Guida EU AI Act per imprese: Come Affrontare la Normativa Europea sull'Intelligenza Artificiale
- Andrea Viliotti
- 3 giu
- Tempo di lettura: 43 min
L'intelligenza artificiale (IA) sta rapidamente trasformando il nucleo operativo delle aziende in ogni settore, dall'ottimizzazione delle catene di approvvigionamento al marketing personalizzato, rendendo indispensabile una Guida EU AI Act per imprese che chiarisca il panorama normativo. Tuttavia, con l'avanzare dell'innovazione, anche il quadro normativo si evolve. La normativa europea sull'IA, nota come EU AI Act, rappresenta un tentativo significativo di bilanciare progresso tecnologico e tutela dei diritti fondamentali. Questo scenario normativo, ampio e in parte ancora in divenire, pone le aziende di fronte a una sfida cruciale: come implementare strategie di IA conformi, sicure e rispettose dei valori etici, trasformando al contempo i requisiti normativi in opportunità strategiche, obiettivo primario di questa Guida EU AI Act per imprese? Comprendere a fondo questa legislazione è fondamentale per mitigare i rischi e cogliere i vantaggi competitivi.
12. FAQ: Risposte Rapide dalla Guida EU AI Act per Imprese
Introduzione all'EU AI Act: Fondamenti e Strategie per la tua Impresa
Negli ultimi anni l’intelligenza artificiale si è trasformata da campo di ricerca a motore operativo per imprese di ogni settore: ottimizza le supply chain, personalizza il marketing, abilita nuovi servizi; una trasformazione che richiede una Guida EU AI Act per imprese per orientarsi tra le nuove responsabilità. Il legislatore europeo ha risposto con l’EU AI Act, un regolamento già in vigore ma ancora soggetto a revisioni che impongono obblighi diretti alle aziende. Il punto critico per il management, e che questa Guida EU AI Act per imprese si propone di affrontare, è dunque gestire oggi l’incertezza applicativa – definizioni, requisiti e interpretazioni non ancora stabilizzati – senza rallentare l’adozione di soluzioni IA sicure e rispettose dei diritti fondamentali.
È importante comprendere che esistono aree sostanziali in cui nessuno può affermare di sapere con certezza come l'EU AI Act sarà applicato dai tribunali e dalle autorità di regolamentazione. Nonostante ciò, è possibile fornire indicazioni sulle posizioni probabili, spesso ragionando per analogia basandosi sull'esperienza nell'interpretazione di disposizioni vaghe e incerte in altre leggi dell'UE. Laddove la normativa è ambigua, l'obiettivo è fornire chiarezza; dove è di alto livello, si mira a concretezza, e dove è teorica, ci si concentra sulle interpretazioni che i tribunali dell'UE adotteranno con maggiore probabilità. Non si pretende di risolvere tutte le incertezze – nessuno può farlo, non ancora – ma si fornisce una mappa che aiuta le aziende a muoversi oggi, non solo a prepararsi per domani. Le imprese necessitano di una guida pratica perché la posta in gioco è alta. Le sanzioni per la non conformità all'EU AI Act sono significative: fino a un massimo di 35 milioni di euro o il 7% del fatturato annuo globale, a seconda di quale sia l'importo maggiore. Per intenderci, queste cifre sono superiori del 75% rispetto alle già elevate sanzioni massime previste dal GDPR. Oltre al rischio di esposizione finanziaria, anche il rischio reputazionale derivante dall'essere etichettati come non conformi è considerevole, specialmente in un mercato in cui fiducia e trasparenza stanno rapidamente diventando fattori di differenziazione competitiva. La maggior parte delle aziende, tuttavia, non dispone del tempo, delle competenze o della capacità legale interna per dedicare ore alla ricerca di risposte a domande come: "Come faccio a sapere se il mio sistema di IA è ad 'alto rischio?", "Quali informative sulla trasparenza devo iniziare a preparare?", "Devo riqualificare i miei team sull'alfabetizzazione in materia di IA?".
È essenziale, quindi, iniziare a costruire le basi della conformità il prima possibile, sapendo che si potranno apportare adattamenti. Nell'eventualità di un'indagine regolamentare, è infinitamente preferibile dimostrare un programma di conformità in corso piuttosto che non avere nulla da presentare. Le aziende dovranno inevitabilmente affrontare decisioni rischiose su come bilanciare al meglio gli obblighi di conformità con la necessità di sviluppare e/o utilizzare l'IA per raggiungere i propri obiettivi di business. Ad esempio, ogni azienda deve decidere quali delle sue tecnologie sono sistemi di IA e quali no. Data la vaghezza con cui l'EU AI Act definisce i "sistemi di IA", le aziende dovranno adottare definizioni interne che trovino un equilibrio tra l'essere troppo ampie (rischiando di trattare alcune tecnologie come rientranti nell'ambito di applicazione quando potrebbero non esserlo) e troppo strette (rischiando la non conformità). Nel trovare tale equilibrio, è essenziale che le aziende siano in grado di giustificare e difendere le scelte fatte, e di documentarle. In questo modo, le aziende possono dimostrare a qualsiasi autorità di regolamentazione la ragionevolezza delle scelte operate, specialmente quando tali scelte hanno dovuto essere fatte prima che fossero disponibili linee guida approfondite. Purtroppo, in questo ambiente normativo in rapida evoluzione, non c'è alternativa al tenersi aggiornati sulle tendenze normative, sulla guida legale e sul feedback dell'implementazione nel mondo reale.
Takeaway operativo: Le aziende dovrebbero avviare immediatamente una valutazione interna del proprio utilizzo attuale e pianificato di sistemi di IA, identificando le aree di potenziale impatto dell'EU AI Act e stanziando risorse per un programma di conformità proattivo e adattabile. Questo approccio mitiga i rischi e posiziona l'azienda per capitalizzare sulle opportunità offerte da un uso responsabile dell'IA.
EU AI Act per Imprese: Ambito Territoriale e Ruoli Aziendali Chiave da Conoscere
Per le imprese che sviluppano o impiegano IA, il primo nodo è l’ambito territoriale: l’EU AI Act si applica agli operatori (fornitori, utilizzatori, importatori, distributori, produttori) stabiliti o semplicemente attivi nel SEE e può estendersi a soggetti extra-SEE se l’output dei loro sistemi viene usato nell’Unione. In altre parole, anche chi non vende direttamente nel mercato europeo può ricadere nella normativa se i suoi modelli o servizi generano risultati utilizzati da utenti europei.
Una delle peculiarità più rilevanti è che l'EU AI Act si applica a qualsiasi fornitore o utilizzatore di sistemi di IA se l'output prodotto dal sistema viene utilizzato nel SEE, apparentemente indipendentemente dall'intenzione. Specificamente, il Considerando 22 indica che la normativa dovrebbe applicarsi ai fornitori e agli utilizzatori al di fuori del SEE se l'output dei loro sistemi di IA è destinato ad essere utilizzato nel SEE. Tuttavia, ciò sembra incoerente con l'Articolo 2(1)(c), che afferma che la normativa si applica a "...fornitori e utilizzatori di sistemi di IA che hanno la loro sede di stabilimento o che sono situati in un paese terzo [cioè, al di fuori del SEE], laddove l'output prodotto dal sistema è utilizzato nel [SEE]". Questa formulazione rimuove l'elemento dell'intenzione e sembra invece significare che l'EU AI Act si applica se l'output è utilizzato nel SEE, indipendentemente dal fatto che ciò fosse intenzionale. Di conseguenza, le aziende che operano al di fuori del SEE sono comunque a rischio di essere soggette alla normativa, anche se non mirano a condurre affari nel SEE.
Un'ulteriore complicazione deriva dal concetto di "persone interessate". Ai sensi del GDPR, se un'azienda non rientra in nessuno dei test di ambito territoriale stabiliti nell'Articolo 3 del GDPR, tale azienda non è soggetta al GDPR, anche se alcuni degli interessati si trovano nel SEE. Ma l'Articolo 2(1)(g) dell'EU AI Act stabilisce che la normativa si applica alle persone interessate situate nel SEE. Sebbene la formulazione sia poco chiara, è possibile che ciò significhi che anche laddove un'azienda non superi nessuno degli altri test di applicabilità dell'EU AI Act, qualsiasi persona interessata situata nel SEE potrebbe comunque essere in grado di esercitare i propri diritti ai sensi della normativa nei confronti di tale azienda. L'EU AI Act è un "Testo con rilevanza SEE". Ciò significa che, ai sensi dell'Accordo SEE, gli Stati SEE non UE (cioè Islanda, Liechtenstein e Norvegia) dovranno implementare leggi nazionali per dare effetto all'EU AI Act. Tuttavia, in pratica le regole si applicheranno in tali stati in modo funzionalmente identico a come si applicano nell'UE.
Oltre all'ambito territoriale, è cruciale identificare i ruoli degli attori coinvolti nella catena del valore dell'IA, poiché l'EU AI Act attribuisce responsabilità specifiche a ciascuno di essi.
A differenza, ad esempio, del GDPR (che regola essenzialmente solo due ruoli – titolare e responsabile del trattamento), l'EU AI Act ne regola sei distinti:
Fornitore (Provider): Qualsiasi organizzazione che sviluppa un sistema di IA/modello GPAI, o che fa sviluppare un sistema di IA/modello GPAI e lo immette sul mercato o mette in servizio il sistema di IA con il proprio nome o marchio. I fornitori non devono necessariamente essere stabiliti o situati nel SEE, né devono necessariamente immettere un sistema di IA sul mercato del SEE (a condizione che l'output del sistema di IA sia utilizzato nel SEE).
Utilizzatore (Deployer): Qualsiasi organizzazione che utilizza un sistema di IA sotto la propria autorità, tranne quando il sistema di IA è utilizzato nel corso di un'attività personale non professionale. Gli utilizzatori non devono necessariamente essere stabiliti o situati nel SEE, né devono necessariamente immettere un sistema di IA sul mercato del SEE (a condizione che l'output del sistema di IA sia utilizzato nel SEE).
Importatore: Qualsiasi organizzazione situata o stabilita nel SEE che immette sul mercato un sistema di IA che porta il nome o il marchio di un'entità stabilita al di fuori del SEE.
Distributore: Qualsiasi organizzazione (diversa dal fornitore o dall'importatore) che fornisce sistemi di IA/modelli GPAI per la distribuzione o l'uso sul mercato del SEE. Il distributore non deve necessariamente essere la prima organizzazione nella catena del valore dell'IA che rilascia il sistema di IA/modello GPAI sul mercato del SEE.
Produttore di prodotti: Il concetto non è definito esplicitamente nell'EU AI Act, ma si riferisce alla legislazione di armonizzazione dell'UE elencata nell'Allegato I. I produttori di prodotti rientrano nell'ambito di applicazione quando immettono un sistema di IA sul mercato del SEE insieme ai propri prodotti e con il proprio nome o marchio.
Rappresentante autorizzato: Intermediari nominati da fornitori al di fuori del SEE. È qualsiasi organizzazione nel SEE che ha accettato un mandato scritto dal fornitore per svolgere gli obblighi del fornitore rispetto all'EU AI Act.
L'EU AI Act riconosce anche la figura della persona interessata (Affected person), termine non definito esplicitamente ma che sembra indicare gli individui influenzati dall'IA, e dell'operatore (Operator), un termine generico che include fornitori, produttori di prodotti, utilizzatori, rappresentanti autorizzati, importatori e distributori. È importante notare che l'Articolo 2 non stabilisce regole separate che disciplinano l'applicabilità dell'EU AI Act agli operatori. Di conseguenza, quando tale termine è utilizzato, l'applicabilità della normativa sembra dipendere dal fatto che tale operatore sia un fornitore, un utilizzatore, ecc.
Esistono anche delle limitazioni all'ambito di applicazione: la normativa non si applica ad aree al di fuori della competenza legislativa dell'UE, non influisce sulle competenze degli stati SEE in materia di sicurezza nazionale, né a sistemi di IA usati esclusivamente per scopi militari, di difesa o di sicurezza nazionale (Art. 2(3)). Non si applica a sistemi di IA usati da autorità pubbliche di paesi terzi nell'ambito della cooperazione internazionale per l'applicazione della legge e la cooperazione giudiziaria, a condizione che siano in atto protezioni appropriate per i diritti degli individui (Art. 2(4)). Non influisce sulle disposizioni sulla responsabilità degli intermediari nella DSA (Art. 2(5)), né si applica a sistemi o modelli di IA progettati e usati unicamente per ricerca e sviluppo scientifico (Art. 2(6)). Non pregiudica l'applicazione del GDPR o della Direttiva e-Privacy (Art. 2(7)) o le leggi UE sulla protezione dei consumatori e sulla sicurezza dei prodotti (Art. 2(9)). Non si applica a ricerca, test o sviluppo di sistemi o modelli di IA prima della loro immissione sul mercato o messa in servizio – ma questa esclusione non si estende ai test in condizioni reali (Art. 2(8)). Infine, non si applica agli utilizzatori che usano sistemi di IA esclusivamente per attività personali non professionali (Art. 2(10)), né impedisce agli Stati Membri SEE di legiferare per proteggere i lavoratori dall'impatto dell'IA (Art. 2(11)). I sistemi di IA rilasciati con licenze libere e open-source sono esclusi, a meno che non siano sistemi di IA ad alto rischio, proibiti o soggetti agli obblighi di trasparenza dell'Art. 50 (Art. 2(12)).
Takeaway operativo: Le aziende, indipendentemente dalla loro localizzazione geografica, devono valutare attentamente se i loro sistemi di IA, o gli output da essi generati, possano essere utilizzati all'interno del SEE. È altresì cruciale identificare correttamente il proprio ruolo (fornitore, utilizzatore, ecc.) per comprendere gli obblighi specifici imposti dalla normativa.
Interpretare l'EU AI Act: Definizioni Cruciali per la Tua Impresa – La Guida Essenziale
Le definizioni dell’EU AI Act – in particolare quella di “sistema di IA” – sono volutamente elastiche per restare valide a fronte dell’evoluzione tecnologica; di conseguenza risultano talora ambigue. Finché la Commissione o la giurisprudenza non offriranno chiarimenti, le imprese devono applicarle in via prudenziale, ispirandosi ad analogie con altre normative UE e documentando il ragionamento alla base di ogni classificazione.
La definizione di "Sistema di Intelligenza Artificiale (AI system)" (La nota esplicativa n. 12 dell'EU AI Act; Art. 3(1)) è basilare. Un sistema di IA è definito come "un sistema basato su macchine progettato per operare con livelli variabili di autonomia e che può esibire adattabilità dopo l'implementazione e che, per obiettivi espliciti o impliciti, inferisce, dall'input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali." Analizziamo gli elementi chiave:
"Sistema basato su macchine...": La nota esplicativa n. 12 dell'EU AI Act indica che ciò "si riferisce al fatto che i sistemi di IA funzionano su macchine". Le Linee Guida della Commissione sulla definizione dei sistemi di IA (febbraio 2025) chiariscono che "basato su macchine" include una varietà di sistemi hardware e software, ma non offrono chiarimenti espliciti sullo stato dei sistemi che richiedono un certo livello di interazione o manutenzione umana. Sembra probabile che i sistemi con un certo grado di coinvolgimento umano rientrino comunque nella definizione, purché gli altri elementi siano soddisfatti.
"...progettato per operare con livelli variabili di autonomia...": Secondo la nota esplicativa n. 12 dell'EU AI Act, "autonomia" significa "un certo grado di indipendenza delle azioni dal coinvolgimento umano e [la capacità] di operare senza intervento umano". Le Linee Guida indicano che i sistemi che richiedono "pieno coinvolgimento umano manuale" sono esclusi. Una lettura letterale suggerisce che qualsiasi grado di autonomia sarebbe sufficiente, sebbene le Linee Guida stabiliscano un requisito leggermente più alto, indicando che il requisito minimo è "un certo ragionevole grado di indipendenza delle azioni". La parola "variabili" indica presumibilmente che un'ampia gamma di livelli di autonomia è inclusa.
"...che può esibire adattabilità dopo l'implementazione...": La nota esplicativa n. 12 dell'EU AI Act chiarisce che "adattabilità" "si riferisce a capacità di autoapprendimento, consentendo al sistema di cambiare durante l'uso". La parola "può" sembra significare che l'adattabilità non è un requisito rigoroso. Le Linee Guida confermano che un sistema di IA "non deve necessariamente possedere adattabilità".
"...per obiettivi espliciti o impliciti...": Ciò sembra significare semplicemente "tutti gli obiettivi". La nota esplicativa n. 12 dell'EU AI Act chiarisce che questo termine cattura sia i sistemi diretti a produrre output specificati all'inizio sia quelli che producono output diversi dallo scopo previsto.
"...inferisce, dall'input che riceve, come generare output...": La nota esplicativa n. 12 dell'EU AI Act sottolinea che la capacità di "inferire" è una caratteristica essenziale. Le Linee Guida dedicano notevole attenzione al significato del termine "inferire" e forniscono esempi come "sistemi di classificazione delle immagini addestrati su un dataset di immagini... sistemi diagnostici di dispositivi medici addestrati su immagini mediche etichettate da esperti umani, e sistemi di rilevamento frodi addestrati su dati di transazione etichettati". Questi sono contrapposti a sistemi che prevedono i prezzi delle azioni o le temperature basandosi su medie storiche, usando "una regola di apprendimento statistico di base" – considerati non sistemi di IA. La distinzione precisa rimane sfuggente.
"...quali previsioni, contenuti, raccomandazioni o decisioni...": Il termine "quali" indica che questi sono solo esempi.
"...che possono influenzare ambienti fisici o virtuali": Questa espressione è poco chiara. Le Linee Guida affermano che il riferimento ad ambienti fisici o virtuali "indica che l'influenza di un sistema di IA può essere sia su oggetti fisici tangibili (ad esempio, un braccio robotico) sia su ambienti virtuali, inclusi spazi digitali, flussi di dati ed ecosistemi software."
Altra definizione cruciale è quella di "Modello di IA per Scopi Generali (GPAI model)" (Considerando 97-99; Art. 3(63)). Si tratta di "un modello di IA, incluso laddove tale modello di IA sia addestrato con una grande quantità di dati utilizzando l'auto-supervisione su larga scala, che mostra una generalità significativa ed è in grado di eseguire competentemente una vasta gamma di compiti distinti indipendentemente dal modo in cui il modello è immesso sul mercato, e che può essere integrato in una varietà di sistemi o applicazioni a valle, eccetto i modelli di IA utilizzati per attività di ricerca, sviluppo o prototipazione prima che siano immessi sul mercato." Il termine "eseguire competentemente" non è pienamente spiegato. Se un modello ha una generalità significativa ma prestazioni scarse, non è certo se sia un modello GPAI.
La definizione di "Fornitore (Provider)" (Art. 3(3)) è anch'essa fonte di potenziale incertezza. Significa qualsiasi organizzazione "che sviluppa un sistema di IA o un modello di IA per scopi generali, o che fa sviluppare un sistema di IA o un modello di IA per scopi generali e lo immette sul mercato o mette in servizio il sistema di IA con il proprio nome o marchio, a titolo oneroso o gratuito". Una lettura letterale suggerirebbe che un'entità è fornitore solo se compie entrambe le azioni (sviluppo E immissione sul mercato). Ciò lascerebbe scoperte situazioni in cui un'entità sviluppa e un'altra commercializza. Una lettura disgiuntiva ("o") creerebbe invece molteplici fornitori per lo stesso sistema.
La definizione di "Utilizzatore (Deployer)" (Considerando 13; Art. 3(4)) è "una persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne quando il sistema di IA è utilizzato nel corso di un'attività personale non professionale". Questa definizione è relativamente semplice, ma un fornitore che utilizza il proprio sistema di IA diventa anche un utilizzatore, dovendo quindi adempiere agli obblighi di entrambi i ruoli.
Infine, la "Identificazione biometrica" (Considerando 15; Art. 3(35)) significa "il riconoscimento automatico di caratteristiche umane fisiche, fisiologiche, comportamentali o psicologiche [...] confrontando i dati biometrici di quell'individuo con i dati biometrici di individui memorizzati in un database". Mentre i dati biometrici ai sensi del GDPR non si riferiscono alle caratteristiche psicologiche, l'identificazione biometrica include il riconoscimento automatico di caratteristiche umane "psicologiche". Non è chiaro cosa ciò potrebbe significare in pratica.
Il concetto di "rischio" (Art. 3(2)) è definito come "la combinazione della probabilità di accadimento di un danno e della gravità di tale danno". In pratica, è difficile da applicare. Non è spiegato se la formula sia semplicemente (rischio di accadimento) x (gravità del danno). Fino a quando non verranno fornite chiare linee guida o giurisprudenza, le aziende dovranno effettuare le proprie valutazioni del rischio. Per interpretare le disposizioni poco chiare dell'EU AI Act, è probabile che tribunali e regolatori adottino un'interpretazione finalistica, privilegiando la protezione dei diritti degli individui, dato che questo è l'enfasi principale della normativa, pur menzionando il supporto all'innovazione.
Takeaway operativo: Data l'ambiguità di definizioni chiave come "sistema di IA", le aziende dovrebbero adottare un approccio prudente, documentando meticolosamente le proprie interpretazioni e le motivazioni alla base della classificazione delle proprie tecnologie. È consigliabile predisporre una strategia di "posizione difendibile" per giustificare le scelte fatte in assenza di chiare linee guida definitive.
AI Literacy Aziendale: Conformità e Innovazione con la Guida EU AI Act per Imprese
L’Articolo 4 richiede a fornitori e utilizzatori di garantire che dipendenti e collaboratori dispongano di una AI Literacy adeguata, cioè competenze sufficienti per gestire l’IA con consapevolezza tecnica, etica e normativa. In pratica, ogni organizzazione deve formare chi sviluppa, configura o supervisiona i sistemi affinché comprenda rischi, limiti e responsabilità connessi all’uso dell’intelligenza artificiale.
Ma cosa si intende specificamente per alfabetizzazione sull'IA secondo la normativa? L'Articolo 3(56) la definisce come l'insieme di "competenze, conoscenze e comprensione che consentono a fornitori, utilizzatori e persone interessate – tenendo conto dei rispettivi diritti e obblighi nel contesto dell'EU AI Act – di effettuare un'implementazione informata dei sistemi di IA, nonché di acquisire consapevolezza sulle opportunità e sui rischi dell'IA e sui possibili danni che può causare." Analizzando questa definizione, emergono due componenti principali. Primo, la capacità di effettuare un'implementazione informata di un sistema di IA. Ciò dipenderà probabilmente dal contesto specifico, ossia da cosa fa il sistema di IA e dove verrà utilizzato. Tuttavia, la formulazione suggerisce che i dipendenti che prendono decisioni sui sistemi di IA dovrebbero comprendere come funziona il sistema, come è previsto che venga utilizzato e come interpretare l'output del sistema. Il secondo aspetto dell'alfabetizzazione sull'IA riguarda l'acquisizione di consapevolezza sulle opportunità, sui rischi e sui possibili danni che un sistema di IA può causare. Una lettura letterale indica che i dipendenti e le altre persone che agiscono per conto di fornitori e utilizzatori devono possedere le competenze, le conoscenze e la comprensione per acquisire tale consapevolezza; ciò implica che devono sapere dove e come ottenere maggiori informazioni, ma non necessariamente devono aver già appreso tali informazioni per soddisfare questo aspetto.
Poiché il regolamento non dettaglia come misurare la AI Literacy, le imprese devono colmare il vuoto con iniziative proprie: piani formativi modulati per ruoli, workshop pratici, monitoraggio delle future linee guida dell’AI Board e dei codici di condotta settoriali. Investire ora in percorsi che coprano aspetti tecnici, governance, gestione del rischio e valutazione critica dei modelli – inclusi quelli di IA generativa – migliora la conformità e rafforza la cultura aziendale. In tale percorso, il supporto di specialisti come Rhythm Blues AI consente di progettare programmi su misura e di accelerare l’apprendimento organizzativo.
L'obbligo di garantire un livello sufficiente di alfabetizzazione sull'IA si applica a due gruppi di persone: i dipendenti dei fornitori e degli utilizzatori, e altre persone che si occupano dell'operatività e dell'uso dei sistemi di IA per loro conto. Ad esempio, se il Fornitore A fornisce una chatbot IA, "altre persone" potrebbero includere coloro che forniscono supporto tecnico agli utenti della chatbot per conto del Fornitore A. È consigliabile che fornitori e utilizzatori vadano oltre una lettura letterale della definizione e adottino misure per fornire ai dipendenti e alle altre persone rilevanti un livello sufficiente di alfabetizzazione sull'IA e opportunità adeguate per apprendere di più.
Takeaway operativo: Le aziende dovrebbero considerare l'alfabetizzazione sull'IA non come un mero adempimento, ma come un investimento strategico. È opportuno avviare una mappatura delle competenze interne, identificare i fabbisogni formativi specifici per i diversi ruoli aziendali che interagiscono con sistemi di IA o prendono decisioni basate su di essi, e iniziare a sviluppare o reperire programmi di formazione che coprano aspetti tecnici, etici e normativi.
Pratiche IA Proibite dall'EU AI Act: Guida ai Rischi e Implicazioni per le Imprese
L'EU AI Act, nel suo Articolo 5, stabilisce un elenco di pratiche di intelligenza artificiale considerate inaccettabili e, pertanto, interamente proibite. È cruciale sottolineare che queste proibizioni sono entrate in vigore il 2 febbraio 2025, e le imprese rischiano sanzioni significative per la non conformità. La logica alla base di queste specifiche interdizioni risiede nella constatazione che l'uso dell'IA in particolari contesti, e per determinate finalità, potrebbe comportare danni significativi per gli individui. L'EU AI Act tenta di mitigare il rischio che tali danni si materializzino attraverso la proibizione di specifiche pratiche di IA. È fondamentale che le aziende non solo garantiscano di non essere attualmente coinvolte in alcuna delle pratiche di IA proibite, ma monitorino anche l'elenco per eventuali future modifiche, poiché la Commissione Europea effettuerà revisioni annuali considerando gli ultimi sviluppi tecnologici (Art. 112).
Le pratiche di IA proibite particolarmente rilevanti per le imprese includono:
Tecniche subliminali, manipolative o ingannevoli (Considerando 29; Art. 5(1)(a)): La normativa vieta i sistemi di IA che impiegano tecniche subliminali, volutamente manipolative o ingannevoli con l'obiettivo o l'effetto di distorcere materialmente il comportamento in un modo che causa (o è ragionevolmente probabile che causi) un danno significativo. È importante notare che non è necessario che il sistema di IA miri a distorcere materialmente il comportamento per essere proibito; è sufficiente che il sistema di IA abbia tale effetto. Questa proibizione contiene anche qualificatori notevoli (cioè, la distorsione del comportamento deve essere materiale e deve causare, o essere ragionevolmente probabile che causi, un danno significativo). Questi qualificatori contribuiscono a garantire che tale divieto non si applichi a pratiche commerciali comuni e legittime nel campo della pubblicità che sono altrimenti conformi alla legge applicabile.
Sfruttamento delle vulnerabilità (Considerando 29; Art. 5(1)(b)): L'EU AI Act proibisce i sistemi di IA che sfruttano qualsiasi vulnerabilità di una o più persone fisiche dovuta all'età, alla disabilità o alla situazione sociale/economica con l'obiettivo o l'effetto di distorcere materialmente il comportamento in un modo che causa (o è ragionevolmente probabile che causi) un danno significativo. Anche in questo caso, non è necessario che il sistema di IA intenda distorcere materialmente il comportamento per essere proibito; la proibizione si applicherà se il sistema di IA ha questo effetto. Entrambe queste proibizioni (subliminale/manipolativa e sfruttamento delle vulnerabilità) non dovrebbero applicarsi a pratiche mediche lecite svolte in conformità con gli standard medici applicabili.
Riconoscimento facciale tramite scraping non mirato (Considerando 43; Art. 5(1)(e)): È vietato l'uso di sistemi di IA che creano o espandono database di riconoscimento facciale tramite lo scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso (CCTV). Una lettura letterale suggerisce che il divieto si applica solo allo scraping "non mirato", lasciando potenzialmente spazio a interpretazioni sullo scraping mirato.
Inferenza delle emozioni sul posto di lavoro e nelle istituzioni educative (Considerando 44; Art. 5(1)(f)): La normativa proibisce i sistemi di IA che inferiscono le emozioni di una persona fisica sul posto di lavoro e nelle istituzioni educative, tranne per ragioni mediche o di sicurezza (come i sistemi destinati a uso terapeutico). L'EU AI Act distingue tra emozioni interne (es. felicità, tristezza) e stati o espressioni fisiche (es. dolore, affaticamento). L'inferenza di stati o espressioni fisiche non rientra in questa proibizione (Considerando 18).
Categorizzazione biometrica basata su dati sensibili (Considerando 30; Art. 5(1)(g)): È vietato l'uso di sistemi di IA che utilizzano dati biometrici per dedurre o inferire razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale. È importante notare che i sistemi di IA che utilizzano dati biometrici per inferire etnia, dati sanitari o dati genetici saranno classificati come sistemi di IA ad alto rischio e non sono proibiti dall'Articolo 5 (Considerando 54), ma soggetti a requisiti stringenti.
Esistono anche pratiche proibite più specificamente rivolte ai governi e alle forze dell'ordine:
Social scoring in determinati casi d'uso (Considerando 31; Art. 5(1)(c)): Divieto di sistemi di IA che applicano il social scoring a individui/gruppi se i punteggi sociali portano a trattamenti dannosi o sfavorevoli in contesti sociali non correlati a quelli in cui i dati sono stati originariamente generati o raccolti, e/o in modi ingiustificati o sproporzionati rispetto al loro comportamento sociale o alla sua gravità.
Polizia predittiva basata esclusivamente su profilazione (Considerando 42; Art. 5(1)(d)): Divieto per i sistemi di IA di effettuare valutazioni del rischio per prevedere la probabilità che un individuo commetta un reato penale, basandosi esclusivamente sulla profilazione o sulla valutazione dei tratti della personalità e delle caratteristiche dell'individuo. Questo non si applica quando i sistemi di IA supportano la valutazione umana basata su fatti oggettivi e verificabili.
Sistemi di identificazione biometrica remota "in tempo reale" (RBIS) in spazi accessibili al pubblico per scopi di applicazione della legge (Considerando 32; Art. 5(1)(h)), a meno che non si applichino eccezioni rigorosamente definite (es. ricerca mirata di vittime specifiche, prevenzione di minacce specifiche e imminenti alla vita, localizzazione di sospetti per reati gravi).
La portata delle proibizioni contenute negli Articoli 5(1)(a) e (b) è ampia, applicandosi a sistemi di IA che hanno "l'obiettivo o l'effetto" di distorcere materialmente il comportamento. Ciò significa che le aziende dovranno investire risorse per garantire la conformità, sia prima dell'implementazione che successivamente, essendo pronte a reagire se il sistema di IA produce effetti imprevisti che rientrano nell'ambito di queste proibizioni.
Takeaway operativo: Le aziende devono condurre un audit immediato e approfondito di tutti i sistemi di IA in uso o in fase di sviluppo per assicurarsi che nessuno rientri nelle categorie proibite. È altresì fondamentale istituire un processo di monitoraggio continuo per gli aggiornamenti normativi, poiché l'elenco delle pratiche vietate potrebbe espandersi. La documentazione delle valutazioni e delle decisioni prese è essenziale per dimostrare la dovuta diligenza.
Sistemi IA Alto Rischio nell'EU AI Act: Guida a Classificazione e Gestione per Imprese
L'EU AI Act adotta un approccio basato sul rischio, in cui i sistemi di intelligenza artificiale classificati come "ad alto rischio" sono soggetti a requisiti particolarmente stringenti. È fondamentale comprendere che i sistemi di IA sono considerati "ad alto rischio" in base alle categorie in cui rientrano, piuttosto che a un'analisi basata sui fatti del livello effettivo di rischio reale associato a ciascun sistema di IA. Questa distinzione è cruciale per le imprese che sviluppano o utilizzano soluzioni di IA, poiché determina l'ampiezza degli obblighi di conformità.
Per determinare se un sistema di IA è "ad alto rischio", le aziende devono seguire un processo di valutazione specifico:
Il test "non proibito": Prima di tutto, è necessario verificare che il sistema di IA in questione non rientri tra le pratiche proibite dall'Articolo 5. Se un sistema è proibito, non è necessario considerare se sia ad alto rischio.
Il test dei "sistemi di IA critici per la sicurezza" (Art. 6(1)): Alcuni sistemi di IA possono comportare il rischio di un impatto negativo sulla salute e sulla sicurezza quando tali sistemi fanno parte di, o sono utilizzati come, prodotti critici per la sicurezza. Questo test si articola in due passaggi:
Primo passaggio (Art. 6(1)(a)): Determinare se il sistema di IA rientra in una delle normative UE sulla sicurezza elencate nelle due sezioni dell'Allegato I dell'AI Act.
La Sezione A dell'Allegato I include normative relative a macchinari, dispositivi medici (inclusi quelli diagnostici in vitro), ascensori, apparecchiature radio, giocattoli, attrezzature a pressione, ecc. Per esempio, sistemi di IA integrati in robot industriali, strumenti diagnostici basati su IA o sistemi di IA per il controllo di infrastrutture critiche potrebbero rientrare qui.
La Sezione B dell'Allegato I copre normative relative a veicoli agricoli e forestali, sicurezza dell'aviazione civile, attrezzature marittime, veicoli a motore, sistemi ferroviari, aeromobili senza equipaggio, ecc. Sistemi di IA come quelli per la guida autonoma o la manutenzione predittiva delle infrastrutture ferroviarie potrebbero essere inclusi. È importante notare che i sistemi di IA che rientrano nella Sezione B sono esentati dalla maggior parte dei requisiti dell'EU AI Act (Art. 2(2)).
Secondo passaggio (Art. 6(1)(b)): Determinare se il sistema di IA richiede una valutazione della conformità da parte di terzi ai sensi delle leggi sopra elencate per essere immesso sul mercato o messo in servizio. Se non è richiesta una valutazione di terzi, il sistema non è considerato "ad alto rischio" secondo questo test. Se, invece, è richiesta, il sistema è considerato "ad alto rischio".
Il test delle "categorie ad alto rischio" (Art. 6(2) e (3); Allegato III): Anche questo test si articola in due passaggi:
Primo passaggio: Determinare se il sistema di IA è destinato a essere utilizzato per uno degli scopi elencati nell'Allegato III. Queste categorie includono:
Biometria: Sistemi di identificazione biometrica remota, sistemi per la categorizzazione biometrica e sistemi per il riconoscimento delle emozioni.
Infrastrutture critiche: Sistemi di IA usati come componenti di sicurezza nella gestione e nel funzionamento di infrastrutture digitali critiche, traffico stradale, o nella fornitura di acqua, gas, riscaldamento o elettricità.
Istruzione e formazione professionale: Sistemi usati per determinare l'accesso o le ammissioni, valutare i risultati dell'apprendimento, o monitorare comportamenti proibiti degli studenti.
Occupazione, gestione dei lavoratori e accesso al lavoro autonomo: Sistemi usati per reclutare individui o prendere decisioni che influenzano l'occupazione.
Accesso e godimento di servizi privati essenziali e servizi e benefici pubblici essenziali: Sistemi usati per valutare l'affidabilità creditizia, per la determinazione dei prezzi delle assicurazioni sulla vita e sulla salute, o per rispondere a richieste di servizi di emergenza o sanitari. Include anche sistemi usati da autorità pubbliche per valutare l'idoneità a benefici pubblici.
Forze dell'ordine: Sistemi usati per valutare il rischio che un individuo diventi vittima/autore/recidivo di un reato, valutare l'affidabilità delle prove, o indagare su reati. Include anche sistemi simili al poligrafo.
Gestione della migrazione, dell'asilo e del controllo delle frontiere.
Amministrazione della giustizia: Sistemi usati per ricercare e interpretare fatti e leggi, o applicare la legge a fatti concreti.
Amministrazione dei processi democratici: Sistemi destinati a influenzare l'esito di un'elezione o referendum, o il comportamento di voto degli individui.
Secondo passaggio: Considerare se il sistema di IA potrebbe essere esente dallo status di "alto rischio" sulla base del fatto che non pone un rischio significativo di danno alla salute, alla sicurezza o ai diritti fondamentali degli individui (Considerando 53 e Art. 6(3)). Non sono considerati ad alto rischio i sistemi destinati a svolgere un compito procedurale ristretto (es. trasformare dati non strutturati in strutturati), migliorare il risultato di un'attività umana precedentemente completata (es. migliorare la lingua di documenti già redatti), rilevare modelli decisionali o deviazioni senza sostituire o influenzare una valutazione umana precedente, o svolgere un compito meramente preparatorio per una valutazione del rischio (es. indicizzazione di file). Tuttavia, qualsiasi sistema di IA utilizzato per uno scopo elencato nell'Allegato III e utilizzato anche per profilare individui sarà sempre considerato ad alto rischio. Per avvalersi di un'esenzione ai sensi dell'Art. 6(3), le aziende dovranno conservare i dettagli della valutazione effettuata e registrare il sistema di IA esente nel database UE per i sistemi di IA ad alto rischio (Art. 6(4)).
La Commissione Europea dovrà pubblicare entro il 2 febbraio 2026 linee guida che specificano l'implementazione pratica dell'Articolo 6, includendo un elenco completo di esempi pratici di sistemi di IA ad alto rischio e non ad alto rischio (Art. 6(5)). Fino ad allora, le aziende dovranno agire con limitate indicazioni normative. È fondamentale che le imprese comprendano come utilizzano i sistemi di IA e per quali scopi, al fine di valutare correttamente la loro esposizione e le eventuali esenzioni disponibili. Un aspetto importante da considerare è lo "scopo previsto" del sistema di IA, definito come l'uso per il quale un sistema di IA è inteso dal fornitore, specificato nelle istruzioni per l'uso, nei materiali promozionali o nella documentazione tecnica (Art. 3(12)). Le aziende dovranno tener conto delle situazioni in cui un sistema di IA viene utilizzato per uno scopo non previsto dal fornitore e potrebbero essere tenute ad affrontare i rischi che potrebbero prevedibilmente derivare da tali usi, così come le situazioni in cui un sistema ha più di uno scopo previsto.
Takeaway operativo: Le imprese devono avviare un'analisi dettagliata di tutti i loro sistemi di IA per classificarli correttamente secondo i criteri dell'EU AI Act. Questo processo dovrebbe essere documentato meticolosamente, specialmente se si invoca un'esenzione dalla classificazione "ad alto rischio". Data la natura evolutiva della normativa e l'attesa di linee guida specifiche, è consigliabile un approccio cauto e la predisposizione a rivalutazioni periodiche.
Requisiti per Sistemi IA Alto Rischio: Guida Operativa alla Conformità EU AI Act per Imprese
Una volta che un sistema di intelligenza artificiale è stato classificato come "ad alto rischio" ai sensi dell'EU AI Act, scatta una serie di requisiti obbligatori, delineati negli Articoli da 8 a 15, che i fornitori devono scrupolosamente rispettare. Questi requisiti sono progettati per garantire che tali sistemi siano sviluppati e utilizzati in modo sicuro, trasparente e rispettoso dei diritti fondamentali. La conformità a queste disposizioni non è un esercizio una tantum, ma un impegno continuo che deve tenere conto dello scopo previsto del sistema e dello stato dell'arte delle tecnologie di IA.
I requisiti chiave per i sistemi di IA ad alto rischio sono i seguenti:
Sistemi di gestione del rischio (Art. 9): I fornitori devono stabilire, implementare, documentare e mantenere un sistema di gestione del rischio per ciascun sistema di IA ad alto rischio. Questo sistema deve essere un processo iterativo e continuo per tutta la durata del ciclo di vita del sistema di IA. Deve includere l'identificazione e l'analisi dei rischi per la salute, la sicurezza e i diritti fondamentali; la valutazione dei rischi che emergono durante l'uso del sistema; la valutazione di altri rischi potenziali basati sui dati del sistema di monitoraggio post-commercializzazione; e l'adozione di misure di gestione del rischio appropriate. L'obiettivo è ridurre o eliminare i rischi identificati (per quanto tecnicamente fattibile), implementare mitigazioni adeguate dove i rischi non possono essere eliminati, fornire informazioni sulla trasparenza e, se del caso, formare gli utilizzatori. È obbligatorio testare i sistemi di IA ad alto rischio per identificare le misure di gestione del rischio più appropriate e per garantire che funzionino come previsto.
Gestione e governance dei dati (Art. 10): I sistemi di IA ad alto rischio devono essere sviluppati utilizzando dataset di alta qualità per l'addestramento, la validazione e il test. I fornitori devono garantire che questi dataset siano appropriati per lo scopo previsto del sistema. È necessario implementare pratiche di governance e gestione dei dati appropriate per affrontare questioni come le scelte progettuali, i processi di raccolta dei dati, le fonti dei dati, la preparazione dei dati, le ipotesi e la disponibilità, quantità e idoneità dei dataset. Queste pratiche devono includere misure per rilevare, prevenire e mitigare possibili bias che potrebbero influenzare la salute e la sicurezza, i diritti fondamentali o portare a discriminazioni illecite. Ai fornitori è "eccezionalmente" consentito trattare categorie particolari di dati personali (SCD) ai fini della correzione dei bias, a condizione che implementino garanzie appropriate per gli interessati e rispettino i requisiti del GDPR, assicurando che tale trattamento sia l'unico modo efficace, che i dati siano protetti, non ulteriormente condivisi, cancellati una volta corretto il bias e che vengano mantenuti registri appropriati.
Documentazione tecnica (Art. 11): I fornitori devono redigere una documentazione tecnica dettagliata dei sistemi di IA ad alto rischio prima che tali sistemi siano immessi sul mercato o messi in servizio. Questa documentazione deve dimostrare che il sistema soddisfa i requisiti del Capitolo in esame e deve contenere le informazioni specificate nell'Allegato IV dell'EU AI Act. Si tratta, in effetti, di creare e mantenere informazioni di trasparenza dettagliate su ciascun sistema di IA ad alto rischio. Questa documentazione deve essere mantenuta aggiornata, tenendo conto sia delle modifiche apportate ai sistemi sia delle eventuali modifiche che la Commissione potrebbe introdurre all'Allegato IV.
Registrazione degli eventi (Record-keeping) (Art. 12): I fornitori di sistemi di IA ad alto rischio devono implementare la registrazione automatica degli eventi (logging) per consentire un livello di tracciabilità appropriato allo scopo previsto del sistema. Questa capacità di logging dovrebbe includere l'identificazione dei rischi per la salute, la sicurezza o i diritti fondamentali, la facilitazione del monitoraggio post-commercializzazione e il monitoraggio del funzionamento del sistema. Questi log devono essere conservati per almeno sei mesi. Per i sistemi di identificazione biometrica remota, il sistema di logging deve includere dettagli aggiuntivi.
Trasparenza e informazioni per gli utilizzatori (Art. 13): I sistemi di IA ad alto rischio devono essere progettati in modo che il loro funzionamento sia trasparente e comprensibile per gli utilizzatori (deployers). I fornitori devono garantire che i sistemi siano accompagnati da istruzioni per gli utilizzatori, che includano almeno l'identità e i dettagli di contatto del fornitore; le caratteristiche, le capacità e le limitazioni di prestazione del sistema (incluso lo scopo previsto); le modifiche al sistema; le misure di supervisione umana; le informazioni sull'hardware richiesto; la durata prevista e le misure di manutenzione, nonché una descrizione dei meccanismi che consentono agli utilizzatori di raccogliere, conservare e interpretare correttamente i log.
Supervisione umana (Art. 14): I sistemi di IA ad alto rischio devono essere progettati e sviluppati in modo tale da poter essere efficacemente supervisionati da un essere umano. L'obiettivo della supervisione umana è prevenire o minimizzare i rischi per la salute, la sicurezza o i diritti fondamentali. Ciò dovrebbe essere ottenuto attraverso misure integrate nel sistema prima del lancio e/o misure identificate dal fornitore dopo il lancio che possono essere implementate dagli utilizzatori. I fornitori devono fornire i sistemi in modo che la persona che supervisiona possa comprenderne capacità e limiti, rilevare e affrontare problemi, evitare un eccessivo affidamento/bias di automazione, interpretare correttamente l'output, decidere di non usarlo o interromperne il funzionamento.
Accuratezza, robustezza e cybersecurity (Art. 15): I sistemi di IA ad alto rischio devono essere progettati e costruiti per raggiungere un livello appropriato di accuratezza, robustezza e cybersecurity. I fornitori devono spiegare i livelli di accuratezza che i loro sistemi raggiungono. La Commissione collaborerà con l'industria per determinare come misurare al meglio questi parametri. Nel frattempo, i fornitori dovrebbero considerare come spiegare al meglio i livelli di accuratezza e robustezza attesi. Devono garantire che i sistemi siano "il più resilienti possibile" contro errori, guasti o incongruenze, adottando misure tecniche e organizzative (es. test, backup, piani di disaster recovery). Per quanto riguarda la cybersecurity, i fornitori devono adottare misure appropriate per garantire che i loro sistemi siano resilienti agli attacchi informatici, in modo proporzionato ai rischi.
L'implementazione di queste misure richiede un approccio strutturato e la creazione di una solida governance interna. È consigliabile istituire procedure chiare, liste di controllo per i team e una costante attenzione all'evoluzione sia dei sistemi di IA sviluppati sia delle indicazioni normative.
Takeaway operativo: Le aziende fornitrici di sistemi di IA ad alto rischio devono integrare questi requisiti nel loro ciclo di vita di sviluppo del prodotto (SDLC) fin dalle fasi iniziali. Ciò include la creazione di un solido sistema di gestione dei rischi, l'adozione di pratiche rigorose di governance dei dati focalizzate sulla qualità e sulla mitigazione dei bias, la preparazione di una documentazione tecnica esaustiva e costantemente aggiornata, e la progettazione di sistemi che incorporino trasparenza, supervisione umana e robustezza by design.
Obblighi EU AI Act per Alto Rischio: Guida alle Responsabilità d'Impresa per Fornitori e Utilizzatori
L'EU AI Act impone obblighi stringenti non solo ai fornitori (providers) di sistemi di intelligenza artificiale ad alto rischio, ma estende specifiche responsabilità anche agli utilizzatori (deployers), e ad altri attori della catena del valore come rappresentanti autorizzati, importatori e distributori. Comprendere la ripartizione di questi obblighi è cruciale per garantire una filiera conforme e per mitigare i rischi legali e reputazionali. In determinate circostanze, distributori, importatori e utilizzatori possono essere considerati essi stessi fornitori, ereditandone i relativi obblighi.
Gli obblighi generali dei fornitori di sistemi di IA ad alto rischio (Art. 16-21) sono ampi. Essi devono:
Garantire la conformità dei loro sistemi ai requisiti essenziali (Art. 8-15), come la gestione del rischio, la governance dei dati, la documentazione tecnica, la registrazione degli eventi, la trasparenza, la supervisione umana, l'accuratezza, la robustezza e la cybersecurity.
Indicare il proprio nome e recapiti sul sistema o sulla sua confezione.
Disporre di un sistema di gestione della qualità (Art. 17) documentato, che includa strategie per la conformità normativa, tecniche di progettazione, controllo qualità, procedure di test, specifiche tecniche, sistemi di gestione dei dati, un sistema di gestione dei rischi, un sistema di monitoraggio post-commercializzazione (Art. 72), procedure per la segnalazione di incidenti gravi (Art. 73), e un quadro di responsabilità. L'implementazione di tale sistema deve essere "proporzionata alle dimensioni dell'organizzazione del fornitore", con semplificazioni per le microimprese.
Conservare la documentazione necessaria (Art. 18), inclusa la documentazione tecnica, quella del sistema di gestione della qualità, e le dichiarazioni di conformità UE, per dieci anni dall'immissione sul mercato.
Conservare i log generati automaticamente (Art. 19) per almeno sei mesi.
Sottoporsi alla pertinente procedura di valutazione della conformità (Art. 43), redigere una dichiarazione di conformità UE (Art. 47) e apporre la marcatura CE (Art. 48).
Rispettare gli obblighi di registrazione nel database UE (Art. 49).
Adottare le necessarie azioni correttive (Art. 20) in caso di non conformità, informando distributori, utilizzatori, rappresentanti autorizzati e importatori.
Cooperare con le autorità nazionali competenti (Art. 21).
I fornitori stabiliti al di fuori del SEE (Art. 22) devono nominare un rappresentante autorizzato nel SEE.
Gli importatori (Art. 23) devono verificare che il sistema di IA sia conforme, che sia stata eseguita la valutazione della conformità, che sia stata redatta la documentazione tecnica, che il sistema rechi la marcatura CE e che il fornitore abbia nominato un rappresentante autorizzato. Devono inoltre indicare il proprio nome e recapiti e garantire condizioni di stoccaggio e trasporto adeguate.
I distributori (Art. 24) devono verificare la presenza della marcatura CE, della dichiarazione di conformità e delle istruzioni per l'uso, e che fornitore e importatore abbiano rispettato i loro obblighi. Anch'essi devono garantire condizioni di stoccaggio e trasporto idonee e adottare azioni correttive in caso di non conformità.
È importante sottolineare che un distributore, importatore, utilizzatore o altra terza parte (Art. 25) sarà considerato un fornitore (e quindi soggetto agli obblighi del fornitore) se: (i) appone il proprio nome o marchio su un sistema di IA ad alto rischio già sul mercato; (ii) apporta una modifica sostanziale a un sistema di IA ad alto rischio già sul mercato in modo tale che rimanga un sistema ad alto rischio; o (iii) altera lo scopo previsto di un sistema di IA (incluso un sistema GPAI) che non era inizialmente classificato come ad alto rischio, in modo che diventi tale. In questi casi, il fornitore originale non sarà più considerato il fornitore per quello specifico sistema di IA e dovrà cooperare con il nuovo fornitore.
Gli obblighi degli utilizzatori di sistemi di IA ad alto rischio (Art. 26-27) sono altrettanto significativi:
Implementare misure tecniche e organizzative appropriate per garantire l'uso dei sistemi di IA ad alto rischio in conformità con le istruzioni per l'uso.
Assegnare la supervisione umana a individui appropriati.
Nella misura in cui esercitano il controllo sui dati di input, garantire che tali dati siano pertinenti e sufficientemente rappresentativi.
Monitorare il funzionamento del sistema di IA e informare i fornitori se il sistema presenta un rischio.
Conservare i log generati dal sistema di IA per un periodo appropriato (almeno sei mesi) e cooperare con le autorità competenti.
Gli utilizzatori che sono datori di lavoro devono informare i lavoratori interessati e i loro rappresentanti prima di utilizzare un sistema di IA ad alto rischio.
Le autorità pubbliche o gli organismi UE che sono utilizzatori devono rispettare gli obblighi di registrazione e informare il fornitore o il distributore se il sistema non è registrato nel database UE.
Gli utilizzatori di sistemi di identificazione biometrica remota "a posteriori" nel contesto di indagini penali devono ottenere un'autorizzazione giudiziaria o amministrativa preventiva.
Infine, per determinate categorie di utilizzatori (enti pubblici o che forniscono servizi pubblici; utilizzatori di sistemi per la valutazione del merito creditizio o per la tariffazione di assicurazioni vita e salute), è richiesta una valutazione dell'impatto sui diritti fondamentali (FRIA) (Art. 27) prima di implementare un sistema di IA ad alto rischio. Questa valutazione deve descrivere l'uso del sistema, le categorie di persone interessate, i rischi specifici, le misure di supervisione umana e le misure di mitigazione. L'AI Office svilupperà un modello per semplificare questo obbligo. Se i requisiti sono già stati soddisfatti tramite una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'Art. 35 GDPR, non è necessario ripeterli.
Esistono regole speciali per fornitori e utilizzatori che sono istituti finanziari (Art. 17(4), 18(3), 19(2), 26(5) e (6)), i quali possono adempiere ai loro obblighi ai sensi dell'EU AI Act (relativi a sistemi di gestione, documentazione tecnica, log, monitoraggio e manutenzione dei log) conformandosi ai requisiti previsti dalla normativa sui servizi finanziari.
Takeaway operativo: È essenziale per tutte le organizzazioni coinvolte nella catena del valore dei sistemi di IA ad alto rischio definire chiaramente ruoli e responsabilità attraverso accordi contrattuali. Gli utilizzatori, in particolare, devono essere consapevoli che non sono semplici consumatori passivi di tecnologia, ma hanno obblighi attivi di monitoraggio, supervisione e, in alcuni casi, di valutazione dell'impatto.
Trasparenza e GPAI nell'EU AI Act: Guida a Classificazione e Obblighi per Fornitori d'Impresa
L'EU AI Act dedica una specifica attenzione ai Modelli di Intelligenza Artificiale per Scopi Generali (GPAI models), riconoscendo il loro potenziale impatto diffuso e la loro capacità di essere integrati in una miriade di applicazioni a valle. Questi modelli, come i grandi modelli linguistici o i modelli fondamentali addestrati su vasti set di dati, sono capaci di eseguire un'ampia gamma di compiti in contesti diversi. La normativa stabilisce regole per la loro classificazione, in particolare per identificare quelli che presentano un "rischio sistemico", e impone obblighi specifici ai loro fornitori, con un forte accento sulla trasparenza.
Classificazione dei Modelli GPAI con Rischio Sistemico (Art. 51-52)
Un modello GPAI è considerato avere un rischio sistemico se possiede "capacità ad alto impatto" (Art. 51(1)(a)). Queste sono descritte come "capacità che eguagliano o superano le capacità registrate nei modelli di IA per scopi generali più avanzati" (Considerando 111). La metodologia predominante per valutare queste capacità è la quantità cumulativa di calcolo utilizzata per l'addestramento: se questa cifra supera 1025 FLOPs (floating point operations), si presume che il modello GPAI abbia capacità ad alto impatto (Considerando 111 e Art. 51(2)). Questa soglia può essere aggiornata dalla Commissione per riflettere lo stato dell'arte. I fornitori che determinano che un loro modello GPAI ha capacità ad alto impatto devono notificarlo alla Commissione entro due settimane (Art. 52(1)). Tuttavia, possono contemporaneamente argomentare che, nonostante il superamento della soglia, il modello non dovrebbe essere classificato come avente rischio sistemico a causa di sue caratteristiche specifiche (Art. 52(2)). La Commissione può respingere tali argomentazioni se non sufficientemente comprovate (Art. 52(3)). Inoltre, la Commissione ha il potere di designare un modello GPAI come avente rischio sistemico (Art. 51(1)(b)), d'ufficio o su segnalazione del Comitato Scientifico, basandosi sui criteri dell'Allegato XIII (es. numero di parametri, qualità del dataset, risorse di calcolo, numero di utenti business registrati nell'UE – si presume un alto impatto sul mercato interno se supera i 10.000 utenti business registrati). I fornitori possono richiedere una rivalutazione di tale designazione dopo sei mesi.
Obblighi Generali per i Fornitori di Modelli GPAI (Art. 53-54)
Tutti i fornitori di modelli GPAI, indipendentemente dal fatto che presentino o meno un rischio sistemico, devono adempiere a una serie di obblighi fondamentali, che mirano a garantire trasparenza e responsabilità lungo la catena del valore dell'IA:
Documentazione Tecnica (Art. 53(1)(a) e Allegato XI): Devono preparare e mantenere una documentazione tecnica dettagliata, che includa una descrizione generale del modello (compiti eseguibili, natura dei sistemi IA a cui può essere applicato, policy di uso accettabile, data di rilascio, metodi di distribuzione, numero di parametri, architettura, modalità di input/output, licenza), informazioni sul processo di sviluppo (requisiti tecnici per l'integrazione, metodologie di addestramento, informazioni sui dati di training, validazione e test – inclusa origine, cura, rilevamento bias – e risorse computazionali utilizzate). Questa documentazione deve essere fornita all'AI Office e alle autorità nazionali competenti su richiesta.
Informazioni per i Fornitori a Valle (Downstream Providers) (Art. 53(1)(b) e Allegato XII): Devono preparare, mantenere e rendere disponibili informazioni e documentazione sufficienti a consentire ai fornitori a valle di comprendere le capacità e le limitazioni del modello GPAI. Questo permette loro di integrare tali modelli nei propri sistemi di IA e di adempiere ai propri obblighi. Le informazioni includono come il modello interagisce con hardware/software esterni, versioni software rilevanti, e dettagli sugli elementi del modello e sul processo di sviluppo (modalità e formato di input/output, informazioni sui dati di training). Questi obblighi sono soggetti ai diritti di proprietà intellettuale e ai segreti commerciali.
Conformità al Diritto d'Autore (Art. 53(1)(c)): Devono implementare una politica per rispettare la legislazione UE sul diritto d'autore, in particolare per identificare e rispettare le riserve di diritti (opt-out) per il text and data mining. Possono utilizzare tecnologie allo stato dell'arte per raggiungere la conformità.
Informazioni sulla Trasparenza (Art. 53(1)(d)): Devono pubblicare un riepilogo dettagliato di tutto il materiale utilizzato per addestrare il modello GPAI, utilizzando un modello fornito dall'AI Office. Ulteriori obblighi di trasparenza, come quelli previsti dall'Art. 50 per specifici sistemi di IA (es. chatbot, sistemi che generano "deep fake"), si applicano cumulativamente. I fornitori devono assicurare che gli output dei sistemi che generano contenuti sintetici audio, video, immagini o testo siano marcati in formato leggibile dalla macchina e rilevabili come artificialmente generati o manipolati, utilizzando soluzioni tecniche efficaci (Art. 50(2)). Gli utilizzatori di sistemi che generano o manipolano deep fake o testi pubblicati per informare il pubblico su questioni di interesse pubblico devono dichiarare che il contenuto è stato generato o manipolato artificialmente (Art. 50(4)).
Rappresentanti Autorizzati (Art. 54): I fornitori di modelli GPAI stabiliti in paesi terzi devono nominare un rappresentante autorizzato stabilito nel SEE.
Esistono esenzioni per i fornitori di modelli GPAI open-source da alcuni di questi requisiti (documentazione tecnica per le autorità, istruzioni di integrazione per i fornitori a valle, nomina di un rappresentante autorizzato), a condizione che il modello sia rilasciato con una licenza libera e open-source e che i parametri, l'architettura e le informazioni sull'uso siano resi pubblici (Art. 53(2), 54(6)). Tuttavia, devono comunque rispettare il diritto d'autore e pubblicare un riepilogo dei materiali di addestramento.
Obblighi Aggiuntivi per i Fornitori di Modelli GPAI con Rischio Sistemico (Art. 55)
Oltre agli obblighi generali, i fornitori di modelli GPAI designati come aventi rischio sistemico devono:
Valutazioni del Modello GPAI (Art. 55(1)(a)): Eseguire e documentare valutazioni del modello, utilizzando protocolli e strumenti standard che riflettano lo stato dell'arte, inclusi test contraddittori (adversarial testing/red teaming).
Valutazione e Mitigazione dei Rischi Sistemici (Art. 55(1)(b)): Valutare e mitigare i rischi sistemici esistenti e potenziali derivanti dallo sviluppo, commercializzazione o uso del modello.
Segnalazione degli Incidenti (Art. 55(1)(c)): Tracciare, documentare e segnalare senza indugio all'AI Office e, se del caso, alle autorità nazionali competenti, gli incidenti gravi e le possibili misure correttive. Un "incidente grave" include eventi che portano a morte o danno grave alla salute, interruzione grave e irreversibile di infrastrutture critiche, violazioni dei diritti fondamentali, o danno grave a proprietà o ambiente.
Obblighi di Cybersecurity (Art. 55(1)(d)): Implementare un livello adeguato di protezione della cybersecurity per il modello e l'infrastruttura fisica su cui gira, per salvaguardare da fughe accidentali del modello, rilasci non autorizzati, elusione delle misure di sicurezza, attacchi informatici, accessi non autorizzati e "furto del modello". La conformità a questi obblighi può essere dimostrata seguendo codici di pratica (Art. 56) o standard armonizzati UE (Art. 40), che creano una presunzione di conformità.
Takeaway operativo: Le aziende che sviluppano o utilizzano modelli linguistici o altre forme di IA generativa, specialmente se su larga scala, devono valutare attentamente se i loro modelli rientrano nella definizione di GPAI e, in tal caso, se potrebbero essere classificati come aventi rischio sistemico (monitorando la soglia di 1025 FLOPs). La preparazione della documentazione tecnica richiesta e l'implementazione di policy per la trasparenza e la conformità al diritto d'autore sono passi immediati e cruciali. La collaborazione con i fornitori a valle per garantire una corretta integrazione e comprensione dei modelli è altresì fondamentale.
Innovazione e Governance EU AI Act: Guida al Futuro Normativo per la tua Impresa
L'EU AI Act non si limita a imporre obblighi, ma cerca anche, almeno nelle intenzioni, di promuovere un ecosistema di innovazione responsabile nell'ambito dell'intelligenza artificiale. Parallelamente, istituisce una complessa architettura di governance e meccanismi di applicazione per garantire l'effettiva implementazione delle sue disposizioni. Comprendere queste dinamiche è essenziale per le imprese, non solo per assicurare la conformità, ma anche per cogliere le opportunità e prepararsi a un panorama normativo in continua evoluzione.
Misure a Sostegno dell'Innovazione (Art. 57-63)
La normativa introduce i cosiddetti "AI regulatory sandboxes" (Art. 57-59), ambienti controllati istituiti dalle autorità nazionali competenti dove i fornitori (anche prospect) possono sviluppare, addestrare, validare e testare sistemi di IA innovativi, anche in condizioni reali, secondo un "piano sandbox" concordato e per un periodo limitato, sotto supervisione regolamentare. Ogni Stato Membro dovrà istituire almeno un sandbox entro il 2 agosto 2026. La partecipazione offre ai fornitori una maggiore certezza giuridica e, se rispettano il piano sandbox e agiscono in buona fede, una protezione dalle sanzioni amministrative ai sensi dell'EU AI Act per le attività svolte all'interno del sandbox (ma non dalla responsabilità per danni a terzi). Esistono disposizioni specifiche per il trattamento dei dati personali all'interno dei sandbox per scopi di interesse pubblico (Art. 59), consentendo, sotto determinate garanzie, il riutilizzo di dati raccolti per altri scopi. È anche possibile testare sistemi di IA ad alto rischio (limitatamente ad alcune categorie dell'Allegato III) in condizioni reali al di fuori dei sandbox (Art. 60-61), previa approvazione di un piano di test da parte dell'autorità di sorveglianza del mercato e con il consenso informato degli individui coinvolti. Questa opzione, tuttavia, non offre la stessa protezione dalle sanzioni. Sono previste misure specifiche per le PMI e le start-up (Art. 62), come l'accesso prioritario e gratuito (salvo costi eccezionali) ai sandbox e canali di comunicazione dedicati.
Struttura di Governance e Autorità Competenti (Art. 64-70)
L'EU AI Act crea un sistema di governance a più livelli:
L'AI Office (Art. 64), istituito all'interno della Commissione Europea, ha un ruolo centrale nel monitoraggio, supervisione e applicazione delle norme, specialmente per i modelli GPAI. Ha il potere di imporre sanzioni dirette ai fornitori di modelli GPAI.
L'AI Board (Art. 65-66), composto da rappresentanti degli Stati Membri, dell'AI Office e dell'EDPS (come osservatore), facilita l'applicazione coerente della normativa fornendo pareri e raccomandazioni.
Un Advisory Forum (Art. 67), con rappresentanti dell'industria, PMI, società civile e mondo accademico, fornisce competenze tecniche.
Un Scientific Panel (Art. 68) di esperti indipendenti fornisce consulenza imparziale all'AI Office, specialmente sulla classificazione dei modelli e sui rischi emergenti.
A livello nazionale, ogni Stato Membro deve designare almeno un'autorità di notifica (per gli organismi di valutazione della conformità) e un'autorità di sorveglianza del mercato (per l'applicazione generale della legge) (Art. 70). Queste autorità avranno poteri ispettivi e sanzionatori. L'EDPS agisce come autorità competente per le istituzioni UE.
Monitoraggio Post-Commercializzazione, Sorveglianza del Mercato e Applicazione (Art. 72-94)
I fornitori di sistemi di IA ad alto rischio devono istituire un sistema di monitoraggio post-commercializzazione (Art. 72) per raccogliere e analizzare dati sull'uso dei loro sistemi e segnalare immediatamente incidenti gravi alle autorità di sorveglianza del mercato (Art. 73). Le autorità di sorveglianza del mercato avranno ampi poteri (Art. 74), derivanti anche dal Regolamento sulla Sorveglianza del Mercato (UE) 2019/1020, per richiedere informazioni, ordinare azioni correttive, ritirare prodotti non conformi e imporre sanzioni. Esiste una procedura di salvaguardia UE (Art. 81) qualora uno Stato Membro contesti una misura adottata da un altro. Per i modelli GPAI, l'AI Office ha poteri di monitoraggio (Art. 89), può richiedere informazioni (Art. 91), valutare i modelli (Art. 92, incluso l'accesso al codice sorgente) e richiedere misure correttive o il ritiro dal mercato (Art. 93).
Standard, Valutazioni di Conformità, Certificati e Registrazione (Art. 40-49)
I sistemi di IA ad alto rischio che si conformano a standard armonizzati o specifiche comuni beneficiano di una presunzione di conformità ai requisiti pertinenti (Art. 40-41). I fornitori devono sottoporsi a procedure di valutazione della conformità (Art. 43), che possono basarsi su controlli interni (per alcune categorie dell'Allegato III) o richiedere l'intervento di un organismo notificato (per i sistemi biometrici dell'Allegato III o quelli che non applicano pienamente gli standard). I certificati rilasciati dagli organismi notificati hanno una validità limitata (4-5 anni) (Art. 44). I fornitori devono redigere una dichiarazione di conformità UE (Art. 47), apporre la marcatura CE (Art. 48) e registrare i loro sistemi di IA ad alto rischio (e quelli dell'Allegato III ritenuti non ad alto rischio) in un database UE gestito dalla Commissione (Art. 49, 71). La registrazione include informazioni sul sistema, sul suo funzionamento e sui dati di input (Allegati VIII e IX).
Codici di Condotta e Linee Guida (Art. 95-96)
L'AI Office e gli Stati Membri incoraggeranno lo sviluppo di codici di condotta volontari per i sistemi di IA non ad alto rischio (Art. 95) per promuovere l'adozione di best practice. La Commissione svilupperà linee guida sull'implementazione pratica della normativa (Art. 96).
Sanzioni (Art. 99-101)
Le sanzioni per la non conformità sono severe:
Fino a 35 milioni di euro o il 7% del fatturato annuo globale per violazione delle pratiche proibite (Art. 5).
Fino a 15 milioni di euro o il 3% del fatturato per violazione di altri obblighi (es. quelli per operatori, organismi notificati, trasparenza Art. 50).
Fino a 7,5 milioni di euro o l'1% del fatturato per fornitura di informazioni errate/incomplete.
Per le PMI, si applica l'importo inferiore tra la percentuale e il valore fisso. L'AI Office può imporre direttamente multe ai fornitori di modelli GPAI fino al 3% del fatturato o 15 milioni di euro per violazioni specifiche.
Tempistiche di Applicazione (Art. 111, 113)
L'EU AI Act è entrato in vigore il 1° agosto 2024 e si applicherà generalmente dal 2 agosto 2026. Tuttavia:
Le proibizioni (Art. 5) si applicano dal 2 febbraio 2025.
Le norme sui modelli GPAI (e relative sanzioni) si applicano dal 2 agosto 2025 per i modelli immessi sul mercato da tale data (per quelli immessi prima, dal 2 agosto 2027).
Le norme sui sistemi di IA ad alto rischio dell'Art. 6(1) (componenti di sicurezza di prodotti) si applicano dal 2 agosto 2027.
Per i sistemi di IA ad alto rischio usati da autorità pubbliche e immessi sul mercato prima del 2 agosto 2026 (e non significativamente modificati), l'applicazione è posticipata al 2 agosto 2030.
La Commissione ha il potere di adottare atti delegati (Art. 97) per aggiornare aspetti tecnici della normativa (es. Allegati, soglie FLOPs).
Takeaway operativo: Le aziende devono familiarizzare con il complesso sistema di governance e le tempistiche scaglionate dell'EU AI Act. È cruciale sviluppare una roadmap di conformità che tenga conto delle diverse date di applicazione per le varie tipologie di sistemi e obblighi. La partecipazione ai sandbox può essere una strategia valida per testare l'innovazione in un ambiente controllato, mentre il monitoraggio degli standard armonizzati e delle linee guida sarà fondamentale per mantenere la conformità nel tempo.
Conclusioni: Strategie Vincenti per la tua Impresa con la Guida EU AI Act
L'analisi dettagliata dell'EU AI Act rivela un quadro normativo complesso, destinato a incidere profondamente sulle strategie di adozione e sviluppo dell'intelligenza artificiale da parte delle imprese. Al di là dei singoli obblighi, è fondamentale per imprenditori e dirigenti cogliere le implicazioni strategiche di questa legislazione, interpretandola non solo come un insieme di vincoli, ma anche come un potenziale catalizzatore per un'innovazione più responsabile e, in ultima analisi, più sostenibile e affidabile.
Un primo aspetto di riflessione riguarda la centralità del concetto di rischio. L'approccio stratificato della normativa, che distingue tra pratiche proibite, sistemi ad alto rischio, obblighi di trasparenza specifici e modelli GPAI con rischio sistemico, impone alle aziende una profonda autoanalisi. Non si tratta più solo di valutare il ROI di una soluzione di IA, ma di integrare organicamente la valutazione del rischio etico, legale e per i diritti fondamentali fin dalle primissime fasi di progettazione e sviluppo (privacy and ethics by design). Questo richiede un cambiamento culturale, oltre che procedurale, promuovendo una maggiore collaborazione tra i team tecnici, legali e di business.
Confrontando l'EU AI Act con lo stato dell'arte e tecnologie similari già esistenti o altre normative impattanti (come il GDPR nel campo della protezione dati), emerge una peculiarità: l'AI Act tenta di regolamentare una tecnologia intrinsecamente dinamica e dalle applicazioni potenzialmente illimitate prima che molti dei suoi impatti si siano pienamente manifestati su larga scala. Mentre il GDPR si è concentrato sulla gestione di un "bene" (il dato personale) già ampiamente utilizzato, l'AI Act interviene su processi e "capacità" (quelle dei sistemi di IA) ancora in fase di rapida evoluzione. Questo approccio proattivo, se da un lato mira a prevenire derive problematiche, dall'altro introduce un grado di incertezza operativa, data la necessità di interpretare principi generali in contesti tecnologici specifici e mutevoli. Tecnologie concorrenti o approcci regolatori in altre giurisdizioni (es. USA, Cina) potrebbero seguire percorsi diversi, creando un panorama globale frammentato che le aziende multinazionali dovranno saper navigare con attenzione.
Per i dirigenti, ciò implica la necessità di sviluppare una visione strategica dell'IA che vada oltre la mera conformità. L'enfasi della normativa su documentazione tecnica, sistemi di gestione della qualità, tracciabilità e supervisione umana può essere vista come un onere, ma anche come un'opportunità per costruire sistemi di IA più robusti, affidabili e, quindi, più facilmente accettati da clienti e stakeholder. La trasparenza richiesta, ad esempio per i modelli linguistici e l'IA generativa, se gestita correttamente, può diventare un fattore di differenziazione competitiva, rafforzando la fiducia nel brand.
L'obbligo di alfabetizzazione sull'IA (AI Literacy) per il personale non è da sottovalutare. Un team consapevole delle capacità, dei limiti e dei rischi dell'IA è una risorsa inestimabile, capace di identificare usi innovativi ma anche di segnalare potenziali criticità prima che si trasformino in problemi di conformità o reputazionali. Investire in formazione continua diventa, quindi, una leva strategica.
Infine, la complessità dell'EU AI Act e le significative sanzioni previste rendono imprescindibile per le imprese, soprattutto PMI e start-up che potrebbero non disporre di grandi uffici legali interni, la ricerca di supporto qualificato. Orientarsi tra definizioni, classificazioni di rischio, obblighi documentali e procedure di valutazione della conformità richiede competenze specifiche.
Navigare questo scenario normativo richiede una leadership informata, capace di bilanciare innovazione e prudenza. Le imprese che sapranno integrare i principi dell'EU AI Act nella propria cultura e nei propri processi operativi non solo mitigheranno i rischi, ma potranno anche scoprire nuove vie per un utilizzo dell'intelligenza artificiale che sia eticamente fondato, legalmente solido e strategicamente vantaggioso.
Per un confronto più diretto e per esaminare come Rhythm Blues AI possa supportare concretamente la vostra azienda nell'adozione strategica e consapevole dell'IA, fornendo audit iniziali, formazione personalizzata sui vari aspetti dell'EU AI Act (dalla governance agli aspetti etici, dalla gestione del ROI all'IA generativa) e consulenza per sviluppare piani di conformità efficaci, vi invitiamo a fissare una consulenza iniziale gratuita di 30 minuti tramite il seguente link: https://calendar.google.com/calendar/u/0/appointments/AcZssZ3eexqwmgoYCSqEQU_4Nsa9rvUYF8668Gp7unQ.
FAQ: Risposte Rapide dalla Guida EU AI Act per Imprese
Cos’è esattamente l’EU AI Act e perché è rilevante per la mia azienda?
L’EU AI Act è una normativa europea che disciplina lo sviluppo, l’immissione sul mercato e l’utilizzo dei sistemi di intelligenza artificiale (IA) all’interno dell’Unione. Coinvolge la tua azienda se sviluppi, fornisci o impieghi sistemi di IA, perché introduce obblighi graduati in base al livello di rischio del sistema e prevede sanzioni significative in caso di non conformità. L’obiettivo principale è assicurare un’IA sicura, trasparente e rispettosa dei diritti fondamentali.
Quali sono le principali categorie di rischio per i sistemi di IA secondo l’EU AI Act?
Il regolamento identifica quattro fasce di rischio:
Rischio inaccettabile (pratiche proibite)
Alto rischio
Rischio limitato (obblighi di trasparenza specifici)
Rischio minimo o nullo
Gli adempimenti più stringenti si concentrano sui sistemi ad alto rischio.
Come faccio a sapere se un sistema di IA che utilizzo o sviluppo è considerato “ad alto rischio”?
Un sistema ricade nella fascia “alto rischio” se rientra nelle categorie elencate negli Allegati I e III del regolamento.
Allegato I: componenti di sicurezza di prodotti già regolati (macchinari, dispositivi medici).
Allegato III: casi d’uso critici in biometria, infrastrutture essenziali, istruzione, lavoro, accesso a servizi essenziali, forze dell’ordine, giustizia e processi democratici.
Serve quindi un confronto puntuale con questi elenchi.
Quali sono gli obblighi principali per i fornitori di sistemi di IA ad alto rischio?
Sistema di gestione dei rischi
Governance dei dati (mitigazione dei bias inclusa)
Documentazione tecnica completa
Logging automatico degli eventi
Trasparenza verso gli utilizzatori
Supervisione umana efficace
Accuratezza, robustezza e cybersecurity adeguate
Valutazione di conformità, marcatura CE e registrazione nel database UE
Cosa si intende per “alfabetizzazione sull’IA” (AI Literacy) e perché è importante?
È l’insieme di competenze e conoscenze che permette a fornitori, utilizzatori e persone interessate di impiegare l’IA in modo informato, comprendendone opportunità, rischi e potenziali impatti. Il regolamento richiede che il personale coinvolto nei sistemi di IA abbia un livello sufficiente di AI Literacy per garantirne un uso responsabile.
Quali sono le sanzioni previste per la non conformità all’EU AI Act?
Fino a 35 milioni € o 7 % del fatturato annuo globale (l’importo maggiore) per pratiche di IA proibite.
Fino a 15 milioni € o 3 % del fatturato per altre violazioni.
Fino a 7,5 milioni € o 1 % del fatturato per informazioni false o fuorvianti.
L’EU AI Act si applica anche alle aziende con sede fuori dall’UE?
Sì. Ha portata extraterritoriale: vale per fornitori che immettono o mettono in servizio sistemi di IA nel mercato unico, indipendentemente dalla sede legale, e per gli utilizzatori nell’UE. Coinvolge anche soggetti di Paesi terzi se l’output del sistema è usato nell’Unione.
Cosa sono i Modelli di IA per Scopi Generali (GPAI models) e quali obblighi specifici hanno i loro fornitori?
I GPAI sono modelli – ad esempio i Large Language Models – addestrati su grandi moli di dati e in grado di svolgere molteplici compiti. I fornitori devono:
Fornire documentazione tecnica e informazioni ai downstream providers
Rispettare il diritto d’autore
Pubblicare un riepilogo dei dati di training
Se il modello supera la soglia di 1025 FLOPs (rischio sistemico), scattano requisiti aggiuntivi: valutazioni periodiche, mitigazione dei rischi sistemici e segnalazione degli incidenti.
Quando entreranno pienamente in vigore le disposizioni dell’EU AI Act?
2 febbraio 2025: entrano in vigore i divieti sulle pratiche inaccettabili
2 agosto 2025: requisiti per i GPAI models e relative sanzioni
2 agosto 2026: maggior parte degli obblighi per i sistemi ad alto rischio
Scadenze successive (fino al 2030) per alcune applicazioni di autorità pubbliche e grandi sistemi IT
Cosa sono gli “AI regulatory sandboxes” e come possono aiutare la mia azienda?
Sono ambienti di test controllati, istituiti dalle autorità nazionali, dove imprese – in particolare PMI e start-up – possono sviluppare e collaudare sistemi di IA innovativi con supervisione regolatoria. Offrono certezza giuridica, guida operativa e, in alcuni casi, un’esenzione temporanea dalle sanzioni per le attività svolte all’interno del sandbox, purché si rispetti il piano concordato.
Comments