Stop all’utilizzo dei sistemi di AI a rischio inaccettabile, da parte degli utilizzatori, i cd “deployer”, ed eliminazione dal mercato UE da parte dei fornitori. Altri obblighi dell’AI Act si sostanziano nella formazione obbligatoria sui principi fondamentali dell’AI per il personale, nella redazione di un inventario aggiornato dei sistemi di AI in uso, prevedendo la classificazione dei sistemi AI secondo le categorie di rischio previste dall’AI Act. Le organizzazioni devono poi prevedere politiche interne per la valutazione preventiva dei nuovi sistemi di intelligenza artificiale, così come definire delle linee guida per l’utilizzo responsabile dei sistemi di AI generativa (es. ChatGPT, Gemini, ecc.).
È il primo step del Regolamento entrato in vigore il 2 agosto 2024 dopo un processo legislativo durato oltre tre anni, ma non diventato immediatamente operativo per dare agli operatori il tempo di adeguarsi alle nuove norme.
L’AI Act in azione: obbligo di alfabetizzazione all’AI
La prima data della roadmap è arrivata. Con il 2 febbraio 2025 sono entrati in vigore i primi obblighi, in particolare quelli di alfabetizzazione all’intelligenza artificiale.
Di qui, occorre che le organizzazioni inizino, se già non lo avessero fatti, a formare il proprio personale, fornendo informazioni chiare sul funzionamento e sull’uso dei sistemi di AI.
Sempre dalla medesima data (2.02.2025), le pratiche di sistemi di AI vietati non possono essere più utilizzate in alcun modo. Quindi, i sistemi di intelligenza artificiale coinvolti in pratiche vietate devono assolutamente cessare, pena l’irrogazione di sanzioni anche severe, con multe fino a 35 milioni di euro ovvero il 7% del fatturato globale.
Il prossimo 2 maggio 2025 sarà il termine ultimo per il Codice di Condotta in relazione ai modelli di AI Generale (GPAI), per la cui redazione è stato incaricato l’AI Office. In difetto, sarà facoltà della Commissione di stabilire regole comuni al fine di garantire il rispetto degli obblighi da parte dei fornitori dei modelli GPAI (ex art. 56). Si tratta di un documento che intende regolamentare gli aspetti cruciali dell’intero sistema (dalla trasparenza, alla conformità e poi ancora al copyright, anche attraverso la mitigazione dei rischi legati ai modelli di AI).
Con il successivo 2 agosto 2025, i fornitori dei modelli di AI dovranno essere conformi a questo Codice, per essere accountable. Ogni due anni gli Stati membri avranno l’obbligo di mandare un report alla Commissione, riferendole circa le risorse finanziarie e umane delle Autorità nazionali.
L’AI Act in azione: le pratiche vietate dal 2 febbraio 2025
L’AI Act, come noto, prevede alcune pratiche assolutamente vietate in considerazione del loro impatto sui diritti fondamentali. Si tratta di pratiche (art. 5) a “rischio inaccettabile”, non a caso le prime a trovare applicazione in quanto ritenute troppo rischiose e quindi tassativamente vietate dal legislatore europeo. Il mancato rispetto di tali divieti comporta le sanzioni più alte “…fino a un massimo di 35 milioni di euro, o il 7% del fatturato annuo mondiale totale dell’anno finanziario precedente”.
Tra queste pratiche rientrano:
- tecniche di manipolazione subliminale o ingannevoli
- lo sfruttamento delle vulnerabilità
- i sistemi di social scoring
- l’identificazione biometrica in tempo reale
- il riconoscimento delle emozioni in ambito lavorativo
- la creazione o ampliamento di banche dati di riconoscimento facciale mediante scraping non mirato
L’AI Act in azione: chi deve conformarsi
All’AI Act devono conformarsi in primis i fornitori di AI, ovvero quelle organizzazioni che sviluppano, progettano o producono sistemi di AI destinati al mercato della UE.
Anche per gli utilizzatori dei sistemi di AI ci sono oneri di conformità, e ci riferiamo a quelle organizzazioni che impiegano sistemi di AI nella UE: dalle aziende, alle autorità pubbliche e altre entità (società in house, ecc) sia che abbiano sede nella Unione europea oppure no, purché operanti nel mercato UE.
Nondimeno devono uniformarsi gli importatori e i distributori, pena ciascuno per parte sua pesanti sanzioni. Infatti, il mancato rispetto dell’AI Act può comportare sanzioni amministrative fino a 35 milioni di euro o il 7% del fatturato globale, a seconda della gravità della violazione.
L’AI Act in azione: gli step successivi
Con il 2 febbraio sono iniziate le tappe fondamentali:
- febbraio 2025: i primi divieti per le AI a rischio inaccettabile;
- agosto 2025: piena applicazione delle norme in materia di governance nonché gli obblighi per i modelli di AI generale;
- agosto 2026: pienamente applicate tutte le norme di governance per i sistemi che integrano l’AI in prodotti regolamentati nei settori più stringenti (sanità, trasporti, ecc.).
L’operatività dell’intera disciplina, che fissa i livelli di rischio e gli oneri di
conformità a seconda degli usi dell’AI, richiederà dunque 24 mesi; due anno che serviranno all’Unione europea anche per completare il lavoro di attuazione dell’AI Act. Nonostante i tre anni di lavoro occorsi per giungere all’approvazione definitiva del Regolamento, gli atti di normativa secondaria previsti sono circa sessanta.
