Navigare nell’AI Act dell’UE: Una Guida Pratica per l’Intelligenza Artificiale Responsabile

• Autore: Ministero degli Affari Economici (Paesi Bassi)
• Titolo Originale: AI Act Guide

Siamo nell’era dell’Intelligenza Artificiale, una forza trasformativa che sta ridisegnando ogni aspetto della nostra società. Per garantire che questa rivoluzione avvenga in modo sicuro, etico e rispettoso dei diritti fondamentali, l’Unione Europea ha introdotto l’AI Act, un regolamento estensivo che stabilisce le regole per lo sviluppo e l’uso dell’AI. Questa guida, pubblicata dal Ministero degli Affari Economici dei Paesi Bassi, è una bussola indispensabile per le aziende e le organizzazioni che sviluppano o utilizzano sistemi di AI, offrendo una panoramica chiara delle sue disposizioni chiave.

L’AI Act mira a proteggere la sicurezza, la salute e i diritti fondamentali delle persone fisiche, garantendo al contempo che le organizzazioni possano sfruttare i benefici dell’AI in modo responsabile. Sebbene gran parte del regolamento entrerà in vigore a partire da metà 2026, alcune proibizioni sono già attive da febbraio 2025. Questo rende la preparazione un imperativo, non un’opzione.

Per comprendere cosa significhi l’AI Act per la tua organizzazione, è fondamentale seguire quattro passaggi chiave.

1. Comprendere il Campo di Applicazione: Le Categorie di Rischio dell’AI Act

L’AI Act adotta un approccio basato sul rischio: più alto è il rischio che un sistema di AI presenta per la sicurezza, la salute e i diritti fondamentali, più stringenti saranno i requisiti. I sistemi di AI sono suddivisi in diverse categorie:

Pratiche di AI Proibite (Già dal Febbraio 2025)

Questi sistemi comportano un rischio inaccettabile e sono, per definizione, fuori legge. Non possono essere immessi sul mercato né utilizzati. Tra questi troviamo:

• Sistemi progettati per manipolare il comportamento umano in modo dannoso.
• Sistemi che sfruttano le vulnerabilità di persone (età, disabilità) per causare danni significativi.
• Sistemi di “social scoring” basati su comportamenti sociali o tratti della personalità.
• Sistemi per la valutazione del rischio di reato basati esclusivamente sulla profilazione.
• Raccolta indiscriminata (scraping) di immagini facciali per database di riconoscimento facciale.
• Sistemi di riconoscimento delle emozioni in ambito lavorativo o educativo (salvo ragioni mediche/sicurezza).
• Sistemi per la categorizzazione biometrica di persone basata su attributi sensibili (razza, orientamento sessuale).
• Uso in tempo reale di sistemi di identificazione biometrica a distanza in spazi pubblici per fini di forze dell’ordine (con alcune eccezioni strettamente necessarie).

Sistemi di AI ad Alto Rischio (da Agosto 2026/2027)

Questi sistemi possono comportare rischi significativi, ma sono consentiti a condizione che rispettino requisiti stringenti per mitigare tali pericoli. Si dividono in due tipi:

• Prodotti ad alto rischio: Sistemi di AI che fungono da componente di sicurezza in prodotti già regolamentati (es. AI in un ascensore, dispositivi medici con AI).
• Applicazioni ad alto rischio: Sistemi di AI utilizzati in settori specifici e sensibili, come ad esempio:
  • Biometria: Sistemi di identificazione biometrica a distanza per scopi di verifica, categorizzazione biometrica (non sensibile), riconoscimento delle emozioni.
  • Infrastrutture critiche: Sistemi di sicurezza per la gestione del traffico o la fornitura di servizi essenziali (acqua, gas, elettricità).
  • Istruzione e formazione professionale: Sistemi di ammissione, valutazione degli esiti di apprendimento o monitoraggio degli studenti.
  • Occupazione e gestione del personale: Sistemi per la selezione dei candidati, la presa di decisioni su relazioni lavorative, l’allocazione di compiti o il monitoraggio dei lavoratori.
  • Servizi essenziali privati e pubblici: Sistemi per la valutazione dell’idoneità a benefici sociali, solvibilità creditizia, rischio assicurativo o gestione delle chiamate di emergenza.
  • Applicazioni delle forze dell’ordine: Valutazione del rischio di vittime/reati, affidabilità delle prove, profilazione.
  • Migrazione, asilo e controllo delle frontiere: Sistemi per la valutazione del rischio di sicurezza o sanitario, esame delle domande di asilo.
  • Amministrazione della giustizia e processi democratici: Sistemi a supporto delle autorità giudiziarie o per influenzare l’esito di elezioni/referendum (escluse campagne amministrative/logistiche).

È importante notare che esistono eccezioni per i sistemi ad alto rischio che non hanno un impatto significativo sull’esito di una decisione, ad esempio se svolgono un compito procedurale ristretto o migliorano un’attività umana già completata.

Modelli e Sistemi di AI per Scopi Generali (GPAI) (da Agosto 2025)

Questi modelli, spesso addestrati su enormi quantità di dati, possono svolgere un’ampia gamma di compiti e possono essere integrati in diversi sistemi di AI, inclusi quelli ad alto rischio. A causa del loro potenziale impatto, sono soggetti a requisiti specifici.

AI Generativa e Chatbot (da Agosto 2026)

Questi sistemi, con cui le persone interagiscono spesso direttamente o attraverso contenuti generati, sono soggetti a specifici obblighi di trasparenza per garantire che gli utenti sappiano quando interagiscono con un’AI o quando il contenuto è stato generato/manipolato artificialmente.

Altri Sistemi di AI

I sistemi di AI che non rientrano nelle categorie precedenti non sono soggetti a requisiti specifici dell’AI Act. Attenzione però: se un utilizzatore (deployer) impiega un sistema di “Altre AI” per un’applicazione ad alto rischio, diventa automaticamente un fornitore (provider) di un sistema di AI ad alto rischio, assumendosi tutti gli obblighi correlati!

2. Che Cos’è “AI” per la Legge? La Definizione Chiave dell’AI Act

Non tutti i sistemi “intelligenti” rientrano nella definizione di AI dell’AI Act. Il regolamento definisce un sistema di AI come:

“un sistema basato su macchina progettato per operare con vari livelli di autonomia e che può esibire adattabilità dopo il dispiegamento e che, per obiettivi espliciti o impliciti, inferisce dagli input che riceve come generare output come previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.”

Gli elementi chiave di questa definizione sono:

• Autonomia: Il sistema deve avere un certo grado di autonomia, anche minimo. Sistemi che richiedono intervento umano per tutte le azioni non rientrano.
• Adattabilità: La capacità di adattarsi dopo il dispiegamento è un indicatore, ma non un elemento decisivo.
• Capacità di Inferire: Non solo generare output durante l’uso, ma anche inferire modelli e algoritmi dai dati durante lo sviluppo.

Cosa rientra:

• Sistemi di Machine Learning (supervisionato, non supervisionato, auto-supervisionato, reinforcement learning, deep learning).
• Approcci basati sulla conoscenza e sulla logica (rappresentazione della conoscenza, programmazione logica induttiva, sistemi esperti).

Cosa non rientra:

• Sistemi basati esclusivamente su regole definite da persone fisiche, con limitata capacità di analisi dei pattern o senza adattamento autonomo dell’output.
• Sistemi progettati per un’intervento umano completo e senza un livello minimo di autonomia.

Anche se un sistema non è classificato come AI secondo l’AI Act, è cruciale valutarne i rischi e adottare misure di mitigazione, poiché altre normative (come il GDPR) potrebbero comunque applicarsi.

3. Il Tuo Ruolo: Fornitore o Utilizzatore (Deployer)?

Una volta compresa la categoria di rischio e se il tuo sistema rientra nella definizione di AI, il passo successivo è identificare il tuo ruolo:

• Fornitore (Provider): È la persona o organizzazione che sviluppa o commissiona lo sviluppo di un sistema o modello di AI e lo immette sul mercato o lo mette in servizio. I fornitori hanno gli obblighi più stringenti.
• Utilizzatore (Deployer): È la persona o organizzazione che utilizza un sistema di AI sotto la propria autorità, escluso l’uso non professionale.

Un punto critico: in alcuni casi, un utilizzatore può diventare il fornitore di un sistema di AI ad alto rischio. Ciò accade se:

• L’utilizzatore appone il proprio nome o marchio sul sistema.
• L’utilizzatore apporta modifiche sostanziali al sistema non previste dal fornitore originale, alterandone la conformità o lo scopo.
• L’utilizzatore utilizza un sistema di AI “non a rischio” per un’applicazione ad alto rischio, trasformando di fatto il proprio ruolo e assumendosi le responsabilità del fornitore.

4. Gli Obblighi: Cosa Fare per Essere Conformi

Gli obblighi variano a seconda della categoria di rischio e del ruolo (fornitore o utilizzatore).

Per le Pratiche di AI Proibite

Semplicemente, non devono essere immesse sul mercato né utilizzate.

Per i Sistemi di AI ad Alto Rischio

Le richieste sono ampie e dettagliate, con scadenze principali da agosto 2026/2027.

Obblighi per i Fornitori:

• Sistema di gestione del rischio: Identificare, analizzare e mitigare i rischi per salute, sicurezza e diritti fondamentali, inclusi gli abusi prevedibili, considerando il contesto d’uso e i gruppi vulnerabili.
• Dati e governance dei dati: Garantire che i dataset di addestramento, validazione e test siano di alta qualità, rappresentativi, privi di errori e bias, con processi di raccolta e trattamento documentati.
• Documentazione tecnica: Dimostrare la conformità all’AI Act con descrizioni dettagliate del sistema, del processo di sviluppo, dei dati utilizzati, del sistema di gestione del rischio e degli standard applicabili (incluso il marchio CE).
• Registrazione (log): Mantenere registri automatici per almeno sei mesi sull’uso del sistema, sui dati di input e sul controllo dei dati.
• Trasparenza e informazione: Fornire istruzioni chiare e complete sull’uso del sistema, le sue capacità, i limiti e le misure di supervisione umana.
• Supervisione umana: Progettare sistemi che possano essere efficacemente supervisionati da persone, con interfacce chiare e formazione obbligatoria per gli operatori.
• Accuratezza, robustezza e cybersecurity: Assicurare un livello appropriato di accuratezza, resilienza agli errori e protezione dagli attacchi informatici (es. avvelenamento dei dati, modelli, input).
• Sistema di gestione della qualità: Implementare un sistema documentato per garantire la conformità all’AI Act, che includa strategie, procedure e misure per lo sviluppo e la garanzia della qualità.
• Monitoraggio: Monitorare il sistema una volta immesso sul mercato per garantire la continua conformità, con piani di monitoraggio e reporting degli incidenti gravi alle autorità.
• Altri requisiti: Registrazione del sistema nel database UE, registrazione dei contatti del fornitore, conservazione della documentazione per 10 anni.

Obblighi per gli Utilizzatori (Deployers):

• Utilizzare il sistema secondo le istruzioni.
• Garantire la supervisione umana da parte di personale competente e formato.
• Assicurare che i dati di input siano rilevanti e rappresentativi.
• Monitorare il funzionamento del sistema.
• Informare il fornitore e cessare l’uso in caso di non conformità.
• Informare le autorità di rischi e incidenti gravi.
• Mantenere un registro degli eventi per almeno sei mesi.
• Informare i rappresentanti dei lavoratori se il sistema è implementato.
• Informare le persone fisiche se vengono prese decisioni che le riguardano.
• Informare le persone sull’uso di AI per riconoscimento delle emozioni o categorizzazione biometrica.

Le organizzazioni governative e gli enti privati che forniscono servizi pubblici hanno obblighi aggiuntivi, come la registrazione dell’uso di sistemi ad alto rischio nel database UE e la conduzione di una valutazione d’impatto sui diritti fondamentali.

Per i Modelli e Sistemi di AI per Scopi Generali (GPAI)

Obblighi principali per i fornitori da agosto 2025.

Obblighi per i Fornitori di modelli GPAI:

• Documentazione tecnica del modello (processo di addestramento e test).
• Informazioni e documentazione per i fornitori a valle (quelli che integrano il modello in altri sistemi).
• Politica per garantire che l’addestramento non violi i diritti d’autore.
• Pubblicazione di un riepilogo dettagliato del contenuto usato per l’addestramento.

Obblighi aggiuntivi per i Fornitori di modelli GPAI con rischi sistemici (es. modelli addestrati con più di 10^25 FLOPs):

• Valutazioni del modello per mappare i rischi sistemici.
• Mitigazione dei rischi sistemici.
• Registrazione e segnalazione degli incidenti gravi all’Ufficio AI.
• Garanzia di una cybersecurity appropriata.

Ricorda: Se sei un utilizzatore che impiega un sistema basato su GPAI per un’applicazione ad alto rischio, diventi un fornitore di AI ad alto rischio e devi rispettare tutti gli obblighi relativi.

Per l’AI Generativa e i Chatbot

Obblighi di trasparenza da agosto 2026.

Obblighi per i Fornitori di chatbot:

• Informare le persone fisiche che stanno interagendo con un sistema di AI.

Obblighi per i Fornitori di AI generativa:

• Contrassegnare l’output (audio, immagini, video, testo) in un formato leggibile dalla macchina per rilevarne la generazione o manipolazione artificiale.

Obblighi per gli Utilizzatori di AI generativa:

• Rendere chiaro che il contenuto è artificialmente generato o manipolato (es. tramite filigrana). Per testi che informano il pubblico su questioni di interesse pubblico, deve essere divulgato che sono generati artificialmente, a meno che non vi sia una revisione editoriale e responsabilità umana.

Conclusione: Prepararsi per un Futuro AI Responsabile

L’AI Act non è solo un insieme di regole, ma un invito a costruire un futuro in cui l’Intelligenza Artificiale sia uno strumento al servizio dell’umanità, sicuro e affidabile. Le scadenze sono vicine e la complessità del regolamento richiede un’azione proattiva.

Comprendere i rischi, classificare correttamente il proprio sistema, definire il proprio ruolo e aderire agli obblighi specifici non è solo una questione di conformità legale, ma un investimento strategico nella fiducia e nell’innovazione responsabile. Questo processo può sembrare un labirinto, ma affrontarlo passo dopo passo, con una chiara comprensione delle proprie responsabilità, è la chiave per navigare con successo nella rivoluzione dell’AI e trasformare le sfide in opportunità.