Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale) (Testo rilevante ai fini del SEE)
In altre parole l’AI Act introduce un quadro normativo uniforme per tutta l’Unione europea, fondato su un principio di proporzionalità: maggiore è il rischio che un sistema di IA comporta per le persone e i loro diritti, maggiori sono gli obblighi imposti ai soggetti che lo sviluppano o lo utilizzano. Il Regolamento mira a conciliare innovazione tecnologica, tutela dei cittadini e sviluppo di un mercato europeo dell’intelligenza artificiale sicuro, trasparente e competitivo.
Il Regolamento ha l’obiettivo di garantire che i sistemi di intelligenza artificiale sviluppati, commercializzati e utilizzati nell’Unione europea siano:
- sicuri e affidabili;
- rispettosi dei diritti fondamentali, della democrazia e dello Stato di diritto;
- trasparenti e soggetti a controllo umano;
- favorevoli all’innovazione e alla competitività del mercato europeo.
L’AI Act adotta un approccio basato sul rischio, imponendo obblighi proporzionati al livello di rischio che un sistema di IA può comportare.
Campo di applicazione
Il Regolamento si applica ai soggetti pubblici e privati che sviluppano, distribuiscono, importano, commercializzano o utilizzano sistemi di IA nell’Unione europea, anche se il fornitore ha sede in un Paese terzo, purché il sistema produca effetti nel territorio dell’UE.
Classificazione dei sistemi di IA
1. Rischio inaccettabile (vietato)
Sono proibiti i sistemi di IA che rappresentano una minaccia per i diritti fondamentali, tra cui:
- manipolazione subliminale o ingannevole delle persone;
- sfruttamento delle vulnerabilità di minori, anziani o persone fragili;
- sistemi di “social scoring” da parte delle autorità pubbliche;
- alcune forme di identificazione biometrica remota in tempo reale negli spazi pubblici (salvo specifiche eccezioni previste dalla legge);
- alcune pratiche di polizia predittiva basate esclusivamente sulla profilazione.
2. Sistemi ad alto rischio
Sono consentiti, ma sottoposti a rigorosi requisiti.
Rientrano, ad esempio, i sistemi utilizzati in:
- sanità;
- istruzione;
- occupazione e selezione del personale;
- accesso al credito;
- infrastrutture critiche;
- giustizia;
- forze dell’ordine;
- controllo delle frontiere.
Per questi sistemi sono previsti obblighi quali:
- gestione dei rischi;
- elevata qualità dei dati;
- documentazione tecnica;
- registrazione delle attività;
- trasparenza;
- supervisione umana;
- requisiti di accuratezza, robustezza e cybersicurezza;
- valutazione della conformità prima dell’immissione sul mercato.
3. Rischio limitato
Comprende sistemi come chatbot o generatori di contenuti.
È richiesto principalmente il rispetto di obblighi di trasparenza, ad esempio:
- informare gli utenti che stanno interagendo con un sistema di IA;
- indicare quando immagini, audio o video sono stati generati o modificati artificialmente (deepfake), salvo limitate eccezioni.
4. Rischio minimo
Comprende applicazioni a basso impatto, come:
- filtri antispam;
- videogiochi con IA;
- sistemi di raccomandazione ordinari.
Non sono previsti obblighi specifici oltre al rispetto della normativa generale.
Modelli di IA per finalità generali (General Purpose AI)
L’AI Act introduce una disciplina specifica per i modelli di IA di uso generale (come i grandi modelli linguistici).
I fornitori devono:
- predisporre documentazione tecnica;
- rispettare la normativa sul diritto d’autore;
- pubblicare sintesi dei dati utilizzati per l’addestramento;
- collaborare con le autorità competenti.
Per i modelli classificati come a rischio sistemico sono previsti obblighi ulteriori, tra cui:
- valutazione e mitigazione dei rischi;
- test di sicurezza;
- monitoraggio continuo;
- segnalazione degli incidenti gravi.
Governance e controlli
Il Regolamento istituisce un sistema europeo di vigilanza composto da:
- la Commissione europea;
- l’AI Office europeo;
- le autorità nazionali competenti;
- un Comitato europeo per l’IA.
Gli Stati membri devono designare autorità incaricate della sorveglianza del mercato e dell’applicazione delle norme.
Sanzioni
Le violazioni possono comportare sanzioni amministrative molto elevate.
In particolare:
- fino a 35 milioni di euro o al 7% del fatturato annuo mondiale per le violazioni più gravi (ad esempio, utilizzo di pratiche vietate);
- sanzioni inferiori per il mancato rispetto degli obblighi relativi ai sistemi ad alto rischio o agli obblighi di trasparenza.
Entrata in vigore e applicazione
Il Regolamento è entrato in vigore il 1º agosto 2024, ma la sua applicazione è graduale:
- 2 febbraio 2025: applicazione dei divieti relativi alle pratiche di IA vietate;
- 2 agosto 2025: applicazione delle norme sui modelli di IA per finalità generali e di altre disposizioni specifiche;
- 2 agosto 2026: applicazione della maggior parte del Regolamento;
- 2 agosto 2027: piena applicazione di alcune disposizioni riguardanti determinati sistemi ad alto rischio.
