E’ entrato in vigore il 1 agosto 2024 il Regolamento (EU) 2024/1689 (AI Act), primo atto legislativo a livello mondiale che disciplina in maniera organica la materia dell’intelligenza artificiale. Atteso da oltre tre anni – la proposta di regolamento della Commissione risale all’aprile 2021 – pone in capo ai soggetti che immettono sul mercato, mettono in servizio o usano sistemi di IA regole stringenti, che si applicheranno secondo scaglioni precisi da qui al 2 agosto 2027.
Gli obiettivi sono ambiziosi: istituire un quadro giuridico uniforme per promuovere un’intelligenza artificiale antropocentrica e affidabile, garantendo la protezione dei diritti fondamentali e la libera circolazione transfrontaliera di beni e servizi basati sull’intelligenza artificiale, impedendo quindi agli Stati membri di imporre restrizioni allo sviluppo dei sistemi di intelligenza artificiale.
Questo il contenuto del primo considerando dell’AI Act, regolamento europeo corposo e complesso che, primo al mondo, si propone di regolare la materia dell’intelligenza artificiale, ovvero – secondo la definizione data dallo stesso AI Act – di quei sistemi automatizzati aventi livelli di autonomia variabile, che deducono dall’input che ricevono come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici e virtuali. La definizione di intelligenza artificiale di cui all’AI Act è cioè intenzionalmente molto ampia e comprende tutte quelle tecnologie in rapida evoluzione che, sulla base dei dati ricevuti e con livelli di autonomia e di adattabilità diversi, imparano a generare output.
L’approccio adottato dal legislatore europeo è quello “risk based“, che adatta cioè la tipologia e il contenuto delle regole alla portata dei rischi che possono essere generati.
I sistemi di AI sono quindi classificati sulla base del grado di rischio nelle seguenti categorie: sistemi a rischio inaccettabile perché contrari ai valori dell’UE e quindi vietati; sistemi ad alto rischio, potenzialmente in grado di produrre effetti avversi alla sicurezza e ai diritti fondamentali, che costituiscono il nucleo centrale della disciplina e per i quali è necessaria una valutazione di conformità; sistemi a rischio limitato, per i quali sono previsti solo obblighi di trasparenza di base; sistemi a rischio minimo, per i quali non è previsto alcun adempimento.
A queste si aggiunge un’ulteriore categoria, ovvero quella dei sistemi di AI per “finalità generali“, tra i quali i sistemi di AI generativa, che possono cioè essere utilizzati per compiti diversi, sia direttamente, sia per integrazione in altri sistemi e che possono comportare un rischio sistemico e cioè un rischio specifico per le loro capacità di impatto elevato.
La portata del regolamento è molto ampia: sono previsti obblighi non solo in capo al fornitore di sistemi di AI ma anche in capo a deployer (utilizzatore), rappresentante autorizzato, importatore e distributore, e l’applicazione non è limitata ai soggetti con sede nel territorio dell’UE ma anche a soggetti ubicati altrove, qualora immettano sul mercato sistemi di AI o qualora l’output prodotto dal sistema di AI sia utilizzato nel territorio UE.
E’ quindi necessario che le aziende che sviluppano o utilizzano sistemi di AI, o pianificano di farlo, si mettano subito al lavoro, partendo dalla mappatura dei sistemi di AI e dall’adozione di un sistema di governance per regolare la progettazione o l’uso di sistemi di AI.
