Intelligenza Artificiale Tutto su AI e machine learning
Il 13 marzo 2024, il Parlamento Europeo ha approvato con 523 voti favorevoli l’AI Act, il primo regolamento globale sull’intelligenza artificiale. Non è stato un evento mediatico di breve durata: l’AI Act ridefinisce le regole del gioco per chiunque sviluppi o usi sistemi AI in Europa — e, data la portata del mercato europeo, per buona parte del mondo. Come il GDPR ha definito gli standard mondiali sulla privacy dei dati, l’AI Act si candida a diventare il framework di riferimento globale per la governance dell’AI. Capire cosa prevede non è più un esercizio accademico: è una necessità per ogni azienda che opera nell’ecosistema digitale europeo.
L’approccio basato sul rischio: la struttura fondamentale
La scelta strutturale dell’AI Act è l’approccio basato sul rischio: diversi livelli di rischio corrispondono a diversi livelli di obblighi regolatori. Questo evita di imporre gli stessi oneri burocratici a un’app di filtri fotografici e a un sistema AI che prende decisioni sui ricoveri ospedalieri. La classificazione a quattro livelli funziona così. Rischio inaccettabile — vietato: sistemi AI il cui rischio è talmente elevato da essere vietati tout court. Include: sistemi di social scoring governativi (come quelli usati in Cina); sistemi di identificazione biometrica remota in tempo reale in spazi pubblici (con eccezioni limitate per sicurezza nazionale); manipolazione subliminale che sfrutta vulnerabilità cognitive; sfruttamento di minori o persone vulnerabili; polizia predittiva basata su profiling. Alto rischio — obblighi rigorosi: sistemi con impatto significativo su diritti fondamentali o sicurezza delle persone. Include infrastrutture critiche, sistemi educativi di valutazione, sistemi HR di selezione, credit scoring, sistemi di emergenza e salvavita, sistemi giudiziari. Rischio limitato — obblighi di trasparenza: principalmente chatbot e sistemi che generano contenuti sintetici, che devono dichiarare all’utente che stanno interagendo con un’AI. Rischio minimo — nessun obbligo specifico: la grande maggioranza dei sistemi AI, come filtri antispam, motori di raccomandazione di contenuti, strumenti produttivi.
Gli obblighi per i sistemi ad alto rischio
I sistemi classificati ad alto rischio sono soggetti a obblighi che entrano in vigore progressivamente tra il 2024 e il 2026. I requisiti chiave includono: Risk management system: identificazione, analisi e mitigazione sistematica dei rischi durante tutto il ciclo di vita del sistema. Data governance: i dataset di training devono essere pertinenti, rappresentativi e privi di bias significativi; devono essere documentati con “datasheets”. Documentazione tecnica: documentazione dettagliata del sistema, delle sue capacità, limitazioni e performance nei benchmark. Trasparenza verso gli utenti: gli utenti devono ricevere informazioni chiare su come funziona il sistema, le sue limitazioni e come contestare le decisioni. Supervisione umana: il sistema deve essere progettato per permettere supervisione, controllo e intervento umano. Robustezza e cybersecurity: il sistema deve essere resiliente agli attacchi avversariali e ai malfunzionamenti. Prima del deployment, i sistemi ad alto rischio devono superare una valutazione della conformità (conformity assessment): per la maggior parte, è autocertificazione; per i sistemi più critici (es. infrastrutture, forze dell’ordine) è richiesto l’intervento di un ente terzo notificato.
GPAI: obblighi speciali per i modelli foundation
Una delle novità più discusse dell’AI Act sono gli obblighi specifici per i General Purpose AI Models (GPAI) — i grandi modelli base come GPT-4, Claude, Gemini, Llama. Qualsiasi modello con oltre 10^25 FLOPs di compute di addestramento (soglia che include tutti i modelli frontier) è soggetto a: obbligo di pubblicare un sommario tecnico dei dati di training; obbligo di rispettare la normativa copyright europea nei dati di training; implementazione di una politica per identificare e mitigare i rischi sistemici; incident reporting obbligatorio a ENISA (Agenzia EU per la Cybersicurezza) per incidenti gravi. Per i modelli GPAI con “rischio sistemico” (parametri oltre 10^25 FLOPs), obblighi aggiuntivi: red-teaming avversariale prima del rilascio; valutazione dei rischi sistemici; misure di cybersecurity avanzate.
Timeline di implementazione e sanzioni
L’AI Act è entrato in vigore il 1 agosto 2024, ma gli obblighi si applicano progressivamente. Entro agosto 2025: divieto dei sistemi a rischio inaccettabile e obblighi di alfabetizzazione AI per tutti i fornitori. Entro agosto 2026: piena applicazione degli obblighi per sistemi ad alto rischio e GPAI. Entro agosto 2027: applicazione agli sistemi di IA usati come componenti di prodotti regolati da altre direttive (dispositivi medici, sicurezza macchine). Le sanzioni rispecchiano la gravità: fino a 35 milioni di euro o il 7% del fatturato globale annuo per violazioni dei divieti; fino a 15 milioni di euro o il 3% per altri obblighi; fino a 7,5 milioni di euro o l’1,5% per informazioni scorrette agli enti di supervisione.
L’AI Act come standard globale
Come il GDPR ha spinto decine di paesi a sviluppare normative sulla privacy ispirate al modello europeo, l’AI Act sta già influenzando la politica AI globale. Il Brasile sta sviluppando un AI Act model dopo intenso dialogo con la Commissione Europea. Il Canada ha inserito principi dell’AI Act nel suo Artificial Intelligence and Data Act. Diversi stati americani stanno guardando all’AI Act come modello per normative statali. Persino in Cina, alcune disposizioni dell’AI Act stanno influenzando la normativa interna sull’AI generativa. Per le aziende italiane ed europee, l’AI Act non è solo un onere normativo: è un’opportunità di posizionamento competitivo come fornitori di AI “trusted by design” in un mercato globale sempre più attento alla governance dell’AI. Per approfondire le implicazioni per la protezione dei dati, leggi anche il nostro articolo su GDPR e intelligenza artificiale.
Come prepararsi alla compliance: un piano in 5 passi
Per le aziende che usano o sviluppano AI, la preparazione alla compliance con l’AI Act richiede un approccio strutturato. Passo 1: inventario dei sistemi AI. Censire tutti i sistemi AI in uso nell’organizzazione — inclusi quelli sviluppati internamente, acquistati come SaaS e costruiti su modelli foundation — per identificare quelli potenzialmente soggetti agli obblighi dell’AI Act. Passo 2: classificazione del rischio. Per ogni sistema censito, determinare la categoria di rischio applicabile usando le categorie dell’AI Act. Passo 3: gap analysis. Per i sistemi ad alto rischio, condurre una gap analysis rispetto ai requisiti tecnici e organizzativi dell’AI Act: documentazione, data governance, supervisione umana, robustezza. Passo 4: DPIA integrata. Per i sistemi che trattano dati personali, integrare la valutazione AI Act con la Data Protection Impact Assessment richiesta dal GDPR. Passo 5: governance. Nominare un responsabile AI compliance (analogamente al DPO per il GDPR) e stabilire processi per il monitoring continuo e l’aggiornamento della documentazione. L’Ufficio AI europeo, istituito dall’AI Act, pubblica linee guida interpretative aggiornate e mette a disposizione uno strumento di self-assessment online per supportare le PMI nella compliance. Investire nella compliance non è solo un obbligo: è una garanzia di sostenibilità del business AI nel lungo termine.
L’AI Act è anche un’opportunità per l’ecosistema tech europeo: le aziende che investono ora nella compliance potranno esportare sistemi AI “trusted” anche nei mercati extraeuropei che adottano standard simili. L’approccio europeo basato su diritti fondamentali e trasparenza si sta rivelando il modello più sostenibile a livello globale.
In conclusione, l’AI Act europeo rappresenta la risposta più matura e sistemica alla sfida di governance dell’AI. Non è perfetto — alcune classificazioni sono contestate, le soglie computazionali per i GPAI potrebbero evolversi rapidamente con il progresso tecnologico, e l’enforcement effettivo dipenderà dalla capacità delle autorità nazionali. Ma è un punto di partenza fondamentale per garantire che l’AI si sviluppi nel rispetto dei diritti fondamentali e della dignità umana. Ogni professionista e azienda che opera nell’ecosistema digitale europeo deve investire tempo per capire come l’AI Act si applica al proprio contesto specifico — e iniziare oggi il percorso di compliance, prima che le scadenze diventino pressanti.
