Scade il primo countdown dell’AI Act: dal 2 febbraio si applica (parzialmente) il Regolamento sull’intelligenza artificiale
Scatta l’obbligo, a carico di fornitori e deployer di sistemi di IA, di garantire “un livello sufficiente di alfabetizzazione in materia di IA del loro personale, nonché di qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA per loro conto”
Il 2 febbraio ha sancito ufficialmente l’inizio dell’applicazione (almeno in parte) dell’AI Act, il Regolamento europeo 2024/1689 sull’intelligenza artificiale.
Sebbene l’applicazione, in ogni sua parte, sia prevista per il 2 agosto dell’anno prossimo, il legislatore europeo ha programmato un’applicazione graduale delle disposizioni contenute nel Regolamento, a partire da quelle ritenute prioritarie.
Agli artt. 111 e 113 sono infatti indicati i diversi scaglioni temporali entro cui le norme sull’intelligenza artificiale troveranno applicazione.
Dalla scorsa settimana, dunque, in tutti gli Stati membri UE valgono le definizioni contenute nell’AI Act – che, vale la pena ricordare, non necessita di recepimento negli ordinamenti nazionali, trattandosi di regolamento – ed è scattato l’obbligo, a carico di fornitori e deployer (quindi, gli utilizzatori) di sistemi di IA, di garantire “un livello sufficiente di alfabetizzazione in materia di IA del loro personale, nonché di qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA per loro conto”.
Sempre dal 2 febbraio, poi, sono divenute vietate alcune pratiche di IA, quelle elencate all’art. 5, ritenute le più dannose e contrarie ai valori dell’UE, tra cui ad esempio i sistemi di IA basati su tecniche manipolative o ingannevoli o i sistemi di categorizzazione biometrica impiegati per inferire informazioni relative ad opinioni politiche, all’appartenenza sindacale, alle convinzioni religiose o filosofiche, alla razza, alla vita sessuale o all’orientamento sessuale delle persone. Ancora, i sistemi di scoring per valutare e attribuire un punteggio alle persone sulla base del loro comportamento sociale, o i sistemi volti a creare banche dati di riconoscimento facciale mediante scraping da Internet.
Non è un caso che queste siano le prime disposizioni a diventare applicabili in via prioritaria e a distanza di poco tempo dall’entrata in vigore del Regolamento, avvenuta il 1° agosto 2024.
Il legislatore ha infatti adottato un duplice approccio per la sicurezza delle persone.
Da un lato, ha previsto una tutela ex lege attraverso un regime di divieto generale di quei sistemi di IA utilizzabili a fini di manipolazione, sfruttamento e controllo sociale e, dunque, in grado di mettere maggiormente a repentaglio i diritti e i valori su cui si fonda l’Unione europea, come il rispetto della dignità umana, la libertà, l’uguaglianza, la democrazia, il diritto alla non discriminazione, alla protezione dei dati e alla vita privata e i diritti dei minori.
Dall’altro lato, ha fornito uno strumento di self-defense, vale a dire l’alfabetizzazione in materia di IA (o AI Literacy) cioè la promozione e la diffusione di competenze, conoscenze e comprensione dei sistemi di IA, in modo da generare consapevolezza in merito alle opportunità e ai rischi dell’IA e ai possibili danni che essa può causare.
Dunque, insieme ad autorità e Stati membri, sono chiamati in prima linea gli stessi fornitori e utilizzatori di sistema di IA, su cui incombe questo obbligo di garantire la corretta e sufficiente formazione in materia di IA. D’altronde, come nel contesto della cybersecurity e, prima ancora, della protezione dei dati personali, tra i presidi non possono che esservi anche l’educazione, la sensibilizzazione e l’awareness dei singoli.
Gli altri termini per l’applicazione dell’AI ACT
La prossima “scadenza” è prevista per il 2 agosto di quest’anno: tra le disposizioni più rilevanti, che diventeranno applicabili durante questa sessione estiva, si segnalano le norme sul regime sanzionatorio, sugli obblighi dei fornitori di modelli di IA per finalità generali e sulla infrastruttura della governance europea in materia di IA composta in particolare dall’Ufficio dell’IA, dal Consiglio per l’IA, da un forum consultivo e da un gruppo di esperti scientifici indipendenti volto a sostenere le attività di esecuzione del Regolamento.
Il Regolamento, nella sua interezza, sarà poi applicabile dal 2 agosto 2026, ma occorre prestare attenzione poiché il legislatore europeo ha disseminato, lungo il Regolamento, ulteriori termini di applicazioni che di fatto posticipano l’applicazione di alcune norme rispetto al termine generale di applicazione.
In particolare, sarà applicabile dal 2 agosto 2027 la classificazione del sistema ad alto rischio in presenza delle condizioni delineate all’art. 6, 1° comma, mentre una disciplina speciale è riservata ai sistemi e ai modelli di IA già immessi sul mercato o messi in servizio prima dell’applicazione del Regolamento. Più specificamente:
• i sistemi di IA ad alto rischio, già in uso prima del 2 agosto 2026, devono osservare il Regolamento soltanto qualora, a decorrere da tale data, siano stati soggetti a modifiche significative della loro progettazione;
• i fornitori di modelli di IA per finalità generali che sono stati immessi sul mercato prima del 2 agosto 2025 devono conformarsi agli obblighi del Regolamento entro il 2 agosto 2027;
• i sistemi di IA facenti parte di sistemi IT su larga scala (si intendono i sistemi informatici operanti nello spazio di libertà, sicurezza e giustizia, come ad esempio i sistemi deputati alla gestione delle frontiere nei Paesi Schengen o i sistemi di informazione sui visti) devono essere resi conformi al Regolamento, ove messi in servizio o immessi sul mercato prima del 2 agosto 2027.
Il Regolamento sembra, dunque, non solo molto articolato e complesso con i suoi 180 considerando, 113 articoli e 13 allegati, ma costellato di adempimenti e di obblighi la cui osservanza diventerà cogente secondo scansioni temporali differenti.
Pare allora imprescindibile per le organizzazioni, coinvolte a vario titolo dall’AI Act, dotarsi di un piano di adeguamento che, in primo luogo, definisca il loro ruolo ai sensi del Regolamento (fornitori, distributore, importatore, deployer), poi classifichi i sistemi che adottano o sviluppano e, infine, una volta individuati gli obblighi applicabili, ne scandisca la corretta attuazione, anche dal punto di vista temporale.
_______
*Avv. Laura Greco, Studio Legale Giusella Finocchiaro
