All’esito di una lunga e complessa negoziazione in seno alle istituzioni europee, Commissione, Consiglio e Parlamento UE hanno raggiunto un accordo provvisorio in tema di intelligenza artificiale sul testo del nuovo AI Act. Un vero e proprio punto di svolta nella legislazione dell’intelligenza artificiale, che evidenzia il ruolo di primo piano che l’UE intende ritagliarsi a livello mondiale in tale ambito. Sebbene la bozza contenente le ultime modifiche discusse e approvate nel trilogo tra le istituzioni UE non sia ancora stata pubblicata, di seguito si tratteranno i punti principali che il legislatore europeo ha inteso disciplinare con il nuovo Regolamento.

In primo luogo, la bozza di Regolamento segue un approccio “risk-based”: esiste cioè una diretta correlazione tra il potenziale rischio che alcuni sistemi di IA possono avere rispetto ai diritti degli utenti (ad esempio, sistemi capaci di incidere sulla salute, sui diritti fondamentali, sull’ambiente, sulla democrazia, ecc.) e la rigidità con cui il legislatore ha voluto disciplinare una determinata fattispecie. Alcune possibili applicazioni dell’IA – quali tra le altre la manipolazione comportamentale, la categorizzazione biometrica che utilizza informazioni sensibili e i sistemi di c.d. “social scoring” (adottati ad esempio in Cina) – sono stati ritenuti a rischio potenziale tanto elevato da essere considerate inaccettabili, e quindi vietate.

I sistemi di IA ad alto rischio (High-Risk AI Systems) saranno invece sottoposti a una “valutazione di conformità” preventiva, al fine di dimostrare la conformità di tali sistemi ai requisiti stabiliti dal Regolamento (tra i quali obblighi di trasparenza di base che ogni fornitore di sistemi di IA dovrà rispettare). Ciò è particolarmente importante nel caso di modelli di IA cosiddetti general-purpose e dei c.d. foundation models (quali ad esempio Chat GPT). Specifiche eccezioni alle regole generali saranno previste per l’utilizzo di sistemi di IA da parte delle forze dell’ordine, soggetto a ulteriori limitazioni e in casi di emergenza. Il Regolamento prevede anche la creazione di un ufficio ad hoc – l’Ufficio europeo per l’IA – che avrà il compito di garantire la corretta attuazione e applicazione della normativa sull’IA in tutta l’Unione Europea.

Il mancato rispetto delle norme contenute nel Regolamento determinerà l’imposizione di sanzioni, nella forma di penali, il cui importo potrà variare a seconda del tipo di violazione e delle dimensioni della società coinvolta. In particolare, ad eccezione delle PMI e delle start-up che saranno soggette a forme sanzionatorie più attenuate, i trasgressori verranno sanzionati sulla base del loro fatturato annuo o di una somma predeterminata, a seconda di quella che risulterà più alta: 35 milioni di euro o il 7% del fatturato annuo per l’uso di IA vietate; 15 milioni di euro o il 3% del fatturato annuo per le violazioni delle norme del Regolamento; e 7,5 milioni di euro o l’1,5% del fatturato annuo per la errata comunicazione di informazioni riguardanti sistemi di IA.

In attesa della pubblicazione della ultima versione della bozza di Regolamento, ulteriori informazioni circa le modifiche concordate nei giorni scorsi dalle istituzioni europee sono disponibili nel comunicato stampa emesso all’esito del trilogo. Il testo concordato andrà ulteriormente limato in sede di ulteriore negoziazione tecnica, e infine definitivamente approvato da Parlamento e Consiglio.

L’entrata in vigore del nuovo Regolamento sull’IA è prevista per il 2026, due anni dopo il completamento dell’iter legislativo che dovrebbe concludersi nei prossimi mesi.