AI Act: Il Regolamento Europeo sull’Intelligenza Artificiale Spiegato alle Aziende

L’AI Act (Regolamento (UE) 2024/1689) è la prima legislazione al mondo che disciplina in modo organico l’intelligenza artificiale. Approvato definitivamente dal Parlamento Europeo nel marzo 2024 e pubblicato in Gazzetta Ufficiale nell’agosto dello stesso anno, il regolamento stabilisce un quadro normativo basato sul rischio che ogni azienda europea — comprese le PMI italiane — deve conoscere e rispettare. In questo articolo analizziamo i punti chiave dell’AI Act e come prepararsi alla sua piena applicazione.

Le Origini e gli Obiettivi dell’AI Act

L’AI Act nasce dalla necessità di bilanciare l’innovazione tecnologica con la protezione dei diritti fondamentali dei cittadini europei. L’Unione Europea ha scelto un approccio basato sul rischio: maggiore è il potenziale danno di un sistema AI, più stringenti sono le regole da rispettare. L’obiettivo non è frenare lo sviluppo dell’AI, ma creare un mercato unico dell’intelligenza artificiale sicuro e affidabile, dove i cittadini possano fidarsi della tecnologia e le aziende possano innovare con certezza giuridica.

Il regolamento si applica a qualsiasi fornitore (provider) che sviluppa o immette sul mercato sistemi di AI nell’UE, a qualsiasi deployer (utilizzatore) che impiega sistemi AI nella propria attività, e anche a fornitori extra-UE il cui output viene utilizzato nell’Unione. Questo significa che un’azienda italiana che utilizza ChatGPT, Microsoft Copilot o qualsiasi altro strumento AI è soggetta agli obblighi previsti per i deployer.

Le Quattro Categorie di Rischio

Il cuore dell’AI Act è la classificazione dei sistemi AI in quattro livelli di rischio:

Rischio inaccettabile: sistemi AI vietati nell’UE. Includono il social scoring, la sorveglianza biometrica di massa in tempo reale negli spazi pubblici (con eccezioni per sicurezza), la manipolazione subliminale del comportamento e lo sfruttamento di vulnerabilità di gruppi specifici.

Rischio alto: sistemi AI soggetti a obblighi rigorosi. Rientrano in questa categoria i sistemi per il recruiting, il credit scoring, la valutazione assicurativa, i dispositivi medici, la gestione delle infrastrutture critiche e l’istruzione. Devono rispettare requisiti di trasparenza, documentazione, supervisione umana, accuratezza e cybersicurezza.

Rischio limitato: sistemi con obblighi di trasparenza. I chatbot devono dichiarare di essere AI, i sistemi di generazione contenuti devono etichettare i contenuti come generati artificialmente, e i sistemi di riconoscimento emotivo devono informare gli utenti.

Rischio minimo: tutti gli altri sistemi AI come filtri spam, videogiochi con AI e sistemi di raccomandazione. Nessun obbligo specifico, ma si incoraggiano codici di condotta volontari.

Obblighi Concreti per le Aziende Italiane

Per le PMI italiane, gli obblighi variano in base al ruolo assunto:

• Come deployer di AI ad alto rischio: obbligo di supervisione umana, monitoraggio del funzionamento, conservazione dei log per almeno 6 mesi, valutazione d’impatto sui diritti fondamentali (FRIA) e informare i rappresentanti dei lavoratori quando l’AI è usata in ambito HR.
• Come deployer di AI a rischio limitato: obbligo di informare gli utenti che stanno interagendo con un sistema AI e di etichettare i contenuti generati artificialmente.
• Come provider di sistemi AI: obblighi molto più estesi tra cui valutazione di conformità, marcatura CE, documentazione tecnica, sistema di gestione della qualità e registrazione nella banca dati UE.

Le sanzioni per inadempienza sono significative: fino a 35 milioni di euro o il 7% del fatturato annuo globale per le violazioni più gravi, fino a 15 milioni o 3% per la violazione degli obblighi degli operatori. Per le PMI e startup sono previste sanzioni proporzionalmente ridotte.

Il Calendario di Applicazione

L’AI Act segue un calendario graduale:

1. Febbraio 2025: divieto dei sistemi a rischio inaccettabile e obblighi di alfabetizzazione AI.
2. Agosto 2025: obblighi per i modelli GPAI e nomina delle autorità nazionali di vigilanza.
3. Agosto 2026: piena applicazione degli obblighi per i sistemi ad alto rischio.
4. Agosto 2027: obblighi per i sistemi AI integrati in prodotti già regolamentati.

Come Prepararsi: Guida Pratica

Ecco i passi concreti per ogni azienda italiana:

1. Inventario AI: mappare tutti i sistemi di intelligenza artificiale utilizzati in azienda.
2. Classificazione del rischio: determinare il livello di rischio per ogni sistema secondo le categorie dell’AI Act.
3. Alfabetizzazione AI: formare il personale che utilizza o supervisiona sistemi AI (obbligo già attivo).
4. Documentazione: predisporre la documentazione tecnica e i registri richiesti.
5. Governance: nominare un responsabile della compliance AI e integrare la gestione nei processi aziendali esistenti.

Hai bisogno di supporto per la compliance all’AI Act? G Tech Group offre consulenza specializzata in normativa AI e implementazione dei requisiti del regolamento europeo. Contattaci a su*****@********up.it o via WhatsApp al 0465 84 62 45.