L’Unione europea ha introdotto due regolamenti fondamentali che mirano a regolare l’innovazione tecnologica in modo da garantire la sicurezza, la protezione dei diritti fondamentali e il funzionamento armonizzato del mercato interno.
Indice degli argomenti
Due regolamenti europei per un digitale sicuro: AI Act e Cyber Resilience Act
Si tratta del Regolamento UE 2024/1689, noto come AI Act, che stabilisce regole armonizzate sull’intelligenza artificiale, e del Regolamento UE 2024/2847, denominato Cyber Resilience Act, che introduce requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali. Entrambe le normative rappresentano un passo importante verso un ecosistema digitale affidabile e resiliente.
L’AI Act, approvato il 13 giugno 2024, si concentra sulla promozione di un’intelligenza artificiale antropocentrica e affidabile, capace di contribuire al benessere della società senza compromettere la salute, la sicurezza o i diritti fondamentali dei cittadini.
Esso stabilisce un quadro giuridico uniforme per lo sviluppo, la commercializzazione e l’utilizzo dei sistemi di intelligenza artificiale all’interno dell’Unione europea, tenendo conto della rapida evoluzione tecnologica in questo settore. D’altra parte, il Cyber Resilience Act, adottato il 23 ottobre 2024, affronta le vulnerabilità associate ai prodotti digitali, imponendo obblighi per garantire che sia gli hardware sia i software siano sicuri durante tutto il loro ciclo di vita, dalla progettazione alla dismissione.
Questi regolamenti convergono in molteplici aspetti, specialmente per quanto riguarda i sistemi di intelligenza artificiale che incorporano elementi digitali soggetti a requisiti di cybersicurezza.
Il quadro normativo dell’AI Act: struttura, obiettivi e approccio basato sul rischio
L’AI Act rappresenta il primo quadro giuridico completo a livello globale dedicato specificamente all’intelligenza artificiale.
La normativa europea mira a migliorare il funzionamento del mercato interno promuovendo l’adozione di un’intelligenza artificiale antropocentrica e affidabile, che rispetti i diritti fondamentali e i valori dell’Unione europea. Esso stabilisce regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso di sistemi di intelligenza artificiale, con un’attenzione particolare ai sistemi “ad alto rischio”. Più in particolare, si sottolinea la necessità di un quadro uniforme per affrontare le differenze negli approcci nazionali che potrebbero frammentare il mercato interno.
L’intelligenza artificiale, definita come una tecnologia in rapida evoluzione, offre benefici in settori quali la sanità, l’agricoltura, l’istruzione e la finanza, ma pone anche rischi significativi per la stessa salute, la sicurezza e i diritti fondamentali. Sicché il regolamento classifica i sistemi di intelligenza artificiale in base al livello di rischio, imponendo obblighi proporzionati che vanno dai divieti per le pratiche inaccettabili ai requisiti rigorosi per quelli “ad alto rischio”, fino a obblighi di trasparenza per i sistemi a rischio limitato. Si evidenzia l’importanza di un approccio antropocentrico, dove l’intelligenza artificiale è al servizio delle persone e della società. Esso promuove l’innovazione responsabile, garantendo che i sistemi di intelligenza artificiale siano sviluppati e utilizzati in modo da minimizzare i pregiudizi e le discriminazioni.
Inoltre, il regolamento integra elementi di governance, come la creazione di autorità nazionali di sorveglianza e un comitato europeo per l’intelligenza artificiale, per assicurare un’applicazione coerente in tutti gli Stati membri. Un aspetto importante è la gestione dei rischi associati all’intelligenza artificiale. Secondo la normativa è necessario introdurre misure per mitigare gli impatti negativi, come i pregiudizi algoritmici o le manipolazioni, attraverso le valutazioni di impatto e i requisiti di qualità dei dati.
Il regolamento richiede infatti che i fornitori di sistemi “ad alto rischio” implementino i sistemi di gestione del rischio, monitorino le performance e forniscano una documentazione tecnica adeguata. Questo approccio non solo protegge i consumatori ma favorisce anche la fiducia nel mercato, incoraggiando investimenti in tecnologie con l’intelligenza artificiale affidabili.
Governance, GPAI e sandboxes: gli strumenti dell’AI Act per l’innovazione responsabile
Inoltre, si affronta il tema dell’interazione con altre normative UE, come il GDPR per la protezione dei dati, enfatizzando la complementarietà. L’AI Act integra il GDPR, garantendo che i sistemi di intelligenza artificiale rispettino standard elevati in termini di privacy e di non discriminazione. Per i modelli di intelligenza artificiale di uso generale, come quelli fondazionali, “GPAI – General-Purpose Artificial Intelligence”, il regolamento introduce obblighi specifici per gestire rischi sistemici, inclusi i test e le valutazioni per prevenire abusi. Si pone l’accento anche sulla promozione dell’innovazione.
L’UE mira infatti a creare un ambiente favorevole per le startup e le PMI, fornendo sandboxes regolatori, “recinti sicuri” dove sia le aziende sia gli enti pubblici possono testare nuovi prodotti, servizi o tecnologie innovative con l’intelligenza artificiale sotto la supervisione di un’autorità di controllo. Questo bilancia la regolamentazione con la necessità di competitività globale, assicurando che l’Europa rimanga leader nell’intelligenza artificiale etica. Dunque, nel complesso, l’AI Act adotta un approccio basato sul rischio, che classifica i sistemi in quattro categorie, ovvero, inaccettabile, alto, limitato e minimo.
Per i sistemi definiti “ad alto rischio”, come quelli impiegati nelle infrastrutture critiche o nel settore del reclutamento, sono previsti requisiti rigorosi, quali conformità specifiche, valutazioni d’impatto “assessment”, l’apposizione della marcatura CE e l’iscrizione in database pubblici. Questo sistema assicura sia la trasparenza che l’accountability, intesa proprio come una “responsabilità trasparente”, minimizzando così il rischio di potenziali danni.
Il quadro normativo del Cyber Resilience Act: sicurezza by design per i prodotti digitali
Il Regolamento UE 2024/2847, o Cyber Resilience Act, introduce invece requisiti orizzontali di cybersecurity per i prodotti con elementi digitali, coprendo sia l’hardware sia il software.
Pubblicato il 20 novembre 2024, il regolamento risponde alla crescente dipendenza dalla tecnologia digitale e alla proliferazione di vulnerabilità che minacciano la sicurezza del mercato interno. Il Cyber Resilience Act mira infatti a stabilire un livello elevato di cybersicurezza, affrontando il tema delle possibili lacune come per esempio eventuali aggiornamenti insufficienti e la mancanza di trasparenza sulle vulnerabilità.
Il Regolamento richiede che i produttori integrino la sicurezza by design e by default, garantendo che i prodotti siano resilienti contro gli attacchi informatici durante tutto il ciclo di vita. Si sottolinea inoltre l’importanza di un mercato interno armonizzato, prevenendo le frammentazioni dovute alle normative nazionali divergenti.
I prodotti digitali, inclusi dispositivi IoT “l’internet delle cose”, software e i componenti embedded “integrati”, devono soddisfare dei requisiti essenziali di sicurezza, come la gestione delle vulnerabilità, la crittografia e la protezione contro gli accessi non autorizzati.
Notifica delle vulnerabilità, aggiornamenti e integrazione con la NIS2
Un altro elemento centrale è l’obbligo di notifica delle vulnerabilità. Si impone infatti ai produttori di segnalare gli incidenti e le vulnerabilità sfruttate attivamente alle autorità competenti, promuovendo una risposta rapida e coordinata. Inoltre, i prodotti devono essere accompagnati da una idonea documentazione che informi gli utenti sui rischi e sulle misure di mitigazione, migliorando la consapevolezza e la resilienza complessiva. Il regolamento classifica i prodotti in base alla criticità, ovvero, quelli critici, come i software per le infrastrutture essenziali, sono soggetti a valutazioni di conformità più rigorose, inclusi audit terzi.
Si evidenzia la necessità di aggiornamenti di sicurezza per un periodo ragionevole, contrastando l’obsolescenza programmata e garantendo una protezione a lungo termine. Per favorire l’innovazione, sono previsti meccanismi di supporto per le PMI, come linee guida e certificazioni volontarie. Il Regolamento UE 2024/2847 integra altre normative UE, come la NIS2 Directive, creando un ecosistema coerente per la cybersicurezza.
Nel dettaglio, i requisiti includono, più in particolare, l’identificazione e la mitigazione di rischi noti, l’implementazione di controlli di accesso, e la fornitura di meccanismi per gli aggiornamenti sicuri. Questo approccio non solo protegge contro minacce come ransomware o DDoS, ma rafforza anche la fiducia dei consumatori nel mercato digitale.
Le convergenze tra AI Act e Cyber Resilience Act: rischi, trasparenza e governance multilivello
L’interazione tra l’AI Act e il Cyber Resilience Act emerge chiaramente dai loro obiettivi condivisi di armonizzazione e protezione. Infatti se l’Artificial Intelligence Act stabilisce le regole per garantire che i sistemi di intelligenza artificiale siano sicuri e affidabili, il Cyber Resilience Act impone i requisiti di cybersicurezza ai prodotti digitali per renderli protetti da vulnerabilità e attacchi informatici.
Entrambi basati sull’articolo 114 del TFUE – “Trattato sul funzionamento dell’Unione europea” per il mercato interno, mirano a un approccio uniforme che equilibri l’innovazione con la sicurezza. Una convergenza chiave è nel trattamento dei rischi. Infatti, nell’AI Act, i sistemi “ad alto rischio” richiedono la gestione del rischio e la conformità, similmente al CRA che impone requisiti di resilienza per prodotti digitali.
Per sistemi di intelligenza artificiale incorporati in prodotti hardware, come i veicoli a guida autonoma o i dispositivi medici, i requisiti di cybersecurity del CRA si applicano insieme a quelli dell’AI Act, garantendo che l’intelligenza artificiale sia non solo affidabile ma anche protetta da attacchi esterni. Ad esempio, un sistema di intelligenza artificiale “ad alto rischio” deve soddisfare i criteri di qualità dei dati e robustezza dell’AI Act, mentre il CRA richiede che il software sottostante sia resiliente contro vulnerabilità, come iniezioni di codice “code injections” o manomissioni “tampering”.
Questa integrazione combinata previene lacune, dove un’intelligenza artificiale affidabile potrebbe essere compromessa da debolezze di cybersecurity. Un’altra area di congiunzione è la trasparenza e la documentazione. Entrambi i regolamenti richiedono informazioni dettagliate per gli utenti e le autorità, infatti, l’AI Act per le istruzioni sull’uso e le limitazioni, il CRA per le vulnerabilità e gli aggiornamenti. Questo favorisce un ecosistema dove gli operatori possono valutare i rischi integrati. Inoltre, entrambi promuovono una governance multilivello.
L’AI Act istituisce un Comitato Europeo per l’Intelligenza Artificiale, un organismo consultivo e di coordinamento composto da rappresentanti di tutti gli Stati membri, che fornisce linee guida, pareri e raccomandazioni sull’applicazione del regolamento, mentre il CRA rafforza i ruoli dell’ENISA, l’Agenzia dell’Unione Europea per la Cybersicurezza, e le autorità nazionali, facilitando coordinamento per incidenti che coinvolgono l’intelligenza artificiale vulnerabile.
Il Digital Omnibus e le sfide di armonizzazione tra i due regolamenti
Tuttavia, emergono alcune potenziali complessità. Per i prodotti che sono sia sistemi di intelligenza artificiale sia dispositivi digitali, gli operatori devono rispettare “obblighi duplicati”, come le valutazioni di conformità. Per questo motivo, e per altre ragioni, è in fase di valutazione la proposta del Digital Omnibus.
Questa proposta mira, tra l’altro, a promuovere l’armonizzazione con il CRA e l’AI Act, richiedendo che i prodotti dotati di intelligenza artificiale rispettino i requisiti di sicurezza, di aggiornamento e di trasparenza. Infatti, sebbene le norme siano complementari, possibili sovrapposizioni potrebbero aumentare gli oneri amministrativi, rendendo necessarie linee guida per garantire una corretta armonizzazione.
Implicazioni operative per le imprese: compliance, PMI e nuovi mercati della sicurezza
Per le imprese, questi regolamenti impongono un cambio paradigmatico verso la sicurezza integrata. I fornitori di intelligenza artificiale devono incorporare i requisiti di cybersecurity del CRA nei loro processi di sviluppo, ad esempio testando la robustezza contro gli attacchi che potrebbero alterare i modelli di apprendimento. Le PMI beneficiano di esenzioni parziali e supporto, ma devono investire in competenze per la conformità.
Questo potrebbe stimolare l’innovazione, creando mercati per soluzioni di sicurezza IA-specifiche. A livello settoriale, settori quali la sanità e i trasporti, dove l’intelligenza artificiale è un aspetto critico, vedranno requisiti rafforzati, riducendo i rischi di fallimenti catastrofici.
Criticità e questioni aperte: classificazione dei rischi e applicazione extraterritoriale
Pur rappresentando un avanzamento, i regolamenti pongono questioni assai rilevanti. La classificazione dei rischi potrebbe essere soggettiva, richiedendo chiarimenti. Inoltre, l’applicazione extraterritoriale solleva questioni su enforcement “applicazione” o “attuazione” globale. La rapidità evolutiva dell’intelligenza artificiale e delle minacce cibernetiche necessita di aggiornamenti normativi flessibili, come già previsto nei testi normativi.
Conclusione: verso un ecosistema digitale europeo sicuro, etico e competitivo
L’AI Act e il Cyber Resilience Act tracciano il nuovo perimetro normativo europeo per un’intelligenza artificiale sicura e resiliente, posizionando l’UE come protagonista globale nella regolamentazione tecnologica. Questi strumenti non solo tutelano i diritti fondamentali dei cittadini, ma stimolano anche l’innovazione e rafforzano il mercato interno, rendendolo più competitivo e solido.
La piena attuazione richiederà una collaborazione attiva tra istituzioni, imprese e stakeholder, per massimizzare i benefici riducendo al minimo gli oneri. In un mondo sempre più digitale, i due regolamenti europei rappresentano un chiaro impegno dell’Europa verso un futuro tecnologico, ma anche etico e sicuro.
Riferimenti normativi
European Parliament & Council of the European Union. (2024a). Regolamento (UE) 2024/2847 del Parlamento europeo e del Consiglio del 23 ottobre 2024 relativo a requisiti orizzontali di cybersicurezza per i prodotti con elementi digitali e che modifica i regolamenti (UE) n. 168/2013 e (UE) 2019/1020 e la direttiva (UE) 2020/1828 (regolamento sulla ciberresilienza) (Testo rilevante ai fini del SEE). Gazzetta Ufficiale dell’Unione Europea, L; European Parliament & Council of the European Union. (2024b). Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n. 300/2008, (UE) n. 167/2013, (UE) n. 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale) (Testo rilevante ai fini del SEE). Gazzetta Ufficiale dell’Unione Europea, L.
