Con la risoluzione “Artificial intelligence in criminal law and its use by the police and judicial authorities in criminal matters” del 6 ottobre 2021 (la “Risoluzione”), il Parlamento europeo ha dato un seguito “normativo”[1] allo studio condotto, in seno allo stesso parlamento, dal Policy Departement “Diritti dei cittadini e affari costituzionali”[2]. I risultati di tale ricerca sono confluiti nella Risoluzione qui in commento, che rappresenta un importante passo – ancora insufficiente? – verso il riconoscimento delle criticità che l’IA pone nel contesto ordinamentale penale, senza dubbio il più delicato per quanto concerne le problematiche afferenti alla tutela diritti fondamentali poiché le decisioni (tanto dell’autorità di polizia quanto dell’autorità giudiziaria) sono idonee a incedere sulla libertà personale degli individui e sulla stessa dignità della persona umana[3].
Il Parlamento europeo dà prova di una rinnovata consapevolezza dell’importanza di affrontare siffatte questioni, anche a fronte della notevole spinta fornita dalla Commissione europea che ha approvato, il 21 aprile 2021, la proposta di regolamento sull’intelligenza artificiale (cd. Artificial intelligence act)[4] destinata – sembra – a costituire il punto di riferimento in materia nei prossimi anni. I punti di contatto con la Proposta della Commissione (di seguito la “Proposta”) si rinvengono in numerosi punti della Risoluzione in commento. Senza pretesa di esaustività, è sufficiente rilevare che il Parlamento europeo considera in generale l’impiego dell’IA nella prevenzione e nella giustizia penale come “ad alto rischio”, richiamandosi esplicitamente all’approccio “basato sul rischio” scelto dalla Commissione europea[5], la quale categorizza come high risk i «sistemi di IA destinati a essere utilizzati dalle autorità di contrasto per effettuare valutazioni individuali dei rischi delle persone fisiche al fine di determinare il rischio di reato o recidiva in relazione a una persona fisica o il rischio per vittime potenziali di reati»[6]. Tale impostazione emerge anche al punto 20 della Risoluzione in cui si afferma, in continuità con l’art. 6 della Proposta, che sui sistemi ad alto rischio sia eseguita, prima della messa sul mercato e della diffusione, una valutazione d’impatto in ordine al rispetto dei diritti fondamentali.
Non solo: viene condiviso con la Commissione anche l’obiettivo, alla base della Proposta sull’IA, di fornire un quadro giuridico uniforme all’interno dell’Unione europea rispetto ai sistemi di intelligenza artificiale che sia chiaro e preciso e che disciplini le condizioni, le modalità e le conseguenze dell’impiego dell’IA nel settore penale. Inoltre, rispetto alla Proposta, che sul punto è pressoché silente, il Parlamento europeo esprime la necessità che si istituiscano «procedure efficaci e facilmente accessibili di reclamo e di ricorso, compreso il ricorso per via giudiziaria»[7]. Infine, sembrano sovrapporsi alle indicazioni della Proposta le numerose disposizioni riguardanti l’utilizzo di dati biometrici e del riconoscimento facciale ai fini della sorveglianza di massa (su cui si v. infra).
Oltre a una continuità “interna” tra Parlamento e Commissione, la Risoluzione sembra promuovere un dialogo proficuo anche con il sistema del Consiglio d’Europa, che da diverso tempo sembra voler assumere il ruolo di protagonista nelle questioni relative all’IA impiegata in ambito penale, soprattutto in ambito giudiziario. Oltre all’ovvio richiamo ai diritti garantiti dalla Convenzione EDU, il Parlamento fa infatti espresso riferimento ai cinque principi enunciati dalla Carta etica sull’utilizzo dell’intelligenza artificiale nei sistemi giudiziari[8], adottata dalla CEPEJ[9], ponendo particolare rilevo agli «utilizzi da esaminare con le più estreme riserve», vale a dire, appunto, i sistemi IA di prevenzione e risposta penale.
Ciò premesso in via generale, addentrandosi nel nucleo essenziale della Risoluzione, le maggiori preoccupazioni dell’organo rappresentativo dell’UE ruotano attorno alla ricerca di un delicato equilibrio tra i vantaggi e i rischi che pone l’IA nel campo penale. A tal proposito, non v’è dubbio che l’incremento dell’utilizzo dell’IA in siffatto settore si fondi sulla promessa di ridurre l’occorrenza di alcuni reati e di garantire decisioni più rapide e oggettive. Nello specifico, se i sistemi di IA hanno già mostrato di poter velocizzare e rendere più efficiente il lavoro di forze dell’ordine e da autorità giurisdizionali – soprattutto nella prevenzioni di alcune fattispecie criminose, tra cui i reati finanziari, riciclaggio di denaro, crimini informatici – e in ultimo, di contribuire alla sicurezza dei cittadini, ciò nondimeno pongono seri rischi non solo in relazione alla tutela di alcuni diritti fondamentali, ma altresì, alla stessa idea di diritto penale che si vuole condividere in un ordinamento democratico. In particolare, il Parlamento europeo invoca la necessità di un bilanciamento tra la protezione dei diritti e l’efficienza della macchina latu sensu giudiziaria, in modo che l’utilizzo di sistemi intelligenti sia necessario e proporzionato all’obiettivo perseguito. Ciò in quanto il diffuso utilizzo di tali sistemi nell’ambito penale, soprattutto in paesi fuori dall’UE[10], ha prodotto risultati inaccettabili, oltre che spesso discriminatori.
Dopo alcune considerazioni di ampio respiro concernenti la necessità che gli strumenti di IA non ledano diritti fondamentali[11] e che il quadro giuridico dell’UE in materia di dati personali sia pienamente rispettato[12], nella risoluzione è possibile rinvenire tre direttrici che il Parlamento percorre e che rappresentano le questioni che i deputati europei ritengono maggiormente critiche: il problema della trasparenza di sistemi algoritmici, i rischi di discriminazione, la preoccupazione verso strumenti di sorveglianza di massa (e in particolare verso le tecnologie di riconoscimento facciale).
Quanto al primo aspetto, è noto che i sistemi algoritmici più complessi soffrono spesso di un forte deficit di conoscibilità e di explainability[13]. Ciò comporta notevoli difficoltà, soprattutto per individui indagati o imputati, di ottenere informazioni sul funzionamento degli algoritmi utilizzati e, di conseguenza, di confutarne i risultati dinanzi a un giudice. Per tali ragioni il Parlamento europeo richiede, per un corretto sviluppo dell’IA nelle attività di contrasto e nel sistema giudiziario, la spiegabilità e la tracciabilità degli algoritmi, sia per assicurare che gli output siano intelligibili per coloro che sono soggetti a tali sistemi, sia per assicurare la conoscibilità dei dati di base e delle modalità con cui essi sono classificati e organizzati. Strettamente connesso all’opacità algoritmica è il tema della responsabilità della decisione: data la complessità del funzionamento dei sistemi di IA e la loro difficile comprensione, risulta complessa altresì l’imputazione giuridica di eventuali conseguenze negative prodotte dall’IA. In tal senso, il Parlamento ritiene necessaria l’istituzione di un regime chiaro per attribuire la responsabilità sempre su una persona fisica o giuridica, che deve essere sempre identificabile.
Quanto ai rischi di discriminazione, essi sono immanenti alla qualità dei dati utilizzati[14] e si perpetuano e amplificano in particolare nei confronti delle minoranze[15]. Infatti, molte tecnologie in uso in ambito penale, soprattutto nelle attività della cd. polizia predittiva[16], incorrono in errori di identificazione, rischiando di danneggiare individui appartenenti a certe comunità etniche, le persone LGBT+, i bambini e gli anziani, così come le donne. Questi risultati derivano anche dalla circostanza che le applicazioni di IA sono, come detto, influenzate dalla qualità dei dati utilizzati, e che tali pregiudizi intrinseci sono inclini ad aumentare gradualmente e quindi esacerbare le discriminazioni esistenti. In questo contesto, il Parlamento rimarca il diritto degli individui a essere correttamente identificati e a non essere identificati affatto, salvo le eccezioni previste dalla legge per la tutela di interessi pubblici. Inoltre, pur con una certa vaghezza, l’organo dell’UE invoca la necessità che gli Stati compiano grandi sforzi per evitare distorsioni e discriminazioni nelle decisioni automatizzate.
Infine, autonomo rilievo viene assegnato alle tecnologie di riconoscimento facciale[17], e, più in generale, alle tecniche di IA per la sorveglianza di massa, il cui utilizzo a fini prevenzione penale ha già diffusamente mostrato di poter incorrere in errori e discriminazioni[18]. Non solo, come già si è accennato e come afferma il Parlamento, tali applicazioni sono suscettive di minare la stessa concezione intima di sistema penale moderno – oggi fondato sull’idea della presunzione di innocenza e su un intervento ex post – che scivolerebbe verso un sistema penale “preventivo”. Ciò considerato, il Parlamento, sulla scia di quanto indicato nella Proposta[19], sottolinea l’esigenza di vietare l’uso di tecnologie per la sorveglianza di massa in quanto per definizione non conformi ai principi di necessità e proporzionalità. Inoltre, secondo il Parlamento europeo l’utilizzo di dati biometrici a fini identificativi – stante la loro intima connessione con il principio di dignità umana – nel contesto di attività di prevenzione e giustizia penale dovrebbero sempre essere considerati “ad alto rischio” e pertanto soggetti a stringenti requisiti[20].
Rinviando alla lettura della Risoluzione per le ulteriori disposizioni[21], per concludere sembra potersi apprezzare lo sforzo del Parlamento, e più in generale delle istituzioni europee, di stare al passo con l’evoluzione tecnologica e con i rischi che essa pone, anche e soprattutto in un settore sensibile come quello penale. Se è vero che i tentativi di regolazione sono ancora in una fase preliminare – e la vaghezza di alcune disposizioni della Risoluzione ne sono una chiara dimostrazione – è indiscutibile la volontà dell’UE di assumere un ruolo da protagonista nella regolazione dell’IA. In particolare, le disposizioni della Risoluzione sembrano andare verso l’accettazione che l’IA, nel settore penale, avrà un ruolo sempre più pregnante, e, di conseguenza, sempre più fertile di rischi per la tutela dei diritti: se questo è inevitabile, appare dunque doveroso preservare un diritto penale costituzionalmente orientato, liberale e democratico, che respinga con forza le tendenze securitarie e di risposta preventiva che l’intelligenza artificiale ha già mostrato di poter pericolosamente favorire[22].
[1] Come noto, le risoluzioni sono atti di soft law, in quanto tali non vincolanti. Ciò nonostante, la loro importanza è tutt’altro che marginale, avendo sovente una notevole forza propulsiva verso le future scelte delle istituzioni, sia a livello comunitario sia in ambito nazionale.
[2] G. González Fuster, Artificial Intelligence and Law Enforcement Impact on Fundamental Rights, Committee on Civil Liberties, Justice and Home Affairs, 2020.
[3] Cfr. S. Signorato, Il diritto a decisioni penali non basate esclusivamente su trattamenti automatizzati: un nuovo diritto derivante dal rispetto della dignità umana, in Rivista di diritto processuale, n. 1/2021, pp. 101-110.
[4] Proposal for a Regulation laying down harmonised rules on artificial intelligence (Artificial Intelligence Act), Commissione europea, 21 aprile 2021.
[5] Per un primo commento alla Proposta di Regolamento si v. L. Floridi, The European Legislation on AI: A Brief Analysis of its Philosophical Approach, in Philos. Technol, 34, 2021, pp. 215-222.
[6] Allegato 3 della Proposta, punto 6 (a).
[7] Una delle criticità della Proposta, al di là di affermazioni generali prive di un vero significato normativo, è proprio la mancata previsione di adeguati meccanismi procedurali, come quelli previsti dal Capo VIII del GDPR, su cui fare affidamento. Lo stesso Comitato economico e sociale europeo (CESE), in un Parere del 22 settembre 2021, ha suggerito di includere nella Legge sull’IA “un meccanismo di reclamo e ricorso per le organizzazioni e i cittadini che hanno subito un pregiudizio a causa di qualsiasi sistema, pratica o uso dell’IA che rientri nell’ambito di applicazione della legge stessa”, si v. punto 1.11 del Parere.
[8] I cinque principi enunciati dalla CEPEJ sono: il rispetto dei diritti fondamentali, il principio di non discriminazione, il principio di qualità e sicurezza dei dati, il principio di trasparenza, equità e imparzialità e, infine, il principio del controllo umano.
[9] Commissione Europea per l’efficienza della giustizia.
[10] Leading case è senz’altro la vicenda legata all’utilizzo del software COMPAS, un programma di intelligenza artificiale, sviluppato negli Stati Uniti, in grado di stimare il rischio di recidiva dell’autore del reato sulla base di un’intervista (137 domande a risposta vincolata) nonché dell’inserimento all’interno del programma di dati relativi al background criminoso e alle condizioni socioeconomiche e personali dell’imputato. L’applicazione di COMPAS in un noto caso giudiziario (State vs. Loomis 881 N.W.2d 749, 2016) ha avuto grande risonanza pubblica e ha permesso di mettere in luce le criticità di tale strumento. Per un approfondimento si v. Wisconsin Supreme Court Requires Warnings before Use of Algorithmic Risk Assessment in Sentencing, in Harward Law Review, 130, 5, 2017, pp. 1530 ss.
[11] Il Parlamento indica espressamente – ma sembra un’elencazione esemplificativa più che tassativa – la dignità umana, la non discriminazione, la libertà di movimento, la presunzione di innocenza e il diritto di difesa, la libertà di espressione e informazione, la libertà di riunione e associazione, l’uguaglianza dinanzi alla legge, il principio di parità delle armi e il diritto a un ricorso effettivo e a un processo equo.
[12] Oltre al General Data Protection Regulation (GDPR), rilevante in materia è anche la Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
[13] In dottrina è invalso l’uso del termine black box per descrivere l’opacità degli algoritmi. Si v. F. Pasquale, The black box society. The secret algorithms that control money and information, Cambridge-London, 2015.
[14] In informatica si utilizza, molto efficacemente, l’espressione «garbage in, garbage out» a indicare che all’immissione, come input, di dati erronei o discriminatori, corrisponderà un output altrettanto erroneo e discriminatorio.
[15] Tornando al caso COMPAS, citato supra (nota 10) un’indagine di una ONG statunitense, Propublica, ha mostrato come l’algoritmo utilizzato fosse effettivamente discriminatorio, applicando sistematicamente alle persone afroamericane un rischio di recidiva due volte maggiore rispetto alle altre. Si cfr. J. Angwin – J. Larson – S. Mattu – L.Kirchner, Machine Bias. There’s software used across the country to predict future criminals. And it’s biased against blacks, 23.05.2016, Propublica, 2016.
[16] Gli strumenti denominati di “polizia predittiva” (che intervengono prima del giudizio penale) sono già̀ in rapida crescita e cominciano a essere noti al grande pubblico (si pensi per esempio alla lista di interdizione al volo [no fly list]– che è in realtà un’applicazione di analisi di Big data, che raccoglie e analizza dati riguardanti potenziali terroristi al fine di prevenire la commissione di atti – o agli algoritmi utilizzati per scoprire le frodi o il riciclaggio di denaro).
[17] Su cui, per approfondimento, si v. F. Paolucci, Il riconoscimento facciale: una sfida di policy per il futuro dei diritti fondamentali, in Rivista Gruppo di Pisa, n. 3/2021, pp. 561-574.
[18] Sono noti gli usi di tali strumenti in paesi come Cina e Russia. È noto, per esempio, l’utilizzo di tecniche di riconoscimento facciale utilizzate dal regime cinese per identificare gli Uiguri, minoranza islamica insediata soprattutto nel nord-ovest della Cina, v. P. Mozur, One month, 500.000 Face Scans: How China is using A.I. to profile a minority, in The New York Times, 14 aprile 2019.
[19] L’art. 5 della Proposta vieta, pur con significative eccezioni, «l’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a fini di attività̀ di contrasto».
[20] L’allegato n. 3 della Proposta elenca i sistemi considerati high risk, tra cui figurano «i sistemi di IA destinati a essere utilizzati per l’identificazione biometrica remota “in tempo reale” e “a posteriori” delle persone fisiche». Essi sono sottoposti a un regime particolarmente stringente, previsto dagli artt. 6 ss. della Proposta.
[21] Di sicura importanza sembra essere la consapevolezza della necessità di un’attività di formazione e sensibilizzazione per tutti coloro che si trovano ad operare con i sistemi di IA nelle attività di contrasto o in ambito giudiziario, per assicurare che essi «siano consapevoli e comprendano i limiti, le possibilità e i rischi associati all’utilizzo dei sistemi di IA, compreso il rischio di distorsioni automatiche».
[22] Sul punto si cfr. C. Burchard, L’intelligenza artificiale come fine del diritto penale? Sulla trasformazione algoritmica della società, in Rivista Italiana di Diritto e Procedura Penale, n. 4/2019, pp. 1909-1941.