Ai act: cos’è e come plasma l’intelligenza artificiale in Europa

L’AI Act è il primo corpus normativo organico a livello mondiale che disciplina l’intelligenza artificiale, entrato ufficialmente in vigore il 1° agosto 2024. Si tratta di un regolamento presentato dalla Commissione Europea nel 2021 con l’obiettivo di creare un quadro normativo armonizzato per l’IA nell’Unione Europea. I suoi obiettivi principali sono garantire che l’IA sia sviluppata e utilizzata in modo sicuro, etico e rispettoso dei diritti fondamentali, promuovere l’innovazione e la competitività nel settore, assicurando al contempo la protezione dei consumatori, dei lavoratori e dei cittadini. L’AI Act si basa su un approccio basato sul rischio, classificando i sistemi di IA in base al livello di rischio che presentano per le persone e la società.

L’AI Act classifica i sistemi di IA in quattro categorie di rischio, con obblighi differenziati per ciascuna:

1. Rischio inaccettabile: sistemi proibiti come il social scoring, le tecniche subliminali finalizzate a condizionare il comportamento, il riconoscimento biometrico in tempo reale negli spazi pubblici e la classificazione automatica di caratteristiche sensibili.

2. Alto rischio: sistemi che impattano su diritti, sicurezza o condizioni di vita, come quelli usati per selezione del personale, valutazione delle prestazioni, accesso a servizi essenziali o identificazione biometrica. Questi devono rispettare requisiti stringenti su qualità dei dati, documentazione tecnica, supervisione umana e sicurezza.

3. Rischio limitato: sistemi soggetti a obblighi di trasparenza, come chatbot o generatori di contenuti, che devono informare gli utenti della loro natura artificiale.

4. Rischio minimo o nullo: sistemi non soggetti a obblighi specifici dell’AI Act, ma comunque tenuti a rispettare le leggi generali applicabili come quelle sulla protezione dei dati o sui diritti dei consumatori.

L’AI Act prevede un’applicazione graduale delle sue disposizioni:

– 1° agosto 2024: entrata in vigore ufficiale del regolamento
– 2 febbraio 2025: applicazione dei divieti relativi ai sistemi proibiti (rischio inaccettabile) e obbligo di AI literacy
– 2 agosto 2025: entrata in vigore delle regole sui modelli GPAI (General Purpose AI), governance istituzionale e regime sanzionatorio

Per i sistemi ad alto rischio, la timeline è attualmente in discussione con il Digital Omnibus che propone un rinvio condizionato: gli obblighi high-risk non scatterebbero più a data fissa, ma sei o dodici mesi dopo la conferma di “misure adeguate a supporto della conformità”. Le date limite invalicabili sarebbero il 2 dicembre 2027 per i sistemi dell’Allegato III e il 2 agosto 2028 per quelli dell’Allegato I. Questa modifica è motivata dal ritardo negli standard del CEN-CENELEC e nella designazione delle autorità competenti da parte degli Stati membri.

Le aziende che utilizzano sistemi di IA ad alto rischio devono rispettare diversi obblighi previsti principalmente dall’articolo 26 dell’AI Act:

1. Utilizzare il sistema in conformità alle istruzioni del fornitore e adottare misure tecniche e organizzative adeguate
2. Garantire supervisione umana con personale competente e formato in grado di monitorare il sistema e intervenire in caso di anomalie
3. Assicurare che i dati di input siano pertinenti, rappresentativi e privi di pregiudizi
4. Monitorare costantemente il funzionamento del sistema e interromperne l’uso in caso di rischi
5. Mantenere tracciabilità conservando i registri di funzionamento (log) per almeno sei mesi
6. Informare preventivamente lavoratori e rappresentanze sindacali prima dell’adozione di sistemi che possano incidere sul rapporto di lavoro
7. Condurre una Valutazione d’impatto sui diritti fondamentali (FRIA) in determinati casi

Le sanzioni per violazioni possono arrivare fino a 35 milioni di euro o al 7% del fatturato annuo globale, rendendo essenziale un approccio strutturato alla governance, fondato su trasparenza, responsabilità e tutela dei diritti.

L’AI Act vieta espressamente alcune pratiche di intelligenza artificiale considerate a rischio inaccettabile, che saranno proibite sei mesi dopo l’entrata in vigore del regolamento (dal 2 febbraio 2025):

1. Sistemi di social scoring che valutano le persone sulla base del loro comportamento sociale
2. Tecniche di manipolazione subliminale finalizzate a condizionare il comportamento delle persone
3. Riconoscimento biometrico in tempo reale negli spazi pubblici (con limitate eccezioni per motivi di sicurezza)
4. Classificazione automatica di caratteristiche sensibili come etnia, convinzioni religiose o orientamento politico
5. Sistemi che sfruttano vulnerabilità specifiche di gruppi di persone dovute all’età o alla disabilità
6. Sistemi di polizia predittiva basati sulla profilazione

Le aziende devono verificare che i sistemi in uso non rientrino tra queste tecnologie proibite. Le sanzioni per l’utilizzo consapevole di sistemi vietati sono particolarmente severe, con aggravanti specifiche previste dal regime sanzionatorio.

L’AI Act dedica particolare attenzione ai modelli di IA per finalità generali (GPAI), come ChatGPT, Claude o Gemini, con regole specifiche applicabili dal 2 agosto 2025. I fornitori di questi modelli devono:

1. Garantire trasparenza sui dati di addestramento e sul funzionamento del modello
2. Rispettare il diritto d’autore sui contenuti utilizzati per l’addestramento
3. Implementare misure di sicurezza contro potenziali abusi o rischi sistemici
4. Etichettare chiaramente i contenuti generati artificialmente

Per facilitare l’adeguamento, la Commissione europea ha pubblicato il 10 luglio 2025 la versione finale del General-Purpose AI Code of Practice, uno strumento giuridico ad adozione volontaria che fornisce modelli e soluzioni per adempiere concretamente agli obblighi. Le aziende che aderiscono a questo codice possono beneficiare di un regime di conformità semplificato, rafforzando il senso di responsabilizzazione degli operatori della catena di valore dell’IA.

L’AI Act prevede importanti obblighi di trasparenza, in particolare per i sistemi a rischio limitato, che si applicano dal 2 agosto 2026 (con alcune eccezioni):

1. Informare gli utenti quando stanno interagendo con un sistema di IA (come chatbot o assistenti virtuali)
2. Rendere evidente se un contenuto (testo, immagine, audio o video) è stato generato o manipolato artificialmente
3. Etichettare chiaramente i deepfake e altri contenuti sintetici
4. Fornire informazioni pertinenti sulle caratteristiche e limitazioni del sistema di IA

Per i sistemi ad alto rischio, gli obblighi di trasparenza sono ancora più stringenti e includono la necessità di fornire documentazione tecnica dettagliata, istruzioni per l’uso comprensibili e informazioni sul funzionamento del sistema. Nel contesto lavorativo, è obbligatorio informare preventivamente i lavoratori e le rappresentanze sindacali prima dell’adozione di sistemi di IA che possano incidere sul rapporto di lavoro, descrivendo le caratteristiche, finalità e impatti potenziali del sistema.

L’AI Act si integra con il GDPR e altre normative europee creando un ecosistema normativo coerente per la governance digitale. Alcuni punti chiave di questa integrazione:

1. La Valutazione d’impatto sui diritti fondamentali (FRIA) prevista dall’AI Act è analoga alla Valutazione d’impatto sulla protezione dei dati (DPIA) del GDPR. Se un ente ha già fatto la DPIA per un sistema di IA ad alto rischio, può recepirla nella FRIA.

2. Gli obblighi di trasparenza dell’AI Act si aggiungono a quelli informativi del GDPR (articoli 13 e 14), richiedendo di informare gli interessati non solo sul trattamento dei dati ma anche sull’uso di sistemi di IA.

3. Per decisioni automatizzate, si applicano sia l’art. 22 del GDPR (diritto alla revisione umana) sia i requisiti di supervisione umana dell’AI Act.

4. Come il GDPR, l’AI Act adotta un principio di extraterritorialità, applicandosi a fornitori e operatori situati fuori dall’UE quando l’output del sistema viene utilizzato in Europa, replicando il Brussels Effect che ha reso il GDPR uno standard globale.

L’AI Act prevede un sistema di sanzioni particolarmente severo per le violazioni, applicabile dal 2 agosto 2025:

– Per violazioni dei divieti o dei requisiti relativi ai dati: fino a 35 milioni di euro o il 7% del fatturato annuo globale dell’azienda, a seconda di quale importo sia maggiore

– Per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità nazionali competenti: fino a 15 milioni di euro o il 3% del fatturato annuo globale

– Per altre violazioni: fino a 7,5 milioni di euro o l’1,5% del fatturato annuo globale

Sono previste aggravanti per l’utilizzo consapevole di sistemi vietati o per la mancata adozione di misure correttive. Le sanzioni possono essere imposte dalle autorità nazionali competenti, che cooperano tra loro e con la Commissione europea attraverso il Comitato europeo per l’intelligenza artificiale. Gli Stati membri devono garantire che le persone colpite da violazioni abbiano accesso a vie di ricorso effettive e giusti rimedi.

Per essere conformi all’AI Act, le aziende dovrebbero adottare un approccio strutturato:

1. Creare un inventario di tutti i sistemi di IA in uso, sviluppo o acquisizione, classificandoli per ruolo (provider, deployer, importatore) e livello di rischio

2. Implementare una governance integrata che intersechi GDPR, NIS2, Cyber Resilience Act e altre normative correlate

3. Adottare un approccio “design for compliance” per i nuovi progetti di IA, integrando fin dall’inizio requisiti come tracciabilità e supervisione umana

4. Definire ruoli e responsabilità chiare, considerando figure come Chief AI Officer (CAIO), Responsible AI Officer (RAIO), o un Comitato AI

5. Garantire la formazione del personale sull’IA (AI literacy), come richiesto dal regolamento

6. Predisporre sistemi di monitoraggio e documentazione per dimostrare la conformità

Non è necessario creare intere nuove strutture, ma è fondamentale sviluppare competenze e integrare le funzioni esistenti (compliance, legale, IT, DPO) in un modello organizzativo strutturato che garantisca trasparenza, responsabilità e tutela dei diritti.

Regioni ed enti locali che utilizzano sistemi di IA sono soggetti a obblighi specifici, soprattutto se impiegano sistemi ad alto rischio come quelli per l’accesso ai servizi pubblici, la valutazione dell’idoneità a ricevere assistenza pubblica, o la gestione delle risorse:

1. Devono registrarsi nella banca dati UE prima di mettere in servizio un sistema ad alto rischio, selezionando il sistema prescelto e attestandone l’uso

2. Sono tenuti a effettuare una Valutazione d’impatto sui diritti fondamentali (FRIA) prima del primo utilizzo di un sistema ad alto rischio

3. Devono garantire supervisione umana, con personale competente in grado di monitorare il sistema e intervenire in caso di anomalie

4. Sono responsabili del monitoraggio del sistema e dell’interruzione del suo uso in caso di rischi per la sicurezza o i diritti fondamentali

5. Devono mantenere registri di funzionamento (log) per almeno sei mesi

Se apportano modifiche sostanziali a un sistema già in uso, gli enti pubblici possono essere considerati essi stessi fornitori, con tutti gli obblighi conseguenti. La Commissione UE ha pubblicato Clausole Contrattuali Modello non vincolanti (MCC-AI) che possono essere utilizzate negli appalti pubblici di sistemi di intelligenza artificiale.

La Legge 132/2025, entrata in vigore il 10 ottobre 2025, si innesta sull’AI Act europeo e ne traduce i principi in ambito nazionale, con particolare attenzione al settore sanitario:

1. Stabilisce che i sistemi di IA in sanità devono operare nel rispetto dei diritti della persona e dei principi di protezione dei dati, garantendo affidabilità e verifiche periodiche

2. Qualifica le attività di ricerca e sperimentazione con IA come di rilevante interesse pubblico, autorizzando l’uso secondario di dati privi di identificativi diretti

3. Affida ad AGENAS il compito di definire linee guida per anonimizzazione, pseudonimizzazione e tecniche di sintesi dei dati

4. Introduce gli “spazi speciali di sperimentazione a fini di ricerca” (sandbox regolatorie) per testare soluzioni di IA in ambienti controllati

5. Istituisce la piattaforma nazionale di intelligenza artificiale per l’assistenza territoriale, gestita da AGENAS

6. Chiarisce che i sistemi di IA rappresentano un supporto alle attività cliniche ma non sostituiscono la decisione medica

7. Introduce il reato di deepfake (art. 613-quater c.p.) e rafforza il nesso con il Modello 231

Questa legge rappresenta una base solida per lo sviluppo dell’IA in sanità, bilanciando innovazione e protezione delle persone.

L’AI Act affronta diverse critiche e sfide significative:

1. Complessità normativa: con 113 articoli preceduti da 180 premesse, è un testo ostico anche per gli esperti, che rischia di creare incertezza interpretativa

2. Tempistiche incerte: il Digital Omnibus propone modifiche alle scadenze applicative, creando confusione per le imprese che devono pianificare l’adeguamento

3. Ritardi implementativi: la Commissione non ha rispettato la deadline del 2 febbraio 2026 per le linee guida sui sistemi ad alto rischio, e molti Stati membri non hanno ancora designato le autorità competenti

4. Tensione tra innovazione e regolamentazione: alcuni critici sostengono che gli obblighi di conformità potrebbero ostacolare l’implementazione dell’IA e rallentare l’innovazione

5. Pressioni geopolitiche: il “Brussels Effect” che ha reso il GDPR uno standard globale potrebbe non ripetersi con l’AI Act, a causa delle pressioni politiche internazionali e della competizione con USA e Cina

6. Gold-plating: la prassi degli Stati di aggiungere norme nazionali ulteriori rischia di frammentare il quadro normativo

Nonostante queste criticità, l’AI Act rappresenta un tentativo ambizioso di governance by rule of law in campo tecnologico, inserito in una più ampia strategia costituzionale digitale europea.