Cos’è l’AI Act: cosa prevede il regolamento europeo sull’intelligenza artificiale, chi è coinvolto e come adeguarsi.
L’intelligenza artificiale sta cambiando profondamente il modo in cui aziende, pubbliche amministrazioni e professionisti utilizzano dati e tecnologie digitali.
Nonostante le potenzialità della tecnologia, crescono le preoccupazioni su trasparenza dei processi, sicurezza informatica e possibili discriminazioni, rendendo cruciale la protezione dei diritti umani.
Per questo motivo l’Unione Europea ha introdotto l’AI Act, il primo regolamento europeo interamente dedicato all’intelligenza artificiale.
L’obiettivo è garantire uno sviluppo dell’AI che sia non solo innovativo, ma anche sicuro, controllato, trasparente e coerente con i valori europei, imponendo obblighi specifici a chi sviluppa, distribuisce, o utilizza sistemi di AI.
In questa guida vediamo cosa prevede l’AI Act nel dettaglio, chi è coinvolto, e quali sono gli obblighi principali per aziende e organizzazioni.
L’AI Act - Regolamento UE 2024/1689 - è la prima normativa europea che disciplina in modo organico e trasversale l’utilizzo dell’intelligenza artificiale, nei diversi settori economici e sociali.
Il regolamento nasce con l’obiettivo di creare un quadro giuridico unico, valido in tutta l’Unione Europea, evitando frammentazioni normative tra i diversi Stati membri.
In particolare, l’AI Act mira a:
La normativa si applica sia ai fornitori di sistemi AI, sia alle organizzazioni che li utilizzano all’interno dei propri processi operativi.
Un elemento fondamentale è la sua portata extraterritoriale. Anche le aziende con sede fuori dall’Unione Europea devono rispettare l’AI Act, quando i loro sistemi vengono immessi o utilizzati nel mercato europeo.
L’AI Act adotta un approccio basato sul rischio, classificando i sistemi di intelligenza artificiale in diverse categorie, in base al loro potenziale impatto su persone e diritti fondamentali.
Di conseguenza, gli obblighi normativi aumentano proporzionalmente all’impatto che il sistema può avere sui diritti delle persone o sulla sicurezza.
Sono sistemi che presentano un rischio molto basso per gli utenti e che non richiedono obblighi specifici.
Rientrano in questa categoria, ad esempio:
In questi casi l’AI Act non impone vincoli particolari, ma resta fermo il rispetto della normativa generale applicabile.
Questi sistemi sono soggetti principalmente a obblighi di trasparenza verso l’utente.
L’obiettivo è garantire che le persone siano consapevoli quando stanno interagendo con un sistema di intelligenza artificiale.
Esempi tipici:
Gli utenti devono essere informati in modo chiaro e comprensibile sulla natura artificiale del sistema.
Sono i sistemi che possono avere un impatto significativo su diritti fondamentali, sicurezza, o condizioni di vita delle persone.
Tra questi rientrano:
Per queste applicazioni il regolamento impone obblighi molto rigorosi, tra cui:
Inoltre, in diversi casi è obbligatoria una valutazione d’impatto sui diritti fondamentali. Questo avviene in particolare quando i sistemi ad alto rischio sono utilizzati da autorità pubbliche o in settori che incidono direttamente sui cittadini, come sanità, istruzione, occupazione o accesso a prestazioni sociali.
È inoltre richiesta la registrazione delle attività del sistema, per garantirne la tracciabilità.
L’AI Act vieta espressamente alcune pratiche considerate incompatibili con i valori dell’Unione Europea e con i diritti fondamentali.
Tra queste:
Una parte sempre più rilevante del regolamento riguarda i sistemi di AI generativa e i modelli GPAI - General Purpose AI - come chatbot avanzati, generatori di testi, immagini o video.
Questi sistemi devono rispettare obblighi specifici che riguardano soprattutto trasparenza, sicurezza e tracciabilità.
In particolare, i fornitori devono:
Un’attenzione particolare è dedicata ai deep fake e ai contenuti sintetici, che devono essere identificabili in modo esplicito come prodotti da sistemi di intelligenza artificiale.
AI Act e GDPR sono due normative diverse, ma fortemente complementari.
Il GDPR disciplina il trattamento dei dati personali e la protezione della privacy.
L’AI Act, come descritto in precedenza, regola l’utilizzo dei sistemi di intelligenza artificiale e i rischi connessi al loro impiego.
Le due normative si integrano soprattutto quando un sistema AI tratta dati personali.
Ovviamente, in questi casi, le organizzazioni devono rispettare contemporaneamente sia i principi del GDPR che gli obblighi dell’AI Act.
Ad esempio, un sistema AI utilizzato per profilazione o per prendere decisioni automatizzate, potrebbe richiedere:
L’AI Act si applica a tutti i soggetti coinvolti nello sviluppo o nell’utilizzo dell’intelligenza artificiale, come ad esempio:
Sono invece esclusi alcuni utilizzi personali, attività di ricerca scientifica, e applicazioni legate alla sicurezza nazionale o militare.
In caso di violazione delle disposizioni del regolamento sono previste sanzioni molto elevate, che possono arrivare fino a:
Le sanzioni ricordano l’impostazione del GDPR, e confermano l’approccio rigoroso adottato dall’Unione Europea nei confronti dell’intelligenza artificiale.
Questo regolamento è entrato in vigore il 1° agosto 2024, ma l’applicazione delle disposizioni avviene in modo progressivo.
Le principali scadenze passate e future sono:
Le aziende devono iniziare fin da subito a valutare il proprio livello di conformità.
Per adeguarsi all’AI Act, le organizzazioni devono adottare un approccio strutturato alla governance dell’intelligenza artificiale.
Le principali attività da svolgere includono:
È inoltre importante integrare gli obblighi dell’AI Act con quelli previsti dal GDPR, e dalle altre normative in materia di cybersecurity e protezione dei dati.
L’AI Act rappresenta una delle normative più importanti mai introdotte dall’Unione Europea nel settore digitale.
Il regolamento introduce un nuovo modello di governance dell’intelligenza artificiale basato su sicurezza, trasparenza e responsabilità.
Per le aziende non si tratta solo di un obbligo normativo, ma di un cambiamento strutturale che impone un approccio più consapevole e controllato all’uso dell’AI.
Adeguarsi per tempo significa non solo evitare sanzioni, ma anche costruire sistemi più affidabili, competitivi e sostenibili nel lungo periodo.
Verifica subito se la tua attività è soggetta agli obblighi privacy, quali sono i provvedimenti da adottare e qual è il Piano Privacy giusto per te.
Ti garantiamo la nostra assistenza specialistica per tutti gli aspetti relativi al nostro servizio e agli adempimenti Privacy.
Uno dei nostri esperti è a tua disposizione e ti risponderà gratuitamente.