Un’IA “etica” nel commercio elettronico: l’Italia verso nuove regole

Le motivazioni della proposta

La proposta trova la propria origine nei numerosi report che indicano la crescita del commercio elettronico in Italia e in Europa, tra i quali spiccano i dati diffusi da Comfinprese Italia, lo State of Commerce di Salesforce, il report sull’E-Commerce 2023 pubblicato da E-Commerce Europe e Euro Commerce, nonché i risultati della “Indagine conoscitiva sull’intelligenza artificiale: opportunità e rischi per i il sistema produttivo”, svoltasi presso la Commissione Attività produttive della Camera dei Deputati.

Alla base della proposta vi è la volontà di disciplinare l’utilizzo di strumenti di IA, nel contesto del commercio online, che incidono nell’interazione con i consumatori e/o automatizzano i processi di backend, ad esempio, determinando il prezzo di servizi e prodotti o prevedendo meccanismi di interazione con chatbot automatici.  

Le definizioni della proposta di legge

La proposta include una definizione di sistema di IA che ricalca quella dell’IA Act ma, sorprendentemente, presenta anche una nozione di intelligenza artificiale intesa come “l’abilità di una macchina di mostrare capacità umane quali il ragionamento, l’apprendimento, la pianificazione e la creatività, tali da consentire ai sistemi la comprensione del proprio ambiente, di mettersi in relazione con quello che percepisce, di risolvere i problemi e di agire verso un obiettivo specifico”.

Tale definizione desta qualche perplessità, in quanto sembra ricalcare la definizione che il Consiglio d’Europa di Strasburgo aveva fornito nella Carta Etica del 2018, che individuava l’intelligenza artificiale come l’”Insieme di metodi scientifici, teorie e tecniche finalizzate a riprodurre mediante le macchine le capacità cognitive degli esseri umani”, e  che, tuttavia, appare superata dalla Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale e i diritti umani, la democrazia e lo Stato di diritto. Quest’ultima ha, infatti, recepito la più recente definizione dell’AI ACT.

La nozione di “capacità umane” mostrate da una macchina, infatti, non è di facile e immediata interpretazione. Inoltre, nel caso specifico della proposta, non sembra conciliarsi correttamente con quella di sistema di intelligenza artificiale.  

Il tema della duplicazione delle definizioni è stato oggetto di doglianza da parte della Commissione europea in relazione al Disegno di legge n. 1146 relativo a “Disposizioni e delega al Governo in materia di intelligenza artificiale”. Con riferimento a tale atto, la Commissione ha invitato l’Italia ad attenersi alle definizioni dell’AI Act.

La definizione  di “IA bias”

Particolarmente interessante è la definizione  di “IA bias” che si realizzerebbero con la produzione “sistematicamente e ingiustificatamente di risultati meno favorevoli, ingiusti o dannosi per i membri specifici di gruppi sociali”.

Anche in questo caso la definizione presenta delle criticità. In primo luogo, tale previsione dovrebbe conciliarsi con il divieto, di cui all’Articolo 5 dell’AI Act, di immettere sul mercato, mettere in servizio o usare sistemi di intelligenza artificiale che sfruttano vulnerabilità di una persona fisica o di un gruppo specifico di persone con l’obbiettivo di distorcerne il comportamento in modo che causi o sia ragionevole che causi a quella persona un danno significativo.

L’intenzione appare quella di andare a disciplinare quei sistemi che non sfruttano necessariamente una vulnerabilità (si pensi, ad esempio, ai casi di discriminazione indiretta, cd. “per proxy”, nella quale, partendo da dati neutrali, si arriva ad una discriminazione di talune categorie). Tuttavia, non appare chiaro, dalla definizione normativa, se l’AI bias debba ritenersi applicabile quando si ha una discriminazione di un singolo in quanto appartenente ad un gruppo ovvero quando più membri di un gruppo siano discriminati.

La definizione fìdi commercio elettronico

Da ultimo, la normativa definisce “commercio elettronico” come “l’attività di vendita automatizzata di beni e di servizi realizzata tramite sistemi elettronici in rete”.

Come bene evidenziato dal dossier di accompagnamento alla proposta, la stessa si inserisce all’interno di un quadro composito di definizioni:

• La direttiva 2000/31/EC (cd. “Direttiva e-Commerce”) implementata in Italia dal D.lgs. 70 del 2003 che disciplina i servizi del commercio elettronico intesi, alla luce della Direttiva (UE) 2015/1535, come qualsiasi servizio, prestato normalmente dietro retribuzione, a distanza, per via elettronica, mediante apparecchiature di elaborazione e di memorizzazione dati, a richiesta individuale di un destinatario dei servizi;
• Il Regolamento (UE) 2022/2065 (“Digital Service Act” o “DSA”) che oltre a definire i servizi intermediari come servizi della società dell’informazione di cd. mere conduit, caching o hosting, definisce anche come “piattaforma online”  un servizio di memorizzazione di informazioni che, su richiesta di un destinatario del servizio, memorizza e diffonde informazioni al pubblico, tranne qualora tale attività sia una funzione minore e puramente accessoria di un altro servizio o funzionalità minore del servizio principale.

La decisione di introdurre una nuova definizione di commercio elettronico, distinta da quelle esistenti, appare poco chiara. In particolare, non è chiaro se per “vendita automatizzata” si faccia riferimento all’attività di vendita online in cui vengono utilizzati meccanismi di automazione, come, ad esempio, sistemi di prezzi dinamici.

Non è, inoltre, chiaro se la normativa intenda regolamentare coloro che vendono beni e servizi propri oppure i marketplace che ospitano beni e servizi di terzi. Con riferimento a questi ultimi, si noti che la loro classificazione come servizi di hosting comporta un divieto di sorveglianza attiva sui contenuti ospitati su richiesta dei propri utenti.

La disciplina proposta

La normativa proposta, oltre a introdurre un obbligo generale di rispetto dei principi di uguaglianza, non discriminazione, trasparenza, proporzionalità, sicurezza, protezione dei dati personali, riservatezza, accuratezza e sostenibilità, impone anche ulteriori obblighi per le imprese che utilizzano l’intelligenza artificiale. Sebbene l’applicazione soggettiva di tali obblighi non sia chiaramente definita, un approccio teleologico porta a concludere che essi mirino a garantire un’applicazione responsabile e etica dei sistemi di IA nel settore del commercio online. Tali obblighi includono:

• Obbligo di trasparenza nei confronti degli utenti circa la funzionalità degli algoritmi usati, compreso il processo decisionale, i dati, i processi di prova e di convalida e i sistemi di gestione dei rischi (Articolo 3 comma 1 della proposta) nonché sul funzionamento delle tecnologie usate e sulle modalità con cui vengono influenzate le decisioni sui prodotti o servizi (Articolo 3 comma 2 della proposta);
• Obbligo di eseguire periodicamente regolari valutazioni etiche per identificare e mitigare gli IA bias negli algoritmi utilizzati (Articolo 5 della proposta).

La norma sembra prescrivere l’adozione di un sistema di gestione del rischio per tutti i sistemi di IA utilizzati nel settore del commercio elettronico, indipendentemente dalla loro classificazione come ad alto rischio.  Come separato obbligo, inoltre, viene prescritto quello di condurre valutazioni “etiche”, sebbene non sia chiaro come l’obbligo debba essere, nel concreto, soddisfatto. In particolare, non è specificato se per “valutazioni etiche” debba intendersi una valutazione del rischio discriminatorio oppure se debbano prendersi in considerazione altri fattori e quali parametri debbano essere utilizzati.

La vigilanza su tali previsioni spetterebbe all’Agenzia per la cybersicurezza nazionale e all’Agenzia per l’Italia digitale.  La proposta, inoltre, include una delega al Governo per la ripartizione  dei poteri, inclusi strumenti per inibire contenuti illeciti generati da intelligenza artificiale.

Per quanto riguarda la normativa in materia di protezione dei dati personali, viene richiamato espressamente il D.lgs. 196/2003 (cd. “Codice Privacy”) e il Regolamento (UE) 2016/679 (cd. “GDPR”). Tuttavia, non è presente alcun coordinamento con la disciplina delle pratiche commerciali scorrette di cui all’Articolo 20 del D.lgs. 206 del 2005 (cd. “Codice del Consumo”).

Fondo per innovazione e sviluppo tecnologico e formazione

La legge prevederebbe anche l’istituzione di un Fondo per innovazione e sviluppo tecnologico con una dotazione pari a 10 milioni di euro per il 2025, inteso a fornire supporto alle piccole imprese per l’adozione di sistemi di IA, ai fini dell’efficientamento dei processi logistici.

Si tratta di una proposta interessante, considerando che l’amministrazione USA ha recentemente annunciato il raddoppio degli attuali investimenti nella ricerca IA e che il settore manifatturiero italiano potrebbe trarre vantaggio dalla semplificazione delle attività di logistica.

La normativa prevede, inoltre, un obbligo di formazione di Stati, regioni e enti locali per la promozione di programmi formativi rispetto ai lavoratori coinvolti nell’utilizzo dell’intelligenza artificiale.

Quale regolamentazione per i sistemi di IA nel contesto del commercio elettronico?

Sebbene l’AI Act non affronti direttamente il tema dell’intelligenza artificiale applicata al commercio elettronico, ciò non significa che quest’ultimo non sia impattato dall’avvento della nuova regolamentazione. Inoltre, il commercio elettronico è soggetto ad un composito sistema normativo che, sebbene non direttamente destinato a tale scopo, trova applicazione anche laddove siano utilizzati sistemi di intelligenza artificiale.

Trasparenza nell’uso dei chatbot

L’AI Act, ad esempio, all’Articolo 50, prevede che i sistemi di IA destinati a interagire con le persone fisiche siano chiaramente individuabili come tali. Questo obbligo di trasparenza si applica anche ai sistemi di chatbot, ad esempio, utilizzati nel contesto delle attività di assistenza clienti.

Sistemi che manipolano o discriminano i comportamenti degli utenti

Come si è già avuto modo di ricordare, l’AI Act vieta i sistemi di IA che sfruttano vulnerabilità specifiche di un gruppo (quali età, situazione sociale o economica o disabilità) che influenzino il comportamento di una persona o di un gruppo in modo tale da rischiare un danno significativo ad una o più persone.

Similmente, è vietata l’immissione sul mercato, la messa in servizio o l’uso di Sistemi di Ia che utilizzino tecniche subliminali o tecniche volutamente manipolative e ingannevoli con lo scopo o l’effetto di distorcere i comportamenti e pregiudicare il processo decisionale in modo da  rischiare di causare un danno significativo. Con riferimento a quest’ultima fattispecie, inoltre, il Considerando 29 dell’AI Act espressamente richiama la normativa a presidio delle pratiche commerciali scorrette, evidenziando la complementarietà delle due norme.

Dove non arrivano i divieti dell’AI Act, infatti, trova applicazione la tutela consumeristica che si applica indipendentemente dalla significatività del danno occorso o rischiato. Infatti, è considerata scorretta (e, dunque, vietata e sanzionabile) la pratica commerciale che sia idonea a falsare “in misura apprezzabile” il comportamento del consumatore medio.

Rispetto ai divieti imposti dall’AI Act, inoltre, le pratiche commerciali scorrette operano anche in caso di manipolazione o distorsione del comportamento del consumatore “colposa” che avvenga, cioè, anche senza che il fornitore (o deployer)  ne abbiano intenzione specifica, in violazione del generale obbligo di diligenza professionale.

Non a caso, infatti, l’Autorità Garante della Concorrenza e del Mercato (AGCM) è, da tempo, protagonista di numerose iniziative indirizzate a fenomeni legati all’utilizzo di algoritmi per la determinazione dei prezzi (si vedano, a titolo esemplificativo e non esaustivo, i procedimenti IC863, relativo al prezzo dei biglietti aerei, e PS12560, indirizzato a Vueling Airlines) o nei sistemi di raccomandazione dei contenuti (si veda, ad esempio, il  procedimento PS12543 indirizzato a TikTok).

In aggiunta a quanto sopra, anche il Digital Service Act impone ai fornitori di piattaforme online di non progettare le loro interfacce online in modo tale da ingannare o manipolare i destinatari dei loro servizi o da materialmente falsare o compromettere la loro capacità di prendere decisioni libere e informate.

Normative applicabili ai sistemi di indicizzazione

Anche rispetto ai sistemi di indicizzazione, è prevista una tutela omnicomprensiva:

• Da un lato, l’Articolo 22 del Codice del Consumo è stato recentemente modificato con l’introduzione del comma 4-bis che prevede l’obbligo per i professionisti che consentono la ricerca di  prodotti offerti da professionisti diversi o consumatori (come i cd. marketplace), di mettere a disposizione, in un’apposita sezione dell’interfaccia online accessibile dalla pagina in cui sono presentati i risultati della ricerca, le informazioni circa i parametri principali che determinano la classificazione dei prodotti presentati al consumatore e l’importanza relativa di tali parametri rispetto ad altri parametri;
• Dall’altro lato lo stesso obbligo è previsto per i servizi di intermediazione online (cd. Servizi P2B) dall’Articolo 5 del  Regolamento (UE) 2019/1150 (cd. “Regolamento P2B” o anche “Regolamento Platform to business”), presidiato dall’ Autorità per le garanzie nelle comunicazioni (AGCOM), nei confronti degli utenti business, e, per i motori di ricerca online, nei confronti di titolari di siti web aziendali.

Normative applicabili alle decisioni automatiche prese dai fornitori di commercio elettronico rispetto ai propri utenti

Un’ulteriore potenziale applicazione dei sistemi di intelligenza artificiale nel settore del commercio elettronico è l’utilizzo di modelli nei processi relativi alla cancellazione, sospensione o limitazione dei contenuti o degli utenti stessi. Anche sotto questo profilo, la normativa già prevede tutele:

• L’Articolo 17 del Digital Service Act prevede che i prestatori di servizi di memorizzazione forniscano motivazioni chiare, comprensibili e dettagliate per restrizioni su contenuti illegali o in violazione dei propri termini e condizioni, specificando tipo, base giuridica, durata e strumenti di ricorso;
• L’Articolo 4 del Regolamento P2B prevede che i fornitori di servizi di intermediazione online comunichino agli utenti commerciali, su supporto durevole, le motivazioni per limitazioni o sospensioni al momento dell’effetto e, in caso di cessazione completa, con un preavviso di almeno 30 giorni. La comunicazione deve includere fatti, circostanze e motivazioni specifiche. Gli utenti possono chiarire i fatti tramite il processo interno di gestione reclami.

Normativa applicabile al trattamento dei dati personali

In caso di utilizzo di sistemi di intelligenza artificiale nel settore del commercio elettronico, trovano applicazione anche gli obblighi di trasparenza relativi al trattamento dei dati personali, vigilati dal Garante per la protezione dei dati personali. Infatti, gli articoli 13 e 14 richiedono che siano sempre indicate la finalità e la base giuridica per il trattamento dei dati nonché, nei casi in cui sia presente un trattamento decisionale automatizzato (inclusa la profilazione), delle informazioni significative sulla logica utilizzata nonché sull’importanza e le conseguenze per l’interessato.

A ciò si aggiunga che nei casi di sistemi che possano comportare dei bias  sarà necessario svolgere una valutazione di impatto. Infatti queste casistiche non soltanto presentano un rischio elevato per i diritti e le libertà degli interessati ma rappresentano una “valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche” come indicato dal comma 3 lettera a) dell’Articolo 35 del GDPR.

La necessità di un coordinamento

A fronte di quanto indicato sopra, ad oggi, la proliferazione di normative in materia di commercio elettronico e sistemi automatici richiede un’attività di sintesi più che di regolamentazione che sappia creare ordine in un panorama normativo variegato che oggi genera contrasti tra decisioni delle autorità competenti e incertezza negli operatori.

Anche dal punto di vista della trasparenza, un’eccessiva mole di obblighi informativi rischia di ottenere risultati opposti a quelli che ci si prefigge, disorientando il consumatore/utente con informazioni a volte non strettamente necessarie e che rischiano di generare confusione sia rispetto all’impatto dei sistemi sia rispetto ai diritti e alle relative modalità di esercizio.