Fiorella Battaglia, Professoressa associata di Filosofia morale e Direttrice del Laboratory for Ethics in the Wild del Digital Humanities Centre, Università degli Studi del Salento e Ludwig-Maximilians Universität, München
(membro CEI CT 324)
Maria Cristina Gaeta, Ricercatore di Diritto privato e Segretario scientifico ReCEPL, Università degli Studi Suor Orsola Benincasa
(membro CEI CT 324)
*Pubblicazione finanziata dall’Unione Europea- Next Generation EU, Missione 4 Componente 1 CUP F53D23010740001
Introduzione: BCI tra rischi e opportunità
Le interfacce cervello-computer (BCI) rientrano tra le tecnologie più promettenti dell’era digitale, ma possono comportare molteplici rischi sul piano etico e legale che vanno analizzati e, ove possibile, prevenuti.
Le BCI sono caratterizzate da un forte interesse pubblico. Le neurotecnologie di consumo infatti stanno entrando nella quotidianità. Questa circostanza non deve far dimenticare la natura delicata di questi dispositivi. In particolare, non bisogna arrivare ai dispositivi medici per comprendere l’urgenza delle misure regolatorie che occorre predisporre.
I dispositivi BCI sono, capaci di stabilire una comunicazione diretta tra il cervello umano e un sistema esterno (come un computer o un arto robotico), aprono scenari impensabili fino a pochi anni fa. Si pensi al cursore sullo schermo mosso semplicemente pensando, alla possibilità di adattare le metodologie didattiche agli stili di apprendimento individuali e al monitoraggio dell’attenzione degli studenti, ovvero al miglioramento delle prestazioni cognitive in ambito lavorativo e al controllo di macchinari complessi con la mente, alla mobilità di una persona paralizzata grazie a un esoscheletro guidato dai suoi impulsi cerebrali, alla riabilitazione motoria, al trattamento di disturbi neurologici e all’espressione della volontà per persone con disabilità.
Tuttavia, con il progresso tecnologico, emergono inevitabilmente nuove sfide etiche e legali che richiedono un’adeguata regolamentazione, partendo dal dialogo tra scienze umane (in particolare la filosofia), sociali (in primo luogo, il diritto) e tecniche (nello specifico l’ingegneria). Le BCI non fanno eccezione. La capacità di “leggere” e “interpretare” l’attività cerebrale solleva interrogativi di estrema rilevanza, con particolare riguardo alla sicurezza e ai conseguenti profili di responsabilità. Di non poco conto sono le questioni legate alla sicurezza fisica (safety) e informatica (cybersecurity), attacchi all’utente e al dispositivo BCI, anche tramite la rete internet (brain hacking). Con riferimento alla privacy, che rientra tra le principali problematiche in caso di violazione della sicurezza informatica, ad esempio, risulta centrale il rischio di accesso e trattamento non autorizzato ai dati neurali e mentali, che potrebbero essere utilizzati ai fini della profilazione psicologica o di discriminazione. La sicurezza delle tecnologie di BCI, poi, incide anche sul pensiero e sulle decisioni, potendo le tecnologie di BCI implicare una perdita o comunque una limitazione del controllo sulla propria mente, e così violando il diritto all’autodeterminazione dell’utente. Pertanto, le questioni connesse alla responsabilità civile sono molteplici e variano dalla difficoltà di individuare il soggetto responsabile alla prova e quantificazione del danno subito.
Questi sono solo alcuni dei principali rischi dai quali emerge forte la necessità di una “Compliance by Design” che sia tanto etica quanto legale e che sia imperniata sul dialogo con gli ingegneri, coloro i quali sono impegnati nella progettazione e, poi, nella realizzazione di tali tecnologie. Infatti, per affrontare le sfide poste dalle BCI e garantire neurotecnologie sicure, è essenziale adottare un approccio di compliance fin dalla fase di progettazione che tenga conto dei principi etici, delle regole giuridiche e di come i principi e le regole possano essere tradotti in linguaggio di programmazione da parte degli ingegneri. Ciò significa integrare fin dalla fase di progettazione nei sistemi BCI i fondamenti etici e legali, oltre che garantire il rispetto degli standard tecnici. In altre parole, la tutela dei diritti fondamentali dell’uomo deve essere un elemento intrinseco della tecnologia, non una verifica eventuale e successiva.
Nel rapporto tra essere umano e tecnologie di intelligenza artificiale, come le principali tecnologie BCI, emerge un nuovo concetto di vulnerabilità: la vulnerabilità tecnologica [1]. Si tratta della condizione di vulnerabilità di ogni essere umano rispetto allo sviluppo tecnologico, a prescindere da una già potenziale condizione di debolezza (diversamente abili, minori di età, anziani, asimmetria del potere contrattuale o asimmetria informativa).
La regolamentazione delle neurotecnologie
Emerge chiaramente la necessità di una legislazione che tuteli l’essere umano in quanto tale in una prospettiva di sviluppo sostenibile delle nuove tecnologie, come quelle di BCI.
In tale direzione muovono le istituzioni nazionali e sovranazionali. Ciò si evince già a partire dalla normativa sulla tutela del consumatore degli anni ‘90 fino alla più recente regolamentazione emanata dall’unione europea: il Regolamento sull’Intelligenza Artificiale (Reg. 2024/1689/UE – AI Act) e il nuovo regolamento sulla responsabilità del produttore (Reg. 2024/2853/UE – Nuova PLD), ora espressamente applicabile anche ai prodotti intelligenti.
Anche le neurotecnologie sono “prodotti” e, in quanto tali, rientrano nell’ambito di regolamentazione dalla normativa esistente sulla tutela del consumatore, incentrata sulla sicurezza dei prodotti. Con il passare degli anni, le mutate esigenze di tutela degli individui in relazione allo sviluppo e utilizzo delle nuove tecnologie, ha richiesto la previsione di una nuova e più severa regolamentazione che, partendo dal concetto di “sicurezza” dei prodotti, giunge a quello di “rischio”, e si basa sulla valutazione dell’impatto del rischio (risk impact assessment) e gestione del rischio (risk management) dei prodotti tecnologici, anche dotati di intelligenza artificiale (IA), proprio al fine di ridurre i rischi per gli esseri umani.
Già con la vecchia Direttiva 85/374/CEE (attualmente abrogata dalla Direttiva 2024/2853/UE), i prodotti (anche prodotti intelligenti) devono rispettare i requisiti e gli standard di sicurezza esistenti. La Commissione Europea, poi, ha elaborato un framework di riferimento sempre più accurato che include anche la sicurezza dei prodotti di consumo e al quale si aggiunge la supervisione da parte delle autorità pubbliche competenti.
Più nel dettaglio, il requisito della sicurezza comprende in senso ampio sia la safety (sicurezza) che la (cyber)security (sicurezza informatica), entrambe già regolamentate. La sicurezza riguarda anche gli individui (utenti) che utilizzano applicazioni neurotecnologiche, così come quella degli altri esseri umani e l’ambiente circostante nell’interazione con gli individui che utilizzano tali applicazioni neurotecnologiche. La sicurezza informatica, invece, è legata al funzionamento dei sistemi IT (Information Technology), e in questo ambito assume particolare rilevanza la cybersecurity, che mira tra l’altro, a proteggere i prodotti intelligenti dagli attacchi hacker e dai bias algoritmici.
Inoltre, un adeguato rispetto della sicurezza include anche il rispetto della privacy, poiché i dati devono essere protetti anche attraverso adeguate misure tecniche e organizzative previste per garantire la sicurezza dei prodotti al fine di evitare intrusioni, usi non autorizzati e manipolazioni dei dati personali.
La sicurezza e la conseguente responsabilità in caso di danno per mancato rispetto dei requisiti di sicurezza dei prodotti è sempre stata regolamentata a livello europeo e nazionale. Nello specifico, rilevano la già menzionata Nuova PLD e il codice del consumo (in particolare artt. cod. cons. 114 ss.) e il codice civile italiano (in particolare artt. 2043 ss. art. 2059 c.c.).
La cybersecurity, allo stesso modo, è regolata a livello eurounitario e nazionale. Nell’ambito di tale regolamentazione si annovera la Direttiva NIS2 (Direttiva 2022/2555/UE, Direttiva sulla sicurezza dei sistemi informatici e di rete, che ha sostituito la precedente Direttiva NIS 2016/114/UE, recepita in Italia con il D.Lgs. n. 138/2024), che mira a realizzare un elevato livello comune di sicurezza informatica in tutta l’Unione Europea, garantendo la protezione dei prodotti intelligenti connessi online.
A tale normativa sulla sicurezza dei prodotti si è aggiunto un nuovo pacchetto di Regolamenti UE fondati sull’approccio della valutazione e gestione del rischio (risk assessment & management), che spaziano dal Regolamento generale sulla protezione dei dati (Reg. 2016/679/UE – GDPR), recepito in Italia con il D.Lgs. n. 193/2006 e successive modifiche [2] al già menzionato AI Act. Il quadro normativo sulla responsabilità da intelligenza artificiale – anche in considerazione del nuovo approccio basato sulla misurazione e gestione del rischio – sembrava poter essere completato dalla direttiva sulla responsabilità del danno da intelligenza artificiale (AILD – COM(2022) 496 final), che aveva l’ambizioso obiettivo di armonizzare le norme sulla responsabilità civile extracontrattuale per danno da intelligenza artificiale in tutta Europa. La proposta, però, presentava non poche criticità, tanto sul fronte dei criteri di attribuzione della responsabilità, che su quello dell’armonizzazione delle normative nazionali, ed è stata ritirata nel febbraio 2025.
Segnatamente, per quanto riguarda l’approccio basato sul rischio, al fine di misurare e gestire l’impatto dell’IA sui diritti fondamentali dell’uomo, l’AI Act ha previsto un Sistema di gestione dei rischi per i sistemi di IA ad alto rischio (art. 9), nonché una valutazione d’impatto sui diritti fondamentali (c.d. Fundamental Rights Impact Assessment – FRIA) – ai sensi dell’art. 27 – per i sistemi di IA ad alto rischio indicati nello stesso articolo [3]. Tale modalità di misurazione e gestione fondata sull’approccio c.d. risk based è sempre più al centro delle tecniche di regolamentazione e richiede un approccio multidisciplinare. Inoltre, questo meccanismo va oltre i requisiti di sicurezza già previsti a livello europeo, adattando la regolamentazione in base al livello di rischio dell’IA, come conseguenza della misurazione dell’impatto della tecnologia dell’intelligenza artificiale sui diritti umani, in un’ottica di maggiore tutela dell’individuo. Ad un diverso livello di rischio, corrisponderebbe una più o meno stringente compliance by design da porre in essere prima della commercializzazione dei dispositivi di BCI al fine di verificarne l’impatto s quei diritti definiti “neurodiritti” [4].
Le disposizioni dell’AI Act potrebbero effettivamente muovere nella direzione di prevenire determinati rischi per l’individuo, costituendo una regolamentazione quadro di riferimento che però deve essere applicata caso per caso alle tecnologie. Ad esempio, le tecnologie di BCI possono rientrare nel novero delle tecnologie di IA proibite (art. 5 AI Act) quando le tecnologie utilizzano tecniche subliminali che agiscono senza che una persona ne sia consapevole o tecniche volutamente manipolative o ingannevoli, con l’effetto di distorcere materialmente il comportamento umano. Inoltre, le Linee Guida sui sistemi di IA vietati (4.02.2025 C(2025) 844 final) pongono l’accento sui rischi delle neurotecnologie, facendo espresso riferimento alle interfacce cervello-computer, che aumentano il rischio di una sofisticata manipolazione subliminale e la capacità di influenzare il comportamento umano al livello del subconscio, estendersi a tecniche avanzate come il dream-hacking e il brain spyware.
In considerazione della complessità delle nuove fattispecie giuridiche caratterizzate da applicazioni di BCI risulta sempre più chiara la previsione anche di norme ad hoc per le neurotecnologie, ma prima di poter intervenire con norme cogenti il primo passaggio è quello di analizzare nel dettaglio le applicazioni di BCI al fine di comprenderne il funzionamento e i principali rischi. Questa è la strategia attualmente adottata anche a livello internazionale (Recommendation of the Council on responsible innovation in Neurotechnology, 2019) ed Europeo (Study of the European Parliament, The protection of mental privacy in the era of neuroscience, PE 757.807 – July 2024; Research Paper of the Council of the European Union, From vision to reality. Promises and risks of Brain-Computer Interface). A livello nazionale, invece, è già stato proposto un DDL n. 1245/2024 per l’introduzione dell’Autorità nazionale per l’intelligenza artificiale e le neurotecnologie.
Il ruolo dell’etica nel progresso tecnologico
Facciamo un passo indietro per vedere come la filosofia abbia tentato di rendere conto della mente. Per certi versi l’intrusione delle neurotecnologie non è qualcosa di interamente nuovo. A iniziare dall’inconscio freudiano, per passare all’esistenza di un’elaborazione mentale inconscia secondo la moderna psicologia cognitiva fino ad arrivare all’evidenza psicologica della fallibilità dei giudizi “introspettivi” delle persone sui propri processi mentali, il diritto all’autodeterminazione dei propri contenuti mentali è stato messo a dura prova [5]. La tesi cartesiana dell’accesso privilegiato ai contenuti mentali sembra essere un’aspirazione piuttosto che una realtà. Certo è che “the right to be let alone”, il diritto di essere liberi dal governo o dalle intrusioni degli altri nella propria vita privata dopo le tecniche neurologiche di brain imaging è oggi di nuovo messo in questione dall’applicazione del processo di reverse inference a partire da dati non neurali. Non è perciò un caso che studiosi come Nita Farahany [6] definiscano la libertà cognitiva “l’ultima fortezza da difendere contro il capitalismo della sorveglianza” paventato da Shoshana Zuboff [7] e, con lei, da neuroscienziati come Rafel Yuste [8] e bioeticisti come Marcello Ienca [9]. Mark Zuckerberg, fondatore e CEO di Meta, da tutta un’altra prospettiva, definisce un’interfaccia neurale come il Santo Graal. A fronte di questa analisi, c’è la necessità di pensare la “privatezza del mentale”. La privacy è intesa prevalentemente come il diritto di essere lasciati in pace dagli altri. Protegge l’individuo dalle intrusioni nella sfera privata da parte di governi, aziende e cittadini e si concentra sul diritto di impedire l’accesso ai propri dati, al proprio corpo o alla propria casa. Mentre la definizione del diritto alla privacy risale alla caratterizzazione che Samuel D. Warren e Louis D. Brandeis ne diedero nel loro articolo del 1890 sulla Harward Law Review come moderna formula dello “jus solitudinis”, e cioè il diritto a essere lasciati soli, per godere in pace della propria vita, le discussioni per stabilire cosa sia la privacy sono molteplici. È stato affermato a più riprese che la privacy è una richiesta, un diritto, un interesse, un valore, una preferenza, o semplicemente una forma di esistenza. Facendo seguito a questa molteplicità di caratterizzazioni, è stato sostenuto che non è possibile rimandare a un carattere unitario quando si parla di privacy [10]. Infatti, anche nel caso della privacy del mentale dobbiamo distinguere tra una privacy dei nostri dati neurali – una neuroprivacy – e una privacy dei dati che riguardano gli stati psicologici – la privacy del mentale [11]. La sfida è se sia possibile argomentare a favore di un fondamento comune che consisterebbe nell’interesse che noi abbiamo nell’avere controllo su certi tipi di intrusione. I ragionamenti che si invocano per giustificare un diritto alla privacy fanno capo a descrizioni generali degli interessi degli individui che verrebbero violati da pratiche intrusive e rimandi a norme di genere diverso. Queste norme variano in maniera considerevole. Thomas Nagel scriveva nel 1998 che “Il confine tra ciò che riveliamo e ciò che non riveliamo, e un certo controllo su tale confine, sono tra gli attributi più importanti della nostra umanità” [12]. Alcuni autori considerano questa una caratteristica fondamentale tanto che una violazione della privacy ammonta nella loro prospettiva a essere trattati come una cosa. Fin dal diritto romano, tutte le entità sono state classificate e regolate come persone o come cose (soggetti o oggetti). Tuttavia, questo dualismo concettuale, epistemologico e normativo è attualmente messo in discussione, se si abbandona il principio della privatezza della mente. La ricerca e l’innovazione dirompente, di cui la ricerca neuroscientifica ma anche quella dell’IA sono un esempio importante, minacciano di corrompere questa distinzione fondamentale e di trasformare il soggettivo, l’umano, alla stregua di una cosa. Una diversa argomentazione invece prende le mosse dalla considerazione della tutela del controllo dei propri contenuti mentali in vista di salvaguardare l’autonomia della persona. Questa argomentazione non ha necessità di rimandare a una concezione metafisica della mente come quella cartesiana per la quale l’accesso privilegiato è una condizione essenziale della mente. L’autonomia rimanda invece a una condizione relazionale in cui a seconda dei contenuti condivisi si dà forma alla soggettività, all’attività agenziale e di conseguenza all’autonomia della persona.
A un livello più sociologico, invece, il confine tra ciò che è privato e ciò che non lo è viene considerato necessario per una buona convivenza civile. Siamo quindi nel regno delle convenzioni. Altre norme invece trovano espressione in vere e proprie prescrizioni legislative. Rispondere a questa sfida, cioè di dare unità alla teoria della privacy è importante soprattutto nel nostro caso. Per Cartesio l’autorità della prima persona sui propri contenuti mentali, il tipo di autorità speciale che lui vedeva, era non solo un dato di fatto ma anche l’essenza della mente e, siccome tale, andava salvaguardata. È chiaro che questo argomento oggi non può funzionare perché le condizioni sono mutate. È possibile, infatti, aggirare l’autorità speciale della prima persona, addirittura in alcuni casi auspicabile [13]. Significa questo che l’accesso privilegiato non possa essere più considerato un carattere essenziale della mente e perciò viene a perdere il diritto a essere salvaguardato? La risposta a questa domanda configura di conseguenza la necessità di regolare quali siano gli interventi leciti e quali invece quelli non consentiti. Occorre perciò esprimersi sulle motivazioni alla base di tali scelte. Tali motivazioni saranno capaci di discriminare tra interventi tesi a garantire il benessere e la salute degli individui e interventi invece tesi a salvaguardare uno spazio privato dall’intrusione altrui e, ancora, interventi tesi a proteggere l’interesse pubblico. L’interesse pubblico non si manifesta solo nella possibilità di usare i dati mentali per far progredire la conoscenza medica e i suoi interventi, ma anche per esempio in casi di prove neurologiche da usare in caso di processi. Questa protezione ha aspetti non solo teorici, ma anche risvolti pratici. L’intrusione a volte configura anche un intento sia di sorveglianza che manipolatorio. Siamo ancora lontani dall’avere una completa comprensione degli stati mentali dalla lettura dei dati cerebrali grezzi e da quelli non cerebrali. Ma i progressi del machine learning non ce ne terranno a lungo lontani.
Un modello di tool per la verifica della Legal&Ethical compliance by design
Il diritto e l’etica hanno il compito di contribuire alla definizione dei limiti e delle responsabilità nell’uso delle BCI, garantendo la tutela dei diritti fondamentali. Il diritto da solo non basta. È necessario un dibattito giuridico, etico e tecnico, che sia ampio e approfondito, e soprattutto costante, partendo dalla progettazione dei dispositivi e giungendo fino alla loro sperimentazione e immissione in commercio. Solo così potremo sviluppare tecnologie BCI che siano progettate per essere al servizio dell’umanità.
Le interfacce cervello-computer rappresentano una straordinaria opportunità per migliorare la vita delle persone e ampliare le capacità umane. Contemporaneamente, però, è fondamentale affrontare le sfide etiche e legali connesse a tali tecnologie in modo proattivo e responsabile. La “compliance by design”, inclusa la concreta verifica dell’impatto delle tecnologie sui diritti umani, è la chiave per garantire la tutela degli individui in relazione allo sviluppo tecnologico.
In questa prospettiva un gruppo di ricerca del Centro di Ricerca in Diritto Privato Europeo (ReCEPL) dell’Università degli Studi Suor Orsola Benincasa, l’Ethics in the Wild Research Lab del Centro DH dell’Università del Salento e l’Istituto Dirpolis della Scuola Superiore Sant’Anna da diversi anni studia la compliance by design dei dispositivi tecnologici tra i quali, quelli di BCI. La ricerca è poi stata estesa alla realizzazione di un modello di tool per la misurazione dell’impatto delle tecnologie di IA sui diritti fondamentali dell’uomo, grazie all’ingresso nel team di alcuni ricercatori di area informatica [14].
Due dei componenti del team (le autrici di questo articolo – n.d.r.) sono membri del Comitato Tecnico (CT) 324 su Brain Computer Interface del Comitato Elettrotecnico Italiano (CEI) e offrono il proprio expertise per la normazione della BCI in dialogo tra le scienze etico-legali e quelle ingegneristiche.
La predisposizione di un modello di questionario interattivo, atto a valutare l’impatto dei dispositivi di BCI di area non medica su privacy, sicurezza fisica e psichica (inclusa l’autodeterminazione) e sicurezza informatica è stato il primo step del prototipo. Lo scopo del prototipo è quello di prevenire i rischi – in ottica di tutela preventiva – e poterne più concretamente quantificare i danni, in una prospettiva risarcitoria.
Bibliografia
[1] Gatt L. 2021, The vulnerability of the human being in a technological environment: the need for protective regulation, in Gatt L. (edited by), Social networks and multimedia habitats, Jean Monnet Chair PROTECH, “European Protection Law of Individuals in Relation to New Technologies” 1st International Workshop A.Y. 2019-2020, Abstract Book, in ReCEPL Series, vol.2, Suor Orsola University Press, Napoli.
[2] D’Orazio R., Cuffaro V., Ricciuto V. (a cura di) 2019, I dati personali nel diritto europeo, Torino); Pizzetti F. 2018, Intelligenza artificiale, protezione dei dati personali e regolazione,Torino; Gatt L., Montanari R., Caggiano I.A. (a cura di) 2021, Privacy and Consent. A Legal and UX&HMI Approach, Napoli; Gaeta M.C. 2018, La protezione dei dati personali nell’Internet of Things: l’esempio dei veicoli autonomi, in “Dir. Inf.”, I, pp. 147 ss..
[3] Gatt L., Caggiano I.A., Savella R., Troisi E., Pratesi F., Trasarti R. 2024, FRIA implementation model according to the AI Act, proceeding of the IEEE International Conference MetroXRAINE, pp. 1224 – 1229.
[4] Ienca M., Andorno R. 2017, Towards New Human Rights in the Age of Neuroscience and Neurotechnology, in Life Sciences, Society and Policy; Ienca M. 2021 ‘On neurorights’, in Frontiers in Human Neuroscience.
[5] Thaler R.H. e Sunstein C.R. 2009, La spinta gentile. La nuova strategia per migliorare le nostre decisioni su denaro, salute, felicità, Feltrinelli.
[6] Farahany N. 2023, Difendere il nostro cervello. Bollati Boringhieri.
[7] Zuboff S. 2019, Il capitalismo della sorveglianza. Luiss University Press.
[8] Yuste R., Goering S., Arcas B. et al. 2017, Four ethical priorities for neurotechnologies and AI. Nature, 551, 159-163.
[9] Ienca M. e Andorno R. 2017, Towards new human rights in the age of neuroscience and neurotechnology, Life Sciences, Society and Policy 13 (1):5.
[10] Thomson J.J. (1975). The right to privacy. Philosophy and Public Affairs 4 (4):295-314.).
[11] Ienca, M., Fins, J.J., Jox, R.J. et al. Towards a Governance Framework for Brain Data.Neuroethics 15, 20 (2022). https://doi.org/10.1007/s12152-022-09498-8.
[12] Nagel T. (1998), Concealment and Exposure. Philosophy & Public Affairs, 27: 3-30.
[13] Battaglia, F. e Di Vetta G., 2022. Technology to unlock the mind: citizen science and the sandbox approach for a new model of BCI governance. 563-567. 10.1109/MetroXRAINE54828.2022.9967580)
[14] Gatt l., Caggiano I.A., Gaeta M.C., Mollo A.A 2022, BCI Devices and Their Legal Compliance: A Prototype Tool for Its Evaluation and Measurement, proceeding of the IEEE International Conference MetroXRAINE, pp. 551 – 556; Gatt l., Caggiano I.A., Gaeta M.C., Mollo A.A. 2025, Neurorights in BCI applications: a private law perspective, in EJLT, forthcoming.
Archivio Numeri
