Il Regolamento (UE) 2024/1689 (di seguito,il “Regolamento” o “AI Act”) è il primo strumento che disciplina in modo uniforme l’intelligenza artificiale (IA) nell’UE. Entrato in vigore il 2 agosto 2024, prevede un’applicazione progressiva fino al 2 agosto 2026.

L’AI Act istituisce un quadro giuridico armonizzato sull’immissione nel mercato, la messa in servizio o l’uso dei sistemi di IA nell’UE, con l’obiettivo principale di garantirne un uso conforme ai valori fondamentali dell’Unione, promuovendo una tecnologia antropocentrica, affidabile e sicura.

Il Regolamento classifica i sistemi di IA in base al rischio che comportano per i diritti fondamentali, la salute e la sicurezza delle persone:

1. Rischio minimo o inesistente

La maggior parte delle applicazioni IA rientrano in questa categoria, come i sistemi di raccomandazione, gli assistenti virtuali, i filtri antispam. Non sono soggetti a particolari restrizioni, ma possono seguire codici di condotta volontari.

2. Rischio limitato

Questi sistemi di IA presentano alcuni rischi, in particolare di manipolazione o falsificazione (chatbot e deep fake). Devono rispettare obblighi di trasparenza, come informare gli utenti del fatto che stanno interagendo con un’IA.

3. Alto rischio

Questo gruppo comprende sistemi IA che, se non correttamente progettati o gestiti, possono comportare rischi significativi per la sicurezza o i diritti fondamentali degli individui.

Si tratta ad esempio dei sistemi di IA utilizzati nei settori della sanità, dei trasporti, della giustizia o per scopi di valutazione dell’affidabilità creditizia (come i sistemi di scoring del credito) o nei processi di recruiting.

Sono soggetti a severi obblighi di conformità, documentazione, test, tracciabilità e monitoraggio.

4. Rischio inaccettabile (vietati)

Questa categoria include i sistemi volutamente manipolativi (suscettibili di alterare in modo significativo il comportamento di individui), di social scoring, riconoscimento facciale in spazi pubblici in tempo reale, valutazione predittiva dei crimini, rilevamento emotivo e categorizzazione biometrica. Sono proibiti per violazione dei diritti fondamentali.

La Commissione Europea, per chiarire i confini di questi divieti, ha adottato, il 4 febbraio 2025, delle Linee Guida che specificano il contenuto dei divieti, esemplificano le pratiche vietate e quelle eventualmente ammesse, chiarendo ambiti di applicazione, deroghe ammesse e soggetti coinvolti.

È previsto un sistema sanzionatorio (in vigore da agosto 2026) con multe fino a 35 milioni di euro o al 7% del fatturato per violazioni gravi.

Per completare il quadro regolatorio dell’AI Act, la Commissione Europea ha altresì pubblicato, l’11 marzo 2025, il terzo draft di un Codice di condotta per i fornitori di IA general purpose (GPAI) che include obblighi di trasparenza, valutazione dei rischi e rispetto del diritto di autore.

In parallelo, la Commissione ha approvato un modello per la trasparenza dei dati di training, sempre ad utilizzo delle aziende che producono sistemi GPAI. I fornitori di sistemi GPAI dovranno, oltre a redigere e mantenere aggiornata la documentazione tecnica del modello e mettere a disposizione informazioni e documentazione ai fornitori di sistemi di IA che intendono integrare il modello di IA per finalità generali nel loro sistema di IA, attuare una policy di rispetto della legge sul diritto d’autore dell’Unione e redigere e rendere disponibile al pubblico un riassunto dettagliato dei contenuti utilizzati per l’addestramento del modello di IA generale, secondo un template fornito dall’IA Office.