AI Act: cosa cambia d’ora in poi per imprese, cittadini e istituzioni

L’Unione Europea ha deciso: è tempo di regolamentare l’Intelligenza Artificiale. Dopo anni di sviluppo incontrollato, con tecnologie sempre più avanzate e spesso difficili da comprendere fino in fondo, l’Europa ha messo nero su bianco un quadro normativo per garantire un uso sicuro, trasparente e innovativo dell’AI.

Si chiama AI Act, ed è il primo regolamento al mondo pensato per disciplinare l’uso dell’Intelligenza Artificiale in base al livello di rischio che rappresenta. Ma che cosa prevede? Ci sono tecnologie vietate? E soprattutto come cambierà la vita di imprese e cittadini?

Cos’è l’AI Act e quali sono i suoi obiettivi

L’AI Act (regolamento UE 2024/1689 che stabilisce norme armonizzate sull’intelligenza artificiale) è il nuovo regolamento europeo per lo sviluppo e l’uso dell’Intelligenza Artificiale. L’obiettivo è scongiurare scenari distopici in cui gli algoritmi dominano la società umana, proprio come immaginato in tanti romanzi e film di fantascienza. È possibile però regolamentare il settore senza soffocare l’innovazione con troppi vincoli?

L’idea di fondo è chiara: le AI devono essere sicure e affidabili. Non è possibile, dal punto di vista del legislatore europeo, sopraffare i diritti fondamentali dei cittadini. Per questo motivo, il regolamento introduce un sistema di classificazione del rischio, con regole diverse a seconda di quanto una tecnologia possa essere dannosa o manipolatoria per la società.

Ma l’AI Act non è solo una lista di divieti. Al contrario, punta a creare un mercato competitivo e trasparente, dove le aziende possano sviluppare IA etica e responsabile, senza il rischio di dover fare i conti con normative frammentate nei vari Paesi europei.

In altre parole, l’Unione Europea vuole assicurarsi che le nuove tecnologie siano uno strumento al servizio della società (e non il contrario).

Gli obiettivi principali: sicurezza, trasparenza e innovazione

Se c’è una cosa che l’AI Act vuole evitare, è il caos normativo che ha caratterizzato la crescita delle Big Tech negli ultimi anni. Proprio per questo, il regolamento si basa su tre pilastri fondamentali:

• sicurezza, per cui le applicazioni di AI devono essere progettate per evitare rischi inaccettabili per la sicurezza, la salute, la dignità, l’autonomia delle persone o per i valori democratici della comunità europea;
• trasparenza, all’utente deve essere chiaro quando sta interagendo con un sistema AI e come questo prenda decisioni. I sistemi automatici dovranno quindi essere più chiari e affidabili;
• innovazione, il regolamento non vuole frenare il progresso, ma anzi, incoraggiarlo, perciò verranno creati spazi di sperimentazione e saranno previsti incentivi per sviluppare tecnologie etiche e competitive a livello globale.

L’obiettivo ambizioso delle linee guida UE è quello di tenere alto il potenziale innovativo del settore, senza perdere di vista i valori etici che da sempre sono i punti saldi della nostra comunità. Esaminiamo adesso come funziona in pratica il nuovo quadro legislativo.

Cosa prevede l’AI Act: regole e classificazione del rischio

L’AI Act non tratta tutte le tecnologie allo stesso modo perché, come abbiamo anticipato, adotta un approccio basato sul rischio. È stato dunque introdotto un sistema di classificazione che suddivide le applicazioni di IA in quattro livelli di rischio.

Rischio minimo o nullo: IA senza restrizioni particolari

Prima di tutto, è importante sottolineare che le pratiche AI vietate non riguardano tutti i modelli basati sull’intelligenza artificiale. Alcune tecnologie sono considerate innocue e quindi non saranno soggette a particolari obblighi. Parliamo di strumenti come:

• filtri antispam;
• sistemi di raccomandazione (Netflix, Spotify…);
• videogiochi con AI integrata.

Dove non esiste rischio per la sicurezza o i diritti delle persone, l’AI può essere utilizzata liberamente.

Rischio di trasparenza: obblighi di informazione per alcune applicazioni

Alcune applicazioni di IA non sono pericolose, ma devono comunque essere chiare e trasparenti nei confronti degli utenti che le utilizzano o che si imbattono in contenuti da esse generati. È il caso di:

• chatbot che simulano conversazioni umane;
• deepfake non dannosi ma creati a scopo ricreativo;
• strumenti di generazione di testi o immagini basati su IA.

Tutto ciò che viene creato con questi modelli generativi deve essere chiaramente identificabile, anche con etichette apposite.

Rischio elevato: requisiti stringenti e maggiore controllo

Alcuni sistemi di Intelligenza Artificiale hanno un impatto così significativo sulla vita delle persone da essere considerati ad alto rischio. Si tratta di applicazioni che possono influenzare aspetti critici come sicurezza, salute e diritti fondamentali, ed è per questo che richiedono un controllo rigoroso prima di essere introdotti sul mercato.

Ecco le aree identificate come ad alto rischio:

• infrastrutture critiche, parliamo quindi di sistemi di IA utilizzati, per esempio, nei trasporti e in altre infrastrutture essenziali, dove un malfunzionamento potrebbe mettere a rischio vite umane;
• istruzione e formazione, come tecnologie impiegate per valutare gli studenti e assegnare punteggi agli esami, che hanno un’influenza diretta sul percorso educativo e professionale dei cittadini europei;
• dispositivi medici e chirurgia assistita da robot, dunque tutte quelle soluzioni AI impiegate per la sicurezza dei pazienti, come i sistemi di supporto nelle operazioni chirurgiche;
• selezione del personale e gestione dei lavoratori, tra cui gli algoritmi utilizzati per filtrare i CV, prendere decisioni di assunzione o monitorare le prestazioni dei dipendenti;
• accesso a servizi essenziali, modelli impiegati per concedere o negare prestiti (credit scoring), che determinano l’accesso a finanziamenti e opportunità economiche;
• identificazione biometrica e riconoscimento delle emozioni, come le tecnologie in grado di identificare individui da remoto, categorizzarli in base a caratteristiche biometriche o analizzare le loro emozioni;
• attività di contrasto e sicurezza pubblica che comprendono tutti i sistemi usati dalle forze dell’ordine per valutare l’affidabilità delle prove o monitorare potenziali minacce, con il rischio di violare i diritti delle persone;
• gestione della migrazione e controllo delle frontiere, per esempio l’analisi automatizzata delle domande di visto o la valutazione dei richiedenti asilo;
• sistema giudiziario e processi democratici, algoritmi impiegati nell’amministrazione della giustizia, ad esempio per supportare la redazione delle sentenze o l’analisi delle prove.

Pratiche AI vietate: tecnologie non ammesse dal regolamento

Ci sono poi tecnologie considerate a tutti gli effetti inaccettabili. Parliamo nello specifico di otto pratiche, esplicitamente vietate dal recente quadro normativo.

1. Tecniche manipolative e ingannevoli, progettate per influenzare il comportamento delle persone in modo dannoso o non trasparente.
2. Sfruttamento delle vulnerabilità legate all’età, alla disabilità o a condizioni di particolare fragilità attraverso sistemi di IA.
3. Punteggio sociale, ovvero sistemi che classificano le persone in base al loro comportamento o alle loro caratteristiche personali, determinando l’accesso a servizi o opportunità.
4. Valutazione predittiva del rischio criminale, che mira a stimare la probabilità che un individuo commetta un reato, basandosi su dati pregressi o modelli statistici.
5. Raccolta indiscriminata di dati online o da telecamere di sorveglianza, utilizzata per creare database di riconoscimento facciale senza il consenso degli interessati.
6. Riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole, un utilizzo dell’IA intrusivo e potenzialmente discriminatorio;
7. Classificazione biometrica volta a dedurre informazioni personali come orientamento politico, religioso o sessuale, mettendo a rischio la privacy e la libertà individuale.
8. Identificazione biometrica remota in tempo reale negli spazi pubblici a fini di sorveglianza da parte delle forze dell’ordine, salvo casi eccezionali regolati dalla legge.

Entrata in vigore dell’AI Act: cosa cambierà per imprese e cittadini

Per le imprese, queste misure implicheranno l’adeguamento a nuovi obblighi di trasparenza, sicurezza e conformità, soprattutto quando operano nel settore AI ad alto rischio. Sarà necessario, perciò, implementare procedure di controllo, garantire la tracciabilità degli algoritmi e fornire formazione adeguata al personale.

Per i cittadini, invece, l’AI Act rappresenta su tutti i fronti un importante passo avanti in termini di tutela e diritti.

Le tempistiche per l’attuazione del regolamento

L’AI Act è entrato ufficialmente in vigore il 1° agosto 2024, ma la sua applicazione completa avverrà gradualmente nei prossimi anni. Il regolamento sarà pienamente operativo dal 2 agosto 2026, con alcune disposizioni che entreranno in vigore in momenti diversi:

• dal 2 febbraio 2025 saranno attivi i divieti previsti dalla legge e l’obbligo di promuovere l’alfabetizzazione sull’Intelligenza Artificiale;
• dal 2 agosto 2025 diventeranno applicabili le norme di governance e gli obblighi specifici per i modelli di IA ad uso generale;
• sarà garantito fino al 2 agosto 2027 un periodo di transizione più lungo per i sistemi di IA ad alto rischio integrati in prodotti già regolamentati, prima che le nuove norme trovino piena applicazione.

Impatti per le imprese: obblighi e conformità

Affinché un sistema di IA ad alto rischio possa essere messo in commercio e utilizzato, deve rispettare una serie di requisiti molto severi.

In primis, un processo di valutazione e mitigazione dei rischi: le aziende devono identificare e ridurre al minimo i potenziali pericoli prima di rendere operativo il sistema. In secondo luogo, devono essere usati dati di alta qualità, l’addestramento dei modelli si deve basare su dataset accurati, per evitare distorsioni e discriminazioni negli output prodotti.

Vi è poi un importante lavoro sul fronte della registrazione e della tracciabilità, per cui ogni attività del sistema deve essere documentata, in modo da assicurare la massima trasparenza delle decisioni e consentire, allo stesso tempo, controlli efficaci da parte delle autorità.

La documentazione prodotta deve necessariamente essere chiara e dettagliata, per cui alle autorità viene assicurato pieno accesso a tutte le informazioni necessarie per verificare la conformità del sistema ai requisiti normativi. Allo stesso modo, c’è bisogno di indicazioni trasparenti per gli operatori e di supervisione umana, in caso di malfunzionamenti o criticità.

Infine, il tema della cybersicurezza è di fondamentale importanza. Tutti i sistemi di questo tipo devono essere progettati per resistere a tentativi di manipolazione, errori o attacchi informatici.

Conseguenze per i cittadini: maggiore tutela e trasparenza

E per i cittadini? Per gli utenti, ovviamente, il cambiamento sarà positivo, perché ci sarà più trasparenza sulle decisioni prese dai sistemi AI, maggiore protezione da pratiche pericolose da parte di soggetti pubblici e privati e, soprattutto, la possibilità di contestare eventuali danni causati dall’intelligenza artificiale.

Le linee guida UE e l’obbligo di alfabetizzazione sull’IA

Uno dei punti chiave della norma che ancora non abbiamo trattato, è l’obbligo di garantire un adeguato livello di alfabetizzazione sull’Intelligenza Artificiale per chiunque utilizzi o gestisca sistemi di AI, indipendentemente dal livello di rischio della tecnologia impiegata. L’obiettivo è assicurare che chi lavora con queste soluzioni abbia una conoscenza adeguata a comprenderne il funzionamento, i rischi e le opportunità, riducendo così al minimo la possibilità di usi impropri o non consapevoli.

Questo requisito, previsto dall’articolo 4 del regolamento, non riguarda solo gli sviluppatori e gli implementatori, ma anche gli utenti finali all’interno di un’organizzazione, inclusi collaboratori esterni e appaltatori. Inoltre, si applica anche a modelli di IA generici, come i Large Language Models integrati nei software aziendali, e non solo a sistemi progettati per compiti specifici.

L’alfabetizzazione all’IA, secondo la definizione dell’UE, comprende la conoscenza tecnica degli algoritmi, ma anche una grande consapevolezza dei rischi e delle implicazioni etiche. Non esiste ancora, al momento, una definizione precisa di cosa si intenda per “livello sufficiente” di alfabetizzazione, per cui si lascia alle aziende la responsabilità di adattare la formazione in base alle proprie esigenze operative.

I settori coinvolti: dall’industria ai servizi pubblici

Come possiamo immaginare, l’AI Act avrà un impatto significativo su numerosi settori. Nell’industria e nella manifattura, l’adozione di sistemi automatizzati sarà sempre più regolamentata per garantire standard elevati di sicurezza e affidabilità. In ambito sanitario, l’IA verrà utilizzata per supportare diagnosi e trattamenti, ma con requisiti rigorosi per evitare rischi per i pazienti e garantire la trasparenza dei processi.

Anche il settore pubblico dovrà adeguarsi a nuove norme che impongono maggiore chiarezza nell’uso del riconoscimento facciale e nella gestione dei dati sensibili, mentre il comparto bancario e finanziario dovrà rispettare obblighi più stringenti nella regolamentazione degli algoritmi decisionali, così da prevenire discriminazioni e garantire equità nei processi di valutazione del credito.

Sei interessato all’argomento e vuoi approfondire il funzionamento di questi sistemi? Data Masters mette a disposizione un ampio ventaglio di corsi per tutti sull’Intelligenza Artificiale, pensati per chi desidera acquisire competenze pratiche, comprendere le potenzialità dell’IA e restare al passo con le ultime innovazioni del settore. Che tu sia un principiante o un professionista in cerca di aggiornamento, troverai il percorso didattico più adatto alle tue esigenze!