AI Act: una guida completa al regolamento europeo sull’intelligenza artificiale

L’intelligenza artificiale (AI) è ormai diventata una parte fondamentale della nostra vita quotidiana, influenzando molteplici settori, dall’assistenza sanitaria alla gestione delle infrastrutture, dall’automazione industriale all’istruzione e alla formazione. Con il suo rapido sviluppo, però, è emersa la necessità di regolamentare questa tecnologia per garantire che venga utilizzata in modo etico e sicuro, allineandosi ai valori e ai diritti fondamentali cardine della visione europea 

In questo contesto, l’Unione Europea ha proposto l’AI Act, il primo esempio di normativa volta a stabilire standard e linee guida per l’uso dell’intelligenza artificiale nell’ottica della creazione di un mercato unico digitale efficiente ed equo.

Come si vedrà di seguito, sono vari i requisiti richiesti agli operatori del settore per assicurare una completa conformità alle disposizioni dell’AI Act, nonché un efficace coordinamento con le normative già esistenti. Questo articolo si propone di offrire una breve disamina dei contenuti dell’AI Act, dei suoi obiettivi, dell’ambito di applicazione e delle numerose implicazioni nei vari settori di utilizzo dell’intelligenza artificiale. 

Che cos’è l’AI Act?

L’AI Act è un  regolamento proposto dalla Commissione Europea, nella sua prima versione, ad aprile 2021, con l’obiettivo di regolamentare l’uso dell’intelligenza artificiale (AI) nell’Unione Europea. Questo testo normativo rappresenta il primo tentativo a livello globale di stabilire un quadro giuridico armonizzato, per garantire che i sistemi di AI siano sviluppati e utilizzati in modo sicuro, trasparente ed etico.

Basato su un approccio di gestione del rischio, l’AI Act classifica i sistemi di AI in diverse categorie in base al loro potenziale impatto sui diritti fondamentali e sulla sicurezza delle persone, imponendo requisiti specifici per ciascuna categoria al fine di proteggere la privacy, promuovere la trasparenza e assicurare la responsabilità nell’uso dell’AI, al fine di bilanciare l’innovazione con la protezione dei diritti e della sicurezza dei cittadini.

Quali sono gli obiettivi promossi dall’AI Act?

Al fine di introdurre un insieme proporzionato ed efficace di regole, il legislatore europeo ha scelto di definire vari principi cardine, che ispirano le diverse misure e gli obblighi parametrati sui vari livelli di rischio: 

  • Tutela dei diritti fondamentali: assicurare che l’uso dell’intelligenza artificiale non violi i diritti fondamentali delle persone, come la privacy, la dignità umana e la protezione dei dati personali.
  • Incentivi all’innovazione: creare un ambiente normativo che favorisca l’innovazione nel settore dell’intelligenza artificiale, supportando le piccole e medie imprese e le start-up, attraverso misure di incentivo e riduzione delle barriere normative.
  • Armonizzazione del mercato: stabilire un quadro giuridico armonizzato a livello europeo che faciliti l’accesso al mercato unico digitale, riducendo le disparità normative tra i diversi Stati membri e promuovendo la competitività dell’UE a livello globale.
  • Promozione della trasparenza: promuovere la trasparenza nell’uso dei sistemi di AI, assicurando che le decisioni prese da tali sistemi siano comprensibili e spiegabili agli utenti e ai soggetti interessati.
  • Garanzia della sicurezza e affidabilità: garantire che i sistemi di AI siano sicuri e affidabili, in modo da ridurre i rischi associati al loro utilizzo e prevenire potenziali danni a persone e beni.

Soggetti coinvolti dall’applicazione dell’AI Act

Le nuove regole dell’AI Act si applicano lungo tutta la filiera di commercializzazione, messa in servizio e uso dell’intelligenza artificiale nel territorio dell’Unione.  I fornitori di sistemi di IA e modelli di IA con finalità generali hanno il compito di assicurare la conformità dei loro prodotti ai criteri stabiliti dall’AI Act, con un’enfasi particolare sui sistemi classificati come ad alto rischio, indipendentemente da dove siano stabiliti. Rappresentanti autorizzati, importatori e distributori sono incaricati a loro volta di assicurare che i sistemi IA che entrano nel mercato europeo rispettino le norme del Regolamento. Le aziende, sia pubbliche che private, nonché le persone fisiche che utilizzano i sistemi di IA per scopi professionali (i “deployer”) hanno a loro volta l’onere di utilizzare suddetti sistemi in modo responsabile e conforme alle normative e alle indicazioni condivise dai fornitori, monitorando l’uso effettivo per prevenire rischi. 

A seguito di un importante chiarimento al testo intervenuto lo scorso aprile, il testo definitivo dell’AI Act , inoltre, i software open source (i cui componenti sono integralmente resi pubblici per un utilizzo gratuito e non monetizzabile) possono ora beneficiare di un’eccezione che li preserva dall’obbligo di conformità con l’AI Act, a meno che non presentino un rischio sistemico.

In linea con l’impostazione del GDPR, restano esclusi dall’applicazione del nuovo regolamento anche l’attività di ricerca, prova e sviluppo di sistemi di AI è esclusa, così come l’uso personale non professionale dei sistemi di AI da parte di individui.

Siamo pronti per aiutarti, contattaci ora!

Cosa prevede l’AI Act?

Al fine di introdurre un insieme proporzionato ed efficace di regole, il legislatore europeo ha però scelto un approccio graduato alle misure di sicurezza e di conformità previste, definendo quattro livelli di obblighi parametrati sulla base dell’intensità del rischio che i sistemi di IA pongono per gli individui e la società. 

All’aumentare del rischio, aumentano anche i requisiti di conformità, trasparenza, documentazione, supervisione umana e protezione dei dati, fino ad arrivare al totale divieto per i sistemi a rischio inaccettabile.

L’AI Act prevede anche la creazione di autorità di vigilanza nazionali ed europee per monitorare l’implementazione della normativa e adottare misure correttive in caso di violazioni, con sanzioni significative nei casi di non conformità.

Inoltre, l’AI Act promuove l’innovazione attraverso sandbox normative e misure di supporto specifiche per PMI e start-up, creando un ambiente favorevole allo sviluppo tecnologico responsabile e armonizzato all’interno dell’UE.

Approccio e classificazione dei sistemi di intelligenza artificiale

Per regolare e classificare i sistemi di intelligenza artificiale, l’AI Act adotta un approccio basato sul rischio, suddiviso in quattro categorie principali.

Sistemi di AI a rischio inaccettabile

In primo luogo, l’Unione europea ha ritenuto necessario vietare determinate pratiche di IA che pongono un rischio considerato inaccettabile, quali ad esempio l’impiego di sistemi che potrebbero determinare danni fisici o psicologici gravi, discriminazione sistematica o violazioni dei diritti umani. Rientrano in questa categoria, tra gli altri, i sistemi di sorveglianza biometrica in tempo reale in spazi pubblici o sistemi che permettono il cosiddetto “scoring sociale” da parte delle autorità pubbliche.

Sistemi di AI ad alto rischio

In secondo luogo, l’AI Act stabilisce dei requisiti più stringenti per i sistemi di IA ad alto rischio, impiegati in settori di particolare criticità per la sicurezza dei cittadini. Rientrano in questa categoria, e sono dunque soggetti a rigorosi requisiti di conformità e supervisione, i sistemi destinati a influire sull’istruzione e sulla formazione professionale, sulle infrastrutture energetiche e dei trasporti, sul controllo delle frontiere, sulla gestione dell’occupazione e sull’amministrazione della giustizia.   In caso di sviluppo o impiego di sistemi di intelligenza artificiale ad alto rischio, le aziende dovranno implementare un sistema di gestione dei rischi per identificare, valutare e mitigare i rischi associati all’uso dell’AI.

Dovranno inoltre fornire informazioni chiare e comprensibili agli utenti sull’uso dell’AI, per garantire la trasparenza e la spiegabilità dei meccanismi alla base delle decisioni prese dai sistemi di AI.

Sarà quindi obbligatorio mantenere una documentazione tecnica dettagliata che descriva il funzionamento del sistema di AI e dei dati utilizzati, oltre a garantire processi di valutazione e mitigazione dei rischi, compresa la supervisione umana.

Sistemi di AI a rischio limitato

Si tratta di sistemi che possono influenzare i diritti degli utenti, ma in misura minore rispetto a quelli ad alto rischio.

Questi sistemi sono soggetti a requisiti di trasparenza  nei confronti dei soggetti interessati, ai quali dovranno essere rese informazioni chiare ed esplicite per renderli consapevoli del fatto che stanno interagendo con una macchina. Inoltre, i fornitori di questi sistemi devono assicurarsi che le informazioni fornite siano facilmente accessibili e comprensibili, tali da delineare chiaramente il funzionamento del sistema di AI, le sue capacità e limitazioni, nonché i potenziali impatti delle decisioni prese dal sistema sui diritti degli utenti e dei cittadini.

Sistemi di AI a rischio minimo o nullo

Da ultimo, i sistemi che pongono un rischio minimo o nullo potranno circolare all’interno del mercato unico senza essere sottoposti ad ulteriori obblighi da parte dell’AI Act, ma dovranno comunque rispondere ai requisiti previsti dal Regolamento Generale per la Protezione dei Dati (Regolamento 2016/679/UE), dalla Direttiva Copyright (Direttiva 2019/790/UE), dalla  Direttiva sulla responsabilità da prodotto difettoso (adottata in seduta plenaria il 12 marzo 2024, per l’aggiornamento della Direttiva 85/374/CEE) e delle specifiche normative di settore.  

Sanzioni previste dall’AI Act

Le sanzioni previste dall’AI Act sono  graduate sulla base della gravità e della natura dell’infrazione, nonché della dimensione e del fatturato dell’operatore economico.

Le sanzioni possono includere avvertimenti o diffide da parte delle autorità nazionali competenti, che possono anche adottare misure correttive.

Le sanzioni possono raggiungere:

  • i 35 milioni di euro o il 7% del fatturato annuo globale per le infrazioni gravi, come la violazione relativa alle pratiche vietate o la non conformità ai requisiti sui dati;
  • i 15 milioni di euro o il 3% del fatturato per la mancata osservanza di uno qualsiasi degli altri requisiti o obblighi del regolamento, compresa la violazione delle norme sui modelli di IA per finalità generali;
  • i 7,5 milioni di euro o l’1,5% del fatturato per la fornitura di informazioni inesatte.

Le sanzioni sono imposte dalle autorità nazionali, che cooperano con la Commissione Europea tramite il Comitato Europeo per l’Intelligenza Artificiale.

Gli Stati membri devono garantire mezzi di ricorso efficaci per le persone danneggiate dall’uso dell’intelligenza artificiale, assicurando che chi opera nel settore sia soggetto a regole chiare e vincolanti, permettendo così alle vittime di ottenere giustizia e riparazione.

Quando entra in vigore l’AI Act?

L’AI Act è stato approvato dal Parlamento Europeo il 13 marzo 2024 e dal Consiglio Europeo il 21 maggio 2024. Il testo adottato entrerà poi in vigore il ventesimo giorno successivo alla pubblicazione sulla Gazzetta Ufficiale dell’Unione europea. A partire da allora, gli operatori dovranno: 

  • provvedere al ritiro dei sistemi vietati entro i 6 mesi successivi;
  • mettere in regola i modelli di intelligenza artificiale con finalità generali, con le prime sanzioni che si applicheranno invece a partire dai 12 mesi successivi all’entrata in vigore della legge;
  • implementare le norme previste per i sistemi ad alto rischio e a rischio limitato entro dai 24 mesi successivi (o 36 mesi, nel caso di sistemi ad alto rischio disciplinati dalla normativa UE già applicabile in materia di sicurezza dei prodotti). 

Per agevolare le operazioni di adeguamento al nuovo Regolamento, la Commissione europea dovrebbe emanare diverse disposizioni attuative, linee guida e “codes of practice”, la cui pubblicazione è prevista nei 9 mesi successivi all’entrata in vigore.

Conclusioni

L’AI Act rappresenta un importante passo avanti nella regolamentazione dell’intelligenza artificiale in Europa, stabilendo un quadro normativo chiaro e dettagliato che mira a garantire la sicurezza, la trasparenza e la tutela dei diritti fondamentali. Attraverso un approccio basato sul rischio, il regolamento classifica i sistemi di AI e impone requisiti specifici per ciascuna categoria, bilanciando l’innovazione con la protezione dei cittadini.

Con l’entrata in vigore prevista tra il 2024 e il 2026, l’AI Act si propone di replicare il successo del GDPR, ponendo l’Europa all’avanguardia nella regolamentazione tecnologica globale e offrendo un modello che potrebbe essere adottato a livello internazionale.

Le aziende e gli operatori del settore che necessitano di assistenza per adeguarsi alle nuove normative possono rivolgersi a CRCLEX per ottenere consulenza professionale su tutti i temi regolati dall’AI Act.

Il nostro studio offre supporto specializzato per garantire che l’implementazione e l’uso dei sistemi di intelligenza artificiale siano conformi ai requisiti legali e regolamentari.