AI ACT: Regolamentazione e futuro dell’Intelligenza Artificiale in Europa

AI ACT: Regolamentazione e futuro dell’Intelligenza Artificiale in Europa

A cura di Avv. Sara Lepidi

Regolamento (UE) 2024/1689: obiettivi e struttura

Il 12 luglio scorso è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, meglio noto come AI ACT.

Il provvedimento riveste una particolare importanza, poiché rappresenta il primo quadro normativo globale relativo allo sviluppo, all’immissione sul mercato e all’utilizzo dell’intelligenza artificiale.

Il Regolamento 2024/1689 è composto da 113 articoli e 13 allegati. Gli articoli sono distinti in 13 Capi, ma i Capi I e II, III, sezione 4, il capo V, il capo VII, il capo XII sono in vigore dal 2 febbraio 2025.

Come chiarito già nel Capo I (Disposizioni Generali), all’articolo 1, gli obiettivi del Regolamento sono:

• garantire che l’intelligenza artificiale sia sviluppata e utilizzata in modo sicuro, responsabile ed etico, in linea con i valori dell’Unione europea;
• migliorare il funzionamento del mercato interno e promuovere la diffusione di un’intelligenza artificiale (IA) antropocentrica e affidabile,
• assicurare un livello elevato di protezione della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione Europea, compresi la democrazia, lo Stato di diritto e la protezione dell’ambiente, contro gli effetti nocivi dei sistemi di IA nell’UE.

 

Cosa prevede l’AI ACT: sintesi delle misure principali

Come accennato sopra, l’AI Act è concepito per affrontare le potenziali sfide e i rischi associati all’uso dell’Intelligenza Artificiale, fornendo un framework giuridico armonizzato che si applica a tutti gli Stati membri dell’Unione Europea.

Il Regolamento, in particolare (Capo I, articolo 2):

• vieta espressamente talune pratiche di IA;
• pone requisiti specifici per i sistemi di IA ad alto rischio e obblighi per gli operatori di tali sistemi;

• fissa regole di trasparenza armonizzate per determinati sistemi di IA e per l’immissione sul mercato di modelli di IA per finalità generali;
• introduce regole in materia di monitoraggio del mercato, vigilanza del mercato, governance ed esecuzione;
• prevede misure a sostegno dell’innovazione, con particolare attenzione alle PMI, comprese le start-up.

 

Definizioni

L’Articolo 3 contiene le definizioni essenziali per l’interpretazione e la definizione del campo di applicazione del testo normativo. 

Segnatamente, viene definito “sistema di intelligenza artificiale“, “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali”.

 

Tra le altre definizioni troviamo:

• “fornitore”: una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che sviluppa un sistema di IA o un modello di IA per finalità generali o che fa sviluppare un sistema di IA o un modello di IA per finalità generali e immette tale sistema o modello sul mercato o mette in servizio il sistema di IA con il proprio nome o marchio, a titolo oneroso o gratuito; 

• deployer”: una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale

 

Capi III e IV

Di particolare importanza i Capi III e IV del Regolamento, che disciplinano rispettivamente i Sistemi di IA ad alto rischio e pongono obblighi di trasparenza per i fornitori e i deployer di determinati sistemi di IA.

Di seguito una – necessariamente non esaustiva – disamina degli articoli principali.

 

### Articolo 10: Requisiti per i Sistemi ad Alto Rischio

L’articolo 10 attribuisce particolare attenzione ai sistemi di IA ad alto rischio, imponendo requisiti rigorosi per il loro sviluppo e utilizzo. Tra questi requisiti vi sono la gestione del rischio, la qualità dei dati utilizzati per l’addestramento dei modelli di IA, e la trasparenza. In particolare, i fornitori devono garantire che i dati siano sufficientemente completi e accurati, affrontando così problemi di bias e pregiudizi algoritmici. 

 

### Articolo 13: Governance dell’IA e Supervisione

L’articolo 13 propone la creazione di enti di supervisione nazionali incaricati di monitorare la conformità agli standard previsti dall’AI Act. Questi organismi avranno il compito di vigilare sui sistemi di IA e di adottare misure correttive in caso di violazioni. Tale approccio decentralizzato può favorire un controllo più efficiente e vicino alle specificità di ciascun Paese membro, ma potrebbe altresì generare discrepanze nell’applicazione delle norme a livello europeo.

 

### Articolo 17: Sistema di gestione della qualità

Si prevede l’obbligo per i fornitori di sistemi di IA ad alto rischio di istituire un sistema di gestione della qualità che garantisce la conformità al regolamento, sistema che deve essere documentato ordinato sotto forma di politiche, procedure e istruzioni scritte, e deve comprendere una serie di aspetti espressamente indicati

 

### Articolo 18 Conservazione dei documenti 

Si stabilisce che il fornitore, per un periodo che termina 10 anni dopo che il sistema di IA ad alto rischio è stato immesso sul mercato o messo in servizio, tenga a disposizione delle autorità nazionali competenti:

1. a) la documentazione tecnica di cui all’articolo 11;
2. b) la documentazione relativa al sistema di gestione della qualità di cui all’articolo 17;
3. c) la documentazione relativa alle modifiche approvate dagli organismi notificati, ove  applicabile;
4. d) le decisioni e gli altri documenti rilasciati dagli organismi notificati, ove applicabile;
5. e) la dichiarazione di conformità UE di cui all’articolo 47.

 

### Articolo 20

Si prevede che i fornitori di sistemi di IA ad alto rischio che ritengono o hanno motivo di ritenere che un sistema di IA ad alto rischio da essi immesso sul mercato o messo in servizio non sia conforme al presente regolamento, adottino immediatamente le misure correttive necessarie per rendere conforme tale dispositivo, ritirarlo, disabilitarlo o richiamarlo, a seconda dei casi. Essi informano di conseguenza i distributori del sistema di IA ad alto rischio interessato e, ove applicabile, i deployer, il rappresentante autorizzato e gli importatori

 

### Articoli 23 e 24: 

Tali articoli fissano obblighi specifici per gli importatori e i distributori, sempre con riferimento ai sistemi di AI classificati “ad alto rischio”.

 

### Articolo 28 : Autorità di notifica

E’ previsto che ciascuno Stato membro designi o istituisca almeno un’autorità di notifica responsabile della predisposizione e dell’esecuzione delle procedure necessarie per la valutazione, la designazione e la notifica degli organismi di valutazione della conformità e per il loro monitoraggio. Tali procedure vanno sviluppate nell’ambito della collaborazione tra le autorità di notifica di tutti gli Stati membri.

Gli articoli 40 e ss.sono dedicati alla valutazione della conformità, certificati e registrazioni

Nello specifico, l’articolo 47, rubricato Dichiarazione di conformità UE, così dispone:

“Il fornitore compila una dichiarazione scritta di conformità UE leggibile meccanicamente,  firmata a mano o elettronicamente, per ciascun sistema di IA ad alto rischio e la tiene a  disposizione delle autorità nazionali competenti per dieci anni dalla data in cui il sistema di  IA ad alto rischio è stato immesso sul mercato o messo in servizio. La dichiarazione di  conformità UE identifica il sistema di IA ad alto rischio per il quale è stata redatta. Su  richiesta, una copia della dichiarazione di conformità UE è presentata alle pertinenti autorità nazionali competenti.”

L’articolo 48, in tema di marcatura CE, definita come una marcatura mediante la quale un fornitore indica che un sistema di IA è conforme ai requisiti stabiliti al capo III, sezione 2, e in altre normative di armonizzazione dell’Unione applicabili e che ne prevedono l’apposizione, precisa come la stessa sia soggetta ai principi generali di cui all’articolo 30 del regolamento  (CE) n. 765/2008.

 

Considerazioni Critiche

Nonostante le buone intenzioni dell’AI Act, sono state sollevate diverse preoccupazioni e critiche. In primo luogo, la complessità e l’onerosità delle procedure di conformità potrebbero rappresentare un ostacolo significativo per le piccole e medie imprese (PMI), riducendo la loro capacità di innovare. Pertanto, occorrerebbe considerare meccanismi di supporto specifici per queste aziende.

 

Inoltre, la rapida evoluzione tecnologica nel campo dell’IA può rendere rapidamente obsolete alcune disposizioni dell’AI Act. È essenziale che la normativa preveda meccanismi flessibili di aggiornamento per restare al passo con i progressi tecnologici. Inoltre, la definizione di rischi e le categorie di sistemi di IA potrebbero risultare ambigue, richiedendo chiarimenti per evitare interpretazioni divergenti.

 

Conclusioni

L’AI Act rappresenta un tentativo ambizioso di regolamentare un settore in rapida espansione e di grande importanza strategica. Attraverso un quadro normativo ben progettato, l’Unione Europea mira a garantire che l’IA sia sviluppata in modo sicuro, etico e trasparente. Tuttavia, per cogliere appieno i benefici di questa tecnologia, sarà fondamentale affrontare le sfide pratiche e le criticità emerse, assicurando un equilibrio tra regolamentazione e innovazione.

Lo sviluppo sostenibile della società futura richiede oltre alle industrie sostenibili, agli investimenti nella ricerca scientifica e alla costruzione di ulteriori e più potenti infrastrutture digitali, una metamorfosi senza precedenti dei processi e della cultura professionale e aziendale.

 

In quest’ottica, diritto e tecnologia appaiono indissolubilmente legati.

Noi dello Studio Legale Piselli & Partners, consapevoli della sfida che stanno affrontando le imprese e le Pubbliche Amministrazioni, abbiamo ideato, in collaborazione con un network di partner nazionali e internazionali, un servizio legale evoluto che offre soluzioni reali, immediate e soprattutto smart. Questo servizio, denominato Legal Business Integration (LBI – blockchain registered), mette a completa disposizione del Cliente un insieme di competenze in ambito legale, di business e di Information Technology.

 

La finalità del servizio è quella di coadiuvare e assistere in maniera efficace e proattiva le imprese, i soggetti privati e le Pubbliche Amministrazioni che intendono utilizzare nel migliore dei modi le nuove tecnologie e conseguire un effettivo miglioramento dei processi, della sostenibilità, della sicurezza e dei costi, in piena armonia con lo sviluppo e l’evoluzione globale e con l’ordinamento di riferimento.

 

Contattaci per una call conoscitiva gratuita.