L'AI Act: verso una regolamentazione europea

L'Artificial Intelligence Act (Regolamento (UE)"2024/1689), entrato in vigore il 1°"agosto"2024 (con applicazione progressiva fino al 2"agosto"2026), rappresenta il primo regolamento orizzontale sulla IA a livello globale.

Il testo si applica tanto ai fornitori europei quanto a quelli extra-UE che operano nel mercato dell'Unione, rispecchiando l'approccio extraterritoriale già consolidato dal GDPR. Si basa su un sistema a quattro livelli di rischio: pratiche vietate (categoria "unacceptable risk"), sistemi ad alto rischio ("high-risk"), sistemi a rischio limitato ("limited-risk") e rischio minimo ("minimal-risk"), con un'ulteriore sezione dedicata ai modelli di IA general-purpose (GPAI).

Le pratiche vietate includono, fra l'altro, sorveglianza biometrica in tempo reale, social scoring e manipolazione cognitiva indiscriminata. Le categorie "minimal" e "limited-risk" prevedono obblighi più blandi: i sistemi a rischio limitato, come chatbot o generative AI, richiedono semplicemente opportune informative per gli utenti (es.: "stai interagendo con un'IA") e l'etichettatura dei contenuti creati o alterati artificialmente.

Requisiti per sistemi ad alto rischio: strutture, controlli e sorveglianza

I sistemi ad "alto rischio" - quelli impiegati in ambiti sensibili come sanità, giustizia, istruzione, lavoro, infrastrutture critiche e sorveglianza biometrica - devono rispettare un insieme rigoroso di obblighi tecnici e organizzativi.

Le principali prescrizioni per i provider comprendono:

Gestione del rischio continua lungo l'intero ciclo di vita dell'IA (Art."9) ;

Data governance: dataset rappresentativi, puliti e privi di errori (Art."10) ;

Documentazione tecnica, registri automatici e log per garantire tracciabilità, responsabilità e audit (Art."18-19) ;

Conformità con procedure di assessment e rilascio del marchio CE (Art."43 e 47) ;

Misure per accuratezza, robustezza e sicurezza (Art."15-16);

Supervisione umana attiva per prevenire decisioni non corrette o automatismi incontrollati, con possibilità di intervenire sui risultati ;

Post"market monitoring, segnalazione di incidenti gravi e aggiornamenti continui.

Questi obblighi si riflettono anche sui deployers (utenti finali), che sono tenuti alla due diligence nella scelta del fornitore e all'implementazione operativa delle misure di sicurezza, qualità e trasparenza.

Governance, enforcement e impatto sul settore legale

Sul fronte istituzionale, l'AI"Act istituisce una struttura multilivello di sorveglianza: un AI"Office europeo, un AI Board, autorità nazionali e un Panel tecnico"scientifico, finalizzati alla coordinazione, alla redazione di codici di condotta, e alla gestione condivisa dei controlli. Per i modelli GPAI, la disciplina completa entrerà in vigore dal 2"agosto"2025, con un periodo transitorio fino al 2027 per quelli pre"esistenti.

Le sanzioni sono significative e calibrate sul livello di violazione: pratiche vietate = fino a €35"milioni o 7"% del fatturato globale; violazioni tecniche o procedurali fino a €15"milioni o 3"%; false informazioni ai controllori = fino a €7,5"milioni o 1"% . Per le PMI sono previste attenuazioni proporzionate.

Per il settore legale, l'AI"Act rappresenta una sfida operativa e strategica: richiede l'adozione del principio "legal by design", l'inserimento nei processi progettuali di figure giuridiche, tecniche e di compliance, l'istituzione di controlli interni (governance, audit, standard), e un rapporto continuo con le autorità nazionali ed europee.

L'avvocato svolge ruolo centrale non solo nella conformità normativa, ma anche nel disegno delle policy interne, nella costruzione di framework di accountability, nella valutazione dei rischi per i diritti fondamentali e nella gestione strategica degli eventuali contenziosi.

L'AI"Act, dunque, impone una svolta nella governance algoritmica: innovazione tecnologica e tutela giuridica sono ormai due facce della stessa medaglia, con l'obiettivo di creare un ecosistema digitale affidabile.

• Foto: 123rf.com