L'AI Act, il Regolamento europeo sull'intelligenza artificiale, è finalmente operativo. Dopo la sua entrata in vigore, il 2 agosto 2024, il framework si trova ora in una fase di implementazione graduale, che vedrà attivarsi obblighi, divieti e sanzioni nel corso dei prossimi due anni.
Si tratta di step di applicazione coerenti con i tempi e le esigenze delle imprese europee, le quali dovranno adeguarsi a un uso responsabile delle soluzioni di artificial intelligence sviluppando governance, strumenti e competenze con un approccio sistematico e integrato.
Cosa richiede il Regolamento europeo sull'intelligenza artificiale
L'AI Act è stato implementato con una logica risk based. Partendo dalla definizione che l'OCSE ha formulato per inquadrare il tema dell'AI (ovvero “un sistema automatizzato progettato per funzionare con diversi livelli di autonomia… che deduce, dagli input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni…”), il framework riconosce quattro fattispecie di rischio: inaccettabile, alto, limitato e minimo, puntando ad armonizzare una visione antropocentrica dell'artificial intelligence.
Dunque, a prescindere dalle categorie in cui rientrano i nuovi scenari aziendali di risk & compliance management, coprire i vari aspetti della gestione dei sistemi di intelligenza artificiale rispettando i requisiti dell'AI Act significa:
- sviluppare un meccanismo di quality control degli asset attivati;
- mappare i rischi relativi al loro utilizzo;
- effettuare valutazioni d’impatto sui diritti fondamentali;
- garantire la sorveglianza umana;
- promuovere la trasparenza;
- adottare codici di buone pratiche;
- monitorare e aggiornare continuamente i sistemi;
- prevedere misure correttive quando necessario;
- proteggere i dati personali.
A quali organizzazioni si rivolge l'AI Act
Le organizzazioni a cui si rivolge il Regolamento europeo sull'intelligenza artificiale sono tutte quelle coinvolte nella catena del valore dell'intelligenza artificiale. L'AI Act ingloba quindi sia le imprese e le pubbliche amministrazioni, sia i vendor tecnologici, ma fa esplicito riferimento anche alle autorità di sorveglianza del mercato, che hanno il compito di garantire la conformità durante l’intero ciclo di vita dei sistemi di AI, conducendo audit regolari e facilitando l’immissione sul mercato dei nuovi prodotti.
Più nello specifico, l'AI Act fa distinzione tra due categorie di soggetti: da una parte ci sono i fornitori dei sistemi di intelligenza artificiale, ovvero soggetti pubblici o privati che, indipendentemente da dove abbiano sede, abilitano e mettono a disposizione del mercato europeo sistemi di AI. Dall'altra ci sono gli operatori che, sempre a prescindere dalla loro ubicazione, sono responsabili per l’output prodotto dal sistema di intelligenza artificiale utilizzato in Europa.
Non rientrano invece nel perimetro dell’AI Act quei soggetti che utilizzano sistemi di intelligenza artificiale esclusivamente per scopi di ricerca scientifica o sviluppo, oppure per scopi militari o di difesa.
Le tappe attuative: cosa prescrivono i vari step fino al 2027
Come detto, l'attuazione del Regolamento europeo sull'intelligenza artificiale sarà graduale, e i soggetti interessati dovranno adeguarsi in funzione della rischiosità dei propri sistemi di AI. È dunque essenziale effettuare preliminarmente un assessment approfondito che consenta di censire tutti gli asset attivati e mapparne i rischi associati.
Le disposizioni concernenti i divieti si applicano a decorrere già dal 2 febbraio 2025. Scatta quindi l'obbligo di non utilizzare sistemi (come quello, per esempio, del social scoring o dell'identificazione biometrica in tempo reale e a distanza) per i quali il rischio per le persone è stato reputato inaccettabile. Il 2 maggio 2025 ci sarà l'applicazione dei codici di condotta per sviluppatori, imprese e associazioni settoriali.
Le norme sulla governance e gli obblighi per l’AI di uso generale si applicheranno invece a partire dal 2 agosto 2025, 12 mesi dopo l’entrata in vigore del regolamento, quando scatteranno anche gli obblighi per i fornitori di modelli di AI per finalità generali.
Le organizzazioni che sviluppano o utilizzano sistemi AI ad alto rischio inseriti nell’elenco allegato al Regolamento dovranno invece risultare compliant entro la data del 2 agosto 2026, mentre per tutti gli altri sistemi (elencati nell’allegato II dell'AI Act) si avrà tempo sino al 2 agosto 2027: in pratica, 36 mesi dopo l’entrata in vigore del framework, ci sarà l'applicazione dell'intero Regolamento per tutte le fattispecie previste.
Topic: Sicurezza Informatica
Post Correlati
