo variano notevolmente.

Nell'UE, la legge sull’IA introdotta lo scorso anno è in gran parte basata sull'etica e sul rischio. L'uso dell'IA è valutato in base al livello di rischio, con alcuni rischi considerati inaccettabili e quindi proibiti. Gli Stati Uniti, al contrario, hanno adottato un approccio più modello sandbox normativo che enfatizza la flessibilità dell'innovazione. Alcuni potrebbero descriverlo come una sorta di esenzione per l'innovazione, mentre i critici potrebbero definirlo un assegno in bianco.

C'è anche il Processo di Hiroshima, che contiene l'intento di coordinamento globale ma un seguito limitato; ogni nazione del G7 è ancora concentrata sul predominio dell'intelligenza artificiale a livello nazionale.

Negli Stati Uniti, la questione è stata in gran parte lasciata alla discrezione degli stati, il che di fatto garantisce la mancanza di una regolamentazione efficace. Il governo federale a volte lo fa proprio a causa della sua inefficacia. Gli stati stanno creando nuovi sandbox per attrarre aziende tecnologiche e investimenti, ma è improbabile che ci sarà una regolamentazione significativa a livello statale; sono concesse solo eccezioni.

Dopo la Brexit, il Regno Unito ha dovuto lottare a livello nazionale e internazionale per affermarsi come un Paese fortemente indipendente. Grazie alla deregolamentazione e al programma governativo "Leveling Up", l'introduzione di sandbox regolamentari non sorprende. Il governo britannico ambisce a far sì che il Paese diventi una superpotenza dominante nel campo dell'intelligenza artificiale, per ottenere vantaggi politici e stabilità sia interni che esterni.

L'UE si concentra maggiormente sulla sicurezza dei consumatori, ma anche sulla solidità del suo mercato comune. Ciò è comprensibile, data la storia dell'UE caratterizzata da una regolamentazione frammentata. Conformità, norme e commercio transfrontaliero condivisi sono fondamentali per rendere l'UE ciò che è. Sono ancora necessari sandbox normativi, ma anche che ogni Stato membro ne disponga uno operativo entro la stessa data.

Queste sono solo alcune di queste normative, ma probabilmente le più importanti. Il punto chiave è che esistono quadri normativi disgiunti, privi di definizioni condivise, meccanismi di applicazione e interoperabilità transfrontaliera. Questo crea lacune che gli aggressori possono sfruttare.

La natura politica dei protocolli

Nessuna regolamentazione in materia di IA potrà mai essere veramente neutrale; ogni scelta progettuale, ogni barriera e ogni regolamentazione riflettono interessi governativi o aziendali sottostanti. La regolamentazione dell'IA è diventata uno strumento geopolitico; le nazioni la usano per assicurarsi un vantaggio economico o strategico. I controlli sulle esportazioni di chip ne sono un esempio attuale; fungono da governance indiretta dell'IA.

L'unica regolamentazione effettivamente introdotta finora è stata quella di ostacolare intenzionalmente un mercato. La corsa globale alla supremazia dell'IA fa sì che la governance resti un meccanismo di competizione piuttosto che di sicurezza collaborativa.

Sicurezza senza confini, ma governance con essi

Il problema più spinoso in questo caso è che le minacce basate sull'intelligenza artificiale trascendono i confini nazionali, mentre la regolamentazione rimane limitata. Le minacce odierne, in rapida evoluzione, includono sia attacchi ai sistemi di intelligenza artificiale sia attacchi che li utilizzano. Queste minacce attraversano le giurisdizioni, ma la regolamentazione rimane isolata. La sicurezza viene confinata in un angolo, mentre le minacce attraversano l'intera rete Internet.

Stiamo già iniziando a vedere l'abuso di strumenti di intelligenza artificiale legittimi da parte di attori di minacce globali che sfruttano controlli di sicurezza deboli. Ad esempio, sono state osservate attività dannose con l'uso di strumenti di creazione di siti basati su intelligenza artificiale, che sono più simili a clonatori di siti e possono essere facilmente sfruttati per creare infrastrutture di phishing. Questi strumenti sono stati utilizzati per impersonare pagine di accesso di qualsiasi tipo, dai popolari servizi di social media alle agenzie di polizia nazionali.

Finché i quadri di governance non rifletteranno la struttura senza confini dell'IA, i difensori rimarranno vincolati da leggi frammentate.

Dalla regolazione reattiva alla difesa proattiva

Il ritardo normativo è inevitabile, ma la stagnazione no. Abbiamo bisogno di una governance adattiva e predittiva, con framework che si evolvono con la tecnologia; si tratta di passare da una regolamentazione reattiva a una difesa proattiva. Idealmente, questo dovrebbe essere il seguente:

• Sviluppo di standard internazionali condivisi per la classificazione del rischio dell'IA.
• Partecipazione più ampia alla definizione degli standard, al di là dei principali governi e aziende. La governance di Internet ha cercato (con alterne fortune) di utilizzare un modello multistakeholder anziché multilaterale. Sebbene imperfetto, questo approccio ha avuto un impatto enorme nel rendere Internet uno strumento accessibile a tutti e nel ridurre al minimo la censura e le chiusure politiche.
• Promuovere la diversità di pensiero nella governance.
• Un meccanismo per la segnalazione degli incidenti e la trasparenza. La mancanza di normative spesso si traduce anche in una mancanza di obblighi di segnalazione. È improbabile che nel prossimo futuro ci sarà l'obbligo di informare il pubblico sui danni derivanti da errori o scelte progettuali all'interno di sandbox normativi.

Sebbene il divario di governance non scomparirà mai, quadri collaborativi, trasparenti e inclusivi possono impedire che diventi una vulnerabilità permanente nella sicurezza globale.