AI ACT — Clovers Blog e News | Avvocati e Studio Consulenza Legale Milano

AI ACT

AI Act: le prime disposizioni entrano in vigore il 2 febbraio 2025.

AI Act: Entrata in vigore delle prime disposizioni

Gianpaolo Todisco - Partner

Il 2 febbraio 2025 segna una tappa fondamentale per l’AI Act, con l’entrata in vigore delle prime normative a livello dell’Unione Europea. Questo regolamento introduce un quadro giuridico armonizzato per tutti gli Stati membri, imponendo regole comuni a chi sviluppa, commercializza o utilizza sistemi di intelligenza artificiale nell’UE. L’obiettivo principale è ridurre la frammentazione normativa, tutelando i diritti fondamentali sanciti dall’articolo 1 e promuovendo un mercato interno conforme alla Carta di Nizza.

Soggetti coinvolti

Le nuove disposizioni riguardano principalmente due categorie:

• Sviluppatori e fornitori di intelligenza artificiale, che devono garantire la conformità dei propri sistemi ai criteri stabiliti dall’AI Act prima della loro commercializzazione.

• Utenti finali e organizzazioni operanti in settori regolamentati, obbligati a rispettare le norme previste, soprattutto per le applicazioni classificate ad alto rischio.

Obblighi chiave per aziende e organizzazioni

A partire dal 2 febbraio 2025, le imprese e le organizzazioni che utilizzano l’intelligenza artificiale devono adeguarsi a due principali obblighi:

1. Divieto di pratiche di intelligenza artificiale a rischio inaccettabile

L’AI Act adotta un approccio basato sulla classificazione del rischio, suddividendo i sistemi di AI in quattro categorie:

• Rischio minimo: sistemi come filtri anti-spam, privi di restrizioni normative.

• Rischio limitato: applicazioni come i chatbot, soggette a obblighi di trasparenza.

Alto rischio: sistemi utilizzati in settori critici (sanità, giustizia, valutazione del personale), sottoposti a rigorose misure di conformità e monitoraggio.

Rischio inaccettabile: pratiche vietate a partire dal 2 febbraio 2025.

Le pratiche proibite includono:

• Manipolazione subliminale o ingannevole, ovvero sistemi che influenzano il comportamento senza consenso.

• Sfruttamento delle vulnerabilità di gruppi specifici, come minori o persone con disabilità.

• Social scoring, sistemi di valutazione della reputazione basati su dati personali, con effetti discriminatori.

• Identificazione biometrica in tempo reale in spazi pubblici, salvo eccezioni specifiche.

• Riconoscimento delle emozioni in contesti sensibili, come lavoro e istruzione.

• Creazione di banche dati biometriche mediante scraping, ovvero la raccolta non autorizzata di dati biometrici online.

Le aziende devono assicurarsi di non adottare queste pratiche nei propri prodotti e servizi. Le violazioni possono comportare sanzioni fino a 35 milioni di euro o il 7% del fatturato annuo globale, a seconda dell’importo maggiore.

1. Obbligo di alfabetizzazione sull’AI

L’articolo 4 dell’AI Act impone a imprese e pubbliche amministrazioni di fornire formazione adeguata sul funzionamento e sui rischi dell’intelligenza artificiale. Questo obbligo si estende anche a chi, pur non operando direttamente nel settore tecnologico, utilizza l’AI nei propri processi.

• Le misure richieste includono:

• Programmi di formazione per i dipendenti sulle opportunità e sui rischi dell’AI.

• Linee guida interne per l’uso responsabile dell’intelligenza artificiale.

2. Sensibilizzazione su implicazioni etiche e legali dell’AI.

L’AI Act si applica non solo ai fornitori stabiliti nell’UE, ma anche a quelli extraeuropei i cui sistemi vengano utilizzati nel territorio dell’Unione.

Tappe successive e nuovi obblighi

L’implementazione dell’AI Act avverrà gradualmente, con scadenze chiave nei prossimi anni.

3. Agosto 2025

Entreranno in vigore disposizioni specifiche sulla governance dell’AI e sugli obblighi per i modelli di intelligenza artificiale di uso generale. Le aziende dovranno:

• Mantenere una documentazione dettagliata su test e sviluppo dei sistemi.

• Adottare procedure standardizzate per garantire la sicurezza lungo il ciclo di vita del sistema.

• Effettuare valutazioni periodiche di conformità.

Il mancato rispetto di queste disposizioni comporterà sanzioni significative.

4. Agosto 2026

L’AI Act sarà pienamente operativo e si applicherà a tutti i sistemi di intelligenza artificiale, inclusi quelli classificati ad alto rischio. Le organizzazioni dovranno adottare ulteriori misure, tra cui:

• Valutazioni d’impatto per identificare e mitigare i rischi.

• Monitoraggio continuo per rilevare anomalie nei sistemi di AI.

Conclusione

L’AI Act rappresenta un passo cruciale nella regolamentazione dell’intelligenza artificiale in Europa, garantendo uno sviluppo tecnologico sicuro e rispettoso dei diritti fondamentali. Le aziende e le organizzazioni devono adattarsi progressivamente ai nuovi obblighi per evitare sanzioni e assicurare un uso etico e responsabile dell’AI.

AI Act: nuovi scenari nella regolamentazione dell’intelligenza artificiale.

L'AI ACT, il regolamento europeo sull'Intelligenza Artificiale, è stato approvato dal Parlamento europeo il 14 giugno e sarà sottoposto all’esame dei Paesi UE in Consiglio, con l’obiettivo di diventare legge entro la fine del 2023. L’AI Act adotta un approccio basato sul rischio e prevede sanzioni fino a Euro 30.000.000 o fino al 6 % del fatturato mondiale totale annuo dell'esercizio precedente.

La proposta di regolamento dell'UE sull'intelligenza artificiale mira a creare un quadro giuridico per l'IA affidabile, basato sui valori e sui diritti fondamentali dell'UE, con l'obiettivo di garantire un utilizzo sicuro dell'IA, prevenendo rischi e conseguenze negative per le persone e la società.

Il testo fissa regole armonizzate per lo sviluppo, l'immissione sul mercato e l'utilizzo di sistemi di IA nell'UE, attraverso un approccio basato sul rischio, che prevede diverse obbligazioni di conformità a seconda del livello di rischio (basso, medio o elevato) che i software e le applicazioni intelligenti possono comportare per i diritti fondamentali delle persone: maggiore è il rischio, maggiori sono i requisiti di conformità e le responsabilità per i fornitori delle applicazioni intelligenti.

In ragione di questo approccio basato sul rischio, l’AI Act distingue tra:

-          "Pratiche di Intelligenza Artificiale Vietate", che creano un rischio inaccettabile, ad esempio perché violano i diritti fondamentali dell’UE. Rientrano in questa nozione i sistemi:

o   che utilizzano tecniche subliminali che agiscono senza che una persona ne sia consapevole o che sfruttano vulnerabilità fisiche o mentali e che siano tali da provocare danni fisici o psicologici;

o   in uso alle autorità pubbliche, di social scoring, di identificazione biometrica in tempo reale a distanza negli spazi accessibili al pubblico, di polizia predittiva sulla base della raccolta indiscriminata e di riconoscimento facciale, se non in presenza di esigenze specifiche o di autorizzazione giudiziale.

 

-          "Sistemi di IA ad Alto Rischio", che presentano un rischio alto per la salute, la sicurezza o i diritti fondamentali delle persone, quali i sistemi che permettano l’Identificazione e la categorizzazione biometrica di persone fisiche, di determinare l'accesso agli istituti di istruzione e formazione professionale, di valutare prove di ammissione o di svolgere attività di selezione del personale, utilizzati per elezioni politiche e diverse altre ipotesi indicate espressamente dalla normativa.

 

L’immissione sul mercato e l’utilizzo di questa tipologia di sistemi, non è quindi vietata ma richiede il rispetto di specifici requisiti, quali:

-          la creazione e il mantenimento di un sistema di gestione del rischio: è obbligatorio sviluppare e mantenere attivo un sistema di gestione del rischio per i sistemi di intelligenza artificiale (IA);

-          l’adozione di criteri qualitativi per dati e modelli: i sistemi di IA devono essere sviluppati seguendo specifici criteri qualitativi per quanto riguarda i dati utilizzati e i modelli implementati, al fine di garantire l'affidabilità e l'accuratezza dei risultati prodotti.

-          la produzione di documentazione su sviluppo e funzionamento: è richiesta una documentazione adeguata riguardo allo sviluppo di un determinato sistema di IA e al suo funzionamento, anche al fine di dimostrare la conformità del sistema alle normative vigenti.

-          la trasparenza verso gli utenti: è obbligatorio fornire agli utenti informazioni chiare e comprensibili sul funzionamento dei sistemi di IA, per renderli consapevoli delle modalità di utilizzo dei dati e di come i risultati sono generati.

-          la supervisione umana: i sistemi di IA devono essere progettati in modo da poter essere supervisionati da persone fisiche.

-          L’accuratezza, robustezza e cibersicurezza: è obbligatorio garantire che i sistemi di IA siano affidabili, accurati e sicuri. Ciò implica l'adozione di misure per prevenire errori o malfunzionamenti che potrebbero causare danni o risultati indesiderati.

 

In alcuni casi, la valutazione della conformità può essere effettuata autonomamente dal produttore dei sistemi di IA, mentre in altri casi potrebbe essere necessario coinvolgere un organismo esterno.

 

-          "Sistemi di IA a Rischio Limitato", che non comportano pericoli considerevoli e per i quali sono previsti requisiti generali di informazione e trasparenza verso l’utilizzatore. Ad esempio, i sistemi che interagiscono con le persone (e.g. assistente virtuale), che sono utilizzati per rilevare emozioni o che generano o manipolano contenuti (e.g. Chat GPT), devono rendere adeguatamente noto l’utilizzo dei sistemi automatizzati, anche al fine di permettere l’adozione di scelte informate o di rinunciare a determinate soluzioni.

Il testo in esame è strutturato in modo flessibile e permette di essere applicato - o in caso adeguato - ai diversi casi che lo sviluppo tecnologico può raggiungere. Il regolamento tiene inoltre conto e garantisce l’applicazione di normative complementari, come ad esempio la disciplina privacy, di tutela del consumatore e di Internet Of Things (IoT).

Il regolamento prevede, in caso di violazione, sanzioni fino ad un valore massimo di Euro 30 milioni o fino al 6 % del fatturato mondiale totale annuo dell'esercizio precedente.

Come detto, il testo approvato dal Parlamento Europeo sarà sottoposto all’esame del Consiglio, con l’obiettivo di essere approvato entro la fine del 2023. In tal caso sarà la prima normativa che a livello mondiale affronta in modo tanto diffuso e dettagliato le possibili problematiche derivanti dall’immissione sul mercato di sistemi AI.

Sarà nostra cura fornire aggiornamenti sulle future evoluzioni normative

Per dettagli e informazioni contattare David Ottolenghi di Clovers