Il 1 agosto 2024 è entrato in vigore il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull'intelligenza artificiale (noto anche come Regolamento sull'intelligenza artificiale o AI Act). L'obiettivo del Regolamento è creare un quadro normativo orizzontale armonizzato per lo sviluppo, l'introduzione nel mercato dell'Unione europea e l'utilizzo di prodotti e servizi di intelligenza artificiale (AI), con particolare attenzione alla gestione dei rischi per salute, sicurezza e diritti fondamentali.
Unione Europea - Regolamento sull'Intelligenza Artificiale (AI Act)
13 giugno 2024
Numero
1689
Il Regolamento (UE) sull'intelligenza artificiale si propone di migliorare il funzionamento del mercato interno e promuovere la diffusione di un'intelligenza artificiale (IA) antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali, compresi la democrazia, lo Stato di diritto e la protezione dell'ambiente, contro gli effetti nocivi dei sistemi di intelligenza artificiale (sistemi di IA) nell'Unione nonché promuovere l'innovazione (art. 1). A tale scopo, l'AI Act, dopo aver individuato il proprio ambito di applicazione (art. 2) e le definizioni rilevanti ai fini normativi (art. 3), stabilisce le regole da applicarsi ai sistemi di AI in base al loro livello di rischio (inaccettabile, alto, basso o minimo).
In particolare, i sistemi di AI sono classificati dal Regolamento nelle seguenti categorie:
- I sistemi di AI che pongono rischi inaccettabili, la cui commercializzazione e uso sono esplicitamente vietati nel mercato interno dell'UE (Capo II, art. 5). Tra questi rientrano i sistemi che: utilizzano tecniche manipolative nei confronti delle persone; sfruttano categorie di soggetti considerati vulnerabili; classificano le persone o i gruppi in base al comportamento sociale o alle caratteristiche personali in presenza di specifiche condizioni; valutano il rischio di condotte criminali; creano database di riconoscimento facciale attraverso attività di scraping; categorizzano le persone in base ai dati biometrici e realizzano l'identificazione biometrica in tempo reale (con alcune eccezioni);
- I sistemi di AI ad alto rischio secondo i criteri di classificazione stabiliti dal Regolamento (UE) stesso (art. 6). Questi possono essere immessi sul mercato e utilizzati solo dopo essere stati sottoposti ad una valutazione di conformità da parte dello stesso fornitore del sistema di AI o da un organismo notificato terzo (art. 43) in relazione al rispetto dei requisiti stabiliti dal Regolamento (Sezione 2, Capo III). In particolare, i sistemi ad alto rischio devono avere un sistema di gestione dei rischi che, in modo iterativo, identifichi, valuti e gestisca (tramite eliminazione o mitigazione) i possibili rischi che possono essere rilevati anche nel monitoraggio successivo all’immissione nel mercato (art. 9). Inoltre, i fornitori di tali sistemi dovranno redigere e tenere aggiornata la documentazione tecnica (art. 11) e la registrazione dei log (art. 12), oltre che progettare e sviluppare i sistemi in modo tale che mantengano livelli adeguati di accuratezza, robustezza e cybersicurezza durante tutto il loro ciclo di vita (art. 15). Altri requisiti rilevanti riguardano la governance dei dati utilizzati (art. 10), la trasparenza dei sistemi (art. 13) e la supervisione umana (art. 14);
- I sistemi di AI che presentano rischi di trasparenza (Capo IV). Qualora una persona fisica interagisca con questa tipologia di AI è stabilito l'obbligo di informare chi interessato della natura artificiale del sistema e dei contenuti generati dallo stesso (art. 50);
- I sistemi di AI a rischio minimo (Capo X). Questi sistemi non sono soggetti ad ulteriori obblighi oltre la normativa di settore e quanto già previsto a livello di regolamentazione europea. Il Regolamento (UE) incoraggia comunque l'adozione di codici di condotta intesi a promuovere l'applicazione volontaria anche a questi sistemi di AI i requisiti previsti per i sistemi ad alto rischio (art. 95).
L'AI Act stabilisce, poi, regole specifiche per i modelli di AI per finalità generali (Capo V), ponendo obblighi più stringenti qualora si tratti di modelli classificati con rischio sistemico (art. 51 e ss.).
Inoltre, il Capo VI introduce misure a sostegno dell'innovazione, con particolare attenzione alla creazione di sandbox regolamentari per lo sviluppo e la sperimentazione di sistemi innovativi di AI. Nelle sandbox si istituisce un ambiente controllato per sottoporre a prova per un periodo limitato tecnologie innovative sotto la supervisione delle autorità competenti e sulla base di un piano concordato con le stesse. L'AI Act, poi, stabilisce regole per la realizzazione di prove in condizione reale dei sistemi di AI.
Il Regolamento (UE) prevede la nomina di autorità competenti da parte degli Stati membri e la creazione di un comitato europeo per l'intelligenza artificiale che supervisioneranno l'applicazione e l'attuazione del regolamento.
Infine, l'AI Act introduce sanzioni amministrative pecuniarie per la mancata osservanza delle disposizioni ivi contenute.
Il Regolamento si applica a decorrere dal 2 agosto 2026, tuttavia:
- Il capo I (regole generali) e il capo II (pratiche vietate) si applicano a decorrere dal 2 febbraio 2025;
- Il capo III, sezione 4 (autorità di notifica e organismi notificati), il capo V (modelli di AI per finalità generali), il capo VII (governance), il capo XII (sanzioni) e l’articolo 78 (riservatezza) si applicano a decorrere dal 2 agosto 2025 (ad eccezione dell'articolo 101);
- L'articolo 6, paragrafo 1, e i corrispondenti obblighi di cui al presente Regolamento (sistemi ad alto rischio) si applicano a decorrere dal 2 agosto 2027.
Il testo del Regolamento è disponibile al seguente link e nel box download.
Marta Fasan-Giulia Olivato
Pubblicato il: Giovedì, 13 Giugno 2024 - Ultima modifica: Venerdì, 18 Aprile 2025
