L’assenza di un sistema di “age verification” per i sistemi AI
Promossi in parte e rinviati a settembre. Il parere del Garante per la protezione dei dati personali sullo schema di disegno di legge del governo Meloni sull’intelligenza artificiale è stato positivo solamente in parte. Sono molte, infatti, le contestazioni, i dubbi e le perplessità che emergono dal parere reso pubblico dall’Autorità nei giorni scorsi su quella che dovrebbe diventare (in attesa del completamento dell’iter parlamentare, passando dalle Commissioni) la legge italiana sul tema. In particolare, si sottolinea come non possa bastare il riferimento al limite d’età (14 anni) per l’utilizzo di questi strumenti per quel che riguarda i minori e che manchi l’identificazione di un sistema comprovato di age verification nel testo del ddl AI.
LEGGI ANCHE > Al Garante della Privacy non tornano diverse cose sul ddl intelligenza artificiale
Una questione nota e già emersa più volte nel corso degli ultimi anni. Basti pensare che la stessa Autorità aveva già evidenziato queste assenze per quel che riguarda molti aspetti della vita digitale. Come nel caso che portò al blocco temporaneo di ChatGPT in Italia, quando tra le contestazioni mosse dal Garante Privacy nei confronti di OpenAI c’era anche il riferimento all’assenza di strumenti funzionanti per la verifica dell’età degli utenti. Lì si trattava, ovviamente, di un’azienda privata. Sorprende, però, che l’Autorità debba sottolineare questa lacuna al governo che ha preparato una legge.
Age verification ddl AI, cosa manca nel testo
Nello specifico, il testo del ddl AI approvato dal Consiglio dei Ministri – e ora al vaglio delle Commissioni parlamentari prima della discussione, le modifiche (possibili solo in caso di non ricorso al “voto di fiducia”) e l’approvazione da parte di Senato e Camera -, infatti, non mette in evidenza alcuna soluzione tecnica (comprovata e funzionante) per procedere con l’age verification, lasciando spazio solamente a un riferimento molto superficiale alla questione inserito al comma 4 dell’articolo 4:
«L’accesso alle tecnologie di intelligenza artificiale dei minori di anni quattordici richiede il consenso di chi esercita la responsabilità genitoriale. Il minore degli anni diciotto, che abbia compiuto quattordici anni, può esprimere il proprio consenso per il trattamento dei dati personali connessi all’utilizzo di sistemi di intelligenza artificiale, purché le informazioni e le comunicazioni di cui al comma 3 siano facilmente accessibili e comprensibili».
Un’infarinatura generale, senza fornire strumenti e indicazioni tecniche necessarie per far sì che i vari servizi e strumenti AI si adeguino correttamente alla legge per tutelare i minori (di 14 e 18 anni).
Le perplessità del Garante Privacy
Non è un caso che il Garante Privacy abbia messo in evidenza questa lacuna, soprattutto alla luce delle sue precedenti azioni nei confronti di soggetti privati. Nel parere dell’Autorità, infatti, si sottolinea:
«In ordine alla legittimazione del minore, l’articolo 4, c. 4, merita di essere perfezionato, anzitutto facendo riferimento non già alla soglia di età attualmente prevista– oggetto peraltro di progetti di legge tesi a modificarla – quanto alla disposizione di cui all’articolo 2-quinquies del Codice. Con questo rinvio mobile, si potrebbe infatti garantire il pieno allineamento del disegno di legge alla disciplina di protezione dei dati, evitando difformità in caso di variazioni di quest’ultima. Inoltre, il comma andrebbe integrato con riferimento a misure idonee a garantire sistemi adeguati di verifica dell’età, per evitare l’altrimenti agevole elusione della prevista soglia anagrafica per la prestazione del consenso. Si potrebbero quindi richiamare, in tal senso, le misure adottate ai sensi dell’articolo 13-bis, c.3, d.l. 123 del 2023, convertito, con modificazioni, dalla legge n. 159 del 2023».
Una “tirata” d’orecchie per aver ben recepito il messaggio della necessità del principio di tutela dell’età dei minori, ma senza aver opportunamente indicato una soluzione comprovata per procedere all’age verification secondo il ddl AI. Per questo motivo viene richiesta una integrazione/modifica del testo, seguendo questo principio:
«Modificare l’articolo 4, c. 4, sostituendo il riferimento ai quattordici anni con quello all’età prevista dall’articolo 2-quinquies del Codice e integrandolo con il riferimento a misure idonee a garantire sistemi adeguati di verifica dell’età del minore, quali quelle adottate ai sensi dell’articolo 13-bis, c.3, d.l. 123 del 2023, convertito, con modificazioni, dalla legge n. 159 del 2023».
Ma quale sistema potrebbe essere utilizzato. Se ne parla da tempo, partendo dai siti che ospitano contenuti riservati agli adulti, passando per i social network e le altre piattaforme. Una soluzione non è stata ancora individuata, ma già nel 2023 il membro del Collegio del Garante Privacy, Guido Scorza, aveva citato l’esempio francese e l’utilizzo di una soluzione come Yoti, un’app di terze parti ritenuta molto affidabile.
L'articolo L’assenza di un sistema di “age verification” per i sistemi AI proviene da Giornalettismo.