La Cassazione decide: le piattaforme che creano un indice di affidabilità sono legittime se trasparenti e chiare nel loro funzionamento, anche senza rivelare i dettagli matematici.

L’intelligenza artificiale è sbarcata anche nel campo del rating reputazionale. Si stanno moltiplicando i software che valutano l’indice di affidabilità di individui e aziende. Il loro utilizzo può essere ampio ma probabilmente le prime ad avvantaggiarsene saranno le banche che potranno così valutare la serietà e le garanzie offerte dai propri clienti al momento della richiesta di prestiti. Ma tali sistemi sono legittimi o invadono la nostra privacy? Si può dare un voto alle persone? La valutazione sul comportamento, sulla storia e sulle decisioni della gente può risolversi in un semplice punteggio?

Recentemente, la Cassazione si è espressa in merito alla legittimità di tali piattaforme (sent. n. 28358/2023 del 10.10.2023). La questione era sorta a seguito dell’impugnazione di un provvedimento del Garante per la protezione dei dati personali che aveva inibito ai gestori di un algoritmo, in grado di fornire un “rating reputazionale”, l’utilizzo dello stesso nonostante il consenso dell’utente. Un consenso “poco informato” a detta dell’Authority. La Corte però è stata di parere diverso. Ecco le motivazioni fornite dai giudici supremi e le condizioni per il legittimo funzionamento della piattaforma che calcola l’indice di affidabilità delle persone.

Che cosa è il rating reputazionale?

Il rating reputazionale è un indice che determina l’affidabilità di individui, aziende, enti e istituzionibasandosi su vari parametri quali i reati commessi, l’impegno civile, gli inadempimenti verso il fisco, la situazione lavorativa, la famiglia e gli studi.

Cosa aveva deciso il Garante della privacy?

Il Garante della privacy aveva inizialmente vietato queste piattaforme, evidenziando la potenziale violazione del Codice privacy e l’incidenza negativa sulla dignità delle persone.

La censura principale mossa dal Garante era la mancanza di trasparenza nel modo in cui i dati venivano elaborati per assegnare un “voto” all’individuo. Ciò faceva sì che anche il consenso espresso dall’utente prima dell’immissione dei suoi dati nella piattaforma non potesse ritenersi legittimo.

Sono legittimi i software di intelligenza artificiale che danno un voto alle persone?

Secondo la Cassazione, ben è possibile creare un sistema di IA (intelligenza artificiale) in grado di misurare l’indice di affidabilità di persone fisiche e giuridiche a patto chiaramente che il destinatario del trattamento dei dati sia informato di ciò e vi acconsenta. L’informativa sulla privacy deve limitarsi a illustrare, in modo chiaro e dettagliato, le finalità e il procedimento seguito dall’algoritmo per determinare il punteggio. Non è invece necessario spiegare l’intero sistema matematico alla base del rating (cosa che peraltro in pochi potrebbero comprendere).

La Cassazione ha sottolineato che, mentre non è essenziale mostrare o comprendere il linguaggio informatico, è fondamentale che l’utente sia a conoscenza del procedimento che porta al risultato. In altre parole, gli utenti devono sapere quali variabili influenzano il loro punteggio e come.

Come viene determinato il punteggio?

L’algoritmo segue un “schema esecutivo”, ovvero una serie di passi sequenziali basati su dati specifici (input) che conducono a un risultato (output). Nel caso in discussione, l’algoritmo era conforme agli standard accademici: aveva passaggi chiari e univoci che portavano a un risultato definito.

Qual è l’opinione finale della Cassazione?

La Suprema corte ha ritenuto che le piattaforme di rating reputazionale siano legittime. Ma ciò solo a patto che vengano rispettate le seguenti condizioni:

• i dati possono essere immessi nel sistema di IA previa autorizzazione dell’interessato;
• l’interessato deve ricevuto una adeguata informativa sul trattamento dei dati stessi;
• l’informativa deve spiegare il procedimento logico con cui il sistema matematico giunge a dargli un punteggio finale;
• tale informativa deve essere chiara e semplice da comprendere anche per un soggetto non esperto. In altri termini, il procedimento algoritmico deve essere trasparente. Diversamente il sistema potrebbe essere facilmente alterato e i voti potrebbero non avere alcun criterio logico apparente, generando risultati contraddittori.

«Ciò che rileva – scrive la Cassazione – è che sia possibile tradurre in linguaggio matematico/informatico i dati di partenza, cosicché il tutto divenga comprensibile alla macchina, grazie ai soggetti esperti programmatori, secondo le sequenze e le istruzioni tratte dai dati in chiaro come descritti dal Regolamento per determinare il rating».