AI Act

L'AI Act è il primo regolamento globale sull'intelligenza artificiale approvato dall'Unione Europea nel 2024, che stabilisce regole dettagliate per lo sviluppo, l'immissione sul mercato e l'uso dei sistemi di IA. Il regolamento adotta un approccio basato sul rischio con l'obiettivo di promuovere l'uso sicuro dell'intelligenza artificiale, proteggere i diritti fondamentali dei cittadini tutelati dalla Carta dei diritti fondamentali dell'UE e prevenire gli abusi. L'AI Act rappresenta un tentativo dell'Europa di regolare l'intelligenza artificiale prima che sia l'intelligenza artificiale a regolare noi, costituendo un gesto politico e al contempo il primo quadro giuridico al mondo che disciplina lo sviluppo e l'uso dei sistemi di AI secondo una logica di rischio e proporzionalità.

FAQ generata da AI

L'AI Act classifica i sistemi di IA in quattro categorie di rischio:

1. Rischio inaccettabile: sistemi vietati che minacciano diritti e libertà fondamentali, come il social scoring, il riconoscimento facciale indiscriminato, la manipolazione emotiva e la profilazione biometrica sensibile.

2. Alto rischio: sistemi consentiti ma fortemente regolati, che includono applicazioni in infrastrutture critiche, istruzione, sicurezza dei prodotti, giustizia, chirurgia assistita da robot e servizi essenziali come il credit scoring.

3. Rischio limitato: sistemi che richiedono trasparenza verso gli utenti, come chatbot o contenuti generati da IA.

4. Rischio minimo: tutti gli altri sistemi di IA che non presentano rischi significativi e sono soggetti a requisiti minimi.

FAQ generata da AI

Secondo l'AI Act, sono vietati i sistemi di IA che presentano rischi "inaccettabili" per la sicurezza e i diritti fondamentali. Questi includono:

- Sistemi di social scoring che classificano le persone in base al loro comportamento sociale
- Tecnologie di riconoscimento facciale indiscriminato in spazi pubblici
- Sistemi che utilizzano tecniche manipolatorie o subliminali per influenzare il comportamento
- Sistemi che sfruttano le vulnerabilità di gruppi specifici basate su età o disabilità
- Sistemi per il riconoscimento delle emozioni sul posto di lavoro o in ambito educativo
- Creazione di profili biometrici per classificare individui in base a caratteristiche come razza, orientamento sessuale o religione
- Sistemi per prevedere crimini sulla base dell'aspetto fisico di una persona

Questi divieti sono entrati in vigore dal 2 febbraio 2025 e rappresentano il risultato di un'approfondita riflessione sui rischi che l'IA può comportare per i diritti fondamentali.

FAQ generata da AI

L'AI Act prevede sanzioni pesanti per le aziende, istituzioni, agenzie o organismi dell'UE che non rispettano le disposizioni. Le multe possono arrivare fino a 35 milioni di euro o al 7% del fatturato globale annuo, a seconda di quale valore sia maggiore. Questo include anche le aziende internazionali che operano all'interno dell'Unione Europea, applicando l'AI Act con un effetto extraterritoriale.

Per le PMI, la soglia sanzionatoria è l'importo più basso tra i due previsti, mentre per le altre imprese si applica l'importo più elevato. È fondamentale per le aziende operanti nell'UE comprendere l'interazione tra l'AI Act e altri regolamenti europei, come il GDPR e la direttiva NIS2, per evitare sovrapposizioni di obblighi e garantire una gestione corretta degli incidenti e dei rischi.

FAQ generata da AI

L'AI Act si applicherà in diverse fasi, con scadenze e requisiti graduali per facilitare l'adozione e la conformità:

- 1-2 febbraio 2025: entrata in vigore dei divieti per i sistemi di IA a rischio inaccettabile
- Agosto 2025: entrata in vigore degli obblighi per i sistemi di intelligenza artificiale a finalità generali
- Agosto 2026: applicazione completa di tutti i requisiti di sicurezza e governance

Tuttavia, recenti sviluppi indicano che la Commissione UE starebbe valutando una moratoria/pausa su alcune disposizioni dell'AI Act, con lo scopo di concedere alle imprese più tempo per adeguarsi. Si starebbe considerando un "grace period" di un anno per le aziende che utilizzano sistemi AI ad alto rischio o che li hanno già immessi sul mercato prima della data di entrata in vigore delle nuove norme. Parallelamente, per le obbligazioni legate alla trasparenza si valuterebbe un possibile rinvio delle sanzioni fino ad agosto 2027.

FAQ generata da AI

Secondo l'AI Act, un sistema di IA è definito come: "Un sistema basato su macchina progettato per operare con diversi livelli di autonomia e che può mostrare adattabilità dopo il suo impiego, e che, per obiettivi espliciti o impliciti, deduce, in base agli input che riceve, come generare output come previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali".

Questa definizione si articola in sette elementi chiave:

1. È un sistema basato su macchina
2. È progettato per operare con diversi livelli di autonomia
3. Può mostrare adattabilità dopo l'impiego
4. Opera per obiettivi espliciti o impliciti
5. Deduce, sulla base degli input ricevuti
6. Genera output come previsioni, contenuti, raccomandazioni o decisioni
7. Può influenzare ambienti fisici o virtuali

Due caratteristiche emergono come distintive: l'autonomia e l'inferenza. L'autonomia permette al sistema di agire indipendentemente, mentre l'inferenza consente di prendere decisioni e fare previsioni basate sui dati analizzati.

FAQ generata da AI

Non tutti i sistemi software rientrano nella definizione di IA secondo l'AI Act. Sono esclusi:

1. Sistemi che applicano regole predefinite senza apprendimento autonomo: software che operano seguendo istruzioni fisse, senza la capacità di evolvere o adattarsi.

2. Sistemi di analisi che utilizzano tecniche come la regressione lineare, che non vanno oltre l'ottimizzazione matematica di base.

3. Sistemi basati sulla fisica che utilizzano tecniche di machine learning per simulazioni ma non modificano autonomamente le proprie strutture decisionali.

4. Sistemi di "trattamento di dati di base" come software di gestione database, che filtrano e ordinano dati secondo criteri specifici senza produrre inferenze autonome.

5. Sistemi basati su euristiche classiche o previsioni semplici, come programmi di scacchi che utilizzano l'algoritmo minimax o sistemi di previsione finanziaria che calcolano medie storiche.

La capacità di adattarsi e imparare è ciò che distingue i veri sistemi IA da quelli che eseguono operazioni automatiche basate su regole fisse.

FAQ generata da AI

L'AI Act introduce obblighi stringenti in materia di cyber security per le aziende che sviluppano e adottano sistemi di intelligenza artificiale. Questi includono:

- Conservazione dei file di log per garantire la tracciabilità delle operazioni
- Implementazione di solide pratiche di data governance
- Predisposizione di documentazione tecnica dettagliata
- Creazione di meccanismi di controllo umano (human oversight)
- Sicurezza e qualità dei dataset utilizzati per l'addestramento, che devono essere equamente rappresentativi e non discriminatori
- Etichettatura chiara di chatbot, sistemi generativi e contenuti sintetici per evitare manipolazioni

La dimensione della cyber security diventa particolarmente rilevante per i sistemi classificati come ad alto rischio, come quelli utilizzati da banche e assicurazioni. Per garantire la conformità, le aziende devono costruire "un sistema interno che parte dalla definizione di un modello di governance" in cui la cyber security assume un ruolo trasversale, diventando parte integrante dei processi di controllo e monitoraggio.

FAQ generata da AI

L'AI Act non pone nessun tipo di limite dimensionale o settoriale, quindi anche le PMI e le microimprese dovranno affrontare un percorso di compliance proporzionato all'impatto dell'AI nel loro business. Il regolamento distingue tra due principali categorie di soggetti: i provider (chi sviluppa e/o modifica modelli di GPAI per trarne profitto) e gli utilizzatori (chi usa strumenti di AI per scopi aziendali).

Per le piccole imprese, è consigliabile:

1. Iniziare con un'analisi delle reali esigenze di strumenti AI, individuando reparti, funzioni e utenti coinvolti

2. Mappare i modelli di AI utilizzati secondo le categorie di rischio previste dal regolamento

3. Stabilire un piano d'azione che includa test, audit, documentazione e procedure da tenere costantemente aggiornati

4. Investire nella formazione di dipendenti e dirigenti, senza sottovalutare nessuna mansione

Anche se la Commissione UE sta valutando una moratoria per concedere più tempo alle imprese, è importante che le PMI inizino a prepararsi per garantire un utilizzo sicuro e conforme dell'intelligenza artificiale.

FAQ generata da AI

L'AI Act definisce un sistema GPAI o General Purpose Artificial Intelligence come "Un modello di intelligenza artificiale che può essere utilizzato per una vasta gamma di compiti, non specificamente progettato o limitato a un'applicazione particolare". Esempi tipici sono ChatGPT, CoPilot o altri sistemi che possono essere utilizzati per creare testi, immagini, video o altri contenuti.

Per i provider di GPAI, il regolamento prevede obblighi specifici da implementare entro il 2 agosto 2027, tra cui:

- Redigere documentazione tecnica dettagliata
- Adottare policy di copyright compliance
- Implementare sistemi di content moderation
- Garantire la trasparenza sui contenuti generati

Per tutti i provider e utilizzatori di modelli GPAI, sono previsti due obblighi di base da adottare entro il 2 febbraio 2026:

1. Garantire che i contenuti generati da AI siano riconoscibili come tali
2. Progettare i modelli in modo da prevenire la generazione di contenuti illegali

Per i fornitori di AI generativa già sul mercato prima della data di applicazione, si prevederebbe una deroga temporanea per adeguare le policy di trasparenza, la documentazione tecnica e i processi di risk assessment.

FAQ generata da AI

La legge italiana n. 132/2025, che recepisce e integra l'AI Act europeo, delinea all'articolo 14 il quadro di riferimento per l'utilizzo dell'IA nella pubblica amministrazione. Le finalità sono chiare: incrementare l'efficienza dell'attività amministrativa, ridurre i tempi dei procedimenti e aumentare qualità e quantità dei servizi erogati a cittadini e imprese.

Il legislatore ha stabilito che l'utilizzo dell'IA avviene esclusivamente "in funzione strumentale e di supporto all'attività provvedimentale", mantenendo ferma la responsabilità del funzionario pubblico per tutti i provvedimenti. Questo principio garantisce che l'autonomia e il potere decisionale restino sempre in capo alla persona fisica, che rimane "l'unica responsabile" delle decisioni amministrative.

Le amministrazioni sono tenute ad assicurare agli interessati "la conoscibilità del funzionamento e la tracciabilità" dell'utilizzo dei sistemi di IA, e devono adottare misure tecniche, organizzative e formative per garantire un utilizzo responsabile dell'IA e sviluppare le capacità trasversali degli utilizzatori. Tutti questi adempimenti devono essere realizzati "con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente", senza quindi prevedere stanziamenti aggiuntivi.

FAQ generata da AI

La legge italiana n. 132/2025, che recepisce e integra l'AI Act europeo, dedica particolare attenzione al settore sanitario attraverso gli articoli 7, 8, 9 e 10. L'articolo 7 stabilisce che l'IA deve contribuire "al miglioramento del sistema sanitario, alla prevenzione, alla diagnosi e alla cura delle malattie", sempre nel rispetto dei diritti e della riservatezza dei dati personali.

Un principio fondamentale è che "l'introduzione di sistemi di intelligenza artificiale nel sistema sanitario non può selezionare e condizionare l'accesso alle prestazioni sanitarie secondo criteri discriminatori". Inoltre, i sistemi di IA costituiscono solo "un supporto" nei processi clinici, "lasciando impregiudicata la decisione, che è sempre rimessa agli esercenti la professione medica".

L'articolo 8 introduce una novità rilevante dichiarando di "rilevante interesse pubblico" i trattamenti di dati personali effettuati per la ricerca scientifica nella realizzazione di sistemi di IA in ambito sanitario, facilitando l'uso secondario di dati sanitari per finalità di ricerca.

L'articolo 10 prevede l'istituzione presso Agenas di una piattaforma nazionale di intelligenza artificiale per la sanità, che fornirà servizi di supporto ai professionisti sanitari, ai medici nella pratica clinica e agli utenti per l'accesso ai servizi delle Case della comunità, sempre attraverso "suggerimenti non vincolanti".

FAQ generata da AI

La legge italiana n. 132/2025, che recepisce e integra l'AI Act europeo, disciplina l'uso dell'IA nel settore della giustizia all'articolo 15 con un approccio particolarmente cauto. Il comma 1 stabilisce un principio inderogabile: "è sempre riservata al magistrato ogni decisione sull'interpretazione e sull'applicazione della legge, sulla valutazione dei fatti e delle prove e sull'adozione dei provvedimenti".

Il ministero della Giustizia è incaricato di disciplinare gli impieghi dell'IA per l'organizzazione dei servizi, la semplificazione del lavoro giudiziario e le attività amministrative accessorie. Fino alla completa attuazione del regolamento europeo, ogni sperimentazione negli uffici giudiziari deve essere autorizzata dal ministero, sentite le autorità nazionali competenti.

La formazione assume un ruolo centrale: il ministro della Giustizia deve promuovere attività didattiche sull'IA per magistrati e personale amministrativo, finalizzate all'acquisizione di competenze digitali e alla sensibilizzazione su benefici e rischi. Questo approccio garantisce che l'IA rimanga uno strumento di supporto, senza mai sostituirsi alla valutazione e al giudizio umano nelle decisioni giudiziarie.

FAQ generata da AI

La legge italiana n. 132/2025, che recepisce e integra l'AI Act europeo, affronta l'impatto dell'IA sul mondo del lavoro negli articoli 11, 12 e 13. L'articolo 11 stabilisce che l'IA deve essere impiegata per "migliorare le condizioni di lavoro, tutelare l'integrità psicofisica dei lavoratori, accrescere la qualità delle prestazioni lavorative e la produttività".

Viene introdotto un importante obbligo di trasparenza: "Il datore di lavoro o il committente è tenuto a informare il lavoratore dell'utilizzo dell'intelligenza artificiale nei casi e con le modalità di cui all'articolo 1-bis del decreto legislativo 26 maggio 1997, n. 152". L'utilizzo dell'IA deve avvenire senza discriminazioni e nel rispetto della dignità umana e della riservatezza.

L'articolo 12 istituisce presso il ministero del lavoro l'Osservatorio sull'adozione di sistemi di IA nel mondo del lavoro, con compiti di monitoraggio, definizione di strategie e promozione della formazione.

Per le professioni intellettuali, l'articolo 13 specifica che l'IA può essere utilizzata solo "per le attività strumentali e di supporto all'attività professionale e con prevalenza del lavoro intellettuale". È previsto l'obbligo di comunicare al cliente l'utilizzo di sistemi di IA "con linguaggio chiaro, semplice ed esaustivo".

FAQ generata da AI

La legge italiana n. 132/2025, in armonia con l'AI Act europeo, stabilisce che nelle professioni intellettuali l'IA è ammessa esclusivamente per attività strumentali o di supporto. Il baricentro della prestazione resta la prevalenza del lavoro intellettuale umano, e il professionista deve comunicare al cliente, con linguaggio chiaro, semplice ed esaustivo, le informazioni sui sistemi di IA utilizzati.

Sono considerate ammissibili operazioni come la ricerca di precedenti, l'analisi di documenti, la traduzione di testi, la generazione di bozze e la formattazione di documenti. Restano invece in capo al professionista la strategia, le scelte interpretative, la responsabilità verso il cliente e la decisione finale.

La prevalenza dell'attività umana dovrebbe essere dimostrabile attraverso tracce del contributo umano (commenti, revisioni sostanziali, scelte argomentative autonome, fonti verificate, versioni intermedie), così da poter mostrare che l'IA non ha "fatto il lavoro al posto del professionista".

L'articolo 25 della legge modifica inoltre la legge sul diritto d'autore, chiarendo che la tutela si applica alle opere dell'ingegno "umano", anche quando create con l'ausilio di IA, purché costituiscano "risultato del lavoro intellettuale dell'autore". Ciò richiede un contributo creativo e selettivo significativo, non bastando premere un pulsante.

FAQ generata da AI

La Commissione Europea ha lanciato il Compliance Checker dell'AI Act, uno strumento online pensato per aiutare imprese e professionisti a orientarsi tra gli obblighi e le regole introdotte dalla normativa europea sull'intelligenza artificiale. Attualmente in versione beta, il tool fa parte di un progetto in evoluzione e la Commissione invita gli utenti a fornire feedback per migliorarne precisione e funzionalità.

Il Compliance Checker guida l'utente attraverso un questionario strutturato, esplorando lo scopo del sistema AI, il settore di applicazione, il livello di autonomia e il grado di interazione umana, oltre al potenziale impatto sugli utenti e sui cittadini. Ogni risposta definisce un percorso logico che porta a una classificazione preliminare del sistema, indicando il livello di criticità e suggerendo possibili misure di conformità.

Il tool verifica se l'organizzazione ha sede nell'Unione Europea, se il sistema è messo sul mercato o utilizzato nel territorio dell'UE, oppure se i risultati generati vengono usati nell'Unione anche da soggetti stabiliti altrove. Inoltre, controlla se il sistema possa essere escluso dal campo di applicazione, come nel caso di sistemi sviluppati esclusivamente per scopi di difesa, sicurezza nazionale o ricerca scientifica.

Il valore del Compliance Checker sta nella sua funzione orientativa, aiutando a capire dove ci si colloca rispetto alla normativa e quali passi intraprendere prima di avviare una vera e propria procedura di conformità.

FAQ generata da AI

L'AI Act europeo e la regolamentazione californiana (Senate Bill 53 o SB 53) presentano approcci differenti ma complementari alla regolazione dell'intelligenza artificiale.

L'AI Act adotta un'architettura basata su livelli di rischio, con una trama di diritti e garanzie che mette al centro la persona: divieti per usi ritenuti inaccettabili, requisiti stringenti per i sistemi "ad alto rischio", obblighi di trasparenza per i modelli per scopi generali e attenzioni specifiche ai foundation models più potenti.

La California, invece, si concentra principalmente sui "frontier models" (modelli frontiera), ovvero modelli addestrati con capacità computazionali e dataset di scala eccezionale. La SB 53 impone meccanismi di governance già nella fase di sviluppo e prima del rilascio pubblico, con una doppia soglia: da un lato, la caratterizzazione tecnica del modello; dall'altro, la dimensione economica dello sviluppatore, con regole più pressanti per i "large frontier developers".

Mentre l'AI Act è pensato per catturare un ventaglio ampio di sistemi e attori, pacificando diritti fondamentali e mercato unico, la SB 53 dirige il fascio di luce su pochi, grandissimi operatori, con l'intento di sterilizzare il rischio catastrofico. Nonostante queste differenze, gli assi portanti si toccano: trasparenza documentale, testing e valutazione dei rischi, protezione degli utenti e canali di segnalazione, responsabilizzazione del management.

FAQ generata da AI

La questione della responsabilità civile per i danni causati dall'IA rappresenta una crepa strutturale nel quadro normativo europeo. Mentre l'AI Act regola lo sviluppo e l'uso dei sistemi di IA, manca ancora un quadro normativo chiaro e armonizzato sulla responsabilità civile per i danni che questi sistemi possono causare.

Uno studio commissionato dal Parlamento europeo ha evidenziato che l'assenza di una norma europea specifica non mantiene un "innocuo" status quo, ma innesca una serie di conseguenze negative: frammentazione normativa con 27 normative nazionali diverse e potenzialmente confliggenti, incertezza legale e disparità tra Stati.

La Commissione europea ha ritirato una proposta di Direttiva sulla responsabilità civile dell'IA (AILD), che avrebbe introdotto presunzioni di colpa e nesso causale nei regimi nazionali. Questo ritiro lascia un vuoto normativo che potrebbe essere colmato da un nuovo regime di responsabilità oggettiva per i sistemi di IA ad alto rischio, come raccomandato dallo studio.

In assenza di una normativa armonizzata, si sta sviluppando un'"era delle assicurazioni", dove la gestione della responsabilità si sposta dall'aula del tribunale al contratto di polizza. Le compagnie assicurative assumono un ruolo quasi da "regolatore de facto", richiedendo agli operatori di IA l'adozione di best practice, audit rigorosi e standard tecnici superiori a quelli di legge.

FAQ generata da AI