Camera dei deputati

Vai al contenuto

Sezione di navigazione

Menu di ausilio alla navigazione

MENU DI NAVIGAZIONE PRINCIPALE

Vai al contenuto

Resoconti stenografici delle audizioni

Vai all'elenco delle sedute >>

XVIII Legislatura

Commissioni Riunite (IX e X)

Resoconto stenografico



Seduta n. 2 di Mercoledì 9 marzo 2022

INDICE

Sulla pubblicità dei lavori:
Ficara Paolo , Presidente ... 3 

Audizione del Ministro per l'innovazione tecnologica e la transizione digitale, Vittorio Colao, nell'ambito dell'esame della proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'Unione (COM(2021) 206 final e allegati) (ai sensi dell'articolo 143, comma 2, del Regolamento) :
Ficara Paolo , Presidente ... 3 
Colao Vittorio , Ministro per l'innovazione tecnologica e la transizione digitale ... 3 
Ficara Paolo , Presidente ... 9 
Gallo Luigi (M5S)  ... 9 
Bruno Bossio Vincenza (PD)  ... 10 
Orrico Anna Laura (M5S)  ... 10 
Ficara Paolo , Presidente ... 11 
Colao Vittorio , Ministro per l'innovazione tecnologica e la transizione digitale ... 11 
Bruno Bossio Vincenza (PD)  ... 12 
Colao Vittorio , Ministro per l'innovazione tecnologica e la transizione digitale ... 12 
Ficara Paolo , Presidente ... 12

Sigle dei gruppi parlamentari:
MoVimento 5 Stelle: M5S;
Lega - Salvini Premier: Lega;
Partito Democratico: PD;
Forza Italia - Berlusconi Presidente: FI;
Fratelli d'Italia: FdI;
Italia Viva: IV;
Coraggio Italia: CI;
Liberi e Uguali: LeU;
Misto: Misto;
Misto-Alternativa: Misto-A;
Misto-MAIE-PSI-Facciamoeco: Misto-MAIE-PSI-FE;
Misto-Centro Democratico: Misto-CD;
Misto-Noi con l'Italia-USEI-Rinascimento ADC: Misto-NcI-USEI-R-AC;
Misto-Europa Verde-Verdi Europei: Misto-EV-VE;
Misto-Manifesta, Potere al Popolo, Partito della Rifondazione Comunista - Sinistra Europea: Misto-M-PP-RCSE;
Misto-Minoranze Linguistiche: Misto-Min.Ling.;
Misto-Azione-+Europa-Radicali Italiani: Misto-A-+E-RI.

Testo del resoconto stenografico

PRESIDENZA DEL VICEPRESIDENTE
DELLA IX COMMISSIONE
PAOLO FICARA

  La seduta comincia alle 14.45.

Sulla pubblicità dei lavori.

  PRESIDENTE. Avverto che la pubblicità dei lavori della seduta odierna sarà assicurata anche attraverso la trasmissione televisiva sul canale satellitare della Camera e la trasmissione diretta sulla web tv.

Audizione del Ministro per l'innovazione tecnologica e la transizione digitale, Vittorio Colao, nell'ambito dell'esame della proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'Unione (COM(2021) 206 final e allegati).

  PRESIDENTE. L'ordine del giorno reca, ai sensi dell'articolo 143, comma 2, del Regolamento, l'audizione del Ministro per l'innovazione tecnologica e la transizione digitale, Vittorio Colao, nell'ambito dell'esame della proposta di regolamento del Parlamento europeo e del Consiglio che stabilisce regole armonizzate sull'intelligenza artificiale (legge sull'intelligenza artificiale) e modifica alcuni atti legislativi dell'Unione (COM(2021) 206 final e allegati).
  Avverto che dopo la relazione del Ministro si svolgeranno gli interventi dei deputati. Sarà data inizialmente la parola ad un rappresentante per gruppo per poi procedere con gli altri interventi, in modo da consentire la replica del Ministro.
  Ringrazio il Ministro per aver accettato l'invito delle Commissioni e gli cedo la parola per lo svolgimento della relazione. Prego.

  VITTORIO COLAO, Ministro per l'innovazione tecnologica e la transizione digitale. Grazie mille, presidente, onorevoli deputate e deputati. Vi ringrazio molto per l'invito di oggi e vorrei organizzare il mio intervento su tre aree. Innanzitutto vorrei delineare il contesto a cui si riferisce questa proposta di regolamento sull'intelligenza artificiale; poi descrivere le finalità del regolamento e anche alcuni nodi che pensiamo siano ancora da sciogliere sulle regole europee in discussione; e poi concludere sintetizzando la posizione italiana su questa proposta europea e anche dare un breve aggiornamento sulla Strategia italiana per l'intelligenza artificiale che abbiamo approvato e che anticipa alcuni di questi elementi e li interpreta, ovviamente, in chiave di interesse nazionale.
  Iniziamo dal contesto. La proposta presentata dalla Commissione europea il 21 aprile si colloca, credo, in un quadro di grande e profonda trasformazione. La diffusione delle AI (Artificial intelligence) contribuisce a creare, o quantomeno ad accelerare, tre grandi trasformazioni: quella dei mercati, quella delle regole e quella delle persone. Partendo dai mercati, l'intelligenza artificiale cambia i modelli di business, cambia i prodotti, cambia i servizi, cambia le politiche commerciali di tutti gli operatori sancendo fondamentalmente il primato dei dati. Chi possiede e sa usare i dati – e sottolineo molto questo – ottiene e otterrà sempre più un vantaggio competitivo e un vantaggio nell'innovazione rispetto ai concorrenti. Se guardiamo ai grandi Pag. 4numeri, nel 2021 la spesa globale in AI è stata 85 miliardi di dollari, la IDC (International Data Corporation) prevede che nel 2025 la spesa supererà i 200 miliardi di dollari. Guardiamo al mercato italiano delle AI: la stima è che valga circa 380 milioni, che mi sembra francamente poco. È un dato di partenza su cui riflettere anche nel disegnare le regole per questo mercato.
  La seconda trasformazione è quella delle regole. Le istituzioni pubbliche europee ed extraeuropee sono chiamate a ideare e applicare i nuovi regimi regolatori che seguono tre principi: essere equilibrati, essere armonizzati ed essere flessibili. Innanzitutto equilibrati tra due spinte, la spinta all'innovazione tecnologica, ma anche la spinta alla tutela dei dati individuali. Se da una parte queste regole dovranno permettere di sostenere l'innovazione tramite l'utilizzo delle AI, dall'altra, però, devono garantire inclusione e non discriminazione, tutti diritti fondamentali in prospettiva sia collettiva che individuale. Devono essere armonizzati con i sistemi giuridici sia nazionali che internazionali e compatibili anche con tutti gli standard che i vari settori industriali devono applicare, partendo da un quadro giuridico oggi che è esattamente l'opposto, quindi non è armonizzato, è frammentato: ci sono circa 700 tra politiche, strategie, applicazioni e incentivi diversi sulle AI in 60 Paesi diversi al mondo, inclusi 20 nell'Unione. Ci tengo a sottolineare che questa frammentazione è negativa per entrambi gli obiettivi, sia per sostenere lo sviluppo e l'innovazione, sia anche per garantire la tutela dei diritti: la frammentazione non è buona né per l'industria né per la società. Infine queste regole devono essere flessibili e adattabili ai cambiamenti delle AI. Qui pensiamo alla velocità di sviluppo: forse non tutti in questa stanza si ricordano quando Deep Blue della IBM ha vinto a scacchi contro Kasparov, credo che tutti ci ricordiamo quando Alpha Go ha battuto Fan Hui che era il campione di Go cinque volte di seguito. Oggi queste cose sembrano quasi normali, le diamo quasi per scontate, quando sono successe le avevamo trovate quasi incredibili.
  C'è intelligenza artificiale nelle aziende, nelle pubbliche amministrazioni. Si stima che almeno la metà delle aziende nel mondo utilizzino la AI e anche nelle amministrazioni pubbliche abbiamo sempre di più utilizzi di AI, sicuramente nell'area della sicurezza, ma anche nella pianificazione urbanistica e in mille altre aree. Ci sono in Europa già 14 programmi governativi di GovTech, tornerò su quello italiano. Quindi la velocità richiede anche flessibilità.
  La terza trasformazione è quella delle persone: nella sfera individuale, nella sfera sociale e in quella professionale. Questa, ovviamente, chiede di ripensare il modo in cui tuteliamo i dati personali, ma anche di rivedere la formazione: in un sistema ben organizzato che utilizzi bene l'intelligenza artificiale, anche l'orchestrazione tra domanda e offerta di lavoro potrebbe per la prima volta essere non dico perfetta, ma veramente molto efficace.
  In generale, di fronte a queste grandi trasformazioni che ho descritto – per concludere questa prima parte sul contesto –, direi che sicuramente esse sono profonde e potenzialmente dirompenti, quindi è lecito ed è doveroso identificare soluzioni che contengano i rischi; però bisogna evitare atteggiamenti che io definirei ultradifensivi, proprio perché se ben sfruttata, l'intelligenza artificiale sarà un motore di trasformazioni invece molto positive per la società, trasformazioni di crescita, di innovazione, di migliori decisioni pubbliche, di migliore allocazione di risorse e di migliore sviluppo personale, professionale e sociale. Quindi il nostro giudizio, il mio giudizio, è che è un contesto fondamentalmente positivo quello dell'intelligenza artificiale: che dev'essere, ovviamente, incanalato nella maniera giusta e nel quale l'Europa innanzitutto, ma anche l'Italia, devono mantenere il passo con uno sviluppo molto rapido.
  Secondo punto, il regolamento e le finalità, i contenuti e i nodi che rimangono da sciogliere. Questo è un po' il cuore, credo, di quello che interessa alle vostre Commissioni. Innanzitutto la proposta è uno dei sette grandi dossier legislativi che fondano la visione strategica dell'Unione europea sulla trasformazione digitale e le Pag. 5nuove tecnologie. L'intelligenza artificiale si inserisce e completa questo corpus di legislazione, che, lo ricordo, comprende il Data Governance Act (DGA) e il Data Act che realizzano la libertà di circolazione dei dati; il Digital Services Act (DSA) e Digital Markets Act (DMA) che creano le condizioni per mercati e servizi online che siano affidabili, aperti alla concorrenza e sicuri; la NIS 2 (Network and Information Security) che modernizza il quadro delle regole in tema di cybersecurity e ADAS (Advanced Driver Assistance Systems) che aggiorna le regole di identità digitale. È uno dei sette grandi atti europei con cui stiamo ridisegnando la visione dell'Europa, per cui dobbiamo valutare anche rispetto a quale visione vogliamo che queste regole entrino in vigore. Qui credo che il disegno sia più ampio, sia teso a cogliere le opportunità della trasformazione digitale, a creare un sistema di diritto moderno e adeguato all'evoluzione tecnologica (io aggiungerei anche che possa essere di esempio nel mondo) e a promuovere il nostro modello europeo di concorrenza e responsabilizzazione digitale: punto questo molto importante di cui credo che come italiani e come europei possiamo essere anche orgogliosi, perché c'è un modello europeo di concorrenza e di responsabilizzazione del digitale che stiamo contribuendo a diffondere, speriamo anche nel mondo.
  In questa triplice prospettiva, vado a elencarvi una decina di punti di questa proposta di regolamento che contengono elementi condivisibili, non necessariamente nella definizione di dettaglio ma come intento.
  Innanzitutto il riconoscimento che le tecnologie di AI sono un mezzo e non un fine, cioè sono uno strumento al servizio dell'uomo e dei cittadini dell'Unione, e così facendo rinforziamo la visione cosiddetta umano-centrica del sistema valoriale europeo. Definisce regole comuni, uniformi da applicare orizzontalmente senza distinzione di settore o di attività, per garantire sicurezza, affidabilità ed elasticità dei sistemi all'interno dell'Unione. Identifica soggetti a cui si applicano le regole, che sono persone fisiche, persone giuridiche, fornitori e utenti, siano essi soggetti pubblici o soggetti privati, sempre che contribuiscano alla catena del valore dell'intelligenza artificiale. Quindi copre produttori, distributori, importatori, rappresentanti o anche solo fruitori: è un sistema molto onnicomprensivo. Esclude alcune aree dal perimetro di applicazione, per esempio la sicurezza e la ricerca, come pure alcuni specifici ambiti soggettivi, autorità pubbliche dei Paesi terzi o organizzazioni internazionali.
  Poi soprattutto vi è il «cuore»: gradua i sistemi di intelligenza artificiale in relazione al livello di pericolosità che sono in grado di esprimere sui nostri diritti fondamentali. Qui i gradi sono tre. C'è il cosiddetto rischio inaccettabile, quello per cui l'applicazione di tecnologie di AI è vietato, salvo deroghe circoscritte per finalità e durata: pensiamo, per esempio, al social scoring che è definito illegittimo in quanto aleatorio, in quanto discriminatorio, perché attribuisce un punteggio alle persone in base ai comportamenti sociali o in base a caratteristiche personali. Queste sono, chiaramente, non permesse.
  La seconda categoria è l'alto rischio. Qui l'utilizzo di tecnologie di AI va certificato ed è condizionato al rispetto dei requisiti obbligatori per poter essere immesso nel mercato. Esempi in questa classe sono i sistemi di identificazione biometrica, quelli impiegati per gestire i lavoratori o nella gestione dei flussi migratori. Questi sono ad alto rischio, ma permessi.
  Poi ci sono quelli – la terza categoria – a basso rischio, in cui non ci sono elementi critici o problematici, e quindi questi non richiedono particolari cautele per essere immessi sul mercato.
  Un'altra caratteristica condivisibile è che vi è un regime modulare di oneri e responsabilità: introduce obblighi di certificazione, ma anche di autocertificazione, di valutazione della conformità del prodotto e del rischio, di trasparenza, informativi, di sicurezza, di affidabilità, nonché obblighi di monitoraggio anche post market, attraverso i quali – questo è un punto molto importante – si verifichi nel tempo se sono state introdotte modifiche a quello che originariamentePag. 6 era stato classificato in un certo modo, che siano significative e che non fossero prevedibili relativamente alla fruizione originariamente certificata; poi, ovviamente, che ne salvaguardi nel tempo l'intenzione: questa è una condizione necessaria data l'intrinseca vita dei sistemi di intelligenza artificiale, che si sviluppano e possono partire con un'intenzione e poi evolversi magari anche in direzioni non gradite.
  Un'altra caratteristica è che identifica un sistema istituzionale di governance centrato nella Commissione europea dal punto di vista della classificazione dei sistemi e dell'adeguamento degli obblighi di servizi e riserva alle Autorità nazionali di vigilanza del mercato competenti la supervisione dell'applicazione delle regole, mentre rimette a un Comitato europeo per l'intelligenza artificiale – a cui il Board europeo della privacy partecipa di diritto – un ruolo consultivo, di coordinamento delle Autorità nazionali, di ausilio alle attività della Commissione e di assistenza, sia alla Commissione sia alle Autorità nazionali, per lo sviluppo delle norme di AI. Quindi c'è un impianto di governance abbastanza articolato. Accredita il modello multistakeholder, favorendo i codici di condotta volontari per sistemi di AI non ad alto rischio e prevede spazi di sperimentazione normativa per facilitare un'innovazione responsabile. Queste sono tutte finalità e direi impianti generali che riteniamo siano condivisibili, perché vanno al cuore di quel bilanciamento che citavo in apertura tra bisogno di innovazione, ma anche bisogno di garantire le tutele dai rischi.
  Come valutiamo questo regolamento come italiani? La posizione italiana rispetto alla proposta europea si può sintetizzare in una frase che definirei come segue. Le finalità – come ho detto – sono abbastanza chiare, le intenzioni legislative sono meritevoli e condivisibili e come sempre la proposta è risultata migliorabile sotto alcuni aspetti. Vi illustro gli aspetti sui quali siamo intervenuti e quelli su cui intenderemmo intervenire.
  In particolare, sono da subito risultati da migliorare alcuni punti. Il primo sono le definizioni, quella del sistema di AI, quella dei rischi inaccettabili e quella di alto rischio. Abbiamo richiesto una maggiore precisione, per evitare applicazioni frammentate e indesiderate, qui di nuovo nell'ottica di favorire chi poi l'intelligenza artificiale la deve sviluppare.
  Secondo, il regime delle eccezioni ed esenzioni previsto per i sistemi inaccettabili. Abbiamo chiesto come Italia un maggiore grado di dettaglio dei presupposti per chiedere questa eccezione, per evitare poi delle applicazioni o arbitrarie o imprevedibili. Qui di nuovo nell'ottica di favorire la chiarezza di dove vale la pena investire e dove, invece, vogliamo mettere dei paletti molto rigidi.
  Terzo, l'ambito dei poteri della Commissione, per consentire agli Stati membri di partecipare attivamente all'aggiornamento del raggio di applicazione del regolamento. Siamo convinti che è importante che questa partecipazione degli Stati membri venga mantenuta nel tempo.
  Quarto, il sistema degli oneri e degli obblighi per garantire che questi siano effettivamente parametrati a livello di rischio dei sistemi di AI e alla capacità di risposta del mercato, per evitare di imporre oneri ed obblighi che magari sembrano buoni in teoria, ma che poi questo mercato – che come ho detto, in Paesi come l'Italia è ancora fatto da piccole aziende – non riesce a seguire.
  A fine 2021 è stato raggiunto un primo compromesso sul testo, che è stato presentato alle delegazioni il 30 novembre e il 3 dicembre 2021, ai Ministri «telecom» dell'Unione. Il negoziato sta proseguendo sotto la presidenza francese e adesso abbiamo una serie di altre richieste che sono rivolte in diverse direzioni.
  La prima è migliorare le definizioni relative ai soggetti attualmente destinatari delle regole – che sono produttori, importatori e distributori –, per meglio esplicitare che tra questi sono ricompresi anche i soggetti tecnologici che mettono a disposizione i sistemi di AI attraverso la rete, ma senza venderli e concedendoli o in licenza o addirittura a volte senza richiedere neanche un prezzo in cambio dell'uso di dati. Pag. 7Questo è un punto importante, perché il mercato dell'intelligenza artificiale si sta sempre più sviluppando verso grandi piattaforme che hanno delle library di moduli e di programmi che a volte forniscono addirittura gratis, spesso. È quindi importante che la responsabilità vada poi a chi utilizza questa library e magari va a sviluppare soluzioni che non sono coerenti con la legge. Chiediamo che questi soggetti vengano reinclusi, anche perché il mercato sta andando lì.
  Secondo. Migliorare le previsioni sulle responsabilità, nel senso di riconoscere un ruolo attivo al soggetto che interviene nella catena del valore attraverso attività di testing e addestramento, in quanto queste sono strettamente funzionali a caratterizzare un sistema di AI secondo la tripartizione di rischio identificata dalla Commissione. Qui c'è un esempio semplice. Se pensiamo a un sistema di credit scoring che è fatto per valutare il merito creditizio, questo può essere commercializzato sul mercato anche senza specifiche caratteristiche: in questo caso è l'utilizzatore commerciale che addestra il sistema, per renderlo funzionale alle sue esigenze di mercato, e solo attraverso questo addestramento sarà in grado di introdurre o disinnescare i rischi stabiliti dal regolamento. Quindi proprio quella natura di evoluzione dei sistemi di AI che descrivevo prima fa sì che sia necessario chiarire i successivi sviluppi, una volta che un prodotto viene preso e addestrato, che questo addestramento determinerà sull'impatto finale della soluzione.
  Terzo. Completare le previsioni sulle funzioni di compliance e quelle di auditing sulla robustezza dei sistemi, privilegiando competenze terze, quindi competenze indipendenti che facciano l'ordine dei sistemi e che siano anche non necessariamente incardinate a livello nazionale. Qui ci sono positive esperienze maturate in settori come il FinTech (Financial Technology) in cui l'elaborazione è molto avanzata. È importante rendersi conto che, anche come Paese, se vogliamo avere un'industria che sviluppi AI per altri ambiti, ci devono essere certificatori che siano in grado di fare anche le certificazioni internazionali, perché se no di nuovo ricadiamo nel problema della frammentazione.
  Vogliamo poi sollecitare un'ulteriore riflessione sui costi della compliance, affinché risultino non solo giuridicamente corretti, ma anche strettamente necessari. La nostra proposta riflette, in particolare, le sollecitazioni dell'industria italiana, che teme che ci siano oneri eccessivi e sproporzionati per le imprese e soprattutto per quelle piccole imprese che abbiamo tanto a cuore. Qui di nuovo l'obiettivo è di evitare costi che sembrano costi di compliance necessari, ma che in realtà non sono strettamente necessari e che rendono più cara, più costosa l'innovazione e la competitività dell'industria italiana.
  Vogliamo ancora suggerire di verificare se gli spazi riservati alla sperimentazione normativa non possano essere migliorati e arricchiti. Abbiamo avuto alcune esperienze virtuose, per esempio di nuovo nel FinTech o anche in specifiche legislazioni. Per esempio, noi in Italia abbiamo questo concetto del sandbox che sta funzionando bene: potremmo essere contributori di questo. Ma in generale la sperimentazione normativa è molto importante che faccia parte di questa materia che per sua natura evolve molto rapidamente.
  Intervenire sui profili di governance in termini di composizione del Comitato: chiediamo che al suo interno vengano espresse competenze ulteriori rispetto a quelle tipiche del Board della privacy; e sollecitare una serena valutazione sull'opportunità di creare – anche alla luce di un parere della Banca centrale europea – una nuova autorità sulle AI, perché l'AI è per sua natura intra e intersettoriale e qui deve valere il principio «same risks, same supervision», cioè stessi rischi devono portare a stesse regole e a stessa supervisione, e non bisogna quindi avere una prevalenza di tipo settoriale.
  Migliorare le previsioni – che ci sono, ma che possono essere migliorate – di coordinamento con le altre discipline, sia quelle orizzontali GDPR (General Data Protection Regulation) e direttiva Law Enforcement, sia quelle settoriali, FinTech e insuretech. Qui non solo per evitare duplicazioniPag. 8 di oneri e competenze, ma anche per favorire il raccordo tra le stesse, scongiurando il rischio di avere indirizzi non coerenti tra queste altre discipline che sono orizzontali o settoriali, ma che comunque vanno a toccare di nuovo le stesse aree che toccherebbe l'AI. Simmetricamente all'esigenza di allargamento della composizione del Comitato europeo, abbiamo anche proposto un più sinergico sistema di scambio di informazioni tra le autorità nazionali coinvolte – privacy, assicurazioni, finanza e sicurezza cibernetica – proprio per le implicazioni connesse alla trasversalità.
  Mi fermo qui con le nostre proposte, come vedete c'è un forte allineamento da parte nostra sugli obiettivi e sull'impianto generale di questa normativa. Pensiamo che si possano ancora migliorare otto o nove aspetti che sono più di implementazione ma che poi, proprio per la natura di questa materia, rischiano di essere molto importanti per avere successo.
  Come dicevo – avviandomi a concludere – vorrei anche fare una breve nota sulla strategia nazionale di AI che abbiamo adottato il 24 novembre 2021 come Governo. L'obiettivo qui era diverso: il regolamento europeo vuole dare una cornice normativa, noi con la strategia nazionale volevamo dare un po' più impeto al nostro sistema nazionale, quindi non è uno scopo legislativo e regolatorio, ma molto più uno scopo esecutivo e di Governo.
  La strategia delle AI si compone di cinque obiettivi e 24 politiche da realizzare in tre anni in collaborazione tra il MUR (Ministero dell'università e della ricerca), il MISE (Ministero dello sviluppo economico) e noi. Gli interventi del MUR – come potete aspettarvi – riguardano il potenziamento della ricerca, l'attrazione dei talenti e la formazione di competenze allineate con questa tecnologia in rapida evoluzione. Per esempio, con formazione di tipo ibrido: giuristi, ingegneri o altre figure di questo tipo. L'area d'intervento del MISE, ovviamente, interessa più lo sviluppo delle imprese, per colmare il divario nell'adozione di AI da parte delle aziende, aumentare la spesa in area industriale e aumentare l'intensità brevettuale. Noi abbiamo sei politiche di nostra competenza che mirano a portare l'AI nella pubblica amministrazione, con lo scopo di migliorare il servizio pubblico attraverso, da una parte, interventi che portano l'intelligenza artificiale all'interno dei processi operativi della pubblica amministrazione ma, dall'altra, anche di stimolare quel sistema GoTech italiano – ho citato i 14 programmi europei – che incentivi le startup a offrire soluzioni innovative di AI per la pubblica amministrazione. Noi qui abbiamo un basso livello di utilizzo e di penetrazione delle relative risorse: in Italia siamo al 25 per cento, in una media UE del 60. Riteniamo che sia molto importante creare questo ecosistema per stimolare anche la pubblica amministrazione a adottare soluzioni innovative e non solo calarle noi dall'altro, con programmi che peraltro avremmo. Quindi avvalendoci anche del Fondo innovazione del MITD, che abbiamo leggermente incrementato all'ultimo giro, contiamo entro l'estate di avere impostato almeno tre di queste policy, tra cui sicuramente il GoTech, ed entro l'autunno di lanciare le prime sperimentazioni. Qui gli ambiti di applicazione sono molto ampi e non li conosciamo, cito alcuni esempi. La creazione e l'interoperabilità delle banche dati aperte su cui sperimentare modelli di AI e utilizzare i risultati a favore del policy making, oppure la creazione di dataset annotati, anonimizzati sulle interazioni cittadini-PA, ovviamente per migliorare il servizio, e anche l'introduzione di tecnologie basate su AI per automatizzare lo smistamento e la preparazione delle richieste degli utenti. Quindi cose a vantaggio dei cittadini dove la AI può dare un grande contributo, non solo in termini di efficienza, ma anche in termini di efficacia.
  Concludo con considerazioni un po' più ampie. L'intelligenza artificiale è un motore di applicazioni di avanguardia che semplificano la vita quotidiana, che consentono l'adozione di decisioni pubbliche migliori, più veloci, semplici e anche forse più efficaci che sicuramente accelerano la crescita e lo sviluppo industriale, ma che soprattutto consentono una migliore allocazione di risorse, sia pubbliche che private. Ho Pag. 9fatto l'esempio del lavoro, ma se ne può pensare a mille altri, i contributi sociali, i programmi speciali di supporto, eccetera. Tutto può essere molto migliorato grazie all'applicazione di queste tecnologie. Il nostro obiettivo come Governo, e quindi il programma di AI che ho descritto, è quello di massimizzare e di raggiungere tutti questi obiettivi e al contempo di rinforzare il settore italiano. Ovviamente questo obiettivo non deve andare a scapito della tutela della salvaguardia dei diritti fondamentali che, come europei, vogliamo salvaguardare, ma io sono molto convinto, personalmente, che la scelta non deve essere se avviare questo grande motore, ma piuttosto il come e il quando e, soprattutto, quanta forza dare per accelerare la trasformazione che l'intelligenza artificiale permette. Dobbiamo essere onesti: rischiamo di essere in ritardo, sia in Europa che in Italia, ma non lo siamo drammaticamente. Questo è il momento dove anche in questo campo l'Europa può adottare un insieme di legislazioni molto moderne, anche utili a sostenere lo sviluppo economico e noi, come italiani, possiamo trasformarlo in programmi esecutivi di Governo che sostengano il settore e lo facciano crescere.
  In conclusione, noi sicuramente sosteniamo ma, soprattutto, vogliamo contribuire – come avrete capito dal mio intervento – ad avere un AI Act europeo che sia ambizioso, lungimirante e che abbia come priorità lo sviluppo a vantaggio di cittadini, imprese e istituzioni e ovviamente minimizzi i rischi nel rispetto del nostro sistema di diritto che vogliamo mantenere e, se possibile, anche estendere internazionalmente in quest'area del digitale. Vi ringrazio molto e sono lieto di ascoltare le vostre osservazioni e domande.

  PRESIDENTE. Grazie, Ministro. La presidente Nardi si scusa, ma è dovuta andare via per un altro impegno. Passiamo agli interventi dei deputati. Si è iscritto a parlare l'onorevole Gallo.

  LUIGI GALLO. Grazie, presidente. Grazie, Ministro, il suo intervento è stato molto importante per i lavori di queste Commissioni, perché mira a chiarire gli aspetti sul protagonismo dell'Italia ma anche il pensiero del Governo in vista di sviluppi molto importanti. Lei ha utilizzato le parole: «il motore». E in qualche modo io definisco un caso di scuola quello che accade nel mondo digitale. Per questo c'è anche tutta questa attenzione, per poter dare delle indicazioni. Io volevo sottolineare il tema della differenza che esiste tra i dati personali e i dati della società, quelli che può pubblicare la pubblica amministrazione. In questo la PA può fare molto. Sappiamo, per esempio, che l'ISTAT (Istituto nazionale di statistica) già pubblica i dati BES (Benessere equo e sostenibile) in open data, una mole di dati su cui si possono attivare le policy maker di cui parlava. Questo si può fare ogni volta che la pubblica amministrazione fornisce un quadro chiaro e trasparente di qualità degli open data. Ci sono diverse esperienze italiane e immagino che bisogna spingere in questa direzione per poter riuscire a sfruttare le potenzialità delle AI. Voglio ricordare anche l'esperienza dell'INPS che ha una direzione per l'innovazione e un'applicazione dell'AI che ha avuto già il suo discreto successo.
  Arrivo al tema della regolamentazione e dell'autorità. Volevo sapere che cosa pensa il Governo, ma anche lei personalmente, circa l'opportunità di un'autorità indipendente, non tanto dell'AI ma dei diritti digitali, perché nel tema dei diritti digitali rientra sia la tutela del rispetto dalle discriminazioni o dalle violazione che possono avvenire quando si affrontano i temi digitali, che riguardano non solo la violazione di privacy, perché sappiamo – nell'esempio del libro bianco –, anche quali discriminazioni di genere o in altri ambiti vengono messe in campo.
  Però un'autorità dei diritti digitali può intervenire anche quando, ad esempio, un ente pubblico territoriale non pubblica i dati e non riesce a pubblicare adeguati servizi digitali, quindi a garantire il diritto digitale di connessione o quando l'eccessiva deregolamentazione dei servizi digitali – cosa che può accadere anche con semplici servizi come booking o altri – provocano degli effetti negativi o per le imprese o i per Pag. 10i cittadini e il cittadino o l'impresa non sa a chi appellarsi quando viene leso nel proprio diritto. Grazie.

  VINCENZA BRUNO BOSSIO. Bene. Volevo ringraziare il Ministro per l'impostazione della presentazione, perché ci consente di affrontare la questione anche dal punto di vista dell'effettiva ricaduta sull'economia europea e del nostro Paese, soprattutto per fare in modo che questo regolamento non sia sostanzialmente qualcosa che crei ulteriori problemi alle imprese.
  Io sono convinta che il tema della privacy e anche il tema della sicurezza siano temi fondamentali e dobbiamo fare in modo di costruire un governo di queste dimensioni che sia il più sicuro ed efficace possibile. Però nello stesso tempo sono d'accordo sul capire come questa cosa non si ribalti completamente sull'attività di piccole imprese che già hanno difficoltà ad utilizzare effettivamente tutti gli strumenti dell'innovazione. Qui ne approfitto anche per salutare il dottor Firpo: ci sembra essere un mondo lontanissimo quello in cui è partita Industria 4.0, poi Transizione 4.0! Noi stiamo andando, in effetti, con un accompagnamento sempre più forte verso le imprese e nello stesso tempo, però, ci sono delle regole e dobbiamo fare in modo che queste funzionino nel corpo vivo di queste aziende. Poiché insieme alla collega Orrico devo esprimere un parere sul regolamento, volevo fare delle domande. In particolare, come possiamo evitare il rischio – a proposito sempre delle regole – che ci siano degli sviluppi dell'algoritmo che sottorappresentino, più che alcuni gruppi sociali, anche i generi? Pensiamo nella medicina, discorso che riguarda soprattutto le donne. Come affrontare la questione, che è stata posta da molti auditi, su una sorta di contrasto fra quello che prevede il regolamento e il GDPR, nell'ambito sempre della problematica della privacy? Sono d'accordo, credo che lo metteremo anche nel nostro parere, che la definizione di intelligenza artificiale a seguire deve essere molto più precisa, così come deve essere più precisa la catena del valore tra produttori, user, fornitori, eccetera. Una domanda sulla quale ci stiamo anche interrogando concerne il tema dell'autorità. Ci deve essere una nuova autorità di controllo? Prima il collega mi pare che ponesse un problema di un'autorità sui diritti digitali. È uno stimolo interessante. Non so le attuali autorità possano o meno intervenire, anche rispetto a un modello in cui lei ha giustamente presentato sette elementi di un corpus legislativo che sono in qualche misura un tutt'uno, pur se abbiamo visto che ci possono essere delle contraddizioni. Però, per esempio, rispetto al DSA avevamo individuato come authority l'AGCOM (Autorità per le Garanzie nelle Comunicazioni). Volevo capire se invece in questo caso non converrebbe orientarsi verso un'autorità nuova. È una domanda alla quale ancora non so rispondere e mi faceva piacere sentire la sua opinione. Grazie.

  ANNA LAURA ORRICO. Grazie, presidente. Ringrazio il Ministro per la relazione molto precisa e puntuale. Io volevo fare una domanda relativa alla parte della proposta di regolamento nella quale i fornitori di sistemi di IA a basso rischio vengono invitati ad adottare una sorta di autoregolamentazione, sulla scia di quello che il regolamento propone per i sistemi a medio e ad alto rischio. Mi domando, visto anche quello che molti auditi hanno segnalato – e che anche lei diceva – circa il fatto che questa regolamentazione basata sul rischio possa poi avere delle complicazioni, degli oneri anche per le aziende, se invece non possa essere meglio provare ad incentivare il sistema dei produttori di AI ad autoregolamentarsi. Quindi se creando una costruzione un po' più leggera di quella che è la distinzione tra alto rischio, medio rischio e basso rischio, non convenga incentivare con strumenti differenti più l'adozione di un codice deontologico, di un codice etico, di un codice di autoregolamentazione e se questo possa avere effetti migliori, anche rispetto alla contrapposizione o alla sovrapposizione – che molti auditi ci hanno segnalato – tra le varie fonti di diritto europeo e, come diceva la collega Bruno Bossio, ad esempio, tra il regolamento sulla gestione dei dati, la privacyPag. 11 e questo regolamento sull'intelligenza artificiale. Grazie.

  PRESIDENTE. Grazie. Non essendoci altri colleghi che hanno chiesto di intervenire do la parola al Ministro Colao per la sua replica.

  VITTORIO COLAO, Ministro per l'innovazione tecnologica e la transizione digitale. Grazie mille per i vostri commenti e le vostre domande. Fondamentalmente c'è un filo comune nelle tre domande e poi ci sono alcuni elementi più specifici.
  Trattiamo il filo comune che è quello dell'autorità. Io credo che forse è ancora presto per decidere o per capire, però credo che ci siano alcune esigenze che sentiamo tutti e vediamo quali sono. Intanto quella che citava l'onorevole Gallo. Ovviamente, la tutela del diritto digitale è importante. È molto difficile definirlo, nessuno di noi riesce a definirlo se non pensando all'equivalente diritto non digitale per poi trasporlo: e probabilmente come approccio è giusto. Ci saranno dei casi dove però la trasposizione sarà difficile, quindi è una materia che si sta un po' sviluppando. Pensiamo a tutte le implicazioni del virtuale del meteverso, per esempio, i diritti reali applicati in un mondo non necessariamente corrispondente. Credo che c'è un tema di controllo, è stato citato dall'onorevole Bruno Bossio, cioè chi è l'autorità e come fa un'autorità a valutare se quello che è stato dichiarato corrisponde veramente all'intento del legislatore o se non sta travalicando. C'è il tema della ragionevolezza, quello che solleva l'onorevole Orrico che dice: «Siamo sicuri di non esagerare, né chiedere troppo a un'industria che è ancora per molti nella sua infanzia? Se chiediamo troppo, siamo sicuri che non andiamo a ricreare di nuovo un vantaggio a favore di chi è molto grande nei confronti di chi è più piccolo e sta ancora crescendo?». Secondo me tutte queste cose indicano il bisogno di riflettere su questo tema sia a livello europeo che a livello nazionale. Io non credo che si possa arrivare ad avere un'autorità dei diritti digitali, perché alla fine stiamo parlando dei diritti fondamentali delle persone e quindi di un'estensione di qualcosa che esiste già. Il rischio di separare il diritto digitale dal diritto non digitale lo vedo alto, perché rischiamo di creare poi un secondo corpus di regole che non sono facilmente interpretabili. Ma sicuramente bisogna introdurre il concetto di diritto digitale in quella che è normalmente l'attività degli altri regolatori. La domanda è: «Saranno tutti capaci, tutti sensibili, avranno tutti la competenza necessaria per farlo?». Io penso che, progressivamente, la risposta è sì. Se vedo quello che sta succedendo, per esempio, nel mondo dei servizi finanziari che data la strategicità di quello che fa è molto sensibile a questo tema, la risposta è sì. Per i consumatori, credo, pure: sicuramente i diritti del consumatore digitale sono una realtà già abbastanza sviluppata. In altre aree lo è meno. Quindi sicuramente va incoraggiato quello che l'onorevole sottolinea, non so se vada incoraggiato al punto di creare un'altra autorità che si specializzi e faccia solo questo.
  Il tema più generale dell'autorità di controllo. Sicuramente l'intelligenza artificiale non può essere ridotta solo a privacy, quindi non può essere una materia di privacy. Non può neanche essere ridotta a essere un settore industriale, perché non è un settore industriale, va attraverso tutti. Credo che avere qualcuno a livello europeo che esprima le linee guida, i grandi princìpi e poi avere all'interno delle autorità esistenti qualcuno che curi specificamente questo tema sia il minimo sindacale. Se si arrivasse poi a creare un'altra autorità, mi domanderei, di nuovo, come sarebbe il coordinamento tra un'autorità che fa la vigilanza sui mercati finanziari e sugli intermediari finanziari e quella che fa la vigilanza sull'intelligenza artificiale degli operatori finanziari. La vedo molto difficile dal punto di vista pratico, anche perché l'intelligenza artificiale sta già permeando tutto. Io sarei più per potenziare, creare delle divisioni, delle unità, dei nuclei specializzati che all'interno delle varie aree da subito comincino a prendere in mano questo tema. Però ci sono anche opinioni diverse e credo che alla fine è una valutazione da fare pragmaticamente, cioè Pag. 12quale è delle due che ci dà più in fretta la risposta.
  Per rispondere alle domande più di dettaglio. Per quello che diceva l'onorevole Gallo, se un'amministrazione non rispetta degli obblighi, oggi c'è già l'AgID (Agenzia per l'Italia digitale) che deve intervenire, quindi il mancato rispetto da parte dell'amministrazione è l'AgID che lo deve andare a sanzionare. Abbiamo introdotto anche poteri sanzionatori recentemente, quindi quel lato è già coperto dal punto di vista specifico.
  L'onorevole Bruno Bossio chiedeva come evitare il rischio che gli sviluppi algoritmici poi vadano oltre. Francamente questo è intrinseco in questa materia e l'unica maniera per evitarlo è avere un controllo e un monitoraggio in vita, non solo all'inizio. È giusto, e noi sosteniamo che si introduca la certificazione, però la prima reazione che abbiamo avuto è stata che certificarlo all'inizio non vuole dire che due anni dopo è ancora la stessa cosa. Qui è molto importante che la classificazione e la chiarezza – come lei giustamente dice – delle definizioni permetta poi alle imprese di sapere dove mettere i paletti, perché inevitabilmente di per sé l'apprendimento dell'algoritmo porterà ad andare ai limiti di quello che è fattibile: quindi di nuovo monitoraggio, frequenza del monitoraggio, eccetera. Si collega al tema delle autocertificazioni, onorevole Orrico. Io sono un grande sostenitore delle autocertificazioni, perché non possiamo pensare di andare a validare tutto. Però, dalle autocertificazione arrivare anche alle autoregolamentazioni credo che – di nuovo – vada un po' valutato per tipologia. Ci sono elementi di applicazione delle AI dove io non so se permetterei l'autoregolamentazione. È di oggi la notizia di quella società americana che faceva il riconoscimento facciale cui è stata comminata una bella multa perché non rispettava le leggi degli GDPR e del trattamento dei dati: quindi è abbastanza facile che se si lascia alla completa autoregolamentazione poi si possono creare dei fenomeni, anche in relazione alla non territorialità di queste aziende, non del tutto in linea. L'autocertificazione invece no: soprattutto per le aziende piccole mi sembra una strada pragmatica, giusta, che poi permette – magari usando noi stessi l'intelligenza artificiale – di andare a fare controlli a campione.
  Contrasto tra regolamento e GDPR. Confesso che non mi è stato segnalato, non l'ho visto. Se lei ha qualcosa da segnalarci io sarei lieto di saperlo, perché è un tema nuovo per me.

  VINCENZA BRUNO BOSSIO. L'ha sollevato in audizione, mi sembra, Pollicino e non solo. Chiedo conferma anche alla collega Anna Laura Orrico.

  VITTORIO COLAO, Ministro per l'innovazione tecnologica e la transizione digitale. Siccome siamo in contatto con il professor Pollicino lo sentiremo e chiederemo alla nostra esperta di capire. Io è la prima volta che lo sento, ma grazie della segnalazione.

  PRESIDENTE. Bene, se non ci sono altri interventi, ringrazio il Ministro Colao per il suo contributo.
  Dichiaro conclusa l'audizione.

  La seduta termina alle 15.30.