Origine dell’AI Act e principali obiettivi
L’intelligenza artificiale (AI) ha assunto un ruolo centrale nella trasformazione digitale di imprese, pubbliche amministrazioni e professionisti.
Lo sviluppo rapido di queste tecnologie ha reso necessario introdurre un quadro normativo chiaro, che garantisca la tutela dei diritti fondamentali, la sicurezza e il rispetto dei principi etici.
L’Unione Europea ha risposto a questa esigenza con l’emanazione di un regolamento, il primo provvedimento normativo europeo dedicato specificamente all’utilizzo dell’intelligenza artificiale.
A differenza delle direttive, lo strumento del regolamento si applica direttamente e contemporaneamente in tutti gli Stati membri, senza necessità di recepimento nazionale. In questo modo si assicura uniformità, evitando differenze interpretative tra Paesi.
L’AI Act – Regolamento UE 2024/1689 del 13 giugno 2024, nasce con l’obiettivo di accompagnare la transizione digitale in modo sicuro e inclusivo, e allo stesso tempo di posizionare l’Europa come leader mondiale nell’innovazione etica e responsabile, offrendo un modello normativo che garantisca tutele e limiti laddove necessario.
È in vigore dal 1° agosto 2024, con attuazione progressiva secondo le tempistiche previste dall’articolo 113.
La normativa riguarda un’ampia platea di soggetti: dai fornitori di sistemi di intelligenza artificiale (chi sviluppa soluzioni, algoritmi e modelli AI), ai deployer (chi utilizza l’AI nei processi produttivi, gestionali o di servizio), agli attori della filiera tecnologica come consulenti, società partner e fornitori di servizi digitali.
Anche chi utilizza applicazioni di terzi o piattaforme cloud che integrano intelligenza artificiale è soggetto agli obblighi normativi.
Tra i principali obiettivi del regolamento:
- stabilire requisiti oggettivi per la progettazione, la commercializzazione e l’utilizzo dei sistemi di AI,
- garantire il rispetto della dignità umana, della privacy e il principio di non discriminazione,
- incentivare la trasparenza e la tracciabilità dei processi decisionali automatizzati.
Approccio basato sul rischio
Il principio cardine del regolamento è quello della regolazione graduata in base al rischio. Il rischio è la combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso. Il regolamento individua quattro livelli di rischio per i sistemi di AI.
Rischio inaccettabile
I sistemi rientranti in questa categoria sono inaccettabili e vietati in quanto costituiscono una chiara minaccia per la sicurezza e i diritti delle persone.
Esempi: sistemi che manipolano le decisioni degli individui in modo subliminale o ingannevole; sistemi che valutano o prevedono il rischio di un individuo di commettere un reato basandosi sui loro tratti di personalità e caratteristiche..
Rischio elevato
Questi sistemi sono ammessi sul mercato solo previa rigorosa valutazione, con obblighi di sorveglianza umana, gestione del rischio e devono garantire una trasparenza algoritmica completa.
Esempi: applicazioni in infrastrutture critiche (come i trasporti), applicazioni che riguardano l’accesso ai servizi essenziali come l’istruzione (sistemi di AI utilizzate nei processi di selezione, valutazione e ammissione a percorsi formativi o professionale), i servizi sanitari, le prestazioni sociali..
Rischio limitato
Si tratta di rischi associati alla necessità di trasparenza in merito all’uso dell’AI per garantire che gli utenti siano informati
Esempi: i chatbot devono dichiararsi immediatamente come AI (l’utente deve essere consapevole del fatto che interagisce con una macchina in modo da poter prendere decisioni informate), i sistemi di raccomandazione che suggeriscono prodotti, contenuti o servizi devono spiegare la logica generale delle raccomandazioni.
Rischio minimo o nullo
Per questi sistemi il regolamento non introduce norme, ma il GDPR e la normativa generale sulla responsabilità d’impresa continuano ad applicarsi.
Esempi: filtri antispam, sistemi di moderazione automatica dei contenuti inappropriati, traduttori automatici, correttori ortografici, videogiochi abilitati all’uso dell’AI..
Le regole sono quindi diverse a seconda dell’impatto potenziale della tecnologia. Le imprese dovranno adottare protocolli di prevenzione dei rischi con specifici presidi per tracciare l’adozione, l’implementazione e l’utilizzo dei sistemi di AI, con procedure di verifica, audit e formazione.
I principali obblighi: formazione, trasparenza e responsabilità
Formazione obbligatoria per i soggetti coinvolti
La norma impone di adottare percorsi di alfabetizzazione digitale sull’intelligenza artificiale calibrati sui rischi e sulle competenze del personale. La formazione mira alla conoscenza delle tecnologie e alla consapevolezza delle implicazioni etico-legali e dei meccanismi di gestione dei rischi.
Trasparenza
I fornitori e gli utilizzatori sono responsabili di assicurare la chiarezza delle informazioni fornite agli utenti e la tracciabilità delle decisioni prodotte dai sistemi automatizzati.
In caso di violazioni sono previste sanzioni amministrative severe, con massimi edittali calcolati in misura fissa o in percentuale: fino a €35 milioni di euro (o il 7% del fatturato annuo mondiale totale dell’esercizio precedente, se superiore), analogamente a quanto succede con il GDPR, per violazioni relative a pratiche vietate o per l’inosservanza dei requisiti in materia di dati. Sono previste anche soglie inferiori per le imprese più piccole e violazioni minori (fino a €7,5 milioni o 1,5%).
Le tappe principali e la roadmap di adeguamento
- 1 agosto 2024: entrata in vigore dell’AI Act
- 2 febbraio 2025: entrati in vigore obblighi di formazione e divieti su pratiche AI ad alto rischio
- 2 agosto 2025: applicazione disposizioni su autorità di notifica e organismi notificati per i sistemi di alto rischio, modelli di AI con finalità generali, governance, norma sulla riservatezza
- 2 agosto 2026: applicazione generale delle disposizioni
- 2 agosto 2027: ulteriori obblighi per i sistemi ad alto rischio integrati come componenti di sicurezza di prodotti
L’adeguamento è graduale, ma le aziende che si muoveranno per tempo potranno ottenere vantaggi competitivi, riducendo i rischi e garantendo la continuità operativa. Ogni azienda dovrà:
- effettuare un audit completo sui sistemi AI utilizzati, mappando gli strumenti e identificando le categorie di rischio,
- attivarsi per strutturare i percorsi di formazione previsti dalla normativa, coinvolgendo tutto il personale che interagisce con l’AI e gli attori della filiera digitale,
- rivedere le procedure interne e aggiornare informative e contratti, introducendo clausole di conformità all’AI Act,
- monitorare la filiera tecnologica e promuovere la cultura della trasparenza e dell’etica digitale.
Per le aziende: importanza del regolamento sull’uso dell’AI
In questo scenario è opportuno dotarsi di un regolamento interno che disciplini l’uso dell’intelligenza artificiale, anche se l’azienda non ne fa uso diretto. Questo perché l’ambiente digitale è in continua evoluzione e l’AI potrebbe essere integrata in futuro, sia direttamente che indirettamente, attraverso fornitori, partner o strumenti digitali terzi.
Avere fin da subito una policy interna chiara consente di:
- prepararsi a future implementazioni in modo organizzato e conforme alle normative,
- gestire efficacemente i rischi legati all’AI anche in fase di valutazione preliminare o sperimentazione,
- assicurare la responsabilità e la trasparenza nella catena di fornitura digitale, inclusi i software o servizi di AI utilizzati da terzi,
- garantire la formazione e la sensibilizzazione dei dipendenti sulle implicazioni etiche e legali dell’AI, promuovendo una cultura della responsabilità digitale.
Un percorso di adeguamento tempestivo è quindi indispensabile per evitare sanzioni e danni reputazionali ma anche ostacoli operativi. Affidarsi a professionisti che offrono assistenza personalizzata per audit, formazione, redazione contrattuale, compliance operativa e gestione dei rischi permette di mettere al sicuro l’azienda e affrontare con serenità la trasformazione digitale in corso.
Avv. Maurizio Dalla Casa & Dott.ssa Sara Del Dianda