L’AI Act (Artificial Intelligence Act) rappresenta una pietra miliare nella regolamentazione dell’utilizzo dell’intelligenza artificiale (AI) nell’Unione Europea, posizionandola come leader mondiale nello sviluppo e utilizzo responsabile dell’AI. Questo regolamento, il primo nel suo genere, ha l’obiettivo di fornire un quadro normativo e di governance che garantisca la sicurezza, trasparenza e tracciabilità dei sistemi AI, assicurando al contempo innovazione e competitività tecnologica.

L’AI sta trasformando rapidamente la nostra società, permeando la nostra vita quotidiana, con applicazioni che spaziano dal mondo del lavoro, all’istruzione, alla sanità pubblica e all’industria. In questo contesto di evoluzione tecnologica, l’AI Act si afferma come risposta normativa essenziale: non solo definisce regole che delineano i confini per un utilizzo etico e responsabile dell’AI, ma impone anche requisiti che le imprese devono soddisfare per rimanere competitive e conformi.

– Quando è stato approvato l’AI Act?

– Quando entrerà in vigore l’AI Act?

– Quali sono gli obiettivi dell’AI Act?

– Conformità e standard per l’AI Act: cosa si intende

– AI Act e standard ISO/IEC 42001:23

– Conformità AI Act

Il percorso di approvazione dell’AI Act rientra in una più ampia strategia europea, avviata nell’aprile del 2021 quando la Commissione Europea presentò il suo pacchetto sull’AI. Il testo finale è il risultato di numerosi negoziati tra il Parlamento Europeo e il Consiglio, svoltisi in varie sessioni tra il 2021 e il 2023. Durante le discussioni, il Parlamento ha introdotto modifiche volte ad aumentare la trasparenza e rafforzare la tutela dei diritti fondamentali.

Nel dicembre 2022, il Consiglio ha approvato la sua posizione comune, ma soltanto dopo ulteriori consultazioni (triloghi) tra il Parlamento, il Consiglio e la Commissione, l’accordo provvisorio è stato raggiunto. L’approvazione definitiva da parte del Parlamento Europeo è arrivata il 13 marzo 2024, seguita da quella del Consiglio il 21 maggio 2024. La pubblicazione nella Gazzetta Ufficiale dell’UE, avvenuta il 12 luglio 2024, ha marcato l’inizio di una nuova epoca nella legislazione tecnologica dell’Unione.

L’AI Act è entrato ufficialmente in vigore il 1° agosto 2024 e sarà pienamente applicabile a partire dal 2 agosto 2026. Tuttavia, l’applicazione delle sue disposizioni avverrà in maniera graduale e differenziata in base ai livelli di rischio assegnati.

Le prime scadenze, tra cui i divieti dei sistemi a rischio inaccettabile e gli obblighi di “literacy”, sono decorsi già il 2 febbraio 2025. Per cui conviene fin da ora effettuare una valutazione del rischio prima di intraprendere un progetto di sviluppo in ambito IA. Il rischio potrebbe essere infatti quello di sviluppare sistemi che non sono commercializzabili all’interno del territorio comunitario.

L’AI Act prevede un’implementazione graduale:

• 1° agosto 2024 → entrata in vigore ufficiale.
• 2 febbraio 2025 → applicazione dei primi obblighi, come il divieto di sistemi IA a rischio inaccettabile e l’introduzione delle misure di “AI literacy”.
• 2 agosto 2026 → piena applicabilità del regolamento per tutti i sistemi di intelligenza artificiale.

Se vuoi fare una prima valutazione, puoi usare il nostro nuovo strumento di valutazione del rischio che trovi QUI.

Ecco invece tutte le scadenze da ricordare:

Entro il 2 agosto 2030, i sistemi ad alto rischio immessi sul mercato o messi in servizio prima del 2 agosto 2026 e destinati all’uso da parte delle autorità pubbliche dovranno conformarsi ai requisiti previsti dall’Articolo 111 dell’AI Act. Questi requisiti includono l’implementazione di un sistema di gestione del rischio, la garanzia di qualità dei dati utilizzati, la predisposizione di una documentazione tecnica dettagliata, l’adozione di misure per la tracciabilità e la trasparenza, la supervisione umana e l’assicurazione di accuratezza, robustezza e sicurezza del sistema.

Entro il 31 dicembre 2030, lo stesso obbligo si applicherà ai componenti dei sistemi IT su larga scala, se immessi sul mercato o messi in servizio prima del 2 agosto 2027 (Art. 111 AI Act).  I requisiti specifici sono dettagliati nella Sezione 2 del Capo III del regolamento, ed includono:

• Gestione del rischio, analisi mitigazione
• Qualità dei dati di utilizzo
• Documentazione tecnica che descriva il sistema, scopo e valutazione della conformità
• Trasparenza e informazione degli utenti del sistema e delle sue limitazioni
• Robustezza, sicurezza e accuratezza

L’obiettivo principale dell’AI Act è regolamentare l’utilizzo e lo sviluppo di sistemi di intelligenza artificiale, garantendo ai cittadini europei l’accesso a sistemi sicuri e democratici. In questo modo, il regolamento mira a migliorare il funzionamento del mercato interno (…), promuovendo un’intelligenza artificiale antropocentrica e affidabile (Art. 1 AI Act).

Il regolamento introduce una definizione ampia di sistemi di intelligenza artificiale, intesi come sistemi automatizzati capaci di operare con vari livelli di autonomia e di adattarsi in base agli input ricevuti, generando output (previsioni, contenuti, raccomandazioni o decisioni) in grado di influenzare ambienti fisici o virtuali (Art. 3 AI Act). Tale definizione, volutamente estesa, adotta un approccio olistico per includere tutte le possibili ramificazioni dei sistemi intelligenti in ogni settore, escludendo però quelli utilizzati per scopi militari, di difesa o di sicurezza, nonché per la ricerca scientifica o per uso personale non professionale.

Un aspetto rilevante e dibattuto riguarda l’open source. L’AI Act riconosce i benefici del software open source e prevede esenzioni per tali sistemi. In particolare, i sistemi di IA che utilizzano software open source non sono vincolati dai requisiti dell’AI Act, a meno che non siano:

1. Introdotti sul mercato o messi in servizio come sistemi di IA ad alto rischio.
2. Soggetti agli obblighi di trasparenza delineati nell’AI Act.

È importante notare che per beneficiare di queste esenzioni, i componenti open source devono avere parametri, inclusi i pesi relativi all’architettura e all’utilizzo del modello, accessibili pubblicamente. Questa distinzione è cruciale per gli sviluppatori e le organizzazioni che operano nel campo dell’IA open source, poiché determina l’applicabilità o meno delle normative previste dall’AI Act.

La discussione sull’inclusione e la regolamentazione dei sistemi open source nell’AI Act è stata oggetto di dibattito tra i legislatori europei, evidenziando la necessità di bilanciare l’innovazione tecnologica con la protezione dei diritti fondamentali e la sicurezza.

In questa definizione, anche i sistemi AI open source rientrano nella regolamentazione quando sono sviluppati o distribuiti con finalità commerciali, soprattutto se destinati a usi ad alto rischio o come modelli di AI a scopo generico (Art. 2 AI Act). Inoltre, l‘Articolo 53 prevede che gli obblighi di trasparenza e responsabilità non vengano applicati ai fornitori di modelli di AI rilasciati con licenza libera e open source che consentono l’accesso, l’uso, la modifica e la distribuzione del modello, e i cui parametri, i pesi, le informazioni sull’architettura del modello e sull’uso del modello, sono resi pubblici.

Il regolamento si fonda su tre pilastri:

1) Coordinamento 

L’AI Act stabilisce regole uniformi sia per l’immissione sul mercato sia per la messa in servizio dei sistemi di intelligenza artificiale nell’Unione, garantendone la libera circolazione, la sicurezza e condizioni di parità tra operatori UE e non UE. Ciò avviene attraverso requisiti comuni e controlli di conformità.

Il regolamento ha un ampio campo di applicazione, coprendo sia i sistemi di AI autonomi sia quelli integrati in un prodotto (Allegato I). In particolare, si applica ai sistemi che:

• vengono immessi sul mercato, messi in servizio, importati o distribuiti nell’UE;
• sono utilizzati da un deployer con sede legale o operante nell’UE.

2) Regolamentazione 

Il Regolamento definisce quattro livelli di rischio: basso, medio, alto e proibito. All’aumentare del livello di rischio, crescono anche le responsabilità e gli obblighi per sviluppatori e utilizzatori di sistemi di AI.

L’AI Act si concentra sulla regolamentazione dei casi d’uso specifici, piuttosto che sull’intelligenza artificiale come tecnologia in sé. Questo approccio riconosce che il rischio non deriva dalla tecnologia in quanto tale, ma dal modo in cui viene applicata in contesti specifici.

Ecco perché dovremmo concentrarci maggiormente sui rischi legati ad un contesto specifico di utilizzo, piuttosto che al tipo di tecnologia o ai dati trattati. E la stessa norma sembra andare in questa direzione quando limita l’uso del riconoscimento facciale in certi contesti pubblici, salvo poi legittimare la stessa tecnologia in caso di autenticazione per l’accesso ad un dispositivo (come il FaceID sui nostri smartphone).

3) Investimenti 

Come mercato in crescita a livello mondiale, l’AI mira a garantire e facilitare il corretto funzionamento del mercato interno europeo. Per incentivare gli investimenti, le imprese e gli enti di ricerca possono:

• accedere a finanziamenti per infrastrutture digitali;
• ottenere sovvenzioni per ricerca e innovazione;
• sfruttare fondi per la transizione digitale, inclusi quelli del PNRR.

Tra queste iniziative rientra la IT4LIA AI Factory, un progetto da 430 millioni che mira a sviluppare una delle prime piattafome strategiche di AI in Europa. Coordinato dal consorzio italiano Cineca in partnership con Slovenia e Austria, il progetto fa parte del programma EuroHPC, e mira a consolidare la capacità europea nel campo dell’AI, favorendo sinergie tra ricerca, industria e governi.

Il concetto di conformità nell’ambito di applicazione dell’AI Act è multidimensionale e si sviluppa attraverso diversi livelli di standardizzazione richiesti nell’Unione. Il quadro normativo, in particolare l’Art. 40, introduce un sistema strutturato per determinare la conformità e stabilire standard armonizzati, basati sull’adozione di standard europei. Questi ultimi costituiranno il riferimento tecnico per dimostrare il rispetto dei requisiti essenziali previsti dall’AI Act.

L’AI Act fornisce inoltre un elenco di sistemi di AI vietati, specificati all’Art. 5.

A partire dal 2 febbraio 2025, questi sistemi sono proibiti in tutta l’Unione. Tra di essi rientrano:

L’AI Act vieta specifiche pratiche di intelligenza artificiale che possono compromettere i diritti fondamentali.

1. Sistemi subliminali e manipolativi
Questi sistemi influenzano il comportamento senza che l’utente ne sia consapevole. Un esempio può essere l’uso di interfacce progettate per indurre acquisti impulsivi o raccogliere dati senza un consenso chiaro.

2. Riconoscimento delle emozioni nei luoghi di lavoro o nelle scuole
Ad esempio, l’analisi delle espressioni facciali per monitorare l’umore degli studenti o dei dipendenti, sollevando preoccupazioni sulla privacy e il controllo eccessivo.

3. Sistemi di attribuzione di punteggi sociali
Un caso noto è il Sistema di Credito Sociale cinese, che influenza l’accesso ai servizi in base al comportamento. In Italia, il progetto Smart Citizen Wallet di Bologna mirava a premiare azioni virtuose, ma è stato sospeso dopo valutazioni del Garante per la privacy per possibili rischi discriminatori.

Questi esempi mostrano come l’AI Act punti a proteggere i cittadini da tecnologie invasive e discriminatorie.

Un esempio pratico di sistemi di punteggi sociali era stato presentato dall’amministrazione di Bologna con il nome di “Smart Citizen Wallet”. Questo sistema AI (poi sospeso) era volto a premiare i comportamenti dei cittadini più virtuosi, a partire dall’uso del trasposto pubblico, al riciclaggio fino alla gestione dell’energia. Tuttavia, l’iniziativa ha suscitato molte preoccupazioni, anche dal Garante della Protezione dei Dati Italiano, riguardo a possibili implicazioni etico-sociali su impulso di Associazioni come Privacy Network.

E se si volesse iniziare un percorso conformità all’AI ACT?

Lo standard ISO/IEC 42001:2023, pur non avendo carattere normativo, rappresenta uno strumento fondamentale per garantire il rispetto degli standard europei delineati nell’AI Act. Fornisce alle organizzazioni un riferimento autorevole ed efficace per la gestione dei sistemi di AI.

L’AI Act e lo standard ISO non sono entità separate, ma elementi complementari:

• L’AI Act:
  1. Definisce i requisiti legali e gli obblighi differenziati secondo i livelli di rischio;
• Lo standard ISO:

  Mira a fornire alle aziende un sistema di gestione interno, valutando i rischi e le conseguenze connesse all’uso dei sistemi di IA. L’obiettivo dell’ISO è sempre quello di garantire un approccio strutturato alla gestione dell’AI, aiutando le aziende a identificare, mitigare e monitorare i potenziali impatti di queste tecnologie.

Gli elementi chiave dello standard ISO 42001 sono:

• Responsabilità e Governance: definisce ruoli, trasparenza decisionale e attribuzione di responsabilità;
• Conformità e Gestione del Rischio: identifica e valuta i rischi, garantendo il rispetto degli standard etici e l’allineamento con le normative vigenti del settore di riferimento;
• Value Chain dell’AI: prevede controlli adeguati per assicurare la qualità dei sistemi in tutte le fasi, dalla progettazione all’implementazione, fino al decommissioning;
• Monitoraggio e Miglioramento: introduce meccanismi di audit interni ed esterni con revisioni periodiche.

L’AI Act ha segnato e continuerà a segnare una svolta fondamentale nel modo in cui le imprese si interfacciano con l’intelligenza artificiale. L’adozione di strategie conformi non solo implica il rispetto della legge, ma rappresenta anche un’opportunità per aumentare la sicurezza, rafforzare la fiducia di cittadini e stakeholder e migliorare l’efficienza operativa.

L’AI Act è un regolamento complesso, che richiede un’approfondita comprensione delle sue applicazioni operative e dei suoi requisiti. Il team di BSD Legal è a disposizione per offrire supporto esperto e accompagnarvi nella navigazione di questo quadro normativo, aiutandovi a garantire la piena conformità.

In BSD Legal, abbiamo già progettato un percorso di conformità strutturato, partendo proprio da framework internazionali come l’ISO42001.

Perché scegliere BSD Legal per la tua conformità all’AI Act?

1. Passione per la valutazione del rischio in ambito tecnologico: la nostra competenza nasce da una profonda passione per la protezione dei dati personali, che si è evoluta nel tempo. Questa esperienza ci ha permesso di sviluppare una solida conoscenza delle implicazioni dell’AI Act e delle normative correlate.
2. Esperienza specialistica nel settore dell’AI: abbiamo maturato una vasta esperienza nella progettazione di soluzioni “privacy-by-design” per diversi sistemi di Intelligenza Artificiale, fin dalla fase di training o seguendo il fine tuning successivo alla integrazione di API dei più famosi LLMs.
3. Approccio personalizzato per ogni cliente: Ogni progetto è unico, e questo deve trasparire anche dalla valutazione del rischio. Per questo motivo, adottiamo un approccio “tailor-made” per ogni cliente e progetto, svestendo i panni dei soli legali ma approfondendo anche gli aspetti più tecnici. La prima domanda che facciamo infatti è: puoi farci vedere una demo?

La squadra di BSD Legal è quindi a disposizione per offrirvi una assistenza per fare una prima valutazione del vostro sistema per capire quali sono gli adempimenti necessari per rendere conforme all’AI ACT il vostro sistema.