Intelligenza Artificiale Tutto su AI e machine learning
Il Regolamento Europeo sull’Intelligenza Artificiale, universalmente noto come AI Act, è la prima legge organica al mondo che disciplina in modo sistematico lo sviluppo, la distribuzione e l’uso dei sistemi di intelligenza artificiale. Approvato dal Parlamento Europeo nell’aprile 2024 ed entrato in vigore il 1° agosto 2024, l’AI Act non è una legge del futuro: è già oggi una realtà normativa con cui aziende, sviluppatori, ricercatori e professionisti devono fare i conti. Se utilizzi, sviluppi o distribuisci sistemi AI nell’Unione Europea, alcune delle sue disposizioni ti riguardano già. Altre entreranno in vigore nei prossimi mesi. Questa guida ti aiuterà a capire cosa cambia, per chi, e quando.
Cos’è l’AI Act e perché è importante
L’AI Act è un regolamento europeo, il che significa che si applica direttamente in tutti gli Stati membri senza necessità di recepimento nazionale. Il suo scopo dichiarato è duplice: garantire che i sistemi AI utilizzati nell’Unione Europea siano sicuri, trasparenti e rispettosi dei diritti fondamentali, e allo stesso tempo creare un quadro normativo chiaro che favorisca l’innovazione evitando un eccesso di burocrazia per le applicazioni a basso rischio.
L’approccio scelto dalla Commissione Europea è quello del risk-based, cioè basato sul rischio: non tutti i sistemi AI sono sottoposti agli stessi obblighi. La regolamentazione è calibrata in base al potenziale danno che un sistema AI può causare alle persone. Più il rischio è elevato, più gli obblighi sono stringenti. Questa scelta consente di concentrare la compliance sulle aree dove i pericoli sono reali, senza soffocare con burocrazia gli usi quotidiani e a basso impatto dell’intelligenza artificiale.
Per capire appieno le implicazioni dell’AI Act, è utile avere una solida comprensione di base di cos’è e come funziona l’intelligenza artificiale: la legge distingue tra diversi tipi di sistemi proprio perché le loro caratteristiche tecniche determinano il livello di rischio.
Le quattro categorie di rischio: come classificare un sistema AI
Il cuore dell’AI Act è la classificazione dei sistemi AI in quattro categorie di rischio, a cui corrispondono obblighi crescenti. Comprendere queste categorie è il primo passo per capire se e come la normativa si applica alla tua situazione.
Rischio inaccettabile: i sistemi vietati dall’AI Act
La categoria più restrittiva comprende i sistemi AI la cui pericolosità è considerata così elevata da non poter essere accettata in nessuna circostanza. Questi sistemi sono vietati e non possono essere sviluppati, distribuiti o utilizzati nell’Unione Europea. Rientrano in questa categoria i sistemi di social scoring, cioè quei sistemi che valutano le persone in base al loro comportamento sociale e assegnano loro punteggi usati per determinare l’accesso a servizi pubblici o privati, come avviene in alcuni contesti extra-europei. È vietata anche la sorveglianza biometrica in tempo reale negli spazi pubblici a fini di contrasto del crimine, con alcune eccezioni molto limitate per casi di terrorismo o ricerca di vittime di reato grave. Sono vietati i sistemi che sfruttano le vulnerabilità psicologiche delle persone, come la loro età o condizione di disabilità, per manipolarne il comportamento in modo che va contro i loro interessi. Rientrano nel divieto anche i sistemi di identificazione biometrica retroattiva su larga scala, che permetterebbero di ricostruire i movimenti di una persona analizzando dati raccolti in passato.
Rischio elevato: gli obblighi più stringenti
La categoria del rischio elevato è quella che richiede il maggior impegno in termini di compliance. I sistemi ad alto rischio possono essere sviluppati e utilizzati, ma devono rispettare una serie di requisiti obbligatori prima della messa in commercio o in servizio. Rientrano in questa categoria i sistemi AI usati in ambiti particolarmente sensibili: infrastrutture critiche come reti energetiche, idriche e di trasporto; sistemi educativi che determinano l’accesso o la valutazione degli studenti; sistemi di selezione del personale e gestione delle risorse umane; sistemi usati nelle forze dell’ordine, nella gestione delle frontiere e nella amministrazione della giustizia; sistemi di identificazione biometrica e classificazione delle persone.
Per questi sistemi, i fornitori devono effettuare una valutazione di conformità prima dell’immissione sul mercato, implementare sistemi di gestione del rischio e di controllo della qualità dei dati, garantire la supervisione umana, assicurare la trasparenza e la documentazione tecnica, e registrare il sistema in una banca dati europea pubblica. I requisiti sono molto dettagliati e richiedono risorse significative per essere soddisfatti.
Rischio limitato: obblighi di trasparenza
La categoria del rischio limitato riguarda principalmente quei sistemi AI con cui le persone interagiscono direttamente ma il cui potenziale danno è considerato contenuto. Il principale obbligo per questa categoria è la trasparenza: le persone devono essere informate quando stanno interagendo con un sistema AI, e i contenuti generati dall’AI devono essere chiaramente identificabili come tali. Rientrano in questa categoria i chatbot conversazionali, i sistemi di generazione di testi, immagini, audio e video (i cosiddetti deepfake), e i sistemi di raccomandazione usati in piattaforme di contenuti. Se gestisci un sito web con un assistente AI, stai usando strumenti come ChatGPT per generare contenuti pubblici, o distribuisci applicazioni che producono contenuti sintetici, questa è la categoria che ti riguarda più da vicino.
Rischio minimo: nessun obbligo specifico
La stragrande maggioranza delle applicazioni AI rientra in questa categoria: filtri antispam, sistemi di raccomandazione nei videogiochi, strumenti di traduzione automatica per uso personale, AI nei sistemi di navigazione. Per questi utilizzi l’AI Act non prevede obblighi specifici aggiuntivi rispetto alla normativa generale applicabile, anche se si incoraggia volontariamente il rispetto di codici di condotta.
Il calendario di applicazione: le scadenze che devi conoscere
L’AI Act non è entrato in vigore tutto insieme: l’applicazione è stata strutturata in fasi progressive per permettere agli attori del mercato di adeguarsi. Questo calendario, già modificato in parte dal cosiddetto Digital Omnibus dell’inizio del 2026, è fondamentale per capire cosa è già obbligatorio oggi e cosa lo diventerà nei prossimi anni.
Il primo febbraio 2025 sono entrati in vigore i divieti sui sistemi a rischio inaccettabile: da quella data, sviluppare o usare i sistemi vietati nell’UE è illegale. Il 2 agosto 2025 sono diventati applicabili gli obblighi per i fornitori di modelli di AI di uso generale (GPAI, dall’inglese General Purpose AI), come i grandi modelli linguistici alla base di strumenti come Claude di Anthropic. Il 2 agosto 2026 entra in vigore la parte restante del regolamento, incluse le sanzioni per i fornitori GPAI che non si sono adeguati. Sempre nel 2026, e più precisamente il 2 dicembre, scattano due obblighi importanti: il watermarking obbligatorio per i contenuti generati dall’AI e le disposizioni contro la generazione di contenuti sessuali non consensuali tramite AI.
Le scadenze del 2027 e del 2028, rilevanti per i sistemi ad alto rischio, sono state spostate in avanti dal Digital Omnibus per venire incontro alle esigenze delle PMI. Il 2 dicembre 2027 entreranno in vigore gli obblighi per i sistemi ad alto rischio “indipendenti”, quelli usati in biometria, infrastrutture critiche, istruzione, lavoro, forze dell’ordine e gestione delle frontiere. Il 2 agosto 2028 toccherà ai sistemi ad alto rischio integrati in prodotti soggetti a legislazione settoriale sulla sicurezza, come dispositivi medici e macchinari industriali.
Sanzioni: quanto rischiano le aziende che non si adeguano
L’AI Act prevede un sistema sanzionatorio progressivo che può avere un impatto significativo anche sulle grandi aziende. Per le violazioni più gravi, quelle legate ai sistemi vietati e agli obblighi per i modelli GPAI più potenti, le sanzioni possono arrivare fino a 35 milioni di euro o al 7% del fatturato annuo globale, calcolando la cifra più alta tra le due. Per le violazioni degli obblighi relativi ai sistemi ad alto rischio, la sanzione massima è di 15 milioni di euro o il 3% del fatturato. Per le informazioni inesatte o incomplete fornite alle autorità di vigilanza, si arriva fino a 7,5 milioni di euro o l’1,5% del fatturato. Per le PMI sono previste sanzioni ridotte rispetto a quelle applicabili alle grandi imprese, ma non si tratta di un’esenzione: anche una piccola azienda che sviluppa o distribuisce sistemi AI ad alto rischio è soggetta agli obblighi di compliance.
I modelli GPAI: regole speciali per ChatGPT, Claude e Gemini
Una sezione dell’AI Act specificamente dedicata ai modelli di AI di uso generale (GPAI) riguarda direttamente i grandi modelli linguistici fondazionali, quelli alla base di strumenti come ChatGPT, Claude e Gemini. A partire dall’agosto 2025, tutti i fornitori di modelli GPAI che vengono messi a disposizione nell’UE devono rispettare obblighi di trasparenza sulla documentazione tecnica, pubblicare riepiloghi dei dati usati per l’addestramento, rispettare le norme sul copyright europeo, e adottare policy di utilizzo accettabile.
Per i modelli GPAI considerati ad alto impatto, cioè quelli addestrati con una potenza di calcolo superiore a 10^25 FLOP, gli obblighi sono ancora più stringenti e includono la valutazione avversariale (i cosiddetti red team test) e la segnalazione agli organismi di controllo europei in caso di incidenti gravi. Questo ha implicazioni dirette per i grandi player del settore come OpenAI, Anthropic e Google, che devono garantire la conformità dei propri modelli con il quadro normativo europeo.
Come prepararsi all’AI Act: i passi concreti
Se sei un’azienda che usa, sviluppa o distribuisce sistemi AI nell’Unione Europea, la preparazione all’AI Act non è più rinviabile. Il punto di partenza è un’analisi dell’inventario dei sistemi AI in uso: devi capire quali strumenti AI utilizzi, in quali processi, e a quale categoria di rischio appartengono. Molti sistemi AI di uso comune rientrano nella categoria del rischio minimo e non richiedono azioni specifiche. Ma se utilizzi AI in ambiti come la selezione del personale, la valutazione del credito, il monitoraggio dei dipendenti, o in qualsiasi contesto che possa influenzare in modo significativo le persone, potresti trovarti nella categoria del rischio elevato.
Il secondo passo è nominare o designare una figura responsabile della compliance AI all’interno dell’organizzazione, che conosca sia le implicazioni tecniche che quelle normative. Il terzo è costruire una documentazione adeguata dei sistemi AI in uso, che includa le finalità, le basi dati utilizzate per l’addestramento, i meccanismi di supervisione umana e i processi di gestione del rischio. Se produci contenuti AI destinati al pubblico, devi già oggi assicurarti di rispettare gli obblighi di trasparenza e di preparare l’implementazione del watermarking entro dicembre 2026.
Conclusioni: l’AI Act come opportunità, non solo come obbligo
L’AI Act è spesso percepito come un fardello burocratico, soprattutto da chi sviluppa AI o la usa in modo avanzato. Ma c’è un modo diverso di leggerlo: una normativa chiara crea fiducia. Le aziende che dimostreranno di operare in modo conforme e trasparente con l’AI avranno un vantaggio competitivo con i clienti più sensibili a questi temi, con i partner istituzionali e nei mercati in cui la fiducia tecnologica è un fattore critico.
L’Europa ha scelto di essere la prima giurisdizione a dotarsi di una regolamentazione organica dell’AI. Questa scelta comporta costi di compliance nel breve periodo, ma potrebbe rivelarsi una fonte di vantaggio nel lungo termine, sia per le aziende europee che per l’intero ecosistema digitale del continente. Se vuoi approfondire come gli strumenti AI si stanno evolvendo in questo contesto normativo, ti consigliamo di esplorare le nostre guide sugli strumenti disponibili oggi e di tenerti aggiornato sulle novità del settore: il mondo dell’AI cambia rapidamente, e cambia anche il quadro regolatorio che lo governa.