Il 13 Giugno 2024 è stato approvato l’AI Act 1, attraverso il Regolamento (UE) 2024/1689 (pubblicato il 12 Luglio 2024), che ha come scopo quello di regolamentare l’utilizzo dell’intelligenza artificiale (IA) garantendo un uso sicuro, trasparente ed etico. Il Regolamento mira a garantire che i sistemi di intelligenza artificiale immessi sul mercato Europeo e utilizzati nell’UE siano sicuri, rispettino i diritti fondamentali e i valori dell’Unione, e favoriscano gli investimenti e l’innovazione in questo settore in Europa.
A chi è rivolto
I soggetti interessati dal Regolamento sono:
- Fornitori e utilizzatori (deployer) di IA nell’Unione Europea;
- Fornitori e utilizzatori extra UE in cui i risultati prodotti dai sistemi di intelligenza artificiale IA è destinato all’uso nell’Unione Europea;
- Importatori e distributori di sistemi IA.
Tuttavia il Regolamento “AI ACT” non viene applicato per sistemi di IA atti a scopi militari, ricerca e sviluppo scientifici o usi non professionali o in parte per sistemi a licenza open source e licenza aperta.
Le principali novità del Regolamento sull’intelligenza artificiale
Si introducono degli obblighi per gli sviluppatori sistemi con intelligenza artificiale IA, quali:
- Valutazione dei rischi: tutti i sistemi IA devono essere sottoposti, in funzione del loro potenziale impatto decisionale, ad una valutazione dei rischi;
- Introduzione di categorie di sistemi IA, sono 4 e in funzione del livello di rischio:
- Rischio inaccettabile: vietati;
- Alto rischio: i sistemi di IA devono soddisfare requisiti stringenti, quali norme armonizzate e obblighi di vigilanza da parte di autorità competenti;
- Rischi limitato: rispetto di obblighi di trasparenza, quali l’esposizione delle informazioni chiare e facilmente accessibili all’utente finale;
- Rischio minimo: non soggetti a obblighi specifici.
- Marcatura CE: il sistema di intelligenza artificiale IA ad alto rischio ha l’obbligo di apporre la marcatura CE, prima della sua immissione sul mercato;
- Gestione dei dati: norme rigorose sulla raccolta, gestione e conservazione dei dati utilizzati per lo sviluppo e l’utilizzo dei sistemi di intelligenza artificiale IA;
- Trasparenza: l’obbligo ai fornitori di fornire informazioni chiare e accessibili all’utente finale, come la proprie capacità, limitazioni e potenziali rischi.
Per quanto riguarda il livello di rischio, gli esempi di utilizzo di sistemi di intelligenza artificiale IA ad alto rischio possono essere:
- Infrastrutture quali energia, trasporti, acqua, gas e altre reti essenziali;
- Contesti educativi e formazione professionale;
- Servizi pubblici essenziali come assistenza sanitaria, previdenza sociale e servizi finanziari;
- Identificazione biometrica di persone in spazi pubblici, sorveglianza e controllo;
- Sicurezza dei prodotti come dispositivi medici e veicoli autonomi;
- Sistemi che possano manipolare la vulnerabilità delle persone, come età, disabilità, condizioni sociali o economiche;
- Attribuzione di punteggi sociali su persone in funzione del comportamento, caratteristiche personali o valutazioni che portino a discriminazioni.
Cosa cambia per le aziende e applicazione del Regolamento
Il regolamento, con la sua entrata in vigore, avrà un impatto sia sulle aziende che su enti pubblici e sviluppatori che operano con sistemi di intelligenza artificiale IA. Le date significative sono:
- 01/08/2024: entrata in vigore del regolamento (20 giorni dopo la pubblicazione nella G.U.)
- 02/02/2025: diventano applicabili le norme sulle pratiche di IA vietate
- 02/08/2025: si applicano le disposizioni relative alle autorità di notifica nazionali individuate e diventano applicabili i modelli di IA per finalità generali, la governance, le sanzioni (escluse le sanzioni pecuniarie per i fornitori di modelli di IA per finalità generali) e la riservatezza delle informazioni
- 02/08/2026: si applicano tutte le sezioni del regolamento, ad esclusione di quanto previsto al punto successivo
- 02/08/2027: sono applicabili gli obblighi per i sistemi ad alto rischio, prodotto o componente di un di cui all’articolo 6, paragrafo 1
Le aziende, gli enti e gli sviluppatori, quindi, devono e dovranno implementare attraverso una documentazione tecnica atta a valutare i rischi, la conformità, l’attuazione delle misure di sicurezza e la protezione dei dati per evitare rischi sia legali che finanziari.
