L’intelligenza artificiale sta rapidamente rivoluzionando ogni settore, dalla sanità alla finanza, passando per il marketing e la pubblica amministrazione. Ma chi vigila su questi sistemi? Come possiamo garantire che l’AI non violi i diritti fondamentali?
È da queste domande che nasce l’EU AI Act, la prima legislazione al mondo che regola lo sviluppo, la distribuzione e l’uso dell’intelligenza artificiale secondo un principio chiave: il rischio.
Summary
Cosa prevede l’EU AI Act?
Approvato nel 2024, il Regolamento europeo sull’intelligenza artificiale introduce un approccio basato sul rischio. I sistemi AI vengono classificati in quattro categorie principali:
🔹 AI a rischio minimo
🔹 AI ad alto rischio
🔹 AI vietata
🔹 Modelli per scopi generali (GPAI)
Pratiche vietate: l’AI che non avrà futuro
Alcuni usi dell’intelligenza artificiale sono considerati eticamente inaccettabili o pericolosi e saranno vietati a partire dal 2 febbraio 2025.
Esempi di AI proibita:
- Punteggio sociale (stile “Black Mirror”): valutare le persone in base al loro comportamento, con conseguenze nella vita reale.
- Manipolazione psicologica: sistemi che spingono gli utenti a prendere decisioni dannose o non consapevoli.
- Scraping di volti da Internet per database biometrici.
- Riconoscimento delle emozioni in scuole e luoghi di lavoro (tranne che per motivi di salute o sicurezza).
- Sorveglianza biometrica in tempo reale da parte delle forze dell’ordine, salvo casi eccezionali autorizzati.
AI ad alto rischio: regole e requisiti
I sistemi ad alto rischio sono quelli che impattano direttamente sui diritti, sulla sicurezza o sull’accesso ai servizi essenziali. Dovranno rispettare requisiti rigorosi.
Esempi concreti:
- AI usata per assumere candidati o valutare performance.
- Sistemi che determinano l’idoneità al credito o ai benefici sociali.
- Algoritmi in dispositivi medici o infrastrutture critiche (energia, trasporti).
- Strumenti AI che influenzano il sistema giudiziario o elezioni democratiche.
I fornitori dovranno:
- Adottare sistemi di gestione del rischio continuo
- Garantire alta qualità dei dati di training e test
- Documentare ogni fase con trasparenza tecnica
- Implementare piani di monitoraggio post-commercializzazione
Gli utilizzatori dovranno:
- Utilizzare i sistemi seguendo le istruzioni specifiche
- Conservare i log del sistema AI
- Valutare gli impatti sui diritti fondamentali in contesti pubblici o sensibili
Le regole entreranno in vigore dal 2 agosto 2026.
Regole per i modelli AI generici (GPAI)
Il regolamento introduce anche una disciplina ad hoc per i foundation models come Granite di IBM o LLaMA 3 di Meta, che possono essere utilizzati in numerose applicazioni diverse.
Obblighi dei fornitori GPAI:
- Rispetto del copyright UE
- Riepilogo pubblico dei dataset di training
- Marcatura automatica dei contenuti generati (deepfake, testi, immagini)
Se un modello supera la soglia di 10²⁵ FLOP in fase di addestramento, è considerato a rischio sistemico e dovrà:
- Segnalare incidenti gravi
- Adottare misure avanzate di cybersecurity
Le regole si applicano ai nuovi modelli dal 2 agosto 2025, con un periodo di adattamento fino al 2027 per quelli già esistenti.
A chi si applica l’EU AI Act?
Il regolamento si applica a:
- Fornitori (chi sviluppa o commercializza AI)
- Utilizzatori (chi usa sistemi AI nella propria attività)
- Importatori e distributori nell’UE
Anche le aziende extra-UE rientrano nella normativa se i loro sistemi o output vengono usati nell’Unione Europea. In tal caso, devono nominare un rappresentante autorizzato nell’UE.
Sanzioni: fino a 35 milioni di euro
Le multe sono proporzionate alla gravità della violazione:
| Tipo di Violazione | Sanzione Massima |
| Uso di AI vietata | €35 milioni o 7% del fatturato globale |
| Violazione requisiti per AI ad alto rischio | €15 milioni o 3% del fatturato globale |
| Informazioni fuorvianti alle autorità | €7,5 milioni o 1% del fatturato globale |
Le PMI e startup beneficiano di un regime sanzionatorio proporzionale.
Date chiave
1° agosto 2024: entrata in vigore ufficiale
2 febbraio 2025: divieto pratiche AI proibite
2 agosto 2025: GPAI (nuovi modelli)
2 agosto 2026: AI ad alto rischio
2 agosto 2027: sistemi regolati da altre normative UE
FAQ – Domande frequenti sull’AI Act
▶ L’AI Act si applica anche all’uso personale dell’intelligenza artificiale?
No. Gli usi personali o per ricerca scientifica sono esenti.
▶ I sistemi open source sono regolamentati?
Sì, se hanno impatto sistemico o sono utilizzati in contesti a rischio.
▶ Cosa significa “marcare i contenuti generati”?
Aggiungere metadati o etichette leggibili dalle macchine che segnalano che il contenuto (es. un video deepfake) è stato generato o alterato da un’AI.
Conclusione
L’EU AI Act è molto più di una legge: è una dichiarazione d’intenti sul futuro dell’innovazione digitale europea. Le aziende che sviluppano, distribuiscono o usano AI devono agire subito per valutare i propri rischi, adeguare i processi e investire in trasparenza e governance.
