L’AI Act è il Regolamento (UE) 2024/1689 dell’Unione europea che disciplina lo sviluppo e l’utilizzo di sistemi e modelli di intelligenza artificiale (IA), garantendo sicurezza, rispetto dei diritti fondamentali e promuovendo l’innovazione. Uno degli obiettivi principali è evitare che i singoli Stati membri introducano normative nazionali disomogenee, prevedendo invece una normativa unitaria in UE, a supporto del mercato unico e favorendo la certezza del diritto. Ciò dovrebbe facilitare lo sviluppo e l’adozione dell’IA in tutta l’Unione, rendendola competitiva su scala globale.

L’AI Act è entrato in vigore il 2 agosto 2024, sebbene la diretta applicabilità del regolamento sia stata differita ai mesi e anni successivi, a seconda dei singoli ambiti regolamentati.
La tecnica normativa dell’AI Act si fonda su di un approccio basato sul rischio (risk-based approach), classificando i sistemi di IA in base al loro potenziale impatto sui diritti fondamentali e sulla sicurezza. Una prima macro-distinzione viene effettuata tra «sistemi di IA», ossia sistemi software che incorporano elementi di IA (ad es., un software di credit scoring bancario, oppure ChatGPT), e «modelli di IA» per finalità generali, ossia i singoli componenti intelligenti dei sistemi di IA (es. i Large Language Models come GPT-4o).
I sistemi di IA vengono classificati come segue, in base alla finalità di utilizzo:
rischio inaccettabile (art. 5): include sistemi di IA che producono rischi considerati inaccettabili e non mitigabili, quali ad esempio sistemi di social scoring, sistemi di riconoscimento delle emozioni utilizzati fuori dall’ambito medico e sistemi biometrici di catalogazione in categorie protette (es., sulla base dell’etnia);
alto rischio (art. 5): include tecnologie che operano in settori critici come la sanità, l’istruzione, l’occupazione, la biometria e le infrastrutture critiche. Questi sistemi devono rispettare requisiti rigorosi in termini di sicurezza, trasparenza e supervisione umana;
rischio limitato (art. 50): Comprende applicazioni come chatbot o deepfake, per cui si richiedono livelli di trasparenza adeguati, ad esempio informando gli utenti che stanno interagendo con un sistema di IA e non con un essere umano;
rischio minimo: qualsiasi sistema di IA che non rientra nelle precedenti categorie (es., filtri antispam, IA utilizzata nei videogiochi) è considerato a rischio minimo e, come tale, non è sottoposto ad alcun obbligo dall’AI Act, anche se potrebbe ricadere nell’area di applicazione di altre normative (es., GDPR, laddove vi sia un trattamento di dati personali).
I modelli di IA per finalità generali vengono suddivisi come segue, a prescindere dalla finalità di utilizzo (trattandosi per definizione di modelli che possono essere utilizzati per molteplici finalità, ad esempio integrandoli in altri software):
modelli di IA per finalità generali: tecnologie come i Large Language Model che generano contenuti audio, video e/o testuali, autonomamente. I fornitori di questi modelli devono garantire trasparenza sull’origine del contenuto generato e prevedere misure a tutela del diritto d’autore, in fase di addestramento del sistema;
modelli di IA per finalità generali con rischio sistemico: modelli di IA estremamente grandi e che utilizzano vaste quantità di potere computazionale, con impatti su larga scala o in grado di influenzare interi settori economici, sociali o politici (es., GPT 4o). Per questa categoria sono previsti controlli particolarmente rigorosi e valutazioni d’impatto periodiche.
In caso di non conformità, sono previste sanzioni fino a € 35 milioni o al 7% del fatturato mondiale annuo. Per i sistemi di IA, l’enforcement è delegato ai singoli Stati membri, che dovranno designare una o più autorità di controllo nazionali. Per i modelli di IA per finalità generali, l’enforcement è invece accentrato nell’Ufficio europeo per l’IA (AI Office), presso la Commissione europea.
Al di là dell’aspetto strettamente regolatorio, l’AI Act prevede strumenti a favore dell’innovazione. Tra questi:
alfabetizzazione in materia di IA: iniziative per migliorare la comprensione dell’IA, inclusi rischi e benefici, tra cittadini, imprese e istituzioni;
spazi di sperimentazione normativa (AI Regulatory Sandboxes): ambienti di test regolamentati per le imprese che possono così sperimentare nuove tecnologie IA senza il rischio immediato di incorrere in sanzioni, favorendo lo sviluppo sicuro e conforme fin dalla progettazione.