Il cosiddetto “AI Act” è entrato in vigore il 1° agosto 2024 allo scopo di promuovere la diffusione di un’IA “antropocentrica e affidabile, garantendo nel contempo un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea, compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente, contro gli effetti nocivi dei sistemi di IA nell’Unione, e promuovendo l’innovazione” (articolo 1).

L’applicazione del regolamento avverrà in diverse fasi, la prima delle quali è stata appunto quella di febbraio 2025 per le AI a rischio inaccettabile. Vediamo, di seguito, maggiori dettagli.

AI Act: cos’è un sistema di intelligenza artificiale e quali sono i livelli di rischio

Il Regolamento sull’intelligenza artificiale non si applica indistintamente a tutti i sistemi di IA ma solo a quelli che, in qualche modo, possono comportare dei rischi per la salute, la sicurezza e i diritti fondamentali delle persone.

Innanzitutto, è importante capire cosa sia un “sistema di intelligenza artificiale“. Nella definizione fornita dall’AI Act, si tratta di un “sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali“.

I sistemi AI vengono regolati dall’AI Act in base al loro livello di rischio. Nei casi più gravi, ad esempio, si parla di “rischio inaccettabile” quando tali sistemi vanno contro i valori e i principi fondamentali dell’UE (es. il rispetto della dignità umana, della democrazia e dello stato di diritto).

Vi sono poi sistemi che presentano rischi elevati – e che quindi sono soggetti a obblighi rigorosi prima di poter essere immessi sul mercato – oppure rischi limitati, che riguardano specifici obblighi di trasparenza nei confronti degli utenti che interagiscono con quei sistemi di IA (un esempio può essere quello di informare l’utente che sta interagendo con un chatbot e non con una persona reale).

Infine, i sistemi AI a rischio minimo o nullo (che sono quelli più diffusi) riguardano ad esempio i filtri antispam, i videogiochi abilitati all’intelligenza artificiale, eccetera.

AI Act: pratiche di intelligenza artificiale vietate

L’articolo 5 dell’AI Act indica 8 pratiche di intelligenza artificiale vietate per legge. Vediamo, nel dettaglio, quali sono.

1) Sistemi IA che utilizzano tecniche subliminali, che agiscono senza che una persona ne sia consapevole, oppure tecniche volutamente manipolative o ingannevoli. Questi sistemi hanno lo scopo o l’effetto di distorcere il comportamento dell’utente, pregiudicando la sua capacità di prendere una decisione informata e inducendola a prendere una decisione che altrimenti non avrebbe preso (al punto da provocare un danno significativo a sé stessa o ad altri).

2) Sistemi di IA che sfruttano le vulnerabilità delle persone, dovute a fattori quali età, disabilità o particolari situazioni sociali o economiche, con l’obiettivo o l’effetto di distorcere il comportamento di tale persona e provocare un danno significativo a sé stessa o ad altri.

3) Sistemi di IA per la valutazione o la classificazione delle persone fisiche, per un determinato periodo di tempo, in base al loro comportamento sociale o alle caratteristiche personali o della personalità (note, inferite o previste), con conseguente: trattamento pregiudizievole o sfavorevole in altri contesti sociali, non collegati a quelli di generazione o raccolta dei dati; trattamento pregiudizievole o sfavorevole ingiustificato/sproporzionato rispetto al comportamento sociale o alla sua gravità.

4) Sistemi di IA per valutazioni del rischio relative a persone fisiche, volte a valutare o prevedere il rischio che una persona commetta un reato, unicamente sulla base della profilazione della persona o della valutazione dei tratti e delle caratteristiche della personalità.

5) Sistemi di IA che creano o ampliano le banche dati di riconoscimento facciale tramite scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso.

6) Sistemi di IA per inferire le emozioni di una persona sul luogo di lavoro o negli istituti di istruzione, tranne nei casi in cui tale uso abbia motivi medici o di sicurezza.

7) Sistemi di categorizzazione biometrica che classificano individualmente le persone sulla base dei loro dati biometrici per trarre deduzioni in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale.

8) Sistemi di identificazione biometrica remota “in tempo reale” in spazi accessibili al pubblico a fini di attività di contrasto (a meno che tale uso non sia strettamente necessario per: ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani, sfruttamento sessuale, ricerca di persone scomparse; prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità delle persone o per la minaccia di un attacco terroristico; localizzazione o identificazione di una persona sospettata di aver commesso un reato punibile con una pena o una misura di sicurezza privativa della libertà della durata di almeno 4 anni).

AI Act: prossime tappe e scadenze

Il 2 febbraio 2025 sono entrati in vigore i divieti per le AI a rischio inaccettabile. Tuttavia, come anticipato, vi sono altre tappe legate all’applicazione dell’AI Act.

Tra le prossime scadenze più importanti vanno segnalate:

• 2 agosto 2025, diventano pienamente applicabili le norme di governance e gli obblighi per i modelli di IA per scopi generali (GPAI). Per i modelli immessi sul mercato prima del 2 agosto 2025, i fornitori avranno tempo fino al 2 agosto 2027 per adeguarsi;
• 2 agosto 2026, l’AI Act diventa legge per i sistemi considerati ad alto rischio;
• 2 agosto 2027, si applicano le regole per i sistemi AI che integrano l’intelligenza artificiale in prodotti regolamentati da specifiche leggi dell’UE (es. quelli utilizzati nella sanità o nei trasporti).

AI Act: sanzioni

In base a quanto stabilito all’articolo 99, l’AI Act prevede pesanti sanzioni per chi non rispetta le disposizioni del Regolamento Europeo 2024/1689.

Nello specifico, possono essere comminate sanzioni amministrative pecuniarie:

• fino a 35 milioni di euro o fino al 7% del fatturato mondiale totale annuo dell’esercizio precedente (se superiore), per la non conformità al divieto delle pratiche di IA indicate all’articolo 5;
• fino a 15 milioni di euro o – se l’autore del reato è un’impresa – fino al 3% del fatturato mondiale totale annuo dell’esercizio precedente (se superiore), per la non conformità alle disposizioni diverse da quelle indicate all’articolo 5 (es. obblighi di fornitori, rappresentanti autorizzati, importatori, distributori, deployer, organismi notificati, ecc);
• fino a 7,5 milioni di euro o – se l’autore del reato è un’impresa – fino all’1% del fatturato mondiale totale annuo dell’esercizio precedente (se superiore), per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità nazionali competenti.

Per le startup o le PMI, la sanzione da prendere come riferimento è la più bassa tra i due possibili importi sopra indicati.

Vuoi capire se la tua azienda sta rispettando gli obblighi di legge in tema di privacy e tutela dei dati personali, compresi gli aspetti che riguardano l’intelligenza artificiale? Contattaci senza impegno per richiedere la consulenza di un nostro professionista.

---