AI Act — una nuova realtà normativa
L'Unione Europea è stata la prima al mondo a creare una regolamentazione completa sull'intelligenza artificiale. Il Regolamento AI Act (Regulation (EU) 2024/1689) è entrato in vigore il 1 agosto 2024 e si applica per fasi: i primi obblighi sono in vigore dal 2 febbraio 2025, la parte principale dal 2 agosto 2026, l'applicazione completa dal 2 agosto 2027. Ogni impresa che implementa sistemi di IA nelle operazioni nell'UE deve prenderne conoscenza.
L'AI Act non vieta l'intelligenza artificiale — la regolamenta in base a un approccio basato sul rischio. Maggiore è il rischio, più severi sono i requisiti. La maggior parte delle applicazioni aziendali dell'IA rientra nelle categorie di rischio basso o limitato, il che comporta obblighi relativamente leggeri. Ma esistono aree in cui i requisiti sono molto rigorosi.
Calendario di entrata in vigore (Art. 113)
- 1 agosto 2024 — entrata in vigore del regolamento
- 2 febbraio 2025 — si applicano i divieti delle pratiche pericolose (Capo II, Art. 5) e l'obbligo di AI literacy (Art. 4)
- 2 agosto 2025 — obblighi per i fornitori di modelli general-purpose AI (Capo V) e disposizioni sulle autorità di vigilanza e sanzioni
- 2 agosto 2026 — si applicano gli obblighi per i sistemi ad alto rischio (Capo III), la trasparenza di chatbot e deepfake (Art. 50), i sandbox normativi
- 2 agosto 2027 — applicazione completa, inclusi gli obblighi per i sistemi ad alto rischio integrati in prodotti già soggetti alle esistenti regolamentazioni armonizzate dell'UE (Allegato I)
Classificazione del rischio dei sistemi di IA
L'AI Act suddivide i sistemi di IA in quattro categorie di rischio:
- Rischio inaccettabile (vietato, Art. 5) — sistemi che manipolano il comportamento umano al di sotto della soglia di consapevolezza, social scoring da parte di autorità, sorveglianza biometrica in tempo reale (con eccezioni), riconoscimento delle emozioni sul posto di lavoro e nell'istruzione, profilazione criminale predittiva. Questi sistemi sono vietati.
- Alto rischio (Capo III, Art. 6-27) — IA utilizzata nella selezione del personale, nel credito, nella sanità, nell'istruzione, nell'amministrazione della giustizia, nelle infrastrutture critiche. Requisiti più severi: documentazione, testing, trasparenza, supervisione umana, registrazione nella banca dati dell'UE.
- Rischio limitato (Art. 50) — chatbot, deepfake, sistemi che generano contenuti. Obbligo di trasparenza: l'utente deve sapere che sta parlando con un'IA, e i contenuti generati dall'IA devono essere contrassegnati in modo leggibile automaticamente.
- Rischio minimo — la maggior parte delle applicazioni dell'IA in ambito aziendale: filtri antispam, raccomandazioni di prodotti, automazione dei processi interni. Obblighi minimi o inesistenti.
Chi è il fornitore e chi è l'utilizzatore di un sistema di IA?
L'AI Act distingue due ruoli chiave. Il fornitore (provider) è il soggetto che crea e immette sul mercato un sistema di IA. Il deployer è il soggetto che utilizza un sistema di IA nell'attività economica. Gli obblighi sono diversi per ciascun ruolo — i fornitori hanno requisiti più rigorosi per quanto riguarda la documentazione tecnica e la certificazione.
Un'azienda che acquista una soluzione di IA già pronta da un fornitore e la utilizza per i propri processi è un deployer. Un'azienda che adatta o effettua il fine-tuning di un modello per le proprie applicazioni può diventare un fornitore con tutte le conseguenze del caso.
Obblighi dei deployer di sistemi ad alto rischio (Art. 26)
Se la tua azienda utilizza un sistema di IA ad alto rischio (ad es. un sistema di scoring nel processo di credito, uno strumento di preselezione dei CV, un sistema di supporto alla diagnostica medica), devi:
- Garantire la supervisione umana sulle decisioni del sistema di IA
- Tenere log operativi per almeno 6 mesi
- Effettuare la valutazione d'impatto sui diritti fondamentali (FRIA, Art. 27)
- Informare i dipendenti sui sistemi di IA che li riguardano
- Segnalare incidenti gravi e malfunzionamenti all'autorità di vigilanza competente
Sandbox normativi (Art. 57-63)
L'AI Act prevede sandbox normativi — un meccanismo che consente alle imprese di testare sistemi di IA innovativi sotto la supervisione di un'autorità di regolamentazione, in un ambiente controllato. Ogni Stato membro ha l'obbligo di avviare almeno un sandbox entro il 2 agosto 2026. Per le imprese che sviluppano soluzioni di IA in aree ad alto rischio, si tratta di un percorso pratico per ottenere feedback dei regolatori ancora prima della certificazione completa.
Sanzioni (Art. 99)
Le sanzioni per la violazione dell'AI Act sono graduate in base al tipo di violazione:
- fino a 35 milioni di EUR o 7% del fatturato globale annuo (l'importo più alto) per l'applicazione di pratiche vietate (Art. 5)
- fino a 15 milioni di EUR o 3% del fatturato globale annuo per violazioni degli altri obblighi del regolamento
- fino a 7,5 milioni di EUR o 1% del fatturato globale annuo per la fornitura di informazioni false, incomplete o fuorvianti alle autorità di vigilanza
Per le PMI e le startup si applica il minore dei due importi, per evitare un onere sproporzionato.
Come ESKOM.AI supporta la conformità all'AI Act
ESKOM.AI aiuta le organizzazioni a prepararsi ai requisiti dell'AI Act. Offriamo audit dei sistemi di IA esistenti per la classificazione del rischio, elaborazione della documentazione tecnica, implementazione di meccanismi di supervisione umana e registrazione, nonché formazione per i team responsabili della compliance. Ogni nuova implementazione di IA nella nostra esecuzione è progettata con la conformità all'AI Act in mente sin dal primo giorno.