AI ACT: PRIME DISPOSIZIONI IN VIGORE DAL 2 FEBBRAIO 2025

di Francesco Vicino

Introduzione

Nonostante sia trascorso solo un mese, il 2025 si presenta già, senza ombra di dubbio, come un anno di svolta per lo sviluppo e la regolamentazione dell’Intelligenza Artificiale nel mondo. Quasi contemporaneamente al lancio del nuovo modello di intelligenza artificiale generativa cinese DeepSeek, in grado di ottenere gli stessi risultati di modelli più strutturati come ChatGPT con circa il 90% in meno degli investimenti economici, l’Unione Europea si prepara ad affrontare l’entrata in vigore delle prime disposizioni del Regolamento europeo sull’intelligenza artificiale, l’AI Act.

Come si anticipava in un precedente contributo sul tema, il Regolamento UE 2024/1689 (anche solo “AI Act”) è caratterizzato da una entrata in vigore progressiva delle disposizioni in esso contenute, le quali hanno individuato espressamente il 2 febbraio 2025 come deadline a partire dalla quale sono entrate ufficialmente in vigore le disposizioni normative contenute nei Capi I e II del regolamento. Più nel dettaglio, tali sezioni coinvolgono le disposizioni generali e le pratiche vietate in materia di intelligenza artificiale, che opereranno dunque a pieno regime fornendo una base giuridica uniforme a livello comunitario, inaugurando al tempo stesso un nuovo capitolo nella regolamentazione dell’intelligenza artificiale.

Ciò detto, il presente contributo si propone di analizzare le principali implicazioni di questa fase iniziale di attuazione, con particolare riferimento alle conseguenze di natura operativa rilevanti per i soggetti coinvolti.

Capo I - Disposizioni Generali

Tra le prime norme dell’AI Act che risultano già efficaci e applicabili a partire dal 2 febbraio 2025, occorre segnalare senza dubbio le c.d. “Disposizioni Generali”, al cui interno si annoverano le disposizioni riguardanti l’oggetto, l’ambito di applicazione, ma soprattutto le definizioni del Regolamento, tra cui quella fondamentale di "sistema di IA", intorno alla quale è stata costruita tutta l’impalcatura normativa del Regolamento. Al riguardo, è bene ricordare che il legislatore comunitario ha sapientemente utilizzato tale definizione per identificare “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall'input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.

Altro aspetto fondamentale all’interno del Capo I del Regolamento riguarda l’alfabetizzazione in materia di IA. Più nel dettaglio, l’Articolo 4 dell’AI Act dispone l’obbligo per fornitori e utilizzatori di sistemi di IA, di garantire un adeguato livello di alfabetizzazione in materia di intelligenza artificiale per il proprio personale, nonché di qualsiasi altra persona che si occupa del funzionamento e dell'utilizzo dei sistemi di IA per loro conto. Tale misura mira a fornire ai soggetti coinvolti le competenze necessarie non solo per operare nel rispetto delle disposizioni normative in esame, ma anche per assumere decisioni consapevoli nell’ambito delle mansioni e delle attività svolte.

Relativamente agli aspetti appena analizzati, appare necessario evidenziare l’impegno della Commissione Europea per garantire un miglior recepimento e una migliore applicazione possibile del Regolamento UE 2024/1689. Al riguardo, infatti, al fine di supportare l’adempimento degli obblighi previsti, la Commissione ha avviato i lavori per la pubblicazione di un codice di buone pratiche, che avverrà attraverso un processo di elaborazione iterativo entro aprile 2025, nonché l’organizzazione di uno specifico webinar sull’alfabetizzazione previsto per il 20 febbraio2025.

Capo II - Pratiche di IA vietate

Il Capo II del Regolamento UE 2024/1689, rubricato "Pratiche di IA vietate", incardina un concetto di fondamentale importanza nell’ambito del progetto europeo di regolamentare l’utilizzo e lo sviluppo dell’intelligenza artificiale. Attraverso tale sezione, infatti, il legislatore europeo ha inteso vietare in modo tassativo l’utilizzo di sistemi di IA che si pongano in evidente contrasto con i diritti fondamentali e i principi sanciti dall’ordinamento giuridico dell’Unione Europea. Tale Capo, composto dal solo Articolo 5, individua un elenco dettagliato di pratiche proibite, un insieme di disposizioni che si configurano come limitazioni inderogabili, poste a presidio della dignità umana, della libertà individuale e della sicurezza collettiva, contribuendo così a delineare un quadro normativo conforme ai principi di tutela e proporzionalità propri dell’ordinamento dell’Unione Europea. In particolare, l’Articolo 5 elenca tra le pratiche vietate:

• lo sfruttamento delle vulnerabilità delle persone, la manipolazione psicologica e l’utilizzo di tecniche subliminali;
• l’adozione di sistemi di punteggio sociale sia per finalità pubbliche che private;
• l’impiego di tecnologie di polizia predittiva basate esclusivamente su profilazione;
• la creazione o l’ampliamento di banche dati mediante scraping indiscriminato di immagini facciali;
• l’uso di tecnologie per il riconoscimento delle emozioni in contesti lavorativi o scolastici;
• la categorizzazione biometrica delle persone;
• L’identificazione biometrica remota in tempo reale in spazi pubblici.

Sebbene il contenuto dell’Articolo 5 dell’AI Act possa sembrare, da approccio superficiale, una semplice elencazione giustificata da finalità cautelative, in realtà molte delle pratiche vietate citate sono già attualmente utilizzate in diversi paesi del mondo (es. Iran per la videosorveglianza nei luoghi pubblici e Cina per il c.d. social scoring), costituendo dunque una vera e propria minaccia per i diritti fondamentali di milioni di persone. A ragion veduta, dunque, questi divieti appaiono strutturati per prevenire abusi e garantire il rispetto dei diritti fondamentali, costituendo al tempo stesso uno strumento fondamentale non solo in prospettiva preventiva, ma anche in prospettiva repressiva e sanzionatoria.

Il completamento della fase di attuazione

Nonostante l’effettiva entrata in vigore del Regolamento, il quadro normativo richiede ancora un significativo lavoro di completamento, che necessiterà dell’adozione di numerosi atti c.d. “secondari” (tra cui, ad esempio, atti di esecuzione, atti delegati e linee guida). Al fine di garantire la corretta applicazione delle disposizioni del Regolamento, infatti, tali strumenti sono indispensabili per precisare ulteriormente criteri operativi e modalità di implementazione delle disposizioni previste.

Un elemento di criticità da sottolineare nell’ottica del completamento dell’iter di entrata in vigore dell’AI Act riguarda la governance del Regolamento: infatti, sebbene formalmente avviata con l’istituzione dell’AI Office a livello europeo, questa risulta ancora incompleta per quanto concerne le sottostrutture e i componenti operativi. A livello nazionale, ad esempio, gli Stati membri dovranno necessariamente istituire le proprie autorità competenti, responsabili sia della vigilanza e dell’applicazione delle sanzioni, sia del coordinamento con le istituzioni comunitarie.

Ulteriormente, le autorità nazionali ed europee sono chiamate a svolgere un ruolo cruciale nella fase di monitoraggio e attuazione delle norme, garantendo che i soggetti coinvolti operino in conformità ai requisiti stabiliti. In tal senso, gli operatori economici sono tenuti a predisporre adeguati strumenti di compliance, tra cui audit interni, valutazioni di rischio e politiche aziendali mirate a prevenire l’utilizzo di pratiche vietate.

Prospettive future – La tabella di marcia del Regolamento UE 2024/1689

Come già anticipato più volte, dunque, l’AI Act prevede un’implementazione graduale, articolata in diverse scadenze e una consequenziale entrata in vigore a efficacia differita. In un simile contesto, perciò, le organizzazioni pubbliche e private saranno quindi chiamate a un costante monitoraggio e adeguamento delle proprie strutture operative e giuridiche, al fine di garantire la conformità alle prescrizioni dell’AI Act.

Di seguito si riporta la tabella di marcia che scandirà l’entrata in vigore delle diverse disposizioni del Regolamento UE 2024/1689:

2 Febbraio 2025

• Divieti: applicazione delle disposizioni generali e di quelle sulle pratiche vietate, come le tecniche subliminali di orientamento o il credit scoring (Capi I e II, Articolo 5);
• Formazione: obbligo per chi produce e utilizza sistemi di IA di garantire la formazione del personale e di chiunque si occupi del loro funzionamento (Articolo 4).

2 Maggio 2025

• Buone Pratiche: termine entro cui l’AI Office UE deve mettere a punto e facilitare l’adozione di codici di buone pratiche per implementare correttamente i modelli di IA a fini generali (come ChatGPT) (Articolo 56, paragrafo 9).

2 Agosto 2025

• Governance: termine entro cui gli Stati membri devono designare o istituire le autorità nazionali di governance, sia quelle di vigilanza incaricate di sanzionare le violazioni sia le autorità di notifica per la verifica dei processi di certificazione dei sistemi ad alto rischio (Capo III, Sezione 4).
• Report di Incidenti Gravi: termine entro cui la Commissione UE deve emanare linee guida per la segnalazione di incidenti gravi (Articolo 73, paragrafo 7).

2 Febbraio 2026

• Piani di Monitoraggio: termine entro cui la Commissione UE deve emanare atti di esecuzione per la creazione di modelli di riferimento per i piani di monitoraggio post-commercializzazione da parte dei fornitori di IA ad alto rischio (Articolo 72);
• Applicazione dell’alto rischio: termine entro cui la Commissione UE, previa consultazione dell’European Artificial Intelligence Board, deve fornire linee guida per esemplificare i casi di utilizzo dei sistemi ad alto rischio da parte degli operatori economici, facilitando l’attuazione concreta del regolamento (Articolo 6, paragrafo 5).

2 Agosto 2026

• Obblighi per l’Alto Rischio: piena applicazione di tutte le norme dell’AI Act, comprese quelle relative ad alcuni sistemi di IA ad alto rischio (Allegato III del regolamento);
• Attuazione da parte degli Stati Membri: termine entro cui gli Stati Membri devono aver definito i criteri di applicazione delle sanzioni e delle altre misure di esecuzione (Articoli 99 e 57, paragrafo 1).
• Sandbox: termine entro cui gli Stati Membri devono aver istituito almeno uno spazio di sperimentazione (sandbox) per consentire lo sviluppo di sistemi ad alto rischio nel rispetto delle regole UE, favorendo l’innovazione a livello nazionale.

2 Agosto 2027

• Entrano in vigore anche le regole di classificazione dei sistemi di IA come «ad alto rischio», di cui all’Articolo 6, paragrafo 1 del Regolamento.