L’entrata in vigore del Regolamento (UE) 2024/1689 e la sua applicazione
Il REGOLAMENTO (UE) 2024/1689 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale), comunemente noto come Artificial Intelligence Act (AI Act) è il primo intervento di portata generale del legislatore europeo in materia di Intelligenza Artificiale.
Il provvedimento vede il contemperamento degli interventi innovativi nel campo dell’Intelligenza Artificiale e degli interventi intesi a favorirne lo sviluppo con la necessaria tutela e il rispetto dei diritti fondamentali e delle libertà dei cittadini europei. Se, difatti, sono innegabili i benefici conseguenti all’applicazione dell’IA nei diversi settori, dalla sanità, alla ricerca scientifica, al mondo del lavoro, altrettanto innegabile è l’aumento del rischio di eventi dannosi nascenti dal suo utilizzo illegittimo.
Il Regolamento europeo, in quanto norma sovraordinata, è direttamente applicabile in tutti gli Stati membri, è entrato in vigore il ventesimo giorno dalla pubblicazione nella Gazzetta Ufficiale dell’Unione europea e si applicherà a decorrere dal 2 agosto 2026.
Per alcuni complessi normativi, tuttavia, il legislatore europeo ha previsto un termine diverso per l’applicabilità, in particolare:
- i Capi I (Disposizioni generali) e II (Pratiche di IA vietate) sono entrati in vigore il 2 febbraio di quest’anno (02/02/2025);
- i Capi III sez. 4 (Sistemi di IA ad alto rischio – Autorità di notifica e organismi notificati), V (Modelli di IA per finalità generali), VII (Governance), XII (Sanzioni) e l’art. 78 (Riservatezza), saranno applicabili a partire dal 2 agosto prossimo (02/08/2025);
- l’art. 6 par. 1 (Regole di classificazione per i sistemi di IA ad alto rischio) e i corrispondenti obblighi si applicheranno a decorrere dal 02/08/2027.
Prima di esaminare più nello specifico la normativa appena entrata in vigore, si ritiene opportuno effettuare un rapido riepilogo dei capisaldi della normativa europea sull’Intelligenza Artificiale contenuta nel Reg. UE 2024/1689.
I principali temi affrontati dall’Artificial Intelligence Act
Il corpus normativo si svolge affrontando i temi ritenuti di primaria rilevanza.
- Esenzioni
Anzitutto e opportuno evidenziare che sono previste delle esenzioni: il Regolamento non si applica, ad esempio, in caso di utilizzo dell’IA nei settori della difesa e sicurezza nazionale.
- A livelli di rischio diversi corrispondono regole diverse
Il legislatore europeo distingue diversi livelli di rischio a seconda del grado di pericolosità ed in funzione di esso regola i requisiti e gli obblighi da rispettare per ottenere l’accesso al mercato europeo.
In caso di rischio limitato sono previsti obblighi di trasparenza limitati. Un esempio in tal senso è l’Intelligenza Artificiale generativa, in caso di utilizzo della quale devono essere rispettati soprattutto obblighi informativi, per rendere consapevoli gli utenti che si trovano in presenza di elaborazioni di dati frutto di IA.
Il rischio è alto quando i sistemi di Intelligenza Artificiale incidono sulla sicurezza o sui diritti fondamentali in maniera negativa. In tal caso si distingue a seconda che tali sistemi di IA siano utilizzati in prodotti soggetti a specifiche normative europee (ad esempio le normative in materia di giocattoli), o che rientrino nell’ambito di specifici settori (ad esempio istruzione e formazione professionale e occupazione, gestione dei lavoratori e accesso al lavoro autonomo), nel qual caso dovranno essere registrati in un’apposita banca dati.
Tutti i sistemi di IA ad altro rischio sono soggetti a controlli preventivi e a eventuali reclami, che i cittadini potranno rivolgere alle Autorità nazionali competenti.
Quando il livello di rischio diviene inaccettabile le applicazioni di Intelligenza Artificiale sono vietate. Esempi di situazioni appartenenti a questa tipologia sono l’IA con punteggio sociale, che classifica le persone in base alla situazione socioeconomica o a caratteristiche e comportamenti personali, e l’IA per il riconoscimento facciale nei luoghi pubblici.
- Sostegno all’innovazione e alle start-up dell’Intelligenza artificiale
Il Regolamento dispone che le autorità nazionali forniscano alle imprese un ambiente controllato per lo sviluppo, il test e la convalida di sistemi di IA innovativi, in modo da consentire la sperimentazione di sistemi di Intelligenza Artificiale innovativi che simulino condizioni vicine a quelle reali.
- Apparato sanzionatorio
L’AI Act prevede un sistema di sanzioni amministrative pecuniarie che vanno da un minimo a un massimo edittale, determinati in funzione della gravità dell’illecito, purché risultino concretamente effettive, proporzionate e dissuasive.
È rimessa agli Stati membri la facoltà di prevedere a livello nazionale altre tipologie di sanzioni, come avvertimenti, sanzioni amministrative non pecuniarie e sanzioni penali.
Le pratiche di IA vietate
L’articolo 5 del Regolamento, che da solo ne compone il Capo II, divenuto applicabile dal 2 febbraio 2025, si apre con un elenco di attività qualificate come pratiche vietate:
- immissione sul mercato, messa in servizio o uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole o tecniche volutamente manipolative o ingannevoli aventi lo scopo o l’effetto di distorcere materialmente il comportamento di una persona o di un gruppo di persone, pregiudicandone le capacità decisionali, quando ciò provochi o sia idoneo a provocare un danno significativo alla stessa o ad altra persona o a un gruppo di persone;
- immissione sul mercato, messa in servizio o uso di un sistema di IA che sfrutta le vulnerabilità di una persona fisica o di uno specifico gruppo di persone, dovute all’età, alla disabilità o a una specifica situazione sociale o economica, con l’obiettivo o l’effetto di distorcere materialmente il comportamento di tale persona o di una persona che appartiene a tale gruppo, con la conseguenza che da esso possa derivare o di fatto derivi un danno significativo alla stessa o ad altra persona;
- immissione sul mercato, messa in servizio o uso di un sistema di IA per la valutazione o la classificazione delle persone fisiche o di gruppi di persone per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note, inferite o previste, quando il conseguente punteggio sociale è idoneo a dare luogo a un trattamento pregiudizievole o sfavorevole di determinate persone o gruppi di persone in contesti sociali diversi da quelli in cui dati ed informazioni sono stati raccolti e/o quando tale trattamento risulti ingiustificato o sproporzionato rispetto al comportamento sociale o alla sua gravità;
- immissione sul mercato, messa in servizio o uso di un sistema di IA per effettuare valutazioni del rischio relative a persone fisiche al fine di valutare o prevedere il rischio che una persona fisica commetta un reato, unicamente sulla base della profilazione di una persona fisica o della valutazione dei tratti e delle caratteristiche della personalità;
- immissione sul mercato, messa in servizio o uso di un sistema di IA che crei o ampli le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso;
- immissione sul mercato, messa in servizio o uso di un sistema di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione, tranne i casi in cui tale impiego sia fondato su motivi di salute o di sicurezza;
- immissione sul mercato, messa in servizio o uso di un sistema di IA di categorizzazione biometrica che classifica individualmente le persone fisiche sulla base dei loro dati biometrici per trarre deduzioni o inferenze in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale;
- l’uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto, con tre significative eccezioni, e cioè quando l’impiego di tali sistemi sia necessario 1) per la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, o di persone scomparse; 2) per la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone fisiche o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico; 3) per la localizzazione o l’identificazione di una persona sospettata di aver commesso un reato di particolare gravità, quando tali sistemi siano impiegati per lo svolgimento delle indagini da parte degli inquirenti, o per l’esercizio di un’azione penale o per l’esecuzione di una sanzione penale.
Il ricorso a un sistema di identificazione biometrica remota «in tempo reale» è in ogni caso subordinato allo svolgimento di precisi adempimenti e all’autorizzazione vincolante rilasciata da un’autorità giudiziaria o da un’autorità amministrativa indipendente dello stato membro in cui tale attività deve svolgersi e deve essere notificato all’autorità nazionale di vigilanza del mercato e all’autorità garante per la protezione dei dati personali. È lasciata agli stati membri la facoltà di introdurre regole più restrittive.
Le Linee guida della Commissione UE del 04/02/2025
Finalità dichiarata della Commissione UE è fornire un quadro chiaro e corredato da significativi esempi di quelle che devono essere considerate pratiche di IA vietate per l’elevato profilo di rischio e in quanto anche solo potenzialmente lesive dei diritti e dei valori fondamentali dell’Unione.
Il documento prende avvio dalla distinzione tra software tradizionali e sistemi di IA, ai quali ultimi soltanto si applica il Regolamento 2024/1689, proseguendo, poi con il richiamo della classificazione dei sistemi di IA in base al grado di rischio, evidenziando la fragilità del confine tra pratiche qualificabili ad alto rischio e pratiche vietate in funzione dell’utilizzo concreto.
Il nucleo centrale delle Linee guida è costituito dall’esame analitico delle singole tipologie di pratiche di IA vietate, corredate da esempi concreti a scopo chiarificatore.
La Commissione, infine, pur tenendo conto che il Regolamento è ancora in fase di attuazione, invita già da subito i fornitori e i deployer di sistemi di IA a verificare il rispetto delle prescrizioni normative prima di immettere tali sistemi sul mercato, assicurandosi in particolare che non integrino pratiche vietate.
Le Linee guida della Commissione, seppure non sono vincolanti, si presentano, quindi, come un importante documento nel quadro interpretativo ed applicativo del AI Act, in quanto hanno la rilevante funzione di fornire chiarimenti legali ed esempi concreti al fine di favorire l’efficace ed uniforme applicazione della normativa regolamentare in tutti gli stati membri.