Guida Pratica all’EU AI Act: Navigare la Complessa Normativa Europea sull’Intelligenza Artificiale

• Autori: White & Case
• Titolo Originale: EU AI Act Handbook

L’intelligenza artificiale non è più una tecnologia di nicchia confinata ai laboratori di ricerca; è diventata una forza trasformativa nel cuore delle attività aziendali in tutta l’Unione Europea e oltre. Dall’ottimizzazione delle catene di approvvigionamento al marketing personalizzato, l’AI sta ridisegnando i settori a velocità vertiginosa. Tuttavia, l’innovazione così rapida sta mettendo a dura prova i tentativi normativi di tenere il passo. L’EU AI Act è forse l’esempio più evidente di questo sforzo.

Questa legge è ambiziosa, con l’obiettivo di garantire che i sistemi di AI siano affidabili, sicuri e rispettosi dei diritti fondamentali. Ma è anche complessa, a tratti difficile da interpretare e ancora in fase di evoluzione. Per le aziende, ciò solleva un interrogativo pratico cruciale: come affrontare una legge che presenta aree poco chiare, è in continuo cambiamento ed è compresa in modo non uniforme persino tra gli esperti?

Questo “Handbook” mira a fornire una bussola strategica e pragmatica per navigare le sfide poste dall’EU AI Act, concentrandosi sull’applicazione pratica più che sulla teoria legale. Non pretende di avere tutte le risposte definitive – nessuno le ha ancora – ma offre una mappa per muoversi oggi.

Il Fondamento: Definizioni Chiave e un Approccio Basato sul Rischio

Comprendere l’EU AI Act inizia con la padronanza di alcune definizioni centrali. La legge regola principalmente due concetti distinti:

• Sistemi di AI: Definiti in modo ampio come sistemi basati su macchine, progettati per operare con vari livelli di autonomia, che possono mostrare adattabilità dopo l’implementazione e che inferiscono dai dati per generare output (predizioni, contenuti, raccomandazioni, decisioni) che influenzano ambienti fisici o virtuali (Art. 3(1)). La definizione è volutamente flessibile per adattarsi all’evoluzione rapida dell’AI, ma questa flessibilità crea anche incertezza sul confine esatto tra ciò che è AI sotto la legge e ciò che non lo è. Anche sistemi apparentemente semplici basati su regole possono rientrare nella definizione se analizzano dati per generare output complessi.
• Modelli AI di Scopo Generale (GPAI): Modelli AI addestrati su grandi quantità di dati tramite auto-supervisione, che mostrano una generalità significativa e sono capaci di eseguire una vasta gamma di compiti distinti, indipendentemente da come vengono commercializzati, e che possono essere integrati in vari sistemi o applicazioni (Art. 3(63)). Sono, in sostanza, i “mattoncini” su cui vengono costruiti molti sistemi AI attuali.

L’EU AI Act adotta un approccio normativo basato sul rischio (Art. 6), categorizzando i sistemi AI in quattro livelli:

• Rischio Inaccettabile: Pratiche di AI considerate una minaccia chiara ai diritti fondamentali, che sono quindi vietate (Capitolo 5).
• Alto Rischio: Sistemi AI che presentano un rischio significativo per la salute, la sicurezza o i diritti fondamentali (Capitolo 6). Sono soggetti agli obblighi più stringenti.
• Rischio Limitato: Sistemi AI che presentano rischi specifici (come i chatbot che potrebbero ingannare gli utenti sulla loro natura artificiale), soggetti a obblighi di trasparenza specifici (Capitolo 11).
• Rischio Minimo: La vasta maggioranza dei sistemi AI che non rientrano nelle categorie superiori. Sono soggetti a obblighi molto limitati o nulli sotto l’Act, anche se le aziende sono incoraggiate ad aderire a codici di condotta volontari (Capitolo 20).

La legge si applica a una vasta gamma di attori nella catena del valore dell’AI, tra cui provider (chi sviluppa e immette sul mercato sistemi/modelli AI) e deployer (chi utilizza sistemi AI sotto la propria autorità) (Capitolo 2). Altri ruoli chiave includono importatori, distributori e rappresentanti autorizzati (per i provider extra-UE). La portata territoriale è aggressiva: l’Act si applica anche a entità extra-UE se l’output del sistema AI è utilizzato nell’EEA (Spazio Economico Europeo).

Il Limite: Pratiche AI Proibite

L’EU AI Act mette al bando esplicitamente alcune pratiche AI considerate troppo rischiose (Capitolo 5, Art. 5). Queste includono:

• Tecniche subliminali, manipolative o ingannevoli che distorcono il comportamento causando danno significativo.
• Sfruttamento di vulnerabilità dovute a età, disabilità o situazione socio-economica per distorcere il comportamento causando danno significativo.
• Riconoscimento facciale tramite scraping non mirato di immagini da internet o CCTV per creare database di riconoscimento facciale.
• Inferenza di emozioni nel luogo di lavoro o nelle istituzioni educative (con eccezioni per motivi medici/di sicurezza).
• Social scoring in determinati contesti, se porta a trattamenti ingiustificati o sproporzionati.
• L’uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi pubblici accessibili da parte delle forze dell’ordine (con eccezioni molto limitate e stringentemente regolate, come la ricerca di vittime specifiche o la prevenzione di minacce terroristiche imminenti).

È fondamentale per le aziende verificare di non essere coinvolte in queste pratiche e monitorare eventuali modifiche alla lista proibita, dato che la Commissione effettuerà revisioni annuali.

Alto Rischio: Classificazione e Requisiti Stringenti

I sistemi AI classificati come “ad alto rischio” sono il fulcro della maggior parte degli obblighi dell’EU AI Act. La classificazione avviene in due modi principali (Capitolo 6, Art. 6, Annessi I e III):

1. Sistemi di sicurezza-critici: Sistemi AI che sono componenti di sicurezza di prodotti soggetti alla legislazione di armonizzazione UE elencata nell’Allegato I (come dispositivi medici, macchinari, giocattoli), a condizione che richiedano anche una valutazione di conformità da parte di terzi nell’ambito di tali leggi settoriali.
2. Sistemi rientranti in categorie specifiche: Sistemi AI destinati a essere utilizzati in specifiche aree sensibili elencate nell’Allegato III, come biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali, forze dell’ordine, gestione migratoria, giustizia e processi democratici. Esistono alcune esenzioni se il sistema svolge solo un compito procedurale ristretto, migliora risultati umani preesistenti o è un compito preparatorio, a meno che non implichi anche la profilazione di individui.

I provider di sistemi AI ad alto rischio devono soddisfare una serie di requisiti stringenti durante l’intero ciclo di vita del sistema (Capitolo 7, Artt. 8-15):

• Sistemi di gestione del rischio: Implementare, documentare e mantenere un processo iterativo per identificare, valutare e mitigare i rischi (Art. 9).
• Qualità e governance dei dati: Utilizzare set di dati di alta qualità per l’addestramento, la convalida e il test, con misure per rilevare, prevenire e mitigare potenziali bias (Art. 10). È consentito il trattamento eccezionale di dati personali sensibili a fini di correzione dei bias, con salvaguardie specifiche.
• Documentazione tecnica: Redigere e mantenere una documentazione dettagliata che dimostri la conformità ai requisiti (Art. 11).
• Registrazione degli eventi (Logging): Implementare un logging automatico degli eventi per garantire la tracciabilità del funzionamento del sistema (Art. 12).
• Trasparenza e informazione per gli utenti: Progettare i sistemi in modo che il loro funzionamento sia comprensibile ai deployer, fornendo istruzioni chiare su capacità, limitazioni, misure di supervisione umana, ecc. (Art. 13).
• Supervisione umana: Progettare i sistemi in modo che possano essere efficacemente supervisionati da esseri umani per prevenire o minimizzare i rischi (Art. 14).
• Accuratezza, robustezza e cybersicurezza: Progettare i sistemi per raggiungere livelli appropriati di accuratezza, robustezza (resilienza a errori) e cybersicurezza contro attacchi malevoli (Art. 15).

Gli obblighi non ricadono solo sui provider. Deployer, importatori e distributori hanno anch’essi responsabilità specifiche (Capitolo 8, Artt. 16-27), soprattutto nel garantire che i sistemi ad alto rischio che mettono a disposizione o utilizzano siano conformi.

I Modelli AI di Scopo Generale (GPAI)

L’EU AI Act dedica un’attenzione particolare ai modelli GPAI, riconoscendo la loro crescente importanza come “mattoncini” fondamentali.

• Classificazione basata sul Rischio Sistemico: Alcuni modelli GPAI sono considerati a “rischio sistemico” se mostrano “capacità ad alto impatto” (Capitolo 12, Art. 51), che sono presunte se il modello è stato addestrato utilizzando una quantità cumulativa di calcolo superiore a una soglia specificata (attualmente fissata a 10^25 FLOPs). Anche modelli che non superano questa soglia possono essere designati con rischio sistemico dalla Commissione sulla base di altri criteri (come numero di parametri, qualità/dimensione dei dati, impatto sul mercato UE).
• Obblighi per i Provider di Modelli GPAI: I provider di modelli GPAI hanno obblighi generali (Capitolo 13, Artt. 53-54) che includono la preparazione e la manutenzione di documentazione tecnica dettagliata (Allegato XI), la condivisione di informazioni con i provider a valle di sistemi AI che integrano il modello, e la conformità con la legge UE sul diritto d’autore (Art. 53(1)(c)). È prevista un’esenzione limitata per i modelli GPAI open-source (Art. 53(2)).
• Obblighi Aggiuntivi per il Rischio Sistemico: I provider di modelli GPAI con rischio sistemico sono soggetti a obblighi supplementari (Capitolo 14, Art. 55, Allegato XI Sezione 2) tra cui: valutazioni periodiche del modello (inclusi test “avversariali” o “red teaming”), valutazione e mitigazione del rischio sistemico, documentazione e segnalazione di incidenti gravi (come danni alla salute, interruzione di infrastrutture critiche, violazione di diritti fondamentali), e implementazione di protezioni di cybersicurezza adeguate (Art. 55(1)(d)).

Struttura Regolatoria e Meccanismi di Controllo

L’implementazione e l’applicazione dell’EU AI Act si basano su un quadro di governance complesso che coinvolge diversi attori a livello UE e nazionale (Capitolo 17):

• AI Office: Una funzione interna alla Commissione Europea, responsabile di contribuire all’implementazione, al monitoraggio e alla supervisione dei sistemi AI e dei modelli GPAI, nonché di far rispettare l’Act in relazione ai modelli GPAI.
• AI Board: Un comitato consultivo composto da rappresentanti degli Stati Membri, istituito per facilitare un’implementazione coerente ed efficace dell’Act.
• Autorità Nazionali Competenti: Ciascuno Stato Membro deve designare almeno un’autorità di notifica (per la gestione degli organismi di valutazione della conformità) e un’autorità di vigilanza del mercato (MSA) (Capitolo 9 e 19). Le MSA sono i principali organismi responsabili per l’applicazione a livello nazionale.
• Organismi Notificati: Entità designate dalle autorità di notifica che eseguono le valutazioni di conformità di sistemi AI ad alto rischio (Capitolo 9, Art. 31).

I provider di sistemi AI ad alto rischio devono sottoporsi a procedure di valutazione della conformità e, in molti casi, ottenere una certificazione da un organismo notificato (Capitolo 10, Artt. 43-44). La conformità a standard armonizzati o specifiche comuni stabilite dalla Commissione può creare una presunzione di conformità, semplificando il processo (Art. 40).

Per aumentare la trasparenza e la vigilanza, i provider di alcuni sistemi AI ad alto rischio devono registrarsi e registrare i loro sistemi in un database UE gestito dalla Commissione (Capitolo 18, Artt. 49, 71). Questo database avrà sezioni pubbliche e non pubbliche (per i sistemi in aree sensibili come la biometria o le forze dell’ordine).

La vigilanza e il monitoraggio continuano dopo l’immissione sul mercato. I provider di sistemi AI ad alto rischio devono implementare sistemi di monitoraggio post-mercato e segnalare immediatamente incidenti gravi alle MSA (Capitolo 19, Artt. 72-73).

Le Sanzioni

Le sanzioni per la non conformità all’EU AI Act sono notevoli (Capitolo 22, Artt. 99-101). Gli Stati Membri sono responsabili per l’applicazione delle sanzioni a livello nazionale, ma i massimali sono stabiliti dall’Act e sono significativamente più alti di quelli del GDPR:

• Violazioni delle pratiche proibite: Fino a 35 milioni di Euro o il 7% del fatturato annuo globale (se maggiore).
• Violazioni degli obblighi per i sistemi AI ad alto rischio (diversi dalle pratiche proibite): Fino a 15 milioni di Euro o il 3% del fatturato annuo globale (se maggiore).
• Fornitura di informazioni errate, incomplete o fuorvianti: Fino a 7,5 milioni di Euro o l’1% del fatturato annuo globale (se maggiore).

Per le PMI, il massimale è il minore tra l’importo fisso e la percentuale di fatturato. La Commissione può imporre sanzioni dirette ai provider di modelli GPAI per alcune violazioni specifiche (Art. 101).

Supporto all’Innovazione e Strumenti Volontari

L’EU AI Act non mira solo a regolamentare, ma anche a sostenere l’innovazione (Capitolo 16). Prevede la creazione di sandbox regolatori nazionali, ambienti controllati in cui i provider possono sviluppare, addestrare e testare sistemi AI innovativi in condizioni reali per un periodo limitato, sotto supervisione regolatoria (Artt. 57-59). Anche i test in condizioni reali al di fuori delle sandbox sono permessi, con obblighi specifici come l’approvazione di un piano di test da parte delle MSA e, dove applicabile, il consenso informato degli individui (Artt. 60-61).

Inoltre, l’Act incoraggia l’adozione di codici di condotta volontari per i sistemi AI a rischio minimo e limitato, per promuovere le migliori pratiche (Capitolo 20, Art. 95). La Commissione è anche incaricata di sviluppare linee guida sull’implementazione pratica dell’Act per fornire chiarezza agli stakeholder (Capitolo 20, Art. 96). La redazione del primo codice di pratica per i modelli GPAI è in corso, coinvolgendo diversi stakeholder (Capitolo 15, Art. 56).

La Tempistica e le Sovrapposizioni Normative

Un aspetto cruciale dell’EU AI Act è la sua tempistica di applicazione scaglionata (Capitolo 23, Artt. 111, 113):

• Entrata in vigore: 1 agosto 2024.
• Applicazione delle pratiche proibite: 2 febbraio 2025.
• Applicazione degli obblighi sui modelli GPAI (nuovi): 2 agosto 2025.
• Applicazione degli obblighi sui modelli GPAI (esistenti): 2 agosto 2027.
• Applicazione degli obblighi sui sistemi AI ad alto rischio (nuovi/modificati significativamente, Allegato III, Art 6(2)): 2 agosto 2026.
• Applicazione degli obblighi sui sistemi AI ad alto rischio (nuovi/modificati significativamente, Allegato I, Art 6(1)): 2 agosto 2027.
• Applicazione degli obblighi sui sistemi AI ad alto rischio (esistenti, Allegato III, uso da parte di autorità pubbliche): 2 agosto 2030.
• Applicazione degli obblighi sui sistemi AI parte di sistemi IT su larga scala (Allegato X): 31 dicembre 2030.

Questa tempistica complessa richiede un’attenta pianificazione da parte delle aziende.

È inoltre fondamentale comprendere che l’EU AI Act si sovrappone a numerose altre leggi e direttive UE esistenti o in fase di sviluppo (Capitolo 24). L’Act è “senza pregiudizio” rispetto a normative come il GDPR (Regolamento Generale sulla Protezione dei Dati), il DSA (Digital Services Act), il DMA (Digital Markets Act), il Machinery Regulation e la Revised Product Liability Directive (rPLD). Ciò significa che, in molti casi, le aziende dovranno garantire la conformità cumulativa a diverse normative contemporaneamente.

Conclusione: Prepararsi e Adattarsi

L’EU AI Act è una normativa pionieristica e di vasta portata che ridefinirà lo sviluppo e l’uso dell’intelligenza artificiale nell’Unione Europea. La sua complessità, le aree di incertezza e la natura dinamica dovuta all’evoluzione tecnologica e alla futura guida normativa richiedono un approccio proattivo e pragmatico da parte delle aziende.

Essere conformi non sarà un esercizio statico, ma un processo continuo di monitoraggio, valutazione e adattamento. Le aziende dovranno investire nella comprensione delle definizioni chiave, nell’identificazione e nella gestione del rischio dei propri sistemi AI, nell’implementazione di solide procedure interne, nel mantenimento di documentazione accurata e nel monitoraggio costante degli sviluppi normativi, delle linee guida e dell’interpretazione da parte delle autorità e dei tribunali.

Navigare questo panorama normativo richiede una strategia coordinata che consideri l’EU AI Act non isolatamente, ma nel contesto più ampio del diritto UE applicabile. Le aziende che riusciranno a combinare rigore nella conformità con la flessibilità necessaria per adattarsi saranno le meglio posizionate per prosperare nell’era dell’AI.