Il 2 febbraio 2025 è entrato in vigore il primo pacchetto di disposizioni del quadro normativo europeo per l’intelligenza artificiale: il Regolamento UE n. 2024/1689, noto anche come AI Act. Nasce come Regolamento dell’Unione Europea, quindi una “legge europea” direttamente applicabile a tutti e 27 paesi membri dell’UE e si presenta come la prima legge al mondo che disciplina l’utilizzo dell’Intelligenza Artificiale.  

La priorità dichiarata per il legislatore europeo si riassume nel concetto di “trustworthy AI”, dunque assicurarsi che vengano messi in circolazione solo sistemi di intelligenza artificiale sicuri, trasparenti, tracciabili, non discriminatori e rispettosi dell’ambiente, in modo tale da generare fiducia nel cittadino europeo. 

L’AI Act adotta un approccio definito “risk-based”, ossia più alto è il coefficiente di rischio legato all’utilizzo di un sistema, più severa ne risulterà la regolamentazione.  

Il regolamento stabilisce norme sull’intelligenza artificiale basate sul rischio per gli sviluppatori e gli operatori di IA per quanto riguarda i suoi usi specifici. 

Che cosa prevede? 

L’AI Act definisce quattro livelli di rischio per i sistemi di Intelligenza Artificiale: 

  • Rischio inaccettabile – tutti i sistemi di IA che vengono considerati come una minaccia alla sicurezza, ai mezzi di sussistenza e ai diritti delle persone sono vietati. Un esempio di rischio inaccettabile è un sistema di identificazione biometrica remota, in tempo reale, in spazi accessibili al pubblico che identifica persone a distanza senza il loro coinvolgimento; 
  • Rischio alto – i casi in cui l’uso dell’AI può comportare gravi rischi per la salute, la sicurezza o i diritti fondamentali sono classificati come ad alto rischio e sono soggetti a obblighi rigorosi prima di poter essere immessi sul mercato. Un esempio concreto di alto rischio, nell’ambito dell’AI Act, potrebbe essere l’uso di sistemi di riconoscimento facciale in spazi pubblici o per applicazioni di sorveglianza; 
  • Rischio limitato – il rischio limitato riguarda l’uso di sistemi di intelligenza artificiale che non presentano rischi elevati, ma che devono comunque rispettare alcune regole di trasparenza e sicurezza. L’AI ACT impone obblighi di trasparenza per garantire che gli utenti sappiano quando interagiscono con un sistema di IA, come i chatbot, e che i contenuti generati da IA siano chiaramente etichettati. Esempi di rischio limitato potrebbero essere i sistemi di generazione contenuti come i deep fake; 
  • Rischio basso – la legge sull’IA non introduce nessuna norma per questa categoria in cui rientra la maggioranza dei sistemi di IA attualmente utilizzati nell’UE. Si tratta di tutto ciò che non comporta rischi elevati di danni fisici, psicologici o di discriminazione. Le applicazioni di IA a basso rischio sono ad esempio i sistemi utilizzati per il riconoscimento vocale su dispositivi personali. 

Perché è necessario? 

L’AI Act si pone come standard globale per la regolamentazione dell’uso corretto dell’Intelligenza Artificiale. La necessità di regolamentare questo ambito deriva da diversi fattori: 

  • Colmare un vuoto normativo – le leggi esistenti, come il GDPR, non tutelano i rischi specifici dell’IA come la mancanza di responsabilità e difficoltà nel controllo di decisioni automatizzate. Sebbene la legislazione vigente offra una certa protezione, questa non è sufficiente per affrontare le sfide specifiche che i sistemi di IA possono comportare. 
  • Costruire maggiore trasparenzaaffinché l’AI possa essere accettata e utilizzata con fiducia, le persone devono sapere quando la stanno utilizzando, come funziona, e chi è responsabile. Gli obblighi previsti come l’etichettatura dei contenuti generati da AI o la documentazione tecnica dei sistemi ad alto rischio ambiscono esattamente a soddisfare questa esigenza. 
  • Proteggere i diritti fondamentali delle persone – a differenza dei software tradizionali, molte applicazioni di IA possono prendere decisioni autonome, che possono incidere su diritti e libertà personali;  

A chi si applica? 

Gli attori principali che l’AI Act vede coinvolti sono: 

  • Fornitore. È il soggetto che crea e sviluppa (o fa sviluppare) un sistema di AI e che provvede all’immissione dello stesso sul mercato europeo (o provvede alla messa in servizio) con il proprio nome o marchio. 
  • Deployer. Qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di AI sotto la sua autorità nell’ambito della propria attività professionale. 
  • Importatore. È il soggetto che immette sul mercato europeo un sistema di AI recante il nome o il marchio di un fornitore stabilito in un paese terzo. 
  • Distributore. È il soggetto (diverso dal fornitore o dall’importatore) che mette a disposizione un sistema di AI sul mercato europeo. 

Prossime tappe: 

L’AI Act prevede un’implementazione graduale: 

  • 2 maggio 2025: Definizione dei codici di condotta per l’uso responsabile dell’IA; 
  • 2 agosto 2025: Applicazione delle regole per i modelli di IA di uso generale, con obblighi di trasparenza e governance; 
  • 2 febbraio 2026: Entrata in vigore delle norme per i sistemi di IA ad alto rischio; 
  • 2 agosto 2026: Piena applicazione delle regole per l’IA nei prodotti regolamentati. 

Vuoi saperne di più?

Accedi gratuitamente alla Piattaforma