Dopo l’accordo raggiunto con gli Stati membri dell’Unione Europea a dicembre 2023, il Parlamento Europeo ha approvato a marzo 2024 il regolamento UE sull’intelligenza artificiale, stabilendo una serie di obblighi per il suo utilizzo.
L’obiettivo dell’AI ACT (Regolamento UE 2024/1689), è quello di promuovere l’innovazione e rafforzare il ruolo di leadership dell’Europa nel settore dell’intelligenza artificiale, garantendo al contempo la tutela dei diritti fondamentali, della democrazia e della sostenibilità ambientale dai potenziali rischi derivanti dai sistemi di IA ad alto impatto.
L’AI ACT è entrato ufficialmente in vigore il 1° agosto 2024, venti giorni dopo la sua pubblicazione nella Gazzetta Ufficiale. Tuttavia, l’applicazione delle norme avverrà in modo progressivo.
In particolare, a partire dal 2 febbraio 2025, è entrato in vigore il blocco per alcuni sistemi di IA proibiti, tra cui quelli utilizzati per la categorizzazione biometrica, le tecnologie che impiegano tecniche subliminali, i sistemi che sfruttano le vulnerabilità delle persone. Per altri strumenti, come i sistemi di identificazione biometrica remota, sono previste forti restrizioni invece del divieto assoluto.
Successivamente, a partire da maggio 2025, verranno introdotti i codici di condotta, imponendo alle aziende che sviluppano tecnologie di intelligenza artificiale l’obbligo di integrare i principi del regolamento europeo nelle proprie attività.
I modelli di AI generale, invece, dovranno garantire a partire da agosto 2025 la riconoscibilità dei contenuti generati con l’AI, mentre dopo un altro anno queste norme saranno applicate ai sistemi di intelligenza artificiale ad alto rischio. L’intero regolamento diventerà legge in tutte le sue parti solo ad agosto 2027, ma per le aziende può essere utile iniziare a pensare fin da oggi come adeguarsi all’AI ACT.
L’AI ACT diventerà pienamente operativo in tutte le sue parti ad agosto 2027, ma per le aziende è consigliabile iniziare sin da ora a pianificare le strategie per conformarsi alla normativa.
I livelli di rischio previsti dall’AI ACT e le sanzioni in caso di violazioni
Affinché il regolamento europeo sull’intelligenza artificiale diventi effettivo ci vorrà ancora un po’ di tempo. Tuttavia è importante comprendere cosa prevede la nuova legge UE sull’IA, quali sono i rischi di eventuali violazioni e in che modo conformare la propria attività all’AI ACT. Innanzitutto è utile conoscere la classificazione dei 4 livelli di rischio introdotta dalle norme comunitarie.
- Rischio minimo o nullo: è consentito l’utilizzo dei sistemi di IA gratuito e senza particolari restrizioni se comportano un rischio trascurabile o inesistente, come i filtri antispam, le applicazioni per i videogiochi abilitate all’intelligenza artificiale o i filtri di IA per le foto;
- Rischio limitato: la legge europea prevede una categoria specifica per le tecnologie di IA che devono garantire degli standard minimi di trasparenza, ad esempio assicurando una corretta informazione degli utenti quando utilizzano chatbot basati sull’intelligenza artificiale o rendendo identificabili i contenuti di audio, video e testo generati dall’IA;
- Rischio elevato: gli strumenti di IA sono considerati ad alto rischio quando vengono utilizzati in ambiti sensibili, come strutture sanitarie, servizi pubblici, componenti di sicurezza e formazione scolastica. Queste applicazioni sono soggette a degli obblighi rigorosi, come sistemi adeguati di valutazione e mitigazione dei rischi e una documentazione dettagliata per consentire alle autorità di valutarne la conformità;
- Rischio inaccettabile: l’AI ACT vieta espressamente i sistemi di intelligenza manipolatori o che possono essere utilizzati per attività di sorveglianza di massa della popolazione.
Una volta che il regolamento europeo in materia di intelligenza artificiale entrerà in vigore le aziende che violeranno le norme rischieranno pesanti sanzioni, applicate in modo graduale in base alla responsabilità dell’impresa e alla gravità dell’infrazione.
Le sanzioni possono arrivare fino a 10 milioni di euro o il 2% del fatturato in caso di informazioni incomplete, inesatte o false, mentre per le violazioni più gravi possono raggiungere fino a 30 milioni di euro o il 6% del fatturato annuo globale. Per le altre irregolarità sono previste sanzioni fino a 20 milioni di euro o il 4% del fatturato annuo globale.
Come le aziende possono conformarsi al regolamento europeo sull’intelligenza artificiale
Nonostante la normativa europea sull’intelligenza artificiale non sarà pienamente operativa fino al 2026, le aziende che utilizzano l’IA, a qualsiasi livello, dovrebbero iniziare fin da ora a comprendere come adeguarsi ai requisiti dell’AI ACT, così da evitare criticità e possibili sanzioni in futuro.
Questo significa classificare i sistemi di IA in base ai criteri stabiliti dall’AI ACT per valutare correttamente il livello di rischio di tali tecnologie, implementare standard di sicurezza adeguati, evitare che gli algoritmi di IA creino pregiudizi o discriminazioni e mantenere una documentazione dettagliata su tutti i processi che prevedono l’uso dell’intelligenza artificiale.
È inoltre consigliabile adottare una IA Policy, ossia una politica interna dedicata esclusivamente all’impiego delle tecnologie di intelligenza artificiale, per definire chiaramente una serie di linee guida da rispettare al fine di garantire che tutti i processi aziendali siano conformi al regolamento europeo. In questi casi, è possibile procedere rivolgendosi a realtà esperte del settore come Legal for Digital, il primo studio legale in Italia sul diritto digitale, specializzato in tutti gli aspetti che riguardano l’intellectual property, la contrattualistica, il legal tech, la Privacy, l’e-commerce e l’AI.
Iniziare fin da subito a promuovere un utilizzo sicuro e responsabile dei sistemi di intelligenza artificiale non solo facilita la conformità alle normative UE, ma consente anche di sfruttare al meglio il potenziale dell’IA, creando valore per l’organizzazione e garantendo un impatto positivo per tutti.
Usare queste tecnologie in modo consapevole e conforme, infatti, permette di adottare un approccio trasparente sia nei confronti dei propri collaboratori che soprattutto dei clienti, specialmente quando un’azienda fa ricorso in maniera significativa ai sistemi di IA nella propria attività, in particolare nei prodotti e servizi che offre al mercato.
L’intelligenza artificiale, infatti, può essere utilizzata a vari livelli, dalle attività di brainstorming alla generazione di contenuti da rielaborare attraverso l’intervento umano, fino alla consegna di prodotti interamente generati dall’IA proposti senza nessuna azione aggiuntiva.
In questi casi, pur non essendo legalmente obbligatorio dichiarare l’uso dell’intelligenza artificiale, è comunque consigliabile farlo in determinate circostanze. Ad esempio, può essere utile specificare nei contratti se l’azienda rivende elaborati generati completamente o parzialmente con l’IA.
Questa scelta non solo contribuisce a costruire un rapporto di fiducia con i clienti, ma favorisce anche una maggiore trasparenza nell’attività aziendale, riducendo il rischio di eventuali danni reputazionali.
Ad ogni modo, fino a quando l’AI ACT non entrerà definitivamente in vigore, è fondamentale non trascurare le normative già operative, come il GDPR e il Codice del Consumo. Queste regolamentazioni richiedono la massima attenzione per garantire che l’attività sia conforme e preparata all’evoluzione normativa rappresentata dall’AI ACT.
