Pubblicato nella Gazzetta Ufficiale dell’Unione Europea del 12 luglio 2024 l’AI Act, ovvero il Regolamento (UE) 2024/1689 del 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale.
In sintesi, ecco le novità principali dell’AI Act per gli utilizzatori, siano esse persone fisiche e giuridiche, soprattutto quando utilizzino tali sistemi a livello professionale.
Gli obbiettivi dell’AI Act
- migliorare il funzionamento del mercato interno, istituendo un quadro giuridico uniforme per quanto riguarda lo sviluppo, l’immissione sul mercato, la messa in servizio e l’uso di sistemi di intelligenza artificiale nell’Unione, in conformità dei valori dell’Unione
- promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile
- garantire un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea, compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente
- proteggere contro gli effetti nocivi dei sistemi di IA nell’Unione
- promuovere l‘innovazione.
L’AI Act, in sintesi
Il Regolamento garantisce la libera circolazione transfrontaliera di beni e servizi basati sull’IA: impedisce quindi agli Stati membri di imporre autonomamente restrizioni allo sviluppo, alla commercializzazione e all’uso di sistemi di IA.
Il Regolamento stabilisce:
- regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dei sistemi di IA nell’Unione
- divieti di talune pratiche di IA
- requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi
- regole di trasparenza armonizzate per determinati sistemi di IA
- regole armonizzate per l’immissione sul mercato di modelli di IA per finalità generali
- regole in materia di monitoraggio e vigilanza del mercato, governance ed esecuzione
- misure a sostegno dell’innovazione, con attenzione alle PMI, comprese le start-up.
Definizioni fondamentali nell’AI Act
Ai sensi dell’AI Act, si definisce “sistema di IA” quel sistema che presenta congiuntamente le seguenti caratteristiche:
- consiste in un sistema automatizzato progettato per funzionare con livelli di autonomia variabili
- può presentare adattabilità dopo la diffusione
- per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.
Viene inoltre definito come “deployer”, ai sensi del Regolamento, la persona fisica o giuridica, autorità pubblica, agenzia o altri organismi che utilizzano un sistema di IA sotto la propria autorità, ad eccezione nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale.
Sistemi di AI ad alto rischio
L’AI Act classifica i diversi tipi di intelligenza artificiale in base al rischio:
- i sistemi di AI con rischio limitato sono soggetti a obblighi di trasparenza molto leggeri
- i sistemi di AI ad alto rischio sono autorizzati, ma soggetti a una serie di requisiti e obblighi per accedere al mercato dell’UE.
Un sistema di IA è considerato ad alto rischio se si verificano entrambe le condizioni:
- il sistema di IA è destinato a essere utilizzato come componente di sicurezza di un prodotto, o il sistema di IA è esso stesso un prodotto
- il prodotto, il cui componente di sicurezza a norma della lettera a) è il sistema di IA, o il sistema di IA stesso in quanto prodotto, è soggetto a una valutazione della conformità da parte di terzi ai fini dell’immissione sul mercato o della messa in servizio di tale prodotto.
Sono considerati ad altro rischio tutti i sistemi di cui all’allegato III del Regolamento, a meno che non presentino un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche, ovvero non influenzi materialmente il risultato del processo decisionale.
Prima che un sistema di intelligenza artificiale ad alto rischio venga utilizzato da alcuni enti che forniscono servizi pubblici, dovrà in ogni caso essere valutato l’impatto sui diritti fondamentali.
I sistemi di AI ad alto rischio dovranno essere registrati nella banca dati dell’UE per i sistemi di AI ad alto rischio, e gli utenti di un sistema di riconoscimento delle emozioni dovranno informare le persone fisiche quando sono esposte a tale sistema.
I sistemi di IA ad alto rischio devono essere progettati e sviluppati, anche con strumenti di interfaccia uomo-macchina adeguati, in modo tale da poter essere efficacemente supervisionati da persone fisiche durante il periodo in cui sono in uso.
La sorveglianza umana è volta a prevenire o ridurre al minimo i rischi per la salute, la sicurezza o i diritti fondamentali, che possono emergere quando un sistema di IA ad alto rischio è utilizzato conformemente alla sua finalità prevista o in condizioni di uso improprio ragionevolmente prevedibile, in particolare qualora tali rischi persistano nonostante l’applicazione di altri requisiti di cui alla presente sezione.
I sistemi vietati
Sono vietati:
- i sistemi di AI come la manipolazione cognitiva del comportamento e il social scoring sono vietati.
- l’uso dell’AI per la polizia predittivabasata sulla profilazione e i sistemi che utilizzano dati biometrici per classificare le persone in base a categorie specifiche come razza, religione o orientamento sessuale
- sistemi di IA che creano o ampliano le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso
- i sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione (tranne dove l’uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza)
- l’uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico a fini di attività di contrasto, a meno che, e nella misura in cui, tale uso sia strettamente necessario per:
- la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse;
- la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone fisiche o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico;
- la localizzazione o l’identificazione di una persona sospettata di aver commesso un reato, ai fini dello svolgimento di un’indagine penale, o dell’esercizio di un’azione penale o dell’esecuzione di una sanzione penale per i reati di cui all’allegato II del Regolamento, punibile nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà della durata massima di almeno quattro anni.
Monitoraggio dei Deployer
I deployer di sistemi di IA ad alto rischio:
- adottano idonee misure tecniche e organizzative per garantire di utilizzare tali sistemi conformemente alle istruzioni per l’uso che accompagnano i sistemi
- affidano la sorveglianza umana a persone fisiche che dispongono della competenza, della formazione e dell’autorità necessarie nonché del sostegno necessario.
- monitorano il funzionamento del sistema di IA ad alto rischio sulla base delle istruzioni per l’uso e, se del caso, informano i fornitori a tale riguardo conformemente all’art. 72 (che impone al fornitore un monitoraggio costane dei sistemi da AI, anche in base ai dato forniti dai deployer)
- qualora abbiano motivo di ritenere che l’uso del sistema di IA ad alto rischio in conformità delle istruzioni possa comportare che il sistema di IA presenti rischi per la salute o la sicurezza o per i diritti fondamentali delle persone, ne informano, senza indebito ritardo, il fornitore o il distributore e la pertinente autorità di vigilanza del mercato e sospendono l’uso di tale sistema.
- qualora abbiano individuato un incidente grave, ne informano immediatamente anche il fornitore e successivamente l’importatore o il distributore e le pertinenti autorità di vigilanza del mercato.
- se sono istituti finanziari soggetti a requisiti in materia di governance, di dispositivi o di processi interni stabiliti a norma del diritto dell’Unione in materia di servizi finanziari, l’obbligo di monitoraggio si considera soddisfatto se sono soddisfatte le regole sui dispositivi, sui processi e sui meccanismi di governance interna a norma del pertinente diritto in materia di servizi finanziari.
Modelli di AI per scopi generali
L’AI Act tratta anche l’uso di modelli di IA per scopi generali (GPAI), i quali, se non presentano rischi sistemici, saranno soggetti ad alcuni requisiti limitati, ad esempio per quanto riguarda la trasparenza; quelli che presentano invece rischi sistemici dovranno rispettare regole più severe.
Nuovi organi di governo nell’AI Act
Per garantire un’applicazione adeguata, sono stati istituiti diversi organi di governo:
- un Ufficio AI all’interno della Commissione per far rispettare le regole comuni in tutta l’UE
- un gruppo scientifico di esperti indipendenti per sostenere le attività di applicazione delle norme
- un comitato per l’AI con rappresentanti degli Stati membri per consigliare e assistere la Commissione e gli Stati membri nell’applicazione coerente ed efficace della legge sull’AI
- un forum consultivo per le parti interessate che fornisca competenze tecniche al comitato per l’IA e alla Commissione.
Sanzioni
Le ammende per le infrazioni alla legge sull’IA sono fissate come una percentuale del fatturato annuo globale dell’azienda trasgressore nell’esercizio finanziario precedente o di un importo predeterminato, a seconda di quale sia più alto; le PMI e le start-up sono soggette a sanzioni amministrative proporzionali.
Quando entra in vigore
Il Regolamento entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell’Unione europea e si applicherà a decorrere dal 2 agosto 2026.
Tuttavia:
- I capi I e II (definizioni e pratiche vietate) si applicano a decorrere dal 2 febbraio 2025;
- Il capo III, sezione 4 (autorità di notifica designate dagli stati membri), il capo V (modelli di AI per finalità generali), il capo VII (banca dati UE per i sistemi ad alto rischio), il capo XII (sanzioni) e l’art. 78 (riservatezza dei dati trattati in conformità al regolamento) si applicano a decorrere dal 2 agosto 2025, ad eccezione dell’art. 101 (Sanzioni pecuniarie per i fornitori di modelli di IA per finalità generali);
- L’art. 6, paragrafo 1 (classificazione dei sistemi ad alto rischio), e i corrispondenti obblighi di cui al Regolamento, si applicano a decorrere dal 2 agosto 2027.