AI Act: cosa prevede il regolamento europeo sull’Intelligenza Artificiale

L’Intelligenza Artificiale sta trasformando processi, prodotti e modelli di business in tutti i settori economici. Parallelamente alla diffusione di queste tecnologie, cresce la necessità di definire regole che garantiscano sicurezza, trasparenza e tutela dei diritti fondamentali. In questo contesto nasce l’AI Act, il primo quadro normativo organico dedicato all’Intelligenza Artificiale adottato dall’Unione Europea.

L’AI Act si inserisce inoltre in un più ampio percorso normativo europeo volto a rafforzare la sicurezza e la governance digitale. Dopo iniziative come la Direttiva NIS2 e il Cyber Resilience Act, l’Unione Europea ha definito un insieme di regole specifiche per garantire che l’Intelligenza Artificiale venga sviluppata e utilizzata in modo responsabile, trasparente e affidabile.

Per aziende e organizzazioni che sviluppano, integrano o utilizzano sistemi di AI, comprenderne gli obiettivi e gli obblighi è ormai fondamentale.

AI Act: cos’è?

L’AI Act è il regolamento europeo che disciplina lo sviluppo, la commercializzazione e l’utilizzo dei sistemi di Intelligenza Artificiale all’interno dell’Unione Europea.

L’obiettivo della normativa è creare un quadro comune che favorisca l’innovazione tecnologica senza compromettere sicurezza, diritti fondamentali e fiducia degli utenti.

A differenza di altri approcci normativi, il regolamento non vieta l’utilizzo dell’Intelligenza Artificiale in sé, ma introduce requisiti e obblighi differenti in base al livello di rischio associato ai sistemi utilizzati.

Qual è l’obiettivo principale dell’AI Act?

La finalità della normativa è duplice:

• promuovere lo sviluppo responsabile dell’Intelligenza Artificiale;
• proteggere cittadini e organizzazioni dai potenziali rischi derivanti dall’utilizzo di sistemi AI.

Il legislatore europeo ha scelto un approccio basato sul rischio, secondo cui gli obblighi aumentano in funzione dell’impatto che una soluzione può avere sulle persone, sui diritti e sulla sicurezza.

L’obiettivo non è quindi limitare l’innovazione, ma creare condizioni che permettano di utilizzare l’AI in modo affidabile, trasparente e controllato.

Regolamento AI Act: un approccio basato sul rischio

Il regolamento AI Act classifica i sistemi di Intelligenza Artificiale in diverse categorie di rischio.

Rischio inaccettabile

Rientrano in questa categoria le applicazioni considerate incompatibili con i valori europei e pertanto vietate. Dal 2 febbraio 2025 sono infatti entrati in vigore i primi divieti previsti dall’AI Act.

Tra gli esempi più significativi troviamo:

• sistemi di social scoring che attribuiscono punteggi alle persone sulla base di comportamenti, relazioni o attività online;
• tecniche di manipolazione subliminale finalizzate a influenzare decisioni e comportamenti degli utenti;
• sistemi di riconoscimento delle emozioni utilizzati in contesti lavorativi o scolastici;
• alcune forme di identificazione biometrica in tempo reale negli spazi pubblici, salvo specifiche eccezioni previste dalla normativa.

Queste pratiche sono state considerate incompatibili con la tutela dei diritti fondamentali e con i principi di fiducia e trasparenza promossi dall’Unione Europea.

Rischio elevato

Comprende sistemi utilizzati in ambiti particolarmente sensibili, come selezione del personale, istruzione, infrastrutture critiche, servizi finanziari o dispositivi che possono influenzare significativamente i diritti delle persone.

Rischio limitato

Include applicazioni soggette principalmente a obblighi di trasparenza, come alcuni chatbot o sistemi generativi.

Rischio minimo

Coinvolge la maggior parte delle applicazioni AI oggi presenti sul mercato, per le quali non sono previsti obblighi specifici oltre alle norme già esistenti.

Livelli di rischio AI Act: perché sono importanti

I livelli di rischio AI Act rappresentano il cuore della normativa.

La classificazione determina infatti quali requisiti devono essere rispettati e quale livello di controllo deve essere applicato.

Per i sistemi ad alto rischio, ad esempio, il regolamento prevede obblighi relativi a:

• gestione dei rischi;
• qualità dei dati;
• documentazione tecnica;
• supervisione umana;
• sicurezza e robustezza del sistema;
• monitoraggio continuo delle prestazioni.

Per molte organizzazioni, la prima attività consiste quindi nell‘identificare correttamente il livello di rischio delle soluzioni AI utilizzate.

Chi è soggetto all’AI Act

La normativa non interessa esclusivamente le aziende che sviluppano modelli di Intelligenza Artificiale.

Gli obblighi possono coinvolgere:

• fornitori di sistemi AI;
• aziende che utilizzano sistemi AI nei propri processi;
• importatori e distributori;
• produttori che integrano funzionalità AI nei propri prodotti.

Inoltre, il regolamento può applicarsi anche a organizzazioni non europee quando i sistemi di Intelligenza Artificiale vengono immessi sul mercato europeo o utilizzati da utenti presenti nell’Unione Europea.

AI Literacy: una nuova responsabilità per le organizzazioni

Tra le novità più significative introdotte dall’AI Act vi è il concetto di AI Literacy, ovvero la necessità di garantire un livello adeguato di competenza e consapevolezza nell’utilizzo dell’Intelligenza Artificiale.

Le organizzazioni che utilizzano sistemi AI devono infatti assicurarsi che dipendenti e collaboratori comprendano:

• le potenzialità degli strumenti utilizzati;
• i limiti e i rischi associati all’Intelligenza Artificiale;
• le modalità corrette di utilizzo;
• l’impatto che le decisioni automatizzate possono avere su persone e processi.

L’obiettivo è promuovere un utilizzo più consapevole e responsabile delle tecnologie AI, riducendo il rischio di errori, utilizzi impropri o decisioni non adeguatamente supervisionate.

Quando entreranno in vigore i principali obblighi dell’AI Act?

Sebbene l’AI Act sia entrato in vigore nell’agosto 2024, la sua applicazione avviene, come abbiamo visto, in modo progressivo, secondo un calendario definito dall’Unione Europea.

Le principali tappe sono state e saranno:

• 2 febbraio 2025: sono entrate in vigore le disposizioni generali e i divieti relativi alle pratiche di AI considerate inaccettabili.
• 2 agosto 2025: sono diventati applicabili gli obblighi relativi ai modelli di AI di uso generale (General Purpose AI).
• 2 agosto 2026: entrerà in applicazione la maggior parte delle disposizioni previste dal regolamento, incluse molte regole per i sistemi ad alto rischio.
• 2 agosto 2027: diventeranno applicabili ulteriori obblighi specifici per alcune categorie di sistemi AI integrati in prodotti regolamentati.

Per le imprese, questo significa che la conformità non può essere affrontata all’ultimo momento, ma richiede una pianificazione preventiva.

Le sfide per le aziende

L’introduzione dell’AI Act porta nuove responsabilità organizzative e tecnologiche.

Molte aziende stanno infatti adottando strumenti di Intelligenza Artificiale all’interno di:

• processi amministrativi;
• attività commerciali;
• gestione documentale;
• customer service;
• analisi dati e reporting.

L’AI Act riguarda infatti non soltanto le organizzazioni che sviluppano sistemi di Intelligenza Artificiale, ma anche quelle che li integrano nei propri prodotti o li utilizzano nelle attività operative e decisionali quotidiane.

In questi contesti diventa essenziale sapere dove viene utilizzata l’AI, quali dati vengono elaborati e quali controlli devono essere implementati.

La conformità non riguarda soltanto gli aspetti normativi, ma anche la governance dei dati, la sicurezza informatica e la tracciabilità dei processi.

Il ruolo delle piattaforme digitali e della governance dei dati

Per affrontare i requisiti introdotti dall’AI Act, le organizzazioni hanno bisogno di una maggiore visibilità sui propri processi digitali.

Piattaforme integrate, strumenti di gestione documentale, sistemi di Business Intelligence e soluzioni per la Governance dei dati possono supportare le aziende nel monitoraggio delle informazioni e nella gestione dei processi che coinvolgono l’Intelligenza Artificiale.

La capacità di centralizzare dati e procedure diventa infatti un elemento chiave per dimostrare trasparenza, controllo e conformità normativa.

Dall’adozione dell’AI alla conformità normativa

L’AI Act rappresenta quindi una delle normative più importanti per il futuro dell’Intelligenza Artificiale in Europa.

Comprendere cos’è l’AI Act, conoscere i livelli di rischio, sapere chi è soggetto all’AI Act e prepararsi alle diverse scadenze consente alle organizzazioni di adottare l’innovazione in modo più consapevole.

L’introduzione degli obblighi di AI Literacy e delle prime restrizioni sui sistemi considerati a rischio inaccettabile dimostra come l’Unione Europea stia puntando non solo sulla regolamentazione tecnologica, ma anche sulla diffusione di una cultura dell’Intelligenza Artificiale basata su responsabilità, trasparenza e controllo.

In un contesto in cui l’Intelligenza Artificiale è destinata a diventare sempre più centrale nei processi aziendali, la capacità di coniugare innovazione, sicurezza e conformità sarà un fattore competitivo sempre più rilevante.