AI Act: l’Europa fissa le nuove regole dell’intelligenza artificiale

L’obiettivo dell’AI Act è la creazione di un quadro normativo armonizzato, valido per tutti gli Stati membri e per tutte le imprese che immettono sul mercato soluzioni AI destinate all’Unione.

Il regolamento garantisce tre principi cardine:

• libera circolazione dei sistemi di IA nel mercato interno;
• alto livello di protezione di diritti fondamentali, salute e sicurezza, identità e riservatezza;
• certezza del diritto per imprese, consumatori e autorità.

Sono vietati i sistemi di intelligenza artificiale considerati una minaccia per democrazia, privacy e dignità umana, tra cui:

• manipolazione subliminale e sfruttamento delle vulnerabilità;
• “social scoring” (sistema di valutazione e classificazione delle persone basato sul loro comportamento sociale, economico o digitale, spesso tramite algoritmi; vietato perché comporta discriminazioni sistemiche);
• “scraping indiscriminato” (raccolta massiva, automatizzata e non selettiva di dati come, ad esempio, immagini facciali da siti web e piattaforme senza consenso e senza finalità legittima);
• rilevazione delle emozioni sul posto di lavoro e nelle scuole;
• sistemi predittivi che profilano “potenziali criminali”.

Comprendono l’IA utilizzata in settori delicati: sanità, trasporti, infrastrutture critiche, istruzione, lavoro, credito, servizi sociali, giustizia, migrazione.

Devono rispettare obblighi stringenti: gestione del rischio, qualità dei dati, documentazione tecnica completa, sorveglianza umana, affidabilità, accuratezza e trasparenza.

Riguarda i sistemi che interagiscono con le persone, generano contenuti o che possono confondere l’utente.

Richiedono trasparenza, come dichiarare quando si interagisce con una chatbot o quando un contenuto è generato artificialmente (“deep fake”: contenuto audiovisivo manipolato o generato dall’IA in modo altamente realistico, spesso difficilmente distinguibile dall’originale).

La maggior parte delle applicazioni (videogiochi, filtri fotografici, strumenti di produttività) rientra in questa categoria e non prevede requisiti particolari.

Il regolamento introduce una disciplina specifica per i grandi modelli, come quelli generativi, capaci di svolgere molti compiti diversi. Due le categorie:

• modelli base: devono garantire trasparenza, documentazione e rispetto del diritto d’autore;
• modelli sistemici: sottoposti a controlli molto più severi, test di sicurezza, gestione attiva dei rischi e monitoraggio continuo.

Sono considerati tali i modelli con enormi capacità di elaborazione dati e potenziale impatto su sicurezza pubblica, processi democratici o mercato interno.

Il regolamento non sostituisce, ma integra il GDPR. In particolare:

• i dati usati per addestrare sistemi ad alto rischio devono essere accurati, rappresentativi e privi di bias;
• l’IA non può discriminare per età, genere, etnia, orientamento o condizioni sociali;
• restano valide le norme sul trattamento dei dati biometrici e sulle garanzie per i minori.

Nei sistemi più sensibili, soprattutto biometrici e decisionali, l’AI Act impone che ci sia sempre un operatore umano con:

• competenze adeguate;
• possibilità di intervento;
• facoltà di bloccare il sistema in caso di comportamento anomalo.

Nei sistemi di riconoscimento facciale, l’output deve essere verificato da almeno due persone, salvo eccezioni previste dal diritto nazionale.

Per il mancato rispetto dei parametri indicati sopra, le multe possono raggiungere:

• 35 milioni di euro o il 7% del fatturato globale per le pratiche vietate;
• 15 milioni o il 3% per violazioni degli obblighi sui sistemi ad alto rischio;
• 7,5 milioni o l’1% per informazioni false o ingannevoli.

L’AI Act entrerà in vigore progressivamente:

• 6 mesi per il divieto delle pratiche inaccettabili;
• 12 mesi per i modelli a rischio sistemico;
• 24 mesi per la maggior parte delle disposizioni sui sistemi ad alto rischio;
• scadenze più lunghe per tecnologie già operative nel settore pubblico.

Con l’AI Act, l’Europa compie una scelta politica precisa: garantire che lo sviluppo dell’intelligenza artificiale avvenga nel rispetto della persona, della democrazia e dell’equità sociale. Molti Paesi osservano il modello europeo come possibile riferimento futuro. L’innovazione deve essere libera, ma non senza regole.

Fonti:

• testo di compromesso del Regolamento Europeo sull’Intelligenza Artificiale, approvato in via definitiva dal Parlamento europeo (2024);
• comunicazione della Commissione Europea “A European Approach to Artificial Intelligence”.
• artt. 1 e 5 AI Act;
• Carta dei Diritti Fondamentali dell’UE, artt. 7 e 8 (privacy e protezione dei dati).
• art. 5 AI Act (pratiche vietate);
• Opinion EDPS/EDPB sull’uso dei dati biometrici (2021).
• allegato III AI Act (settori ad alto rischio);
• linee guida della Commissione sulla gestione del rischio IA (2022).
• art. 52 AI Act (obblighi di trasparenza).
• Considerando 18 e 22 AI Act.
• artt. 52b e 52d AI Act (General Purpose AI);
• Proposta della Commissione sul diritto d’autore per dataset AI (2023).
• art. 10 AI Act (data governance);
• GDPR, artt. 5 e 9 (principi e dati particolari);
• giurisprudenza della Corte di Giustizia UE, caso Schrems II su trasferimenti e sicurezza.
• art. 14 AI Act (human oversight);
• pareri EDPB su biometria e decisioni automatizzate (2022).
• art. 71 AI Act (sanzioni).
• art. 85 AI Act (entrata in vigore).
• discorsi del Commissario Breton e della Presidente von der Leyen (2023–2024);
• report OECD su regolazione AI (2024).

Questo articolo trae spunto da un caso reale, ma ogni riferimento a fatti e persone è puramente casuale. I contenuti normativi e sostanziali hanno finalità meramente informativa, divulgativa o promozionale e in nessuna circostanza DAS risponderà per l’uso non autorizzato o improprio degli stessi da parte di terzi. Eventuali dati statistici e contenuti infografici sono tratti da fonti citate nel rispetto dei diritti di copyright.