La prima delle scadenze previste per l’applicazione dell’AI Act – entrato in vigore il 1 agosto 2024 e con piena efficacia dal 2 agosto 2026 – è per il 2 febbraio 2025. È a decorrere da questa data che si applicheranno le previsioni di cui al capo I e al capo II relative ad alfabetizzazione in materia di AI e a pratiche di AI vietate.
Se la piena efficacia dell’AI Act è prevista per il 2 agosto 2026 – e cioè 24 mesi dopo la sua entrata in vigore – alcune previsioni si applicheranno già a decorrere dal 2 febbraio 2025: si tratta delle previsioni relative all’alfabetizzazione in materia di AI (articolo 4) e alle pratiche di AI vietate (articolo 5).
Che cosa si intende per alfabetizzazione in materia di AI (o “AI literacy”)? Si intendono le conoscenze che consentono a fornitori e deployer di sistemi di AI di diffondere consapevolmente queste tecnologie, consci delle opportunità, dei rischi e dei possibili danni delle stesse.
Entro il 2 febbraio 2025 fornitori e deployer di sistemi di AI dovranno garantire che il proprio personale e chi in generale si occupa di sistemi di AI per loro conto abbia un livello sufficiente di alfabetizzazione in materia di AI. Il livello delle conoscenze necessarie deve essere determinato tenendo conto dell’istruzione e formazione dei soggetti che lavorano ai sistemi di AI, nonché del contesto e delle persone cui i sistemi di AI sono indirizzati.
Sempre a decorrere dal 2 febbraio 2025 sarà applicabile l’articolo 5 dell’AI Act, che descrive i sistemi di AI vietati perché contrari a valori e principi fondamentali dell’UE e potenzialmente in grado di determinare pratiche di manipolazione e controllo sociale, e quindi con un livello di rischio inaccettabile.
Sono cioè ad esempio vietati i sistemi che manipolano il comportamento umano inducendo il soggetto interessato a prendere una decisione che non avrebbe altrimenti preso e i sistemi che sfruttano le vulnerabilità delle persone fisiche, così come i sistemi di polizia predittiva e lo scoring sociale, ovvero la classificazione delle persone sulla base del loro comportamento sociale da parte di soggetti pubblici e privati. Inaccettabile anche il livello di rischio dei sistemi che creano banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso o ancora i sistemi per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro, tranne il caso i cui tali sistemi siano utilizzati per scopi medici o di sicurezza. Vietati infine i sistemi di categorizzazione biometrica e i sistemi di identificazione biometrica remota in tempo reale in spazi accessibili al pubblico, fatte salve specifiche eccezioni come la ricerca specifica di vittime di determinati reati, la prevenzione di una minaccia sostanziale e imminente e la localizzazione di una persona sospettata di aver commesso un reato.
Mancano quindi meno due mesi a questa prima scadenza, cui seguirà quella del 2 agosto 2025 relativa tra l’altro ai sistemi di AI per finalità generali. Troveranno invece applicazione solo a decorrere dal 2 agosto 2027, e quindi dopo la piena applicazione dell’AI Act prevista per il 2 agosto 2026, le previsioni relative a sistemi ad alto rischio incorporati in prodotti disciplinati dalla legislazione settoriale dell’UE.