Categorie principali
Altre categorie
    Registrarsi conviene

    Tanti vantaggi subito accessibili

  • 1

    Download gratuito dei tuoi articoli preferiti in formato PDF

  • 2

    Possibilità di sospendere la pubblicità dagli articoli del portale

  • 3

    Iscrizione al network dei professionisti

  • 4

    Ricevi le newsletter con le nostre Rassegne fiscali

    • Abbonati
Professionisti e Imprese

Il Regolamento europeo sull’intelligenza artificiale: prime “istruzioni per l’uso” per imprese e PA.

A cura di Riccardo Calvara

8 Ottobre 2024
Modifica zoom
100%

Indice

Premessa

Lo scorso 12 luglio 2024 è stato pubblicato nella Gazzetta Ufficiale dell’Unione europea il Regolamento UE 2024/1689 del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale, meglio noto come Artificial Intelligence Act (AI Act).

I regolamenti dell’Unione europea sono norme direttamente applicabili su tutto il  territorio dell’Unione. Scegliendo questa fonte normativa, il Legislatore europeo ha inteso fissare un quadro normativo omogeneo e tendenzialmente rigido per tutti gli Stati membri.
Il Regolamento in materia di intelligenza artificiale – entrato in vigore il ventesimo giorno successivo alla pubblicazione – diverrà applicabile in maniera progressiva, con tempi di efficacia delle sue disposizioni che variano tra i 6 e i 36 mesi.

Si tratta di una regolamentazione destinata a incidere significativamente sulle scelte di business delle imprese private, sull’esercizio dell’attività amministrativa e, dunque, sulle strategie di procurement delle stazioni appaltanti.

Le scelte del Legislatore europeo

L’art. 2 del AI Act, infatti, individua come destinatari della regolamentazione sia i soggetti che sviluppano sistemi di intelligenza artificiale, definiti «fornitori», sia coloro che utilizzano tali strumenti per scopi professionali, denominati «deployer». In tal modo, il Regolamento ha parificato soggetti pubblici e privati, superando la distinzione tra regimi giuridici che generalmente ne contraddistingue l’azione.

Le pubbliche amministrazioni, quindi, saranno considerate «deployer» tutte le volte in cui decidono di automatizzare le proprie attività servendosi di sistemi di IA acquisiti sul mercato mentre saranno considerate «fornitori» quando svilupperanno “internamente” i propri sistemi.

Il Regolamento, innanzitutto, fissa una definizione normativa di sistema di IA.  Ai sensi dell’art. 3, n. 1), un sistema di intelligenza artificiale è: «un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali».
Il modello di regolamentazione scelto dal Legislatore europeo segue poi un approccio basato sul rischio (cd. risk based approach).
Gli obblighi previsti per fornitori e utilizzatori non riguardano indistintamente tutti i sistemi di IA, ma si differenziano in funzione dell’uso che viene fatto del sistema e della pericolosità che ciascuna “pratica” può rappresentare per i diritti e le libertà degli individui.

I livelli di rischio individuati dal Legislatore sono: basso o minimo, alto e non accettabile. A seconda dell’intensità del rischio aumentano le restrizioni e gli obblighi per le organizzazioni che realizzeranno o faranno uso di tali sistemi.

legge zero


Le pratiche di IA vietate

L’art. 5 del Regolamento si occupa di definire le pratiche che presentano un rischio inaccettabile per l’ordinamento. I sistemi che ricadono in questo ambito di applicazione non potranno essere immessi sul mercato, messi in servizio o utilizzati.
In questa categoria di rischio vengono fatti rientrare quei sistemi che:

a) utilizzano tecniche subliminali o manipolative per distorcere il comportamento di una persona o di un gruppo di persone;
b) sfruttano le vulnerabilità della persona o di un gruppo di persone per distorcerne il comportamento;
c) permettono la valutazione o la classificazione delle persone fisiche o di gruppi di persone sulla base del loro comportamento sociale o di caratteristiche personali;
d) effettuano valutazione del rischio relativo a persone fisiche al fine di valutare o prevedere il rischio che questi commetta un reato unicamente sulla base della profilazione di una persona fisica o della valutazione dei tratti e delle caratteristiche della personalità;
e) creano o ampliano le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso;
g) permettono di inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione;
g) permettono la classificazione delle persone fisiche sulla base dei loro dati biometrici per poi trarre deduzioni o inferenze in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale;
h) permettono l’identificazione biometrica remota in tempo reale in spazi accessibili al pubblico.

Alcuni di questi divieti (lett. d, f, h) sono sottoposti a eccezione e il loro impiego viene ammesso al ricorrere di particolari circostanze. In questi casi, l’interesse pubblico al loro impiego è ritenuto prevalente rispetto ai possibili rischi per gli interessati.

I sistemi di IA ad “alto rischio”

La maggioranza delle disposizioni contenute nel Regolamento riguarda i sistemi di IA definiti ad “alto rischio”, ovvero quei sistemi che, diversi dalle pratiche vietate, possono comunque arrecare danni significativi alla salute, alla sicurezza, ai diritti fondamentali, all’ambiente, alla democrazia e allo Stato di diritto (art. 6 del Regolamento) in ragione della delicatezza degli ambiti in cui agiscono.

Per poter rientrane nella categoria dei sistemi “ad alto rischio”, i sistemi di IA devono integrare prodotti già disciplinati nella normativa dell’Unione (l’elenco in questione si trova all’Allegato II del Regolamento) e sottoposti alla vigilanza di autorità terze oppure essere sistemi il cui utilizzo rientra in una delle otto categorie di impiego individuate dal Legislatore europeo ed elencate nell’Allegato III.

Si tratta, in particolare, di sistemi destinati a operare nelle seguenti aree:

a) identificazione biometrica delle persone fisiche (ovvero, quelle pratiche di identificazione non vietate ai sensi dell’art. 5);
b) gestione delle infrastrutture critiche (come traffico, fornitura di acqua, gas, elettricità),
c) istruzione e formazione professionale;
d) occupazione e gestione dei lavoratori;
e) servizi pubblici essenziali (es. sanità ma anche partecipazione alla vita sociale e miglioramento delle condizioni di vita, come l’accesso al credito);
f) law enforcement da  parte  delle  forze  dell’ordine;
g) amministrazione della giustizia o processi democratici;
h) flussi migratori, diritto d’asilo e controlli alle frontiere.

L’elenco degli usi che classifica un sistema come “alto rischio” – qui brevemente riassunto – non è rigido e potrà essere modificato dalla Commissione europea al ricorrere delle condizioni previste dell’art. 7 del Regolamento.
Conscio del pericolo associato all’impiego di strumenti di IA in detti ambiti, il Legislatore europeo ha previsto una serie di obblighi di “fabbricazione” che devono essere assolti prima di poter immettere sul mercato o utilizzare simili sistemi catalogati (v. Capo II). Essi includono:

– l’implementazione di sistemi di gestione del rischio (art. 9);
– il rispetto di standard elevati per la qualità dei dataset (art. 10);
– la redazione di un’adeguata documentazione tecnica (art. 11);
– la conservazione dei log di funzionamento (art. 12);
– la trasparenza e la fornitura di informazioni rilevanti sul sistema e sul suo funzionamento dello stesso agli utenti (art. 13);
– la garanzia di una sorveglianza umana (art. 14);
– il mantenimento di adeguati livelli di accuratezza, robustezza e sicurezza informatica (art. 15).

L’AI Act, tuttavia, prevede due possibili eccezioni alla necessità di rispettare tali prescrizioni.

Un sistema di IA rientrante negli usi di cui all’allegato III, infatti, non deve essere considerato “ad alto rischio” se, riferisce il Legislatore europeo, «non presenta un rischio significativo di danno per la salute, la sicurezza o i diritti fondamentali delle persone fisiche, anche nel senso di non influenzare materialmente il risultato del processo decisionale».

Si presume che un sistema (potenzialmente rientrante negli usi di cui all’Allegato III) non presenti un rischio significativo per i diritti delle persone fisiche quando è destinato a:

– eseguire un compito procedurale limitato;
– migliorare il risultato di un’attività umana precedentemente completata;
– rilevare schemi decisionali o deviazioni da schemi decisionali precedenti;
– non sostituire o influenzare una valutazione umana precedentemente completata senza adeguata revisione umana;
– eseguire un compito preparatorio per una valutazione pertinente ai fini dei casi d’uso elencati nell’Allegato III.

L’eccezione di cui sopra, tuttavia, non potrà trovare applicazione quando un sistema di IA venga comunque impiegato nella profilazione di persone fisiche.
 
La seconda e ultima eccezione ha a che fare con la possibilità che il fornitore del sistema – a seguito di una valutazione condotta prima dell’immissione sul mercato o della messa in servizio del sistema –  dichiari che il proprio sistema (destinato a operare in una delle pratiche di cui Allegato III)  non  presenti un rischio alto per i diritti e le libertà degli interessati.
 
Tale fornitore sarà comunque soggetto all’obbligo di registrazione del sistema di cui all’articolo 49, paragrafo 2 del Regolamento e, su richiesta delle Autorità nazionali competenti, dovrà metterà  a disposizione la documentazione relativa alla valutazione effettuata.

Gli obblighi per i deployer dei sistemi “ad alto rischio”

Oltre che per i fornitori, diversi sono gli oneri ricadenti su tutti coloro che sono coinvolti nella cd. catena del valore del sistema: importatori, distributori, deployer (art. 26). In quest’ultima categoria, in particolare, rientreranno molto spesso le pubbliche amministrazioni che decidano di utilizzare sistemi di IA in attività amministrative che rientrano nelle pratiche di cui all’Allegato III.
In quanto deployer, le PPAA dovranno garantire il corretto utilizzo del sistema, ponendo in essere una serie di comportamenti di vigilanza e corretta implementazione in conformità alla normativa europea.

In particolare, le PPAA (o gli altri enti che utilizzano sistemi di IA per pratiche considerate ad “alto rischio”) dovranno:

– adottare idonee misure tecniche e organizzative per garantire un utilizzo di tali sistemi conforme alle istruzioni per l’uso del fornitore;
– affidare la sorveglianza umana a persone fisiche che dispongono della competenza, della formazione e dell’autorità e del sostegno necessarie;
– nella misura in cui esercitano il controllo sui dati di input, garantire che tali dati siano pertinenti e sufficientemente rappresentativi alla luce della finalità del sistema;
– monitorano il funzionamento del sistema sulla base delle istruzioni per l’uso fornite e, nei casi previsti dalla norma, informare celermente il fornitore;
– nella misura i log di sistema siano sotto il loro controllo, conservare i log generati automaticamente per un periodo adeguato alla prevista finalità del, di almeno sei mesi, salvo diversamente disposto dalla legge;
– prima di mettere in servizio o utilizzare un sistema di IA ad alto rischio sul luogo di lavoro, informare i rappresentanti dei lavoratori e i lavoratori interessati che saranno soggetti all’uso del sistema di IA ad alto rischio;
– usare le informazioni fornite a norma dell’articolo 13 del Regolamento per adempiere al loro obbligo di effettuare una valutazione d’impatto sulla protezione dei dati a norma dell’articolo 35 del regolamento (UE) 2016/679 o dell’articolo 27 della direttiva (UE) 2016/680;
– informano le persone fisiche interessate da decisioni automatizzate che per quella decisione è stato utilizzato un sistema di IA; 
– cooperare con le pertinenti autorità competenti in merito a qualunque iniziativa posta in essere dalle suddette autorità.

Particolarmente interessanti, quindi, sono quelle disposizioni che il Regolamento prescrive come oneri precipui per quelle entità che il nostro ordinamento fa rientrare nella nozione di “pubblica amministrazione”.

Ai sensi dell’art. 26, paragrafo 8, i deployer che sono “autorità pubbliche o istituzioni, organi e organismi dell’Unione” debbono rispettare gli obblighi di registrazione dei sistemi di cui all’art. 49 del Regolamento e non possono utilizzare un sistema qualora accertino che lo stesso non è registrato nella banca dati dell’UE.

Ai sensi dell’art. 27, inoltre,  gli “organismi di diritto pubblico o enti privati che forniscono servizi pubblici” hanno il dovere  di effettuare una valutazione di impatto sui diritti fondamentali del sistema prima che lo stesso possa essere effettivamente utilizzato a meno che tale sistema non sia utilizzato per la gestione delle cd. “infrastrutture critiche”
Peculiari oneri sono previsti per i deployer di sistemi di IA che effettuino identificazioni biometriche remote a posteriori (art. 26, par.10) e per i deployer di sistemi che vengono utilizzati in ambito creditizia e assicurativo (art. 27, par. 1).


I sistemi a rischio basso o limitato

Il Regolamento sull’IA impone determinati obblighi anche per sistemi di intelligenza artificiale non rientranti nella categoria dei sistemi “ad alto rischio”.

Questi sistemi – che rappresentano la maggior parte dei sistemi di IA oggi commercializzati – sono soggetti a requisiti meno stringenti rispetto a quelli fin qui descritti e attengono alla necessità di rendere trasparente il loro impiego (art. 50).
I fornitori dei suddetti sistemi e i deployer, infatti, dovranno collaborare – in base alle proprie competenze – per rendere evidente alle persone fisiche coinvolte che stanno interagendo con un’IA.

Ai nostri fini, è interessante rilevare il peculiare obbligo previsto al co. 4 dell’art. 50, in base al quale il deployer di un sistema di IA che genera o manipola  un testo pubblicato allo scopo di informare il pubblico su questioni di interesse debbono sempre rendere noto che il testo è stato generato o manipolato artificialmente.

FORMATO CARTACEO

Ai Act

Quale impatto avrà l’intelligenza artificiale sulla nostra società e soprattutto sul diritto? Il testo esplora questa complessa intersezione, offrendo una guida dettagliata e completa.L’opera approfondisce l’evoluzione dell’AI, dalle sue umili origini nei primi sistemi esperti alle avanzate reti neurali e all’AI generativa di oggi.Analizza in modo critico il panorama normativo europeo, come il recente Regolamento n. 1689/2024, delineando il percorso legislativo e le regolamentazioni che cercano di gestire e governare questa tecnologia in rapida evoluzione.Gli autori affrontano temi fondamentali come l’etica dell’AI, la responsabilità legale, la sicurezza dei dati e la protezione della privacy.Il libro non si limita alla teoria: esplora anche le applicazioni pratiche dell’AI in vari settori, tra cui la giustizia, il settore finanziario, la pubblica amministrazione e la medicina.Attraverso casi di studio e analisi dettagliate, il libro mostra come l’AI stia trasformando questi ambiti e quali questioni giuridiche stiano emergendo.Inoltre, viene esaminato l’impatto dell’AI sul mondo del lavoro, evidenziando come l’automazione e le nuove tecnologie stiano cambiando le dinamiche lavorative e quali siano le implicazioni legali di queste trasformazioni.L’opera vuole essere una lettura essenziale per avvocati, giuristi, professionisti IT e tutti coloro che desiderano comprendere le complesse relazioni tra tecnologia e diritto, offrendo una visione completa e aggiornata, ricca di analisi critiche e riflessioni pratiche, per navigare nel futuro della tecnologia e del diritto con consapevolezza e competenza.Michele IaselliAvvocato, docente di Diritto digitale e tutela dei dati alla LUISS e di informatica giuridica all’Università di Cassino. Direttore del comitato scientifico di ANDIP e coordinatore del comitato scientifico di Feder-privacy. Funzionario del Ministero della Difesa ed esperto dell’Ufficio Generale Innovazione Difesa, è membro del Comitato di presidenza dell’ENIA (Ente Nazionale Intelligenza Artificiale).

Michele Iaselli | Maggioli Editore 2024

43.70 €

Scopri di più

I sistemi di IA generativa

L’AI Act prevede una disciplina specifica anche per i sistemi di IA utilizzati per finalità generali (cd. IA generativa).
ad eccezione dei modelli di IA.

Ci si riferisce a quei modelli di IA che, tramite l’allenamento su una vasta quantità di dati, sono in grado di svolgere con competenza un’ampia gamma di compiti distinti in risposta alle richieste dell’utente cd. “prompt” indipendentemente dalle modalità con cui il modello è immesso sul mercato, e che può essere integrato in una varietà di sistemi o applicazioni a valle (artt. 51-55).

I sistemi di IA per finalità generali sono di due tipologie: i modelli base e i modelli ad alto impatto o a “rischio sistemico”. Essi si distinguono in base al grado di complessità con cui elaborano le informazioni ricevute nonché sulla  quantità dei dati con cui vengono “allenati”.

Quanto ai modelli base, il Regolamento prevede per i fornitori l’obbligo di redigere la documentazione tecnica e le informazioni che permettano la comprensione del funzionamento del sistema (art. 50 del Regolamento).

Per i modelli che presentano un “rischio sistemico” il Regolamento prescrive, oltre ai suddetti obblighi di trasparenza, ulteriori requisiti come:

– la valutazione di conformità del sistema agli standard tecnologici;
– la valutazione del rischio legato all’impiego del sistema;
– la tenuta delle informazioni relative a eventuali incidents;
– la garanzia di un adeguato livello di cybersicurezza;
– il rispetto di codici di buone pratiche.

Da tali obblighi, tuttavia, sono esclusi quei sistemi di IA generativa utilizzati per attività di ricerca, sviluppo o prototipazione prima di essere immessi sul mercato.

Ulteriori norme di interesse: le sandboxes

Decisamente interessanti sono le previsioni che riguardano le cd. sandboxes (art. 57 e ss.), spazi di sperimentazione normativa dove imprese (e pubbliche amministrazioni) potranno partecipare per sperimentare soluzioni di IA al fine di valutare la conformità di dette soluzioni alle previsioni regolamentari.

Il Regolamento richiede che entro il 2 agosto 2026 gli Stati dovranno istituire almeno uno spazio di sperimentazione normativa per l’IA a livello nazionale e che ulteriori spazi di sperimentazione normativa per l’IA possano essere istituiti a livello regionale o locale, o congiuntamente con le autorità competenti di altri Stati membri.

Le sandboxes costituiscono un “ambiente controllato” ove promuovere l’innovazione e lo sviluppo di nuovi sistemi di IA. Qui , l’addestramento, la sperimentazione e la convalida avvengono per un periodo limitato di tempo prima che avvenga l’immissione sul mercato o la messa in servizio del sistema. Ciò, in conformità a un piano specifico di sperimentazione concordato tra potenziali fornitori e autorità competenti che agevola l’osservanza disposizioni regolamentari.

In altre parole, visto nell’ottica di imprese e pubbliche amministrazioni, questo nuovo istituto garantisce una maggiore sicurezza sia per i fornitori – più certi di rispettare le norme di settore e della buona riuscita di un’eventuale commessa pubblica – sia per le stazioni appaltanti – più sicure di acquisire un sistema realmente rispettoso della disciplina europea.

Conclusioni

Come anticipato, l’applicazione del Regolamento europeo sull’intelligenza artificiale sarà dilazionata nel tempo.
A partire dal 2 febbraio 2025 diverranno efficaci le disposizioni relative ai sistemi di IA con rischio inaccettabile; dal 2 maggio 2025, le disposizioni sui codici di condotta; dal 2 agosto 2025, le regole sulla governance e gli obblighi per i sistemi di IA general purpose (come ChatGPT) e le disposizioni relative alla sanzioni; dal 2 agosto 2026, tutte le norme del regolamento ad eccezione delle regole per i sistemi ad alto rischio (elencati nell’allegato III), efficaci a partire dal 2 agosto 2027.

Non mancano, tuttavia, iniziative come l’AI Pact (iniziativa della Commissione europea alla quale imprese e amministrazioni possono già ad oggi aderire) con cui le organizzazioni che producono o utilizzano sistemi di IA possono decidere di anticipare volontariamente le prescrizioni contenute nel Regolamento europeo.

Nella stessa direzione, emergono negli ordinamenti nazionali le prime disposizioni che cercano di mettersi in linea con le previsioni del Legislatore europeo.
In Italia, ad esempio, il già vigente art. 30 del nuovo Codice dei contratti pubblici (d.lgs. 31 marzo 2023, n. 36) fa riferimento a principi espressi nell’AI Act come il principio di non esclusività della decisione algoritmica; il principio di comprensibilità delle logiche di funzionamento e a pratiche di cautela come l’attenzione ai dati di training.

In altre parole, amministrazioni pubbliche, utilizzatori professionali e software house debbono iniziare a prendere velocemente familiarità con le disposizioni del AI Act e valutare i corollari che da dette disposizioni ben presto discenderanno anche in termini di adeguamento delle soluzioni esistenti sul mercato.

ia act corso

Scrivi un commento

Accedi per poter inserire un commento

Leggi anche
Professionisti e Imprese
Avvalimento
La collocazione del contratto di avvalimento premiale. Una questione aperta

Per la pronuncia in commento[1], il contratto di avvalimento premiale — in quanto strumentale all’at…

Vincenzo Laudani 22/04/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Professionisti e Imprese
Avvalimento
La (dubbia) sopravvivenza dell’avvalimento di garanzia

Il Tar Lazio, Sez. II bis, 10 marzo 2025, n. 4997 ha affermato che l’avvalimento così detto di garan…

Roberto Mangani 15/04/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Professionisti e Imprese
Accesso Agli Atti
Sul diritto dell’impresa ausiliaria di accesso agli atti amministrativi

“La società ricorrente, in qualità di ausiliaria, infatti, ha documentalmente provato, per quel che …

Luigia Castaldo 14/04/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;
Professionisti e Imprese
Avvalimento
Avvalimento e presentazione del rapporto sulla situazione del personale da parte dell’ausiliario

Art. 80 d.lgs. n. 50/2016 – Motivi di esclusione – Art. 94 d.lgs. n. 36/2023 – Requisiti di ordine g…

Sandro Mento 09/04/25
background-color: #fb580a; display: inline-block; margin-right: 10px; width: 22px; height: 22px; cursor: pointer; font-weight: bold; color: #fff; border-radius: 32px;