Capitoli 11 In vigore dal: 2 agosto 2025 (fase di attuazione)

AI Act

Artificial Intelligence Act

Panoramica

L'AI Act dell'UE è il primo regolamento orizzontale completo al mondo sull'intelligenza artificiale. Adottato nel marzo 2024 ed entrato in vigore il 1° agosto 2024, stabilisce un quadro basato sul rischio che classifica i sistemi di IA in base al potenziale danno e impone requisiti di conseguenza.[1]

Il regolamento mira a garantire che i sistemi di IA immessi sul mercato dell'UE siano sicuri, rispettino i diritti fondamentali e favoriscano l'innovazione attraverso la certezza giuridica.

Date di applicazione graduale

DataTraguardo
1 agosto 2024Entrata in vigore dell'AI Act
2 febbraio 2025Divieto delle pratiche di IA proibite; obblighi di alfabetizzazione sull'IA
2 agosto 2025Obblighi per modelli GPAI; applicazione delle regole di governance
2 agosto 2026Applicazione completa per sistemi di IA ad alto rischio
2 agosto 2027Requisiti per IA ad alto rischio (Allegato I) per alcune legislazioni sulla sicurezza dei prodotti

Categorie di rischio

Pratiche di IA proibite (Articolo 5)[2]

Le seguenti pratiche di IA sono vietate dal 2 febbraio 2025:

  • Manipolazione subliminale: IA che sfrutta vulnerabilità oltre la consapevolezza cosciente
  • Sfruttamento di vulnerabilità: Mirato a età, disabilità o condizioni socio-economiche
  • Social scoring: Classificazione delle persone basata sul comportamento che porta a trattamenti dannosi
  • Polizia predittiva: Predizione individuale di crimini basata solo sul profiling
  • Raccolta facciale non mirata: Creazione di database di riconoscimento facciale da fonti pubbliche
  • Riconoscimento delle emozioni: Nei luoghi di lavoro e nelle istituzioni educative (con eccezioni)
  • Categorizzazione biometrica: Inferenza di attributi sensibili come razza, politica o religione
  • Identificazione biometrica remota in tempo reale: Negli spazi pubblici per le forze dell'ordine (con eccezioni)

Sistemi di IA ad alto rischio (Articolo 6)[3]

I sistemi di IA in questi ambiti sono soggetti a requisiti rigorosi:

  • Identificazione e categorizzazione biometrica
  • Gestione delle infrastrutture critiche (energia, trasporti, acqua, gas)
  • Istruzione e formazione professionale (ammissioni, valutazioni)
  • Occupazione (reclutamento, valutazione delle prestazioni, licenziamento)
  • Accesso ai servizi essenziali (credit scoring, servizi di emergenza)
  • Forze dell'ordine (valutazione delle prove, valutazione del rischio)
  • Migrazione e controllo delle frontiere
  • Giustizia e processi democratici

Modelli di IA a scopo generale (GPAI)

I fornitori di modelli GPAI devono:

  • Mantenere la documentazione tecnica
  • Fornire informazioni per la conformità dei fornitori a valle
  • Stabilire politiche di conformità al copyright
  • Pubblicare riepiloghi dei contenuti di addestramento

GPAI a rischio sistemico (modelli addestrati con >10^25 FLOPs) hanno obblighi aggiuntivi tra cui test avversari e segnalazione degli incidenti.[4]

Requisiti per l'IA ad alto rischio

RequisitoDescrizione
Gestione del rischioStabilire, documentare e mantenere un sistema di gestione del rischio
Governance dei datiGarantire che i dati di addestramento siano rilevanti, rappresentativi e privi di errori
Documentazione tecnicaDocumentazione dettagliata del sistema prima dell'immissione sul mercato
RegistrazioneRegistrazione automatica delle operazioni del sistema
TrasparenzaIstruzioni chiare per l'utente e informazioni sulle capacità
Supervisione umanaConsentire la supervisione e l'intervento umano
Precisione e robustezzaPrestazioni coerenti nei casi d'uso previsti
Sicurezza informaticaProtezione contro accessi non autorizzati e manipolazioni

Obbligo di alfabetizzazione sull'IA (Articolo 4)

Dal 2 febbraio 2025, tutti i fornitori e utilizzatori devono garantire:

"Il personale e le altre persone che si occupano dell'operazione e dell'uso dei sistemi di IA per loro conto hanno un livello sufficiente di alfabetizzazione sull'IA."[5]

Questo si applica ampiamente a tutti i casi d'uso dell'IA, non solo ai sistemi ad alto rischio.

Sanzioni

  • Pratiche di IA proibite: fino a 35 milioni di € o il 7% del fatturato globale
  • Violazioni ad alto rischio: fino a 15 milioni di € o il 3% del fatturato globale
  • Informazioni errate: fino a 7,5 milioni di € o l'1% del fatturato globale[6]

Le PMI e le startup possono beneficiare di limiti proporzionali.

Azioni chiave per gli sviluppatori

  1. Classificare i propri sistemi di IA in base al livello di rischio
  2. Documentare i casi d'uso dell'IA e gli scopi previsti
  3. Implementare programmi di alfabetizzazione sull'IA per tutto il personale
  4. Valutare gli obblighi per l'IA ad alto rischio se applicabile
  5. Monitorare i requisiti GPAI per l'uso di modelli di base
  6. Prepararsi alle valutazioni di conformità (sistemi ad alto rischio)

Fonti e riferimenti

[1]
Regolamento (UE) 2024/1689 che stabilisce norme armonizzate sull'intelligenza artificiale. EUR-Lex: Testo ufficiale AI Act
[2]
AI Act Articolo 5: Pratiche di IA proibite. AI Act Explorer: Articolo 5
[3]
AI Act Articolo 6: Regole di classificazione per sistemi di IA ad alto rischio. AI Act Explorer: Articolo 6
[4]
Obblighi per modelli di IA a scopo generale. Commissione Europea: Obblighi GPAI
[5]
AI Act Articolo 4: Alfabetizzazione sull'IA. AI Act Explorer: Articolo 4
[6]
AI Act Articolo 99: Sanzioni. AI Act Explorer: Articolo 99