AI ACT (REG. UE 2024/1689): COME FUNZIONA LA PRIMA LEGGE AL MONDO SULL’INTELLIGENZA ARTIFICIALE

di Francesco Vicino

Il 2024 è stato l’anno dell’intelligenza artificiale e l’emanazione della prima legge al mondo per regolamentarne l’utilizzo ne è sicuramente una prova. Si fa riferimento al Regolamento UE 2024/1689, noto anche come AI Act, il frutto di tre anni di lavoro da parte delle istituzioni comunitarie, pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 12 luglio 2024 ed entrato poi in vigore il successivo 1° agosto 2024.

Di che cosa si tratta?

L’AI Act è il regolamento – e come tale applicabile integralmente in tutti gli Stati Membri – attraverso cui l’Unione Europea intende disciplinare a livello trasversale e orizzontale la collocazione e il ruolo dei sistemi di intelligenza artificiale nel mercato interno dell’Unione, perseguendo al contempo la tutela della sicurezza, della salute e degli altri diritti fondamentali della persona. Più nel dettaglio, il regolamento persegue il duplice obiettivo di i) migliorare il funzionamento del mercato interno dell’Unione introducendo una normativa uniforme per lo sviluppo, la distribuzione e l’utilizzo dei sistemi di intelligenza artificiale, nonché ii) promuovere un approccio c.d. antropocentrico, finalizzato a concepire l’IA come uno strumento per le persone e in grado di migliorare il benessere degli esseri umani.

A che cosa, a chi e quando si applica?

Per quanto riguarda l’oggetto e l’ambito di applicazione dell’AI Act, appare opportuno evidenziare in questa sede che il regolamento fa espressamente riferimento ai c.d. sistemi di IA, preoccupandosi anche di fornirne una specifica definizione. Per sistema di IA, infatti, si intende “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall'input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.

Come anticipato, con il regolamento in esame il legislatore comunitario ha inteso considerare tutta la c.d. catena di valore dei sistemi di IA, riferendosi cioè a tutti coloro che sviluppano e forniscono (c.d. providers) sistemi di intelligenza artificiale all’interno del mercato dell’Unione, ma non solo: l’AI Act si applica anche a tutti i soggetti che utilizzano o pensano di utilizzare tali sistemi di IA per le proprie attività professionali (c.d. deployers). Specifici obblighi sono poi previsti anche in capo agli altri soggetti coinvolti nella catena, come importatori e distributori.

A tal proposito, dunque, si ritiene di dover segnalare come siano espressamente escluse dall’applicazione dell’AI Act le attività svolte da persone fisiche, quando presentino natura puramente personale e non professionale. Altre esclusioni riguardano poi gli output dei sistemi di IA utilizzati per scopi militari, di difesa, di sicurezza nazionale, ma anche di ricerca e sviluppo scientifici.

Relativamente a quanto appena descritto, si ritiene di dover sottolineare inoltre che uno degli elementi caratteristici dell’AI Act è la sua c.d. portata extraterritoriale: in tal senso, l’approccio di regolamentazione prescelto dal legislatore europeo è incentrato sull’utilizzo all’interno Unione del sistema di IA o del suo output piuttosto che sull’origine comunitaria o meno del sistema o del produttore. Al riguardo, quindi, si deve evidenziare come un simile approccio abbia consentito al legislatore comunitario di evitare che le norme contenute nel regolamento potessero essere eluse da soggetti stabiliti in Paesi terzi.

Criteri di regolamentazione

Relativamente al contenuto, il regolamento UE 2024/1689 adotta un approccio basato sul rischio: ciò significa, più precisamente, che il legislatore ha innanzitutto identificato le categorie di sistemi IA rilevanti distinguendole in base ai rispettivi profili di rischio e, successivamente, per ciascuna di esse ha individuato la disciplina, le regole di compliance e le sanzioni applicabili.

Per raggiungere l’obiettivo prefissato, il legislatore europeo ha considerato il rischio come il rapporto tra la probabilità e la gravità di un eventuale danno per i cittadini UE, prendendo in considerazione tutta la catena di valore dei sistemi di IA: in linea generale, il tema alla base dell’AI Act può essere riassunto nella dinamica per cui maggiore è il rischio, maggiori sono gli obblighi associati allo sviluppo, alla distribuzione e all’utilizzo dei sistemi di IA per i relativi soggetti coinvolti.

Più nel dettaglio, l’AI Act contiene una classificazione dei sistemi di IA che può essere definita “piramidale”:

1. innanzitutto, vengono individuate le pratiche vietate (Art. 5 del regolamento), riconducibili a sistemi di IA con un profilo di rischio così elevato da risultare incompatibile con il ventaglio di diritti e valori riconosciuti dall’Unione Europea. Tra queste, le più “note” sono le pratiche di categorizzazione biometrica, le banche dati di riconoscimento facciale ottenute mediante scraping, nonché le c.d. tecniche subliminali che agiscono anche senza il coinvolgimento consapevole dell’uomo;
2. la parte centrale e più corposa riguarda invece i sistemi c.d. “ad alto rischio” (Capo III del regolamento), per i quali l’elevato profilo di rischio è ritenuto ammissibile in virtù della loro utilità sociale, solo ed esclusivamente ove rispettati gli obblighi di trasparenza e compliance previsti dal regolamento. Più precisamente, sono considerati ad alto rischio i sistemi di IA qualificabili come componente di sicurezza o prodotto in uno degli ambiti disciplinati dalla normativa di armonizzazione dell’Unione Europea (ad esempio sistemi di IA utilizzati come componenti di dispositivi sanitari, smart toys, ascensori, ecc.) di cui all’Allegato I del regolamento, ma anche tout court i sistemi di IA utilizzati negli ambiti individuati dal legislatore europeo nell’Allegato III del regolamento (ad esempio sistemi di IA utilizzati nel settore delle risorse umane per la scrematura dei CV, il riconoscimento di promozioni, ecc.);

• infine, sono considerati dall’AI Act i sistemi di IA caratterizzati da un rischio limitato, come quelli finalizzati a interagire con le persone fisiche (Capo IV del regolamento), tra i quali rientrano i c.d. chatbot, nonché i modelli di intelligenza artificiale per finalità generali (Capo V del regolamento), cioè quei sistemi di IA utilizzabili per diverse attività e finalità come l’intelligenza artificiale generativa.

La governance del Regolamento

Per quanto riguarda l’implementazione dell’AI Act, trattandosi di un regolamento, questo non necessita di alcun atto di recepimento da parte degli Stati Membri, sebbene sia ad essi espressamente riconosciuta la possibilità di emanare provvedimenti finalizzati a disciplinare ulteriormente la materia. In tale contesto, occorre sottolineare che il regolamento individua una governance strutturata su due livelli, uno comunitario e uno nazionale.

Per quanto riguarda il livello comunitario, ci si limita in questa sede a rappresentare che sono stati istituiti uno specifico Ufficio per l’IA, attraverso il quale la Commissione sviluppa le proprie capacità e competenze nel settore dell’intelligenza artificiale, nonché uno specifico Comitato Europeo di supporto, un Forum consultivo con competenze tecniche e anche un gruppo di esperti scientifici specializzati in sistemi di IA. Ciò considerato, merita una menzione anche l’iniziativa comunitaria denominata AI Pact, con la quale la Commissione Europea sta promuovendo un’iniziativa sinergica e facoltativa, finalizzata a supportare tutti i portatori di interessi nella preparazione all'attuazione della legge sull'IA.

A livello nazionale invece, ogni Stato Membro dovrà istituire ex novo o individuare le autorità nazionali che saranno competenti per il monitoraggio degli adempimenti relativi alle attività di notificazione e vigilanza, nonché all’applicazione delle sanzioni in caso di violazioni dell’AI Act.

Implicazioni pratiche e conclusioni

In conclusione, occorre soffermarsi sulle implicazioni di carattere pratico che discendono dall’entrata in vigore del regolamento UE 2024/1689. L’entrata in vigore dell’AI Act impone alle aziende e alle pubbliche amministrazioni che utilizzano sistemi di IA – in quanto deployers – un adattamento significativo delle proprie strutture operative e di governance. Per essere in grado, infatti, di rispondere efficacemente ai requisiti individuati dall’AI Act, le organizzazioni pubbliche e private devono effettuare un’attenta valutazione dei propri sistemi di IA, classificandoli in una delle categorie di rischio delineate dal regolamento e, a valle di tale operazione, implementare misure di conformità più o meno stringenti.

A tal proposito e per quanto riguarda la governance da parte dei deployers pubblici e privati, alcuni adempimenti potrebbero prevedere l’adozione di procedure interne per la gestione responsabile dei sistemi di IA (come, ad esempio, l’istituzione di comitati etici o la definizione di strategie dedicate). Tutto ciò senza dimenticare l’importanza della documentazione di conformità - tra cui rientrano registri, valutazioni di impatto e azioni correttive - che assume un ruolo sempre più centrale per consentire verifiche e garantire la trasparenza nei confronti delle autorità di controllo.

È bene, infine, chiarire che, nonostante l’AI Act sia ufficialmente entrato in vigore il 1° agosto 2024, il legislatore europeo ha previsto un meccanismo ad efficacia differita per le diverse sezioni del regolamento: i) da febbraio 2025 saranno applicabili le norme sulle pratiche di IA vietate; ii) da agosto 2025 saranno applicabili gli obblighi previsti per i sistemi di IA per finalità generali e gli Stati Membri dovranno individuare le autorità nazionali competenti; iii) da agosto 2026, cioè a 24 mesi dall’entrata in vigore del regolamento, saranno applicabili tutte le norme dell’AI Act, comprese quelle relative ad alcuni sistemi di IA ad alto rischio (Allegato III del regolamento); iv) da agosto 2027 saranno applicabili anche le ultime disposizioni relative ai sistemi di IA ad alto rischio (Allegato I del regolamento).