È partita l’applicazione dell’AI Act, la prima legge al mondo per la regolamentazione dell’intelligenza artificiale. Sebbene il provvedimento sia entrato in vigore nel mese di agosto del 2024, i primi divieti sono diventati effettivi solo da domenica 2 febbraio 2025. Serviranno, ancora, circa 60 provvedimenti per dare attuazione e completare tutto il quadro normativo previsto dal Regolamento 2024/1689.

I divieti dal 2 febbraio

Nello specifico, dal 2 febbraio 2025 sono diventati operativi due gruppi di disposizioni chiave:

1. I divieti relativi a determinate pratiche di AI (art. 5)
2. I requisiti in materia di Alfabetizzazione in materia di AI (art. 4).

L’AI Act identifica specifiche pratiche considerate inaccettabili per il loro impatto sui diritti fondamentali, dettagliate nell’articolo 5. Per il mancato rispetto dei divieti è previsto il più alto tetto sanzionatorio, con multe fino ad un massimo di 35mila euro, o il 7% del fatturato annuo mondiale totale dell’anno finanziario precedente, a seconda di quale sia maggiore.

Le principali categorie di pratiche individuate sono: Tecniche di manipolazione subliminale o ingannevoli; Sfruttamento delle vulnerabilità; Sistemi di social scoring; Identificazione biometrica in tempo reale; Valutazioni del rischio relative a persone fisiche; Categorizzazione biometrica basata su dati sensibili; Riconoscimento delle emozioni in ambito lavorativo; Creazione o ampliamento di banche dati di riconoscimento facciale mediante scraping non mirato.

Andando, invece, all’obbligo di alfabetizzazione sull’IA, l’articolo 4 dell’AI Act introduce un obbligo specifico di garantire un adeguato livello di alfabetizzazione all’AI per il personale coinvolto nell’utilizzo dei sistemi di AI (tutti, non solo quelli proibiti o ad alto rischio).

Da un punto di vista formale, l’obbligo di alfabetizzazione all’AI è applicabile a decorrere dal 2 febbraio 2025, anche se le disposizioni sulla governance e l’enforcement diventano applicabili dal 2 agosto 2025. Questo periodo intermedio offre alle organizzazioni un’opportunità preziosa per progettare e implementare programmi di alfabetizzazione all’AI robusti.

AI Act, gli obiettivi

L’AI Act è nata per evitare che l’IA venga utilizzata per attività contraria ai valori fondamentali dell’Unione Europea, ovvero controlli indiscriminati di massa, influenza sulle opinioni politiche o interferenze nei processi democratici. Il processo legislativo che ha portato alla sua creazione è durato più di tre anni, ma non è diventato subito operativo, anche per consentire agli operatori di adeguarsi alle nuove misure.

Affinché si possa arrivare all’operatività di tutta la disciplina, sono necessari 24 mesi, con una serie di step che si concluderanno ad agosto del 2026. Più elevato è il rischio individuato dall’AI Act che la tecnologia possa in qualche modo violare un diritto degli individui, più attento dovrà essere il sistema di prevenzione e controllo da parte di operatori economici e pubbliche amministrazioni, al fine di escluderlo o minimizzarlo. La disciplina, in tal senso, fissa i livelli di rischio e gli oneri di conformità a seconda degli usi delle tecnologie.

I due anni di tempi serviranno all’UE anche per completare il lavoro di attuazione della disciplina. Sono previsti, infatti:

• atti di esecuzione per assicurare un’applicazione uniforme del Regolamento negli Stati Membri, attraverso l’emanazione di misure pratiche ed operative;
• atti di natura delegata, attraverso cui la Commissione potrà modificare o integrare elementi non essenziali della normativa, per fissare criteri o esempi o, ancora, per chiarire procedure standardizzate;
• linee guida della Commissione con chiarimenti pratici e supporto, affinché gli operatori possano interpretare e applicare correttamente le diverse disposizioni

A oggi, nonostante l’entrata in vigore dell’AI Act, non è ancora completa la struttura di governance del Regolamento, non sono a livello europeo, ma anche nazionale. A livello centrale europeo è stato formalmente costituito l’AI Office, ma i componenti e le sottostrutture sono ancora in fase di definizione. Nel frattempo, i singoli Stati membri dovranno formare sugli argomenti le proprie autorità nazionali: a loro infatti, i compiti fondamentali di vigilanza, enforcement e, soprattutto, attuazione di una disciplina che richiede ancora numerosi interventi e un continuo aggiornamento.

Cosa succederà nei prossimi mesi?

Come abbiamo anticipato, il percorso prevede ancora una serie di step, che porteranno alla completa operatività. Riassumiamo di seguito le varie tappe, con una timeline delle prossime tappe dell’AI Act, sulla base di un focus riportato da Il Sole 24 Ore:

• 2 febbraio 2025
  Divieti – Applicazione delle disposizioni generali e di quelle sulle pratiche vietate come ad esempio le tecniche subliminali di orientamento o il credit scoring.
  Formazione – Obbligo per chi produce e utilizza l’IA di garantire la formazione del personale e di chiunque si occupi del suo funzionamento.
• 2 maggio 2025
  Buone pratiche – Termine entro cui l’IA Office UE deve mettere a punto e facilitare l’adozione di codici di buone pratiche per implementare correttamente i modelli di Ia a fini generali.
• 2 agosto 2025
  Governance – Termine entro cui gli Stati membri devono designare o istituire le autorità nazionali di governance: sia quelle di vigilanza cui spetta sanzionare le violazioni sia le autorità di notifica che verificano la conformità dei processi di certificazione dei sistemi ad alto rischio.
• Report di incidenti gravi – Termine entro cui la Commissione Ue deve emanare le linee guida per la segnalazione di incidenti gravi.
• 2 febbraio 2026
  Piani di monitoraggio – Termine entro cui la Commissione Ue deve emanare gli atti di esecuzione al fine della creazione di un modello di riferimento per la messa a punto dei piani di monitoraggio post- commercializzazione da parte dei fornitori di IA ad alto rischio.
  Applicazione dell’alto rischio – Termine entro cui la Commissione Ue, dopo aver consultato l’European Artificial Intelligence Board, deve fornire le linee guida che esemplificano i casi di utilizzo dei sistemi di alto rischio da parte degli operatori economici al fine di facilitare l’attuazione concreta del Regolamento.
• 2 agosto 2026
  Obblighi per l’alto rischio – Piena applicazione ai sistemi messi in uso dopo il 2 agosto 2026 delle disposizioni contenute nel Regolamento Ue con i relativi obblighi e sanzioni, in base al livello di rischio. Per i sistemi già operativi (a meno che non vengano modificati) è previsto un regime differente.
  Attuazione degli Stati – Termine entro cui gli Stati devono aver definito i criteri di applicazione delle sanzioni e delle altre misure di esecuzione. Termine entro cui gli Stati devono aver istituito almeno uno spazio di sperimentazione dell’Ia (sandbox) che consente lo sviluppo da parte degli operatori economici di sistemi ad alto rischio nel rispetto delle regole UE. Immagine di freepik.