Lo scorso 2 febbraio ha rappresentato una data cruciale per l’applicazione del cosiddetto AI Act in quanto sono diventate operative in Europa le prime disposizioni sanciste dal regolamento sull’Intelligenza Artificiale. L’AI Act riveste un ruolo importante nel quadro giuridico europeo poiché chiunque vuole sviluppare e vendere sistemi AI nel nostro continente deve seguire le stesse regole, senza doversi sottoporre a normative differenti da Paese a Paese.
L’obiettivo primario è quello di ridurre la frammentazione normativa dei vari ordinamenti nazionali, così come espresso nell’articolo 1, ovvero permettere la definizione di un mercato interno e garantire la tutela dei diritti fondamentali descritti nella Carta di Nizza. I destinatati dell’AI Act sono le imprese che sviluppano modelli di Intelligenza Artificiale, gli utenti finali e le società che impiegano l’AI e che devono rispettare specifici obblighi.
Non siamo di fronte ad un comune aggiornamento normativo, ma ad una reale risposta strategica europea alle sfide messe in atto dall’Intelligenza Artificiale in un’epoca di grandi cambiamenti. Si tratta dunque di un tentativo per controllare una tecnologia avanzata che sta modificando i confini della nostra realtà, dai rapporti umani all’economia.
Le novità introdotte da febbraio 2025
Da febbraio le aziende che agiscono nel settore dell’Intelligenza Artificiale devono rispettare due obblighi principali: il divieto di pratiche AI a rischio inaccettabile e l’alfabetizzazione.
È noto che il regolamento dell’AI Act ha assunto un atteggiamento basato sul risk-based approach, ovvero un approccio legato al rischio, stabilendo una piramide dei singoli sistemi AI. Ci sono applicazioni a rischio minimo come i filtri anti-spam che non prevedono regole particolari.
A queste si aggiungono applicazioni a rischio limitato, tra cui i chatbot, che invece sono soggetti a obblighi di trasparenza e le applicazioni ad alto rischio che possono avere un impatto importante sui diritti fondamentali e sono gravate da regole severe.
Infine, l’AI Act definisce particolari attività di Intelligenza Artificiale a rischio inaccettabile, vietandone l’utilizzo. Tra queste pratiche abbiamo:
- Tecniche di manipolazione ingannevole o subliminale: si tratta di sistemi che incidono sul comportamento delle persone senza che se ne accorgano;
- Sfruttamento delle vulnerabilità di gruppi particolari: sono applicazioni AI che si basano sulla vulnerabilità di specifici gruppi, tra cui disabili o minori;
- Sistemi di social scoring: forniscono valutazioni dell’affidabilità o reputazione delle persone basate su caratteristiche e comportamenti sociali che possono condurre a discriminazioni;
- Identificazione biometrica da remoto in spazi pubblici: prevede l’utilizzo di programmi di riconoscimento facciale o rilevamento biometrico per trovare persone in tempo reale in ambienti pubblici;
- Individuazione delle emozioni in ambiti sensibili: applicazioni che tentano di identificare le emozioni degli individui in settori come l’istruzione o il lavoro, dove questo potrebbe causare violazioni della privacy e discriminazioni;
- Creazione di banche dati di riconoscimento facciale mediante scraping non mirato: è la raccolta di dati biometrici ed immagini prelevate da fonti online senza il consenso degli interessati per comporre database impiegati nei sistemi di riconoscimento facciale.
Dunque, le imprese che si avvalgono di sistemi AI devono assicurare che nessuna di tali pratiche vietate sia stata usata dai loro servizi e prodotti. La violazione può causare sanzioni significative che possono toccare i 35 milioni di euro oppure il 7% del fatturato annuale.
Altro obbligo al quale ottemperare è l’alfabetizzazione. Infatti, l’AI Act introduce con l’articolo 4 l’obbligo di garantire che il personale aziendale abbia una conoscenza adeguata dell’Intelligenza Artificiale. Questo è il primo obbligo a trovare applicazione trasversale anche verso i soggetti che agiscono fuori dal campo tecnologico, ma che usano tecnologie AI.
Ovviamente il primo adempimento prevede la formazione, adottando programmi per garantire che i dipendenti capiscano i rischi legati all’AI. Al contempo, le aziende sono tenute a stabilire delle linee guida interne per definire l’utilizzo coscienzioso dell’AI e far comprendere ai lavoratori i potenziali impatti legali ed etici dell’Intelligenza Artificiale.
I prossimi passi dell’AI Act
L’implementazione dell’AI Act prevede una roadmap ben definita con tappe particolari che vogliono assicurare una transizione giuridica e un’applicazione precisa delle nuove normative. Il 2 maggio sono stati elaborati dall’Ufficio IA dell’Unione dei codici di buone pratiche che rappresentano delle guide etiche per gli sviluppatori. L’obiettivo è quello di elaborare un framework comune che conduca lo sviluppo dei sistemi AI verso il rispetto dei principi di trasparenza e rispetto dei diritti umani.
Ad agosto 2025 invece saranno in vigore le normative sulla governance dell’AI e altri obblighi specifici per l’utilizzo generale dei modelli AI. I destinatari dovranno conservare una documentazione dettagliata sui test di sviluppo dei sistemi di AI, attuare procedure standard per la sicurezza dei programmi AI ed eseguire periodiche valutazioni per essere certi che tali sistemi rispettino le norme vigenti.
Ad agosto 2026 avremo l’applicazione totale dell’AI Act per tutti i sistemi AI, compresi quelli ad alto rischio. In tal senso sarà necessario assumere misure aggiuntive, tra cui valutazioni di impatto con analisi approfondite e un monitoraggio continuativo per individuare tempestivamente eventuali problemi e anomalie.