L’Unione Europea ha compiuto un passo significativo nella regolamentazione dell’intelligenza artificiale con l’introduzione dell’AI Act. Questo cammino legislativo, che ha preso forma a partire da aprile 2021 e che ha raggiunto una formale adozione a marzo 2024, mira a garantire che le tecnologie AI siano sviluppate e utilizzate in modo da salvaguardare i diritti fondamentali ed in conformità ai principi etici.
L’AI Act stabilisce una definizione ampia dei sistemi di intelligenza artificiale, ricomprendendo qualsiasi sistema “machine-based” progettato per operare in modo autonomo e adattivo, capace di influenzare sia gli ambienti fisici che virtuali. Applicandosi a tutte le organizzazioni, sia all’interno che al di fuori dell’UE, che forniscono, implementano o utilizzano sistemi AI destinati al mercato dell’UE, viene assicurata una copertura normativa estesa.
Al suo cuore, l’AI Act è guidato da sei principi fondamentali:
- Autonomia e supervisione umana, garantendo che i sistemi AI potenzino gli esseri umani e consentano l’intervento;
- Robustezza tecnica e sicurezza, richiedendo che i sistemi siano affidabili e sicuri;
- Privacy e governance dei dati, imponendo il rispetto dei diritti alla privacy e delle leggi sulla protezione dei dati;
- Trasparenza, necessitando che le operazioni AI siano spiegabili agli utenti;
- Diversità, non discriminazione ed equità, per evitare bias e promuovere un trattamento equo;
- Benessere sociale e ambientale, incoraggiando l’AI a contribuire positivamente alla società e all’ambiente.
Una delle caratteristiche chiave del Regolamento è la classificazione basata sul rischio dei sistemi AI, progettata per regolare le tecnologie in base al loro potenziale impatto. I sistemi AI sono possono essere ricondotti in quattro livelli di rischio:
- Sistemi a rischio inaccettabile, inclusi quelli utilizzati per la valutazione sociale e alcune forme di sorveglianza biometrica, sono proibiti;
- Sistemi ad alto rischio, che comprendono applicazioni come il punteggio creditizio e lo screening occupazionale, sono soggetti a requisiti normativi stringenti;
- Sistemi a rischio limitato, come quelli progettati per l’interazione con i consumatori, devono soddisfare obblighi specifici di trasparenza;
- Sistemi a rischio minimo, come i filtri antispam, sono soggetti a una supervisione minima.
Questo approccio permette all’AI Act di modulare gli obblighi normativi in modo proporzionale, simile al GDPR, che adotta anch’esso una metodologia basata sul rischio per proteggere i diritti fondamentali. Ad esempio, i fornitori di AI ad alto rischio devono condurre valutazioni approfondite del rischio, simili alle valutazioni d’impatto sulla protezione dei dati richieste dal GDPR. L’AI Act si interseca anche con la legge sul copyright, richiedendo agli sviluppatori di AI di rispettare i diritti di proprietà intellettuale quando utilizzano opere protette da copyright per l’addestramento dei modelli e di stabilire politiche che garantiscano la conformità alle norme sul copyright dell’UE.
La non conformità all’AI Act può comportare sanzioni rilevanti, che riflettono la gravità dell’infrazione. Le sanzioni in caso di adozione di pratiche AI proibite possono raggiungere fino a 35 milioni di euro o il 7% del fatturato annuo globale di una società, mentre altre violazioni possono comportare multe fino a 15 milioni di euro o il 3% del fatturato globale. Inoltre, il Regolamento conferisce alle autorità il potere di applicare ulteriori misure, come il richiamo dei prodotti e il divieto di operare in un determinato mercato, per garantire l’adesione ai suoi standard.
Stabilendo un quadro normativo completo e lungimirante, l’AI Act è destinato a bilanciare il potenziale innovativo dell’AI con la necessità di una supervisione etica e di protezione dei diritti.
Quando entrerà pienamente in vigore entro il 2026, l’AI Act mirerà a stabilire uno standard globale per la regolamentazione dell’AI, guidando lo sviluppo responsabile delle tecnologie AI e garantendo che beneficino la società in modo sicuro, trasparente ed equo.
A cura di:
Luca Santalucia, Data Protection Officer
Giovanna Pagnoni, Head of Legal