Regolamento europeo sull’intelligenza artificiale (AI Act): come arrivare preparati e sfruttare le potenzialità

Lo scorso 12 luglio è stato pubblicato nella Gazzetta ufficiale dell’Unione europea (Serie L) il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (AI Act o regolamento sull’intelligenza artificiale).

Il regolamento entrerà in vigore il 1° agosto 2024 e si applicherà, per la maggior parte delle disposizioni, in considerazione anche della complessità del testo, dal 2 agosto 2026. Tuttavia, per diversi aspetti, l’applicazione sarà anticipata al 2 febbraio 2025 e al 2 agosto 2025.

Il regolamento  si applica sia ai fornitori (chi sviluppa o fa sviluppare con proprio marchio sistemi o modelli di intelligenza artificiale) che agli importatori, ai distributori e agli utilizzatori (nell’ambito dell’attività lavorativa) di sistemi di intelligenza artificiale (IA).

Il regolamento prevede, quindi, una responsabilità degli attori lungo tutta la catena del valore dell’IA.

L’interesse del regolamento UE sull’intelligenza artificiale per gli operatori del terziario di mercato va, inoltre, valutato anche nella prospettiva (altamente probabile) di un progressivo aumento del numero delle imprese che adotteranno, nei loro processi aziendali, modelli e soluzioni di IA al fine di cogliere i benefici in termini produttività, creatività ed efficienza di questa dirompente tecnologia.

Per sistema di IA, si intende un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che deduce dall’input che riceve come generare output quali: previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.

Si suggerisce, pertanto, agli operatori di cominciare a familiarizzare con le nuove regole introdotte dal regolamento UE sull’IA e a valutare gli impatti degli obblighi introdotti i quali sono legati al ruolo dell’operatore nella catena del valore dell’IA – fornitore (nel senso prima indicato di produttore), importatore, distributore o utilizzatore del sistema di IA – e al livello di rischio dell’IA e, laddove questo aumenti, gli obblighi si fanno più stringenti.  

Questo in sintesi il perimetro degli obblighi di maggior interesse nelle diverse tappe previste per l’attuazione del regolamento ed offriamo primi suggerimenti su come gli operatori possano prepararsi alle nuove regole UE.

1) Le disposizioni del regolamento UE sull’IA che si applicano dal 2 febbraio 2025

A partire dalla data del 2 febbraio 2025 sarà vietata l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IA che utilizzano tecniche subliminali o volutamente manipolative. Saranno vietati anche i sistemi di IA che valutano o classificano le persone sulla base del loro comportamento sociale o di caratteri personali o della personalità e quelli che effettuano l’estrapolazione indiscriminata di immagini facciali.

Saranno vietati anche i sistemi di IA per inferire le emozioni sul luogo di lavoro ove non per motivi di sicurezza e i sistemi di categorizzazione biometrica che classificano individualmente le persone fisiche per trarre deduzioni o inferenze in merito ad aspetti della vita privata.   

I fornitori e gli utilizzatori (nell’ambito dell’attività lavorativa) di sistemi di IA dovranno, poi, adottare misure per garantire un livello sufficiente di alfabetizzazione in materia di IA del personale.

1.1) Suggerimenti per prepararsi alla prima fase di attuazione de regolamento UE sull’IA 

Arrivare preparati a questo primo appuntamento del 2 febbraio 2025, a cui mancano solo 6 mesi, richiede agli operatori di identificare le pratiche di IA vietate e da interrompere. In tale direzione, e in considerazione dei successivi più estesi obblighi imposti dal regolamento, è consigliabile che gli operatori attivino una più generale ricognizione delle tecnologie e software utilizzati al fine di individuare (ricorrendo, nella fase di valutazione, all’essenziale supporto del proprio fornitore di tecnologia) quelli che possono essere identificati sistemi di IA ai sensi del regolamento per, successivamente, classificarli in base al livello di rischio, partendo, appunto, da quanto indicato come pratica di IA vietata e da interrompere. Il regolamento, come già anticipato, impone regole differenti a seconda del livello di rischio del sistema di IA. 

Altra importante linea di intervento su cui è utile partire subito è la predisposizione di specifiche azioni formative rivolte al personale sui temi dell’IA che siano adeguate al livello di competenze possedute e al contesto di utilizzo. Da una adeguata formazione scaturisce, infatti, la capacità di rispettare le nuove regole, di ridurre i rischi associati all’uso dell’IA ma anche quella di sfruttare a pieno le opportunità dell’IA. 

2) Le disposizioni del regolamento UE sull’IA che si applicano dal 2 agosto 2025

Dalla data del 2 agosto 2025 si applicano una serie di disposizioni che impattano prevalentemente i fornitori di modelli di IA, con obblighi diversi a seconda che i modelli di IA presentino o meno un rischio sistemico.

Sono previste regole di classificazione in base alle quali un modello di IA per finalità generali è classificato come con rischio sistemico.

Saranno, inoltre, resi disponibili codici di buone pratiche che i fornitori di modelli di IA potranno adottare per dimostrare la conformità ad alcuni degli obblighi previsti.

Dalla data del 2 agosto trova anche applicazione la disposizione che prevede gli Stati membri stabiliscano regole relative a sanzioni e altre misure di esecuzione in caso di violazione del regolamento da parte degli operatori.

2.1) Suggerimenti per prepararsi alla seconda fase di attuazione del regolamento UE sull’IA del 2 agosto 2025

Destinatari principali delle disposizioni che troveranno applicazione a partire dal 2 agosto 2025, come sopra detto, sono prevalentemente i fornitori di modelli di IA (a cui sono in capo le obbligazioni più stringenti previste dal regolamento) con obblighi che variano in base al livello di rischio di tali modelli.

I fornitori di modelli di IA, ai fini della corretta applicazione delle nuove regole, potranno beneficiare dell’adozione di codici di buone pratiche i quali saranno pronti al più tardi entro il 2 maggio 2025 e terranno in considerazione le esigenze delle PMI.

Ulteriore suggerimento, valido anche per gli operatori utilizzatori di sistemi di IA, data la presenza di un quadro sanzionatorio, è rivedere e adeguare gli accordi con i fornitori di software e tecnologia al fine di prevedere, ove quanto fornito possa essere considerato un sistema di IA, clausole che assicurino il rispetto delle regole del regolamento europeo e opportune garanzie e manleve per danni e sanzioni ricevute in conseguenza dell’uso del sistema di IA.

3) Le disposizioni del regolamento UE sull’IA che si applicano dal 2 agosto 2026

Nelle disposizioni che trovano applicazione dal 2 agosto 2026 vi sono le regole di classificazione per i sistemi di IA ad alto rischio tra cui rientrano, a titolo di esempio, i sistemi di IA destinati a essere utilizzati per il riconoscimento delle emozioni e i sistemi di IA utilizzati per la selezione del personale e per alcuni aspetti relativi alla gestione del rapporto di lavoro. Si indicano anche le condizioni in cui un sistema di IA non sia considerato ad alto rischio: se non presenta un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche, anche nel senso di non influenzare materialmente il risultato del processo decisionale. Quest’ultimo è, ad esempio, il caso in cui il sistema di IA è destinato a migliorare il risultato di un’attività umana precedentemente completata o è destinato a eseguire un compito procedurale limitato.  

Sono anche definiti i requisiti per i sistemi di IA ad alto rischio in relazione, tra gli altri, al sistema di gestione dei rischi. 

La data del 2 agosto 2026 è particolarmente importante per gli operatori in quanto a decorrere da tale data si applicano obblighi per i fornitori di sistemi di IA ad alto rischio in merito a valutazione di conformità, gestione della qualità, documentazione, marcatura CE, monitoraggio successivo all’immissione sul mercato e segnalazione in caso di incidenti gravi. Si applicano, inoltre, obblighi di verifica e informativi in capo a importatori e distributori e, per gli utilizzatori, obblighi di conservazione e di informazione verso i lavoratori soggetti all’uso del sistema di IA ad alto rischio. 

Sono previsti anche obblighi di trasparenza per i fornitori di sistemi di IA al fine di garantire che le persone siano informate del fatto di stare interagendo con un sistema di IA e che i contenuti generati siano rilevabili come generati o manipolati artificialmente.

Sono previsti obblighi di trasparenza anche per gli utilizzatori ove il sistema di IA generi o manipoli immagini o contenuti audio o video e quando l’obbligo di trasparenza si applica al caso in cui sia il testo ad essere generato e manipolato da un sistema di IA.  

Gli utilizzatori di un sistema di riconoscimento delle emozioni o di un sistema di categorizzazione biometrica, inoltre, sono tenuti ad informare le persone fisiche che vi sono esposte.

3.1) Suggerimenti per prepararsi ala terza fase di attuazione del regolamento UE sull’IA del 2 agosto 2026

Come già anticipato le azioni per prepararsi all’applicazione delle nuove disposizioni sull’IA sono partire da una analisi dei sistemi utilizzati e classificarne il rischio secondo lo schema europeo in quanto, considerata anche la qualificazione dell’operatore – agisce come fornitore, importatore, distributore o utilizzatore – ed al rischio del sistema di IA (sviluppato, immesso sul mercato, messo in servizio o utilizzato) si applicano diverse tipologie di obblighi, via via più stringenti all’alzarsi del livello di rischio.