Ci siamo, il tanto atteso AI Act è approdato in Gazzetta Ufficiale europea con il Regolamento n. 1689 del 13 giugno 2024. Entrerà in vigore venti giorni dopo la pubblicazione in GU UE avvenuta in data 12 luglio 2024, quando effettivamente lo attendavamo. La sua piena applicazione sarà dal 2 agosto 2026.
A testo consolidato, vediamo come e cosa cambia rispetto alle ultime versioni, già ampiamente commentate. Ci concentreremo solo sulle novità, così emerse ad una primissima lettura.
Naturalmente, questo è solo l’inizio e ci sarà da studiare ancora molto, in primis come mettere a terra le prescrizioni di legge nel rispetto dei termini imposti dal Regolamento stesso.
Ma andiamo per gradi.
Indice degli argomenti
AI Act: le date da scadenzarsi
Il Considerando 174 detta precise tempistiche, in considerazione dei “rapidi sviluppi tecnologici e le competenze tecniche necessarie per applicare efficacemente il presente regolamento, la Commissione dovrebbe valutare e riesaminare il presente regolamento entro il 2 agosto 2029 e successivamente ogni quattro anni e riferire al Parlamento europeo e al Consiglio”.
Quel “dovrebbe” è d’obbligo visto che si tratta di un Considerando, tuttavia, va interpretato come un dovrà.
Poi aggiunge: “entro il 2 agosto 2028 e successivamente ogni quattro anni, la Commissione dovrebbe valutare e riferire al Parlamento europeo e al Consiglio sulla necessità di modificare l’elenco delle voci relative alle aree ad alto rischio nell’allegato del presente regolamento, i sistemi di IA nell’ambito degli obblighi di trasparenza, l’efficacia del sistema di supervisione e governance e i progressi nello sviluppo di risultati di normazione sullo sviluppo efficiente dal punto di vista energetico di modelli di IA di uso generale, compresa la necessità di ulteriori misure o azioni”.
Entro la stessa data “e successivamente ogni tre anni, la Commissione dovrebbe valutare l’impatto e l’efficacia dei codici di condotta volontari per promuovere l’applicazione dei requisiti previsti per i sistemi di IA ad alto rischio nel caso di sistemi di IA diversi dai sistemi di IA ad alto rischio ed eventualmente altri requisiti aggiuntivi per tali sistemi di IA”.
In pratica, massima attenzione da parte della Commissione a quali sviluppi ci saranno in materia.
Non solo, il Considerando 177 è altrettanto importante, dal momento che suggerisce ulteriori tempistiche, da doversi tuttavia rispettare, a tutela della certezza del diritto, a garanzia di “un adeguato periodo di adattamento per gli operatori ed evitare perturbazioni del mercato”, garantendo altresì “la continuità dell’uso dei sistemi di IA”, ritiene opportuno che “il presente regolamento si applichi ai sistemi di IA ad alto rischio che sono stati immessi sul mercato o messi in servizio prima della data generale di applicazione dello stesso, solo se, a partire da tale data, tali sistemi sono soggetti a modifiche significative nella loro progettazione o destinazione d’uso”; chiarendo il concetto di “modifica significativa” da intendersi “come equivalente nella sostanza alla nozione di modifica sostanziale.
Da ultimo, prevede una deroga “in via eccezionale” per quegli operatori di sistemi di AI, componenti dei sistemi IT su larga scala e per quegli “operatori di sistemi di IA ad alto rischio che sono destinati a essere utilizzati dalle autorità pubbliche” i quali potranno/dovranno adottare le misure necessarie per conformarsi ai requisiti del Regolamento AI ACT “rispettivamente … entro la fine del 2030 e entro il 2 agosto 2030”.
Più in generale, e in ogni caso, alla luce del Considerando 179, la piena applicazione per tutti del Regolamento AI Act sarà “a partire dal 2 agosto 2026” come, peraltro è stabilito dall’ultimo art. 113.
Un tempo inferiore è dato a quei sistemi a “rischio inaccettabile” per i quali l’attuazione è fissata al 2 febbraio 2025. Questa discrasia temporale non è casuale, anzi ed è dettata dalla necessità di governare i rischi inaccettabili, con effetto sulle altre procedure.
In ogni caso, visto “il rapido ritmo dei progressi tecnologici e dell’adozione di modelli di IA di uso generale”, i fornitori di modelli di IA di uso generale saranno obbligati ad attenersi alle regole di questo Regolamento già dal 2 agosto 2025. In difetto scatteranno, dalla stessa data (2 agosto 2025), le sanzioni.
AI Act: alcune delle novità
Da una primissima lettura, ecco cosa cogliamo di nuovo rispetto al testo precedente, pensando al corrigendum.
Se non variano le definizioni, e più in generale la struttura dell’articolato in sé così composto da tredici capitoli e ben 113 articoli, alcuni appaiono più chiari.
In particolare, l’art. 111 rubricato sempre “Sistemi di intelligenza artificiale già immessi sul mercato o messi in servizio e modelli di intelligenza artificiale di uso generale già immessi sul mercato”, ma reca una formulazione più precisa che riportiamo testualmente: “1. …i sistemi di IA che sono componenti dei sistemi IT su larga scala istituiti dagli atti giuridici elencati nell’allegato X che sono stati immessi sul mercato o messi in servizio prima del 2 agosto 2027 sono resi conformi al presente regolamento entro il 31 dicembre 2030. I requisiti stabiliti nel presente regolamento sono presi in considerazione nella valutazione di ciascun sistema IT su larga scala istituito dagli atti giuridici elencati nell’allegato X, da effettuare come previsto in tali atti giuridici e quando tali atti giuridici sono sostituiti o modificati. 2. Fatta salva l’applicazione dell’articolo 5 di cui all’articolo 113, paragrafo 3, lettera a), il presente regolamento si applica agli operatori di sistemi di IA ad alto rischio, diversi dai sistemi di cui al paragrafo 1 del presente articolo, immessi sul mercato o messi in servizio prima del 2 agosto 2026, solo se, a partire da tale data, tali sistemi sono soggetti a modifiche significative nella loro progettazione. In ogni caso, i fornitori e gli operatori di sistemi di IA ad alto rischio destinati a essere utilizzati dalle autorità pubbliche adottano le misure necessarie per conformarsi ai requisiti e agli obblighi del presente regolamento entro il 2 agosto 2030. 3. I fornitori di modelli di IA di uso generale immessi sul mercato prima del 2 agosto 2025 adottano le misure necessarie per conformarsi agli obblighi stabiliti dal presente regolamento entro il 2 agosto 2027”.
In pratica, i sistemi di AI considerati ad alto rischio e già in uso e, per capirci quegli stessi di cui all’Allegato X (Sistema informativo Schengen, quello sui visti, Eurodac, Sistema di ingresso/uscita, Sistema europeo di informazione e autorizzazione ai viaggi, nonché quello di informazione sui casellari giudiziali dei cittadini di paesi terzi e degli apolidi) avranno scadenze ben definite.
I capisaldi confermati
Sempre da una primissima lettura il Regolamento AI Act è diventato legge confermandolo nei suoi capisaldi che richiamiamo rapidamente, per non ripetere quanto già scritto e in più di un’occasione.
Gli obiettivi dell’AI Act
La ratio è sempre la stessa: promuovere lo sviluppo e l’utilizzo di sistemi di intelligenza artificiale che siano sicuri, affidabili e responsabili. Per farlo occorre:
- proteggere i diritti e le libertà fondamentali delle persone;
- garantire un mercato unico europeo per l’intelligenza artificiale.
I principi chiave e i livelli di rischio
I principi chiave per punti in estrema sintesi giacché son sempre gli stessi:
- un approccio basato sul rischio;
- i requisiti di trasparenza;
- un obbligo di vigilanza e valutazione;
- un generale divieto di determinate pratiche (ad esempio, social scoring).
I livello di rischio si suddivide in minimo, limitato, alto e non accettabile.
A seconda dell’intensità del rischio aumentano le restrizioni e gli obblighi per le organizzazioni che realizzano o fanno uso di tali sistemi.
Confermate all’art. 5 le pratiche proibite, vale a dire quelle che impiegano tecniche subliminali che vanno oltre la coscienza di una persona o tecniche intenzionalmente manipolative o ingannevoli, o quelle che sfruttano una vulnerabilità di una persona fisica o di un gruppo specifico di persone a causa della età, disabilità o di una specifica situazione sociale o economica, quelle di social scoring, quella sulla giustizia (penalmente rilevante) predittiva, quelle che creano o espandono database di riconoscimento facciale mediante l’estrazione non mirata di immagini facciali da Internet o da filmati di videosorveglianza; quelle legate al riconoscimento delle emozioni in ambienti lavorativi o scolastici, quelle per l’uso di sistemi di categorizzazione biometrica anche remota “in tempo reale” e via a seguire.
Mentre non rientrano nel perimetro dell’AI Act quei sistemi di intelligenza artificiale utilizzati esclusivamente per scopi di ricerca scientifica o sviluppo, o per scopi militari o di difesa.
Consolidate le sanzioni
Anche sul fronte sanzionatorio, possiamo ritenere, da una primissima lettura che non siano di fatto cambiate, e disciplinate dagli artt. 99 e 100 di cui al Capo XII.
Articolo 99 – Penalità | Articolo 100 – Sanzioni Amministrative |
1. Conformemente ai termini e alle condizioni stabiliti nel presente regolamento, gli Stati membri stabiliscono le norme sulle sanzioni e altre misure di esecuzione, che possono anche includere avvertimenti e misure non monetarie, applicabili alle violazioni del presente regolamento da parte degli operatori, e adottano tutte le misure necessarie per garantire che siano correttamente ed efficacemente applicate, tenendo conto in tal modo degli orientamenti emanati dalla Commissione ai sensi dell’articolo 96. Le sanzioni previste sono efficaci, proporzionate e dissuasive. Esse tengono conto degli interessi delle PMI, comprese le start-up, e della loro redditività economica. 2. Gli Stati membri notificano senza indugio alla Commissione, e comunque entro la data di entrata in vigore, le norme relative alle sanzioni e alle altre misure di esecuzione di cui al paragrafo 1, nonché ogni successiva modifica delle stesse. 3. La violazione del divieto di pratiche di IA di cui all’articolo 5 è soggetta a sanzioni amministrative pecuniarie fino a 35 000 000 EUR o, se il trasgressore è un’impresa, fino al 7% del suo fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore. 4. La mancata osservanza di una qualsiasi delle seguenti disposizioni relative agli operatori o agli organismi notificati, diverse da quelle stabilite all’articolo 5, è soggetta a sanzioni amministrative pecuniarie fino a 15 000 000 EUR o, se il trasgressore è un’impresa, fino al 3% del suo fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore, rinviando agli obblighi (a – j); 5. La fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità nazionali competenti in risposta a una richiesta è soggetta a sanzioni amministrative pecuniarie fino a 7 500 000 EUR o, se il trasgressore è un’impresa, fino all’1% del suo fatturato mondiale totale annuo dell’esercizio finanziario precedente, se superiore. 6. Nel caso delle PMI, comprese le start-up, ciascuna sanzione pecuniaria di cui al presente articolo è pari alle percentuali o all’importo di cui ai paragrafi 3, 4 e 5, a seconda di quale sia inferiore. 7. Nel decidere se imporre una sanzione amministrativa e nel decidere l’importo della sanzione amministrativa in ogni singolo caso, si tiene conto di tutte le circostanze pertinenti della situazione specifica e, ove opportuno, si tiene conto dei criteri come: natura, la gravità e la durata della violazione nonché delle sue conseguenze, precedenti, le dimensioni, il fatturato annuo e la quota di mercato dell’operatore che commette la violazione; ovvero qualsiasi altro fattore aggravante o attenuante applicabile alle circostanze del caso, quali i vantaggi finanziari conseguiti o le perdite evitate, direttamente o indirettamente, dalla violazione; quindi il grado di cooperazione con le autorità nazionali competenti, al fine di porre rimedio alla violazione e attenuare i possibili effetti negativi della violazione; ancora il carattere intenzionale o negligente della violazione; qualsiasi azione intrapresa dall’operatore per attenuare il danno subito dalle persone interessate. | Sanzioni amministrative a carico delle istituzioni, degli organi, degli uffici e delle agenzie dell’Unione 1. Il Garante europeo della protezione dei dati può imporre sanzioni amministrative pecuniarie alle istituzioni, agli organi, agli uffici e alle agenzie dell’Unione che rientrano nell’ambito di applicazione del presente regolamento. Nel decidere se imporre una sanzione amministrativa e nel decidere l’importo della sanzione amministrativa in ogni singolo caso, si tiene conto di tutte le circostanze pertinenti della situazione specifica e si tiene debitamente conto di quanto segue: la natura, la gravità e la durata della violazione nonché delle sue conseguenze, tenendo conto dello scopo del sistema di IA interessato nonché, se del caso, del numero di persone interessate e del livello del danno da esse subito; il grado di responsabilità dell’istituzione, dell’organo, dell’ufficio o dell’agenzia dell’Unione, tenendo conto delle misure tecniche e organizzative da essi attuate; qualsiasi azione intrapresa dall’istituzione, dall’organo, dall’ufficio o dall’agenzia dell’Unione per attenuare il danno subito dalle persone interessate; il grado di cooperazione con il Garante europeo della protezione dei dati al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, compresa la conformità a una qualsiasi delle misure precedentemente ordinate dal Garante europeo della protezione dei dati nei confronti dell’istituzione, dell’organo, dell’ufficio o dell’agenzia dell’Unione interessati relativamente allo stesso oggetto; eventuali precedenti violazioni analoghe da parte dell’istituzione, dell’organo, dell’ufficio o dell’agenzia dell’Unione; il modo in cui la violazione è venuta a conoscenza del Garante europeo della protezione dei dati, in particolare se e in quale misura l’istituzione, l’organo, l’ufficio o l’agenzia dell’Unione ha notificato la violazione; il bilancio annuale dell’istituzione, dell’organo o dell’organismo dell’Unione. 2. Il mancato rispetto del divieto delle pratiche di IA di cui all’articolo 5 è soggetto a sanzioni amministrative pecuniarie fino a 1 500 000 EUR. 3. La non conformità del sistema di IA a qualsiasi requisito o obbligo previsto dal presente regolamento, diversi da quelli stabiliti all’articolo 5, è soggetta a sanzioni amministrative pecuniarie fino a 750 000 EUR. 4. Prima di adottare decisioni ai sensi del presente articolo, il Garante europeo della protezione dei dati dà all’istituzione, all’organo, all’ufficio o all’agenzia dell’Unione che è oggetto del procedimento condotto dal Garante europeo della protezione dei dati l’opportunità di essere ascoltato sulla questione relativa alla possibile violazione. Il Garante europeo della protezione dei dati basa le sue decisioni solo su elementi e circostanze sui quali le parti interessate hanno potuto esprimersi. Gli eventuali reclamanti sono strettamente associati al procedimento. 5. Nel procedimento sono pienamente rispettati i diritti di difesa delle parti interessate. Esse hanno diritto di accesso al fascicolo del Garante europeo della protezione dei dati, fatto salvo il legittimo interesse delle persone o delle imprese alla protezione dei loro dati personali o segreti aziendali. |
Si rimanda, in ogni caso, alla lettura integrale del testo ufficiale, perché ci sarebbe ancora molto da scrivere.