AI Act: in vigore dal 2 febbraio per sistemi a rischio e formazione

Dal 2 febbraio 2025 saranno in vigore le disposizioni del Regolamento europeo sull’intelligenza artificiale (AI Act) relative ai sistemi che comportano rischi inaccettabili e all’alfabetizzazione digitale. Il Regolamento è ufficialmente una legge dell’Unione dal momento della sua pubblicazione in Gazzetta, avvenuta venerdì 12 luglio 2024. Si tratta del Regolamento 1689/2024, un numero che faremo bene a ricordare perché, come il padre di tutti i regolamenti sui dati, ossia il 679/2016 (aka GDPR) promette di fare parlare di sé molto e molto a lungo.
Si tratta dell’ultimo di una lunga serie di regolamenti che, a livello comunitario, disciplinano l’utilizzo dei dati, e questa volta in uno scenario del tutto nuovo, ossia il loro utilizzo per creare algoritmi di AI (generativa e non solo), che si pone nel solco intrapreso dall’Unione europea per regolamentare la pervasività della digitalizzazione che ci riguarda tutti: basti pensare al DGA (Digital Governance Act, 2023) al DA (Data Act, 2023), al DSA (Digital Services Act, 2022) e al DMA (Digital Markets Act, 2022) per comprendere che la legislazione europea degli ultimi anni si è concentrata in maniera prevalente su quello che ormai è a tutti gli effetti il bene più importante che ci sia in circolazione, ossia l’insieme di dati personali che circolano nel web.
In questo quadro caratterizzato da una molteplicità di regolamentazioni, che rischiano di essere messe a dura prova dall’uso incontrollato dell’innovazione digitale, la quale evolve a un ritmo senza precedenti, il regolamento AI può considerarsi la risposta dell’Unione all’ondata digitale: non solo una reazione, non solo un quadro normativo coerente e comune a tutti gli Stati, ma una misura proattiva per instaurare un mercato digitale europeo sicuro e fidato. La fiducia dei cittadini europei è la chiave per un progresso continuo e sostenibile.
I tempi di attuazione previsti dal Regolamento variano dai 6 ai 36 mesi, con priorità data ai settori a rischio elevato. Questo intervallo temporale è stato studiato per permettere un’implementazione graduale e efficace delle nuove norme. Nonostante la sfida normativa, l’Europa ribadisce il suo impegno costante nella protezione dei diritti e delle libertà fondamentali dei suoi cittadini. Il volume “Il Regolamento Europeo sull’intelligenza artificiale” curato da Giuseppe Cassano ed Enzo Maria Tripodi si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale.
Abbiamo dedicato alle prime fasi gli articoli: Regolamento UE intelligenza artificiale: primo via libera e Regolamento UE Intelligenza artificiale: ok dal Parlamento

1. L’approvazione dell’AI Act

Il 13 marzo 2024, il Parlamento europeo ha approvato in via definitiva il Regolamento Europeo sull’intelligenza artificiale.
Dopo un lungo iter legislativo, di cui abbiamo seguito le tappe in questo articolo, oggi il Regolamento è legge e tutte le aziende dovranno adeguarsi alle nuove norme dell’Unione, che, come tutti i regolamenti, sono self executive e dunque non richiedono alcuna legge di recepimento, entrando direttamente nel corpo legislativo nazionale di ciascun Stato membro.
Con il voto del 13 marzo 2024, l’Unione europea è la prima al mondo a regolamentare la rivoluzione dirompente dell’intelligenza artificiale, diventando apripista e pioniera nella tecnologia che oggi promette di cambiare per sempre la vita di tutti noi.  
L’approvazione è stata quasi plebiscitaria, con 523 voti a favore, 46 contrari e 49 astenuti e a Strasburgo si parla di “giornata storica”.
Grande attenzione è stata data alla definizione di sistema di intelligenza artificiale, che è stata così espressa: “un sistema automatizzato progettato per funzionare con diversi livelli di autonomia e che può mostrare capacità di adattamento dopo l’installazione e che, per obiettivi espliciti o impliciti, deduce, dagli input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.
Il nuovo Regolamento, in cui c’è molto del “vecchio” GDPR, si applicherà a tutti i soggetti pubblici e privati che producono strumenti con tecnologia di intelligenza artificiale rivolti al mercato europeo, indipendentemente dal fatto che le aziende siano o meno europee: anche i Big americani, dunque, se vorranno continuare ad operare sul mercato del vecchio continente, dovranno pertanto adeguarsi. Non solo i fornitori, ma anche gli utilizzatori dovranno assicurarsi che il prodotto sia compliant (una parola che abbiamo imparato a conoscere parlando di protezione dei dati, ma anche di antiriciclaggio e legge 231).
Vi saranno alcune eccezioni nell’applicazione del Regolamento, che non varrà per i sistemi di AI per scopi militari, di difesa o di sicurezza nazionale, a quelli per scopi di ricerca e sviluppo scientifico, o a quelli rilasciati con licenze free e open source (fatta salva la verifica di sussistenza di un rischio), per l’attività di ricerca, prova e sviluppo relative a sistemi di intelligenza artificiale e per le persone fisiche che utilizzano i sistemi di AI per scopi puramente personali (ricalcando quanti previsto dal GDPR, che non si applica tra privati).
L’approccio è quello già noto basato sul rischio. I sistemi di AI sono divisi in quattro macrocategorie: a rischio minimo, limitato, alto ed inaccettabile. Come sempre, maggiore è il livello di rischio maggiori saranno le responsabilità e i limiti per sviluppatori e utilizzatori. Vietati in ogni caso gli utilizzi dei sistemi di AI per manipolare i comportamenti delle persone, per la categorizzazione biometrica in riferimento ai dati sensibili, per la raccolta massiccia e illimitata di foto di volti da internet, per il riconoscimento delle emozioni sul posto di lavoro o a scuola, per i sistemi di punteggio sociale o social scoring e per meccanismi di polizia predittiva, cioè l’uso di dati sensibili per calcolare le probabilità che una persona commetta un reato.

2. Entro quando adeguarsi?

Le regole dell’AI Act, così come era avvenuto per il GDPR, entreranno in vigore scaglionate nel tempo, lasciando alle aziende e alle PA il tempo per prendere confidenza con il nuovo Regolamento, anche se il mercato tenderà a premiare chi si adeguerà tempestivamente invece di aspettare l’ultimo minuto (come avvenne nel maggio 2018 quando divenne pienamente operativo il GDPR, entrato in vigore ben due anni prima e snobbato dai più).
I tempi sono comunque ridotti: entro sei mesi dall’entrata in vigore dovranno essere eliminati gradualmente i sistemi vietati dall’AI Act, entro dodici si applicheranno le norme di governance generali a tutte le aziende e le PA. Entro due anni dall’entrata in vigore il Regolamento sarà pienamente applicabile, comprese le norme per i sistemi ad alto rischio.

3. Sanzioni

Il regolamento stabilisce le soglie delle sanzioni che saranno poi stabilite dagli Stati membri: fino a 35 milioni di euro o al 7% del fatturato totale annuo mondiale dell’esercizio precedente per le violazioni relative alle pratiche vietate o alla non conformità ai requisiti sui dati; fino a 15 milioni di euro o al 3% del fatturato totale annuo mondiale dell’esercizio precedente per la mancata osservanza di uno qualsiasi degli altri requisiti o obblighi del regolamento, compresa la violazione delle norme sui modelli di IA per uso generale; fino a 7,5 milioni di euro o all’1,5% del fatturato mondiale annuo totale dell’esercizio precedente per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta (in tutti i casi a seconda di quale sia il valore più elevato). Il volume “Il Regolamento Europeo sull’intelligenza artificiale” curato da Giuseppe Cassano ed Enzo Maria Tripodi si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale

4. Che cosa devono fare le aziende?

Innanzi tutto, è bene che le aziende compiano un censimento dei propri software che utilizzano sistemi di AI per capire se ce ne sono alcuni che rientrano nei sistemi ad alto rischio: un Assessment del rischio a livello di AI è dunque il primo passo per sapere quali azioni sono da intraprendere per adeguarsi al nuovo Regolamento.
Per i sistemi a basso rischio, l’approccio è basato sull’autoregolamentazione, consentendo ai fornitori di scegliere volontariamente di adottare requisiti per un’AI affidabile e aderire a codici di condotta. Questo approccio riflette un equilibrio tra la promozione dell’innovazione e la minimizzazione dei rischi, senza imporre oneri regolamentari eccessivi per tecnologie che presentano rischi limitati.
Al contrario, i sistemi di AI ad alto rischio saranno soggetti a requisiti più rigorosi. Prima di poter essere venduti o resi disponibili, questi sistemi dovranno superare una valutazione di conformità che dimostri il rispetto dei requisiti obbligatori per un’AI affidabile stabiliti dal Regolamento. Questi requisiti includono la qualità dei dati, la documentazione e la tracciabilità, la trasparenza, la supervisione umana, l’accuratezza, la sicurezza informatica e la robustezza del sistema. Questo processo mira a garantire che i sistemi di AI ad alto rischio siano sicuri, affidabili e trasparenti, mitigando i rischi potenziali per gli individui e la società.
L’arrivo del Regolamento comporterà la necessità per entità pubbliche e private di valutare i rischi dei sistemi di AI in uso, portando ad un possibile periodo di transizione critico. Le organizzazioni dovranno valutare attentamente i sistemi di AI che utilizzano per determinare se rientrano nella categoria ad alto rischio e, in tal caso, assicurarsi di conformarsi ai nuovi requisiti di legge richiesti.

5. Il Regolamento AI verso l’adozione definitiva

Dopo aver ottenuto l’approvazione del COREPER e delle commissioni LIBE e IMCO del Parlamento Ue, ci si avvia a grandi passi verso l’adozione definitiva del Regolamenti sull’Intelligenza artificiale, che ha lo scopo di proteggere sicurezza e diritti fondamentali dei cittadini europei dinnanzi a questa tecnologia dirompente destinata a cambiare la vita di tutti noi. 
Il testo del Regolamento sull’intelligenza artificiale (“AI Act” o “Regolamento”) ha ottenuto l’ok anche dalla commissione per le libertà civili, la giustizia e gli affari interni (LIBE) del Parlamento europeo il 13 febbraio. Questi ultimi passi sono prodromici alla finalizzazione dell’iter di approvazione, che è previsto per aprile con la votazione del Parlamento in sessione plenaria e la successiva approvazione del Consiglio.
Tra i punti principali modificati, ci sono i seguenti: 
L’articolo 1, paragrafo 1, che si impegna a tutelare la salute, sicurezza e i diritti essenziali, allineandosi alla Carta dei diritti fondamentali dell’UE, limitando però l’applicazione di tali tutele esclusivamente a questi ambiti critici;
è stata esclusa la sicurezza nazionale dall’ambito di applicazione del Regolamento;
è stata modificata la definizione stessa del concetto di intelligenza artificiale, per renderla conforme alla definizione fornita dall’OCSE ed esclude i sistemi software tradizionali più semplici o gli approcci di programmazione che si basano su regole definite unicamente da persone fisiche per eseguire automaticamente delle operazioni;
sono stati introdotti divieti su determinate applicazioni dell’IA, inclusa l’identificazione biometrica in tempo reale in luoghi pubblici, con alcune eccezioni, il raccoglimento indiscriminato di immagini facciali per database di riconoscimento, il monitoraggio emozionale in ambienti lavorativi e scolastici, la classificazione biometrica basata su tratti personali, e l’uso di sistemi di previsione della criminalità basati su profili individuali, pur prevedendo alcune eccezioni a queste restrizioni;
sono stati inseriti altri sistemi di categorizzazione biometrica, sistemi di riconoscimento delle emozioni e sistemi di identificazione biometrica a distanza nell’Allegato III (Elenco dei sistemi di IA ad alto rischio);
sono state introdotte salvaguardie per l’uso di sistemi di identificazione biometrica da remoto;
è stato inserito l’obbligo per alcuni deployer di effettuare una valutazione di impatto sui diritti fondamentali;
sono stati previsti i casi in cui è possibile fare dei test sui sistemi di AI ad alto rischio in condizioni reali al di fuori dei sandbox, con la predisposizione di adeguate salvaguardie; 
sono stati introdotti criteri per individuare i sistemi di AI che presentano dei rischi sistemici, nonché obblighi specifici per gli stessi;
è stato stabilito un termine dilatorio di quattro anni per consentire, nel caso di sistemi di intelligenza artificiale ad alto rischio destinati ad essere utilizzati dalle autorità pubbliche che sono già immessi sul mercato o in servizio, ai fornitori e ai deployers di adottare le misure necessarie per conformarsi ai requisiti del Regolamento.
Restano aperti alcuni punti cruciali, in merito alla protezione dei dati personali, in particolare in merito alla base giuridica per la raccolta dei dati necessari ad addestrare i sistemi di AI (scartato il consenso, potrebbe farsi strada l’interesse legittimo) ed alla trasparenza, per cui sarà fondamentale non solo stabilire quali informazioni dovranno essere messe a disposizione dell’interessato, ma anche fino a che livello può spingersi la capacità dell’interessato di comprendere tali informazioni. 
Dopo il completamento del processo legislativo, l’AI Act entrerà in vigore seguendo un calendario definito: sarà applicabile complessivamente 24 mesi dopo l’approvazione. Tuttavia, alcune disposizioni avranno tempi di attuazione specifici: 6 mesi per le pratiche di AI proibite, 12 mesi per le disposizioni relative alle autorità di notifica, agli organismi notificati, alla governance, e 36 mesi per l’implementazione dei sistemi di AI considerati ad alto rischio. Il volume “Il Regolamento Europeo sull’intelligenza artificiale” curato da Giuseppe Cassano ed Enzo Maria Tripodi si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale

6. Il testo approvato provvisoriamente

Il Regolamento, pionieristico a livello mondiale, stabilisce limiti chiari all’uso dell’IA, proteggendo i diritti dei cittadini europei pur lasciando spazio a molte applicazioni, escludendo settori come quello militare. Un elemento di spicco è la definizione legislativa di intelligenza artificiale, che enfatizza l’autonomia, l’adattabilità e l’impatto sul mondo fisico o virtuale. Tale definizione, in linea con le direttive internazionali, esclude i sistemi software tradizionali basati su regole fisse, e prevede linee guida specifiche per la sua applicazione, sottolineando l’intento di non ostacolare l’innovazione.
Un tema centrale del regolamento è la regolamentazione dell’uso dell’IA per il riconoscimento facciale e la biometria, con procedure rigorose per l’approvazione giudiziaria di tali tecnologie in ambito giuridico. Il Regolamento proibisce inoltre il social scoring, evitando che pratiche diffuse in altri contesti internazionali prendano piede in Europa.
Per le aziende, l’AI Act delinea responsabilità e requisiti chiari in base al livello di rischio dei sistemi di IA, influenzando direttamente il modo in cui l’innovazione tecnologica viene perseguita e implementata nel mercato europeo.
Questo Regolamento rappresenta un passo avanti significativo nella regolamentazione dell’intelligenza artificiale, segnando un momento storico per l’Europa e il mondo.
Si attende ora l’approvazione del testo da parte del Parlamento Europeo, che avverrà il 13 marzo 2024, affinché il testo diventi legge in tutti gli Stati membri dell’Unione Europea. In una fase precedente, in seguito a una intensa maratona di colloqui che si è protratta per tre giorni, la presidenza del Consiglio e i negoziatori del Parlamento europeo avevano siglato un accordo provvisorio cruciale.

7. La proposta di regolamento sull’intelligenza artificiale

Questa proposta innovativa è volta a garantire che i sistemi di IA immessi sul mercato europeo e utilizzati nell’Unione Europea rispettino elevati standard di sicurezza, tutelando allo stesso tempo i diritti fondamentali e i valori dell’UE. Un obiettivo complementare è quello di incentivare gli investimenti e l’innovazione nel campo dell’IA, stabilendo così un importante precedente per l’intera industria europea.
Carme Artigas, sottosegretaria di Stato spagnola per la Digitalizzazione e l’Intelligenza Artificiale, ha accolto l’accordo con entusiasmo, definendolo un risultato storico e una pietra miliare per il futuro. L’accordo, secondo Artigas, gestisce con successo una sfida globale in un contesto tecnologico in rapida evoluzione, influenzando un settore vitale per il destino delle economie e delle società europee. Artigas sottolinea l’abilità nel mantenere un delicato equilibrio tra lo stimolo all’innovazione e all’adozione dell’IA in tutta Europa e il rispetto dei diritti fondamentali dei cittadini.
Il regolamento sull’IA emerge come un’iniziativa legislativa faro con il potenziale di promuovere lo sviluppo e l’adozione di un’IA sicura e affidabile nell’intero mercato unico dell’UE. L’approccio “basato sul rischio” proposto è particolarmente rilevante, poiché le regole diventano più stringenti in relazione al potenziale danno alla società. Questo approccio può prevenire efficacemente possibili danni e favorire l’adozione di tecnologie di intelligenza artificiale sicure.
La proposta rappresenta non solo un importante passo avanti per l’Europa ma anche un potenziale standard globale per la regolamentazione dell’IA. In qualità di prima proposta legislativa di questo tipo al mondo, può influenzare e plasmare la regolamentazione dell’IA a livello internazionale, analogamente al successo del regolamento generale sulla protezione dei dati 679/2016(GDPR).
Gli elementi chiave dell’accordo provvisorio sull’intelligenza artificiale (IA) presentano modifiche significative rispetto alla proposta iniziale della Commissione europea. Esaminiamo attentamente tali elementi per comprendere l’impatto di questo accordo pionieristico.

8. Regole su modelli di IA e governance riveduta

Il nuovo accordo si concentra su modelli di IA ad alto impatto e sistemi ad alto rischio, introducendo una governance riveduta con poteri di esecuzione a livello dell’Unione Europea (UE). L’elenco dei divieti è ampliato, ma con la possibilità di utilizzare l’identificazione biometrica remota, rispettando le tutele.

9. Migliore protezione dei diritti fondamentali

L’accordo sottolinea l’obbligo per gli operatori di sistemi di IA ad alto rischio di effettuare una valutazione d’impatto sui diritti fondamentali prima dell’utilizzo, migliorando così la tutela dei diritti. Il volume “Il Regolamento Europeo sull’intelligenza artificiale” curato da Giuseppe Cassano ed Enzo Maria Tripodi si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale

10. Definizioni e ambito di applicazione

La definizione di sistema di IA è allineata all’approccio dell’OCSE, garantendo chiarezza nella distinzione tra IA e sistemi software più semplici. Il regolamento non si applica a settori al di fuori del diritto dell’UE, preservando le competenze degli Stati membri e non copre sistemi utilizzati esclusivamente per scopi militari.

11. Classificazione e pratiche vietate

Si introduce una classificazione ad alto rischio per garantire che siano disciplinati solo sistemi con potenziali violazioni dei diritti fondamentali. Vietati, tra gli altri, la manipolazione comportamentale cognitiva e il riconoscimento delle emozioni sul luogo di lavoro.

12. Governance e sanzioni

Una nuova architettura di governance è istituita, con un ufficio per l’IA, un gruppo scientifico di esperti indipendenti e un comitato per l’IA. Le sanzioni per le violazioni del regolamento sono proporzionate al fatturato annuo globale, con massimali più equi per PMI e start-up.

13. Trasparenza e protezione dei diritti

È prevista una valutazione d’impatto sui diritti fondamentali prima dell’immissione sul mercato di sistemi di IA ad alto rischio. Maggiore trasparenza è garantita per l’uso di sistemi ad alto rischio, inclusa la registrazione di entità pubbliche nella banca dati dell’UE. Particolare attenzione viene dedicata al diritto d’autore, per approfondimenti in proposito del quale consigliamo il volume: alle quali abbiamo dedicato il volume “Il nuovo diritto d’autore -La tutela della proprietà intellettuale nell’era dell’intelligenza artificiale”

14. Misure a Sostegno dell’innovazione

Le disposizioni a sostegno dell’innovazione mirano a creare un ambiente favorevole e includono spazi di sperimentazione normativa per testare sistemi di IA innovativi in condizioni reali, riducendo gli oneri amministrativi per le imprese più piccole.
In conclusione, questo accordo segna un passo cruciale verso una regolamentazione equilibrata dell’IA in Europa, mantenendo l’innovazione al centro e garantendo una protezione adeguata dei diritti fondamentali.

15. Entrata in vigore e eccezioni

L’accordo provvisorio stabilisce che il regolamento sull’IA entrerà in vigore due anni dopo la sua adozione, salvo alcune eccezioni per disposizioni specifiche. Questo periodo di transizione fornirà agli attori interessati il tempo necessario per adeguarsi alle nuove regole e implementare le misure richieste.

16. Prossime Fasi

Dopo il successo dell’accordo provvisorio, le prossime settimane vedranno il proseguimento dei lavori a livello tecnico per delineare i dettagli operativi del nuovo regolamento. La presidenza sarà responsabile di presentare il testo di compromesso ai rappresentanti degli Stati membri (Coreper) per ottenere l’approvazione una volta completati i lavori di definizione.

17. Conferma e approvazione formale

Il testo completo dovrà essere confermato da entrambe le istituzioni coinvolte e sarà sottoposto a una revisione giuridico-linguistica prima dell’adozione formale da parte dei co-legislatori. Questo processo assicura una chiara comprensione e conformità legale, preparando il terreno per l’applicazione pratica e uniforme del regolamento sull’IA nell’Unione Europea.
Le fasi successive si concentreranno sulla precisione e sulla chiarezza del testo, garantendo che tutte le parti coinvolte siano pronte per l’entrata in vigore e la piena attuazione delle nuove regole sull’IA.

Potrebbero interessarti anche:

• Salute e sicurezza sul lavoro e intelligenza artificiale in UE
• Intelligenza artificiale: rivoluzione tecnologica e sfide nel contesto giuridico globale

Formazione in materia

Per approfondire i temi dell’intelligenza artificiale, abbiamo organizzato il “Master in Intelligenza artificiale per avvocati e imprese – Come utilizzare l’AI generativa per un vantaggio competitivo nel settore legale”
Il Master in Intelligenza Artificiale per Avvocati e Imprese è un percorso formativo avanzato, progettato per fornire a professionisti del settore legale e imprese le conoscenze e le competenze necessarie per orientarsi e utilizzare al meglio le potenzialità dell’AI generativa. Attraverso un approccio pratico, il corso illustrerà i principali tool di AI in uso e mostrerà ai partecipanti come integrare l’AI nei processi lavorativi, migliorando l’efficienza, riducendo i costi e innovando i servizi offerti.Il corso ha una durata totale di 21 ore, articolate in sette incontri da tre ore ciascuno, e include dimostrazioni pratiche in cui verranno illustrate tecniche per la creazione di Prompt efficaci e un framework per la creazione di un GPT personalizzato, focalizzato sulle esigenze del settore legale.
>>>Per info ed iscrizioni<<<
Prenotazione servizio di consulenza
Puoi prenotare un servizio di consulenza personalizzato sulle specifiche esigenze della tua impresa o professione con il docente Claudio Gionti, compilando il modulo disponibile al seguente link: https://docs.google.com/forms/d/e/1FAIpQLScnwEL4P3B76WZRaoW9FnpcwT9Uh570ZAQfisMgTaDVsOzEMg/viewform

Vuoi ricevere aggiornamenti costanti?

Salva questa pagina nella tua Area riservata di Diritto.it e riceverai le notifiche per tutte le pubblicazioni in materia. Inoltre, con le nostre Newsletter riceverai settimanalmente tutte le novità normative e giurisprudenziali!
Iscriviti!