Il testo completo dell’AI Act è stato pubblicato oggi in Gazzetta Ufficiale, dando così il via alla sua graduale applicazione con l’entrata in vigore per step che si chiuderà fra due anni.
La legge punta a garantire il rispetto dei diritti fondamentali dei cittadini dell’Ue e a stimolare gli investimenti e l’innovazione nel campo dell’intelligenza artificiale in Europa, sia per gli attori sia pubblici che privati. Si applica solo ad ambiti soggetti al diritto dell’UE e prevede esenzioni, ad esempio, per i sistemi utilizzati esclusivamente per scopi militari e di difesa, nonché per scopi di ricerca.
L’obiettivo primario è dunque quello è di proteggere i diritti fondamentali, la democrazia, lo Stato di diritto e la sostenibilità ambientale dai sistemi di IA ad alto rischio, promuovendo nel contempo l’innovazione e assicurando all’Europa un ruolo guida nel settore.
Nuova legge in vigore il 2 agosto
Di fatto, la nuova legge entra in vigore il 2 agosto e poi sarà pienamente operativa fra 24 mesi – il 2 agosto 2026 – e quanto previsto sarà applicabile a tutti gli sviluppatori di AI.
Come è noto, la legge entrerà in vigore per gradi, il che significa che sono previste diverse deadline in base alle diverse disposizioni di legge.
I legislatori dell’UE hanno raggiunto un accordo politico sul primo regolamento completo del blocco per l’intelligenza artificiale nel dicembre dello scorso anno.
Il quadro impone obblighi diversi agli sviluppatori di intelligenza artificiale, a seconda dei casi d’uso e del rischio percepito. La maggior parte degli usi dell’IA non sarà regolamentata in quanto considerati a basso rischio, ma un piccolo numero di potenziali casi d’uso dell’IA sono vietati dalla legge.
Calendario prestabilito
“La Ue si è mossa per tempo e l’entrata in vigore dell’AI Act è più rapida rispetto a quelle del DSA e del DMA Act che riguardano i social media, ora comincia un iter di adeguamento a tappe”, ha detto Ernesto Belisario, Avvocato amministrativista, è socio dello Studio Legale E-Lex e Segretario Generale dell’Istituto per le politiche dell’innovazione.
Alcune disposizioni avranno tempi di attuazione specifici: 6 mesi per le pratiche di AI proibite, 12 mesi per le disposizioni relative alle autorità di notifica, agli organismi notificati, alla governance, e 36 mesi per l’implementazione dei sistemi di AI considerati ad alto rischio. In particolare, l’Unione si occupa del Diritto d’autore, per la cui tutela, davanti all’introduzione delle AI, ci sono molte preoccupazioni.
A febbraio del 2025 entreranno in vigore dei divieti per le applicazioni di AI che presentano rischio inaccettabile. Ad agosto 2025 applicabili le norme sui sistemi di AI per le finalità generali. Fino ad arrivare, infine, ad agosto 2026.
Destinatari
I destinatari sono diversi, si va dai provider ai deployer (utilizzatori di sistemi di intelligenza artificiale), agli stessi stati membri che in alcuni casi dovranno individuare le autorità nazionali competenti, che in Italia sono l’Agid e l’ACN (l’iter di approvazione del dlgs Intelligenza Artificiale è all’esame del Senato).
Quali obblighi per le aziende?
“La norma si occupa di definire quali sono gli obblighi per ridurre i rischi per le libertà delle persone”, aggiunge Belisario. Quindi, le aziende e le amministrazioni che useranno sistemi di intelligenza artificiale – di fatto tutte le aziende e le PA nel medio periodo – devono valutare e gestire il rischio che questi sistemi hanno per le persone che sono toccate dagli usi dell’AI.
La norma ha due grandi macrocategorie di soggetti, i provider di IA, quindi le Big Tech, sperando che in futuro ve ne siano di italiane ed europee, e i deployer.
Chi sono i deployer?
I deployer sono tutti coloro che in ambito professionale, aziendale o ammnistrativo usano in ambito professionale ed imprenditoriale sistemi di AI. Quindi, ad esempio, l’amministrazione che la usa per la selezione del personale; la banca che la usa per decidere se concedere o meno un prestito, il mutuo o un fido ad un certo soggetto. Questo significa che vengono imposti tre principi fondamentali: responsabilità (le aziende dovranno avere delle certificazioni). Trasparenza (l’uso dell’AI che riguarderà cittadini, clienti o dipendenti dovrà essere reso trasparente e dichiarato); un terzo elemento fondamentale è il controllo e la sorveglianza umana dell’AI, nell’ottica del primato umanocentrico dell’AI.
I sistemi vietati
Sono vietati da subito:
- i sistemi di AI come la manipolazione cognitiva del comportamento e il social scoring sono vietati.
- l’uso dell’AI per la polizia predittiva basata sulla profilazione e i sistemi che utilizzano dati biometrici per classificare le persone in base a categorie specifiche come razza, religione o orientamento sessuale
- sistemi di IA che creano o ampliano le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso
- i sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione (tranne dove l’uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza)
- l’uso di sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico a fini di attività di contrasto, a meno che, e nella misura in cui, tale uso sia strettamente necessario per:
- la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse; la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone fisiche o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico;
- la localizzazione o l’identificazione di una persona sospettata di aver commesso un reato, ai fini dello svolgimento di un’indagine penale, o dell’esercizio di un’azione penale o dell’esecuzione di una sanzione penale per i reati di cui all’allegato II del Regolamento, punibile nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà della durata massima di almeno quattro anni.
Le tappe del regolamento
Il Regolamento 2024/1689 entra in vigore il 1° agosto 2024 ma sarà applicabile solo dal 2 agosto 2026.
Alcune norme si applicheranno tuttavia dopo 6 o 12 mesi.
Saranno applicabili dal 2 febbraio 2025:
- gli articoli da 1 a 4, relativi a oggetto, ambito di applicazione, definizioni e obblighi di alfabetizzazione IA (obbligo per i fornitori e gli sviluppatori di avere personale addestrato e competente).
- l’art. 5 sulle pratiche di IA vietate (no profilazioni avanzate che utilizzano la biometria, in primis sui luoghi di lavoro).
Dopo 12 mesi (dal 2 agosto 2025) si applicheranno:
- le norme sull’impianto sanzionatorio (con sanzioni fino a 35 milioni di euro o al 7% del fatturato globale annuo; la sanzione per i fornitori di modelli IA a scopi generali – fino a 15 milioni di euro o fino al 3% del fatturato – si applicherà dopo 24 mesi);
- le norme sui modelli di IA per finalità generali – GPAI;
- le norme sulle Autorità di notifica, sulle relative procedure di notifica e sugli organismi notificati;
- l’art. 78 (riservatezza dei dati trattati in conformità al regolamento);
- le norme che istituiscono la banca dati UE sui sistemi di IA ad alto rischio.
- Rinviata al 2 agosto 2027 l’applicabilità delle norme sui sistemi di IA “ad alto rischio” e dei connessi obblighi.
L’Ufficio europeo sull’IA
A febbraio di quest’anno è stato creato anche un Ufficio europeo sull’IA, guidato dall’italiana Lucilla Sioli, che opererà dall’interno della Commissione, per supervisionare l’applicazione e l’attuazione della legge sull’AI con gli Stati membri, ma anche per creare un ambiente in cui le tecnologie di intelligenza artificiale rispettino appunto la dignità umana, i diritti e la fiducia
Ovviamente, tutti i sistemi di AI ad alto rischio saranno soggetti a obblighi rigorosi prima di poter essere immessi sul mercato, tra cui: dotarsi di adeguati sistemi di valutazione e mitigazione del rischio; la registrazione delle attività per garantire la tracciabilità dei risultati; documentazione dettagliata che fornisce tutte le informazioni necessarie sul sistema e sul suo scopo affinché le autorità possano valutarne la conformità; misure di supervisione umana per ridurre al minimo il rischio; elevato livello di robustezza, sicurezza e precisione.
Fin qui le misure prese da Bruxelles per arginare e mitigare i possibili rischi legati all’utilizzo diffuso di questa tecnologia, ma il Regolamento serve anche a dotare l’Europa di un quadro normativo il più completo possibile finalizzato a favorire lo sviluppo e la crescita dell’AI in tutti i settori chiave della nostra economica, nell’industria e nella ricerca, per sfruttare al massimo le potenzialità offerte dall’intelligenza artificiale e poter così migliorare i livelli di competitività su scala globale.
Per approfondire