AI Act: una prima analisi del Regolamento 2024/1689/UE

Il 12 luglio 2024 è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (di seguito IA) definendo i requisiti minimi necessari per affrontare i rischi e i problemi legati all’IA, senza limitare o ostacolare indebitamente lo sviluppo tecnologico.

Il regolamento in rappresenta il primo quadro giuridico completo in assoluto sull’IA. L’obiettivo è promuovere un’IA affidabile in Europa e oltre, garantendo che i sistemi di IA rispettino i diritti fondamentali, la sicurezza e i principi etici e affrontando i rischi di modelli di IA molto potenti e di impatto.

L’IA consiste in una famiglia di tecnologie in rapida evoluzione che contribuisce al conseguimento di un’ampia gamma di benefici a livello economico, ambientale e sociale nell’intero spettro delle attività industriali e sociali, ma al contempo può comportare rischi e pregiudicare gli interessi pubblici e i diritti fondamentali tutelati dal diritto dell’Unione.  È una branca dell’Information Technology che si focalizza sulla creazione di software “intelligenti” (cd. Machine learning software), in grado di automatizzare le attività operative di un analista umano.

Nello specifico, la nuova regolamentazione propone un approccio basato sul rischio e suddivide i sistemi di IA in cinque categorie di rischio, ovvero

• sistemi di IA caratterizzati da un rischio inaccettabile, che si configurano come una serie molto limitata di usi vietati dell’IA perché particolarmente dannosi, in quanto contravvengono ai valori dell’UE;
• sistemi di IA ad alto rischio, che possono potenzialmente avere ripercussioni negative sulla sicurezza delle persone o sui loro diritti fondamentali;
• sistemi di IA con rischio specifico per la trasparenza, laddove, ad esempio, esista un evidente rischio di manipolazione;
• sistemi di IA caratterizzati da rischi sistemici, come, ad esempio, sistemi integrati da modelli di IA per finalità generali;
• i sistemi di IA a rischio minimo, ovvero tutti i sistemi di IA non caratterizzati da particolari rischi e che possono essere sviluppati e utilizzati nel rispetto della legislazione vigente senza ulteriori obblighi giuridici.

Relativamente all’ambito soggettivo di applicazione, sono individuate le figure del

• fornitore di un sistema di IA, inteso quale persona fisica o giuridica che sviluppa o fa sviluppare un sistema di IA o un modello di IA per finalità generali e immette tale sistema o modello sul mercato o mette in servizio il sistema di IA con il proprio nome o marchio, a titolo oneroso o gratuito;
• deployer, ovvero la persona fisica o giuridica che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale;
• importatore, inteso quale persona fisica o giuridica ubicata o stabilita nell’Unione che immette sul mercato un sistema di IA recante il nome o il marchio di una persona fisica o giuridica stabilita in un paese terzo;
• distributore, ovvero la persona fisica o giuridica nella catena di approvvigionamento, diversa dal fornitore o dall’importatore, che mette a disposizione un sistema di IA sul mercato dell’Unione.

Pertanto, al fine di garantire un livello costante ed elevato di tutela, il regolamento stabilisce regole armonizzate per l’immissione sul mercato, la messa in servizio e l’uso nell’Unione dei sistemi di IA, dispone il divieto per talune pratiche di IA, individua i requisiti specifici per i sistemi di IA ad alto rischio e gli obblighi per gli operatori di tali sistemi, fissa regole di trasparenza armonizzate per determinati sistemi di IA, stabilisce regole armonizzate per l’immissione sul mercato di modelli di IA per finalità generali e per il monitoraggio del mercato e la vigilanza del mercato ed individua, infine, misure a sostegno dell’innovazione, con particolare attenzione alle PMI, comprese le start-up.

Di rilevante importanza risulta essere l’individuazione di un generale obbligo di alfabetizzazione per il personale del fornitore o del deployer.

Nei servizi finanziari, i sistemi di IA previsti dal diritto dell’Unione al fine di individuare frodi e a fini prudenziali per calcolare i requisiti patrimoniali degli enti creditizi e delle imprese assicurative non sono considerati ad alto rischio. Rappresentano invece un’opportunità di riduzione del rischio frode data dall’utilizzo dei sistemi di AI nel processo di fraud detection, aumentando la data quality e riducendo i costi operativi, le attività time consuming e le perdite finanziarie, derivanti anche da danni reputazionali.

Per quanto riguarda i sistemi di IA forniti o utilizzati da enti creditizi regolamentati, imprese di assicurazione e istituti finanziari, le autorità responsabili della vigilanza della legislazione dell’Unione in materia di servizi finanziari dovranno essere designate come autorità competenti per la supervisione dei requisiti di cui al presente documento, al fine di garantire un’applicazione coerente degli obblighi previsti e della legislazione dell’Unione sui servizi finanziari in cui i sistemi di IA sono in una certa misura implicitamente regolamentati in relazione al sistema di governance interna.

La legge sull’IA è entrata in vigore il 10 agosto e sarà pienamente applicabile due anni dopo, con alcune eccezioni: i divieti entreranno in vigore dopo sei mesi, le norme di governance e gli obblighi per i modelli di IA per uso generale diventeranno applicabili dopo 12 mesi e le norme per i sistemi di IA – integrati in prodotti regolamentati – si applicheranno dopo 36 mesi. Inoltre, nei prossimi mesi, sono attesi circa 60 atti secondari per dare piena attuazione alla normativa primaria.