Home topics eu ai act Che cos'è l'Artificial Intelligence Act dell'Unione Europea (EU AI Act)?
Esplora la soluzione di governance per l'AI di IBM Abbonati per ricevere gli aggiornamenti sull'AI
Diagramma astratto di un albero decisionale

Data di aggiornamento: 20 giugno 2024
Collaboratori: Matt Kosinski e Mark Scapicchio
Cos'è l'EU AI Act?

L'Artificial Intelligence Act dell'Unione Europea, noto anche come EU AI Act o AI Act, è una legge che disciplina lo sviluppo e/o l'uso dell'intelligenza artificiale (AI) nell'Unione Europea (UE). La legge adotta un approccio alla regolamentazione basato sul rischio, applicando regole diverse alle AI in base al rischio che rappresentano.

Considerato il primo quadro normativo completo al mondo per l'AI, l'EU AI Act proibisce alcuni usi dell'AI in modo definitivo e implementa rigidi requisiti di governance, gestione del rischio e trasparenza per altri.

L'atto crea anche regole per modelli di AI generici, come il modello di base open source Granite di IBM e Llama 3 di Meta.

Le sanzioni possono variare da 7,5 milioni di euro, o l'1,5% del fatturato annuo globale, a 35 milioni di euro, o il 7% del fatturato annuo mondiale, a seconda del tipo di violazione della conformità.

Allo stesso modo in cui il Regolamento generale sulla protezione dei dati (GDPR) dell'UE ha ispirato altre nazioni ad adottare leggi sulla privacy dei dati, gli esperti prevedono che l'EU AI Act stimolerà lo sviluppo di una governance per l'AI più forte e di standard etici in tutto il mondo.
Cosa implica per te l'EU AI Act e come prepararti
Contenuti correlati

Registrati per il report IDC
A chi si applica l'EU AI Act?

L'EU AI Act si applica a più operatori della catena del valore dell'AI, come fornitori, utilizzatori, importatori, distributori, produttori e rappresentanti autorizzati). Degne di menzione sono le definizioni di fornitori, utilizzatori e importatori ai sensi dell'EU AI Act.
Fornitori

I fornitori sono persone o organizzazioni che sviluppano un sistema AI o un modello AI per scopi generali (GPAI), o lo fanno sviluppare per loro conto, per poi immetterlo sul mercato o metterlo in servizio con il loro nome o brand.

L'atto definisce in generale un sistema AI come un sistema in grado, con un certo livello di autonomia, di elaborare input per dedurre come generare output (ad esempio previsioni, raccomandazioni, decisioni, contenuti) che possono influenzare ambienti fisici o virtuali. Definisce i GPAI come modelli AI che mostrano una generalità significativa, sono in grado di eseguire con competenza un'ampia gamma di attività distinte e che possono essere integrati in vari sistemi o applicazioni AI a valle. Ad esempio, un foundation model è un GPAI, mentre uno strumento di chatbot o AI generativa basato su quel modello sarebbe un sistema AI.
Utilizzatori

Gli utilizzatori sono persone e organizzazioni che utilizzano i sistemi AI. Ad esempio, un'organizzazione che utilizza un chatbot AI per gestire le richieste di servizio clienti sarebbe un utilizzatore.
Importatori

Gli importatori sono persone e organizzazioni situate o stabilite nell'UE che portano sul mercato dell'UE i sistemi AI di una persona o di un'azienda esterna all'UE.
Applicazione al di fuori dell'UE

L'EU AI Act si applica anche ai fornitori e agli utilizzatori al di fuori dell'UE se la loro AI o i suoi output sono utilizzati nell'UE. 

Ad esempio, supponiamo che un'azienda con sede nell'UE invii i dati a un fornitore di AI esterno all'UE, che utilizza l'AI per elaborare i dati e poi invia nuovamente il risultato all'azienda UE perché possa utilizzarlo. Poiché l'output del sistema AI del fornitore viene utilizzato nell'UE, il fornitore sarà vincolato all'EU AI Act.

I fornitori al di fuori dell'UE che offrono servizi AI nell'UE devono designare rappresentanti autorizzati nell'UE per coordinare gli sforzi di conformità per loro conto.
Eccezioni

Sebbene la legge abbia un'ampia portata, alcuni usi dell'AI sono esenti. Gli usi puramente personali dell'AI e i modelli e sistemi AI utilizzati solo per la ricerca e lo sviluppo scientifici sono esempi di usi esenti.
Scopri come la piattaforma dati e AI IBM watsonx AI aiuta le organizzazioni a creare, scalare e governare soluzioni AI personalizzate
Quali requisiti impone l'EU AI Act?

L'EU AI Act regola i sistemi AI in base al livello di rischio. Con rischio qui si fa riferimento alla probabilità e alla gravità del potenziale danno. Alcune delle disposizioni più importanti includono:

  • il divieto di alcune pratiche di AI che si ritiene comportino rischi inaccettabili,

  • standard per lo sviluppo e l'implementazione di alcuni sistemi AI ad alto rischio,

  • regole per modelli AI per scopi generali (GPAI).

I sistemi AI che non rientrano in una delle categorie di rischio dell'EU AI Act non sono soggetti ai requisiti previsti dalla legge (sono spesso soprannominati categoria di "rischio minimo"), anche se alcuni potrebbero dover soddisfare obblighi di trasparenza e rispettare altre leggi esistenti.  Gli esempi includono i filtri antispam per le e-mail e nei videogiochi. Molti usi comuni dell'AI oggi rientrano in questa categoria. 

Vale la pena notare che molti dei dettagli più fini dell'EU AI Act relativi all'implementazione sono ancora in fase di definizione. Ad esempio, la legge rileva che la Commissione europea pubblicherà ulteriori linee guida su requisiti come i piani di monitoraggio post-commercializzazione e riepiloghi dei dati di addestramento.
Pratiche AI vietate

L'EU AI Act elenca esplicitamente alcune pratiche di AI vietate che si ritiene rappresentino un livello di rischio inaccettabile. Ad esempio, lo sviluppo o l'utilizzo di un sistema AI che manipoli intenzionalmente le persone spingendole a prendere decisioni pericolosi che altrimenti non prenderebbero è considerato di fatto un rischio inaccettabile per gli utenti ed è una pratica AI proibita.

La Commissione europea può modificare l'elenco delle pratiche vietate nell'atto, pertanto è possibile che in futuro vengano vietate ulteriori pratiche di AI.

 Un elenco parziale delle pratiche AI proibite al momento della pubblicazione di questo articolo include:

  • Sistemi di punteggio sociale, ovvero sistemi che valutano o classificano gli individui in base al loro comportamento sociale, che portano a un trattamento dannoso o sfavorevole in contesti non correlati alla raccolta dei dati originali e ingiustificati o sproporzionati rispetto alla gravità del comportamento

  • Sistemi di riconoscimento delle emozioni sul lavoro e negli istituti di istruzione, tranne quando questi strumenti sono utilizzati per scopi medici o di sicurezza

  • AI utilizzata per sfruttare le vulnerabilità delle persone (ad es. dovute all'età o alla disabilità)

  • Scraping non mirato di immagini facciali da internet o CCTV per database di riconoscimento facciale

  • Sistemi di identificazione biometrica che identificano le persone in base alle caratteristiche sensibili

  • Applicazioni di politiche predittive specifiche

  • L'uso da parte delle forze dell'ordine di sistemi di identificazione biometrica remota in tempo reale in pubblico (a meno che non si applichi un'eccezione, e in genere è necessaria l'autorizzazione preventiva da parte di un'autorità giudiziaria o amministrativa indipendente).
Standard per l'AI ad alto rischio

I sistemi AI sono considerati ad alto rischio ai sensi dell'EU AI Act se sono un prodotto o un suo componente di sicurezza regolamentato da specifiche leggi dell'UE a cui fa riferimento l'atto, come le leggi sulla sicurezza dei giocattoli e sui dispositivi medico-diagnostici in vitro.

La legge elenca anche gli usi specifici generalmente considerati ad alto rischio, compresi i sistemi AI utilizzati:

  • in ambienti di lavoro, come quelli utilizzati per assumere candidati, valutare i candidati e prendere decisioni di promozione

  • in alcuni dispositivi medici

  • in determinati contesti di educazione e formazione professionale

  • nei processi giudiziari e democratici, come i sistemi destinati ad influenzare l'esito delle elezioni

  • per determinare l'accesso a servizi privati o pubblici essenziali, inclusi i sistemi che valutano l'idoneità ai benefici pubblici e valutano i punteggi di credito.

  • nella gestione delle infrastrutture critiche (come forniture di acqua, gas, elettricità, ecc.).

  • in qualsiasi sistema di identificazione biometrica che non sia vietato, ad eccezione dei sistemi il cui unico scopo è verificare l'identità di una persona (ad esempio, l'utilizzo di uno scanner di impronte digitali per accedere a un'app di banking).

Per i sistemi inclusi in questo elenco, può essere disponibile un'eccezione se il sistema AI non rappresenta una minaccia significativa per la salute, la sicurezza o i diritti delle persone. L'atto specifica diversi criteri che devono essere soddisfatti, tutti o in parte, prima che possa essere attivata un'eccezione (ad esempio, quando il sistema AI è destinato a svolgere un compito procedurale ristretto). Se fa affidamento su questa eccezione, il fornitore deve documentare la sua valutazione che il sistema non sia ad alto rischio, e le autorità di regolamentazione possono prendere visione tale valutazione. L'eccezione non è disponibile per i sistemi AI che elaborano automaticamente i dati personali per valutare o prevedere alcuni aspetti della vita di una persona, come le sue preferenze di prodotto (profilazione), che sono sempre considerati ad alto rischio.

Come nel caso dell'elenco delle pratiche di AI vietate, la Commissione europea potrebbe aggiornare l'elenco dei sistemi AI ad alto rischio in futuro.
Requisiti per i sistemi AI ad alto rischio

 

I sistemi AI ad alto rischio devono essere conformi a requisiti specifici. Ecco alcuni esempi:

  • Implementare un sistema di gestione del rischio continuo per monitorare l'AI durante tutto il suo ciclo di vita. Per esempio, i fornitori sono tenuti a mitigare i rischi ragionevolmente prevedibili posti dall'uso previsto dei loro sistemi.

  • Adottare rigorose pratiche di governance dei dati per garantire che i dati di formazione, convalida e test soddisfino specifici criteri di qualità. Ad esempio, è necessario adottare una governance sul processo di raccolta dei dati e sull'origine dei dati, nonché misure per prevenire e mitigare i pregiudizi

  • Mantenere una documentazione tecnica completa con informazioni precise, tra cui specifiche di progettazione del sistema, capacità, limitazioni e impegni di conformità normativa.

Esistono ulteriori obblighi di trasparenza per tipi specifici di AI. Per esempio:

  • I sistemi AI destinati a interagire direttamente con le persone devono essere progettati per informare gli utenti che stanno interagendo con un sistema AI, a meno che ciò non sia ovvio considerando il contesto. Un chatbot, ad esempio, deve essere progettato per avvisare gli utenti di essere un chatbot.
     
  • I sistemi Ai che generano testo, immagini o altri contenuti devono utilizzare formati leggibili a macchina per contrassegnare gli output come generati o manipolati dall'AI. Ciò include, ad esempio, l'AI che genera deepfake, immagini o video alterati per mostrare qualcuno che fa o dice qualcosa che non ha fatto o detto.

 
Obblighi per gli operatori di sistemi AI ad alto rischio

Ecco alcuni obblighi per gli operatori fondamentali dei sistemi AI ad alto rischio nella catena del valore dell'AI (fornitori e utilizzatori).
Obblighi per i fornitori di sistemi AI ad alto rischio

I fornitori di sistemi AI ad alto rischio devono rispettare requisiti tra cui:

  • Garantire che i sistemi AI ad alto rischio siano conformi ai requisiti appositamente delineati nella legge, ad esempio implementando un sistema di gestione continua del rischio

  • Disporre di un sistema di gestione della qualità

  • Implementare piani di monitoraggio post-commercializzazione per controllare le prestazioni del sistema AI e valutarne la continua conformità durante il ciclo di vita del sistema.
Obblighi per gli utilizzatori di sistemi AI ad alto rischio

Gli utilizzatori di sistemi AI ad alto rischio hanno diversi obblighi, tra cui:

  • Adottare misure tecniche e organizzative appropriate per garantire che utilizzino tali sistemi in conformità con le relative istruzioni per l'uso

  • Mantenere registri del sistema AI generati automaticamente, nella misura in cui tali registri sono sotto il loro controllo, per un periodo specificato

  • Per gli utilizzatori che fanno uso di sistemi AI ad alto rischio per fornire determinati servizi essenziali (come enti governativi o organizzazioni private che forniscono servizi pubblici), effettuare valutazioni dell'impatto sui diritti fondamentali prima di utilizzare determinati sistemi AI ad alto rischio per la prima volta.
Regole per i modelli AI per scopi generali (GPAI)

L'EU AI Act crea norme separate per i modelli AI per scopi generali (GPAI). I fornitori di modelli GPAI avranno alcuni obblighi come:

  • Stabilire politiche per rispettare le leggi sul diritto d’autore dell'UE

  • Scrivere e rendere pubblicamente disponibili riepiloghi dettagliati dei set di dati di addestramento.

Se un modello GPAI è classificato come a rischio sistemico, i fornitori avranno obblighi aggiuntivi. Il rischio sistemico è un rischio specifico delle funzionalità ad alto impatto dei modelli GPAI che hanno un impatto significativo sul mercato dell'UE a causa della loro portata o degli effetti negativi reali o ragionevolmente prevedibili sulla salute pubblica, la sicurezza, la pubblica sicurezza, i diritti fondamentali o la società nel suo complesso, che possono essere propagati su larga scala lungo tutta la catena del valore. La legge utilizza le risorse di addestramento come uno dei criteri chiave per identificare il rischio sistemico. Se la quantità cumulativa di potenza di calcolo utilizzata per addestrare un modello è superiore a 1025 operazioni in virgola mobile (FLOP, Floating Point Operation), si ritiene che abbia funzionalità ad alto impatto e rappresenti un rischio sistemico. La Commissione europea può anche classificare un modello come a rischio sistemico. 

I fornitori di modelli GPAI che presentano un rischio sistemico, compresi i modelli open source gratuiti, devono soddisfare alcuni obblighi aggiuntivi, come:

  • Documentare e segnalare incidenti gravi all'Ufficio europeo per l'AI e alle autorità di regolamentazione nazionali pertinenti.

  • Implementare una cybersecurity adeguata per proteggere il modello e la sua infrastruttura fisica.
Sanzioni dell'EU AI Act

In caso di mancata conformità alle pratiche proibite AI, le organizzazioni possono essere multate fino a 35.000.000 € o il 7% del fatturato annuo globale, a seconda di quale sia l'importo più elevato.s

Per la maggior parte delle altre violazioni, inclusa la mancata conformità ai requisiti per i sistemi di AI ad alto rischio, le organizzazioni possono essere multate fino a 15.000.000 € o al 3% del fatturato annuo globale, a seconda di quale sia il valore più alto.

Fornire informazioni errate, incomplete o fuorvianti alle autorità può comportare multe per le organizzazioni fino a 7.500.000 € o l'1% del fatturato annuo globale, a seconda di quale sia l'importo più elevato.

In particolare, l'EU AI Act prevede regole diverse per multare le startup e altre piccole o medie organizzazioni. Per queste aziende, le sanzioni equivalgono al più basso dei due importi possibili sopra specificati

Quando entrerà in vigore l'EU AI Act?

Inizialmente proposto dalla Commissione europea nell'aprile 2021, l'EU AI Act è stato approvato dal Parlamento europeo il 22 aprile 2024 e dagli Stati membri dell'UE il 21 maggio 2024. La legge entrerà in vigore in più fasi 20 giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell'UE. Alcune delle date più importanti di questo percorso includono:

  • Dopo sei mesi, entreranno in vigore i divieti sulle pratiche di AI vietate.

  • Dopo 12 mesi, le regole per l'AI per scopi generali entreranno in vigore per i nuovi modelli GPAI. I fornitori di modelli GPAI già presenti sul mercato 12 mesi prima dell'entrata in vigore della legge avranno 36 mesi di tempo da tale data per adeguarsi.

  • Dopo 24 mesi entreranno in vigore le regole per i sistemi AI a rischio elevato.

  • Dopo 36 mesi, si applicheranno le regole per i sistemi AI che sono prodotti o componenti di sicurezza regolamentati da specifiche leggi dell'UE.
Soluzioni correlate
watsonx

Implementa e integra facilmente l'AI in tutta l'azienda, gestisci tutte le fonti di dati e accelera i workflow di AI responsabile—tutto su un'unica piattaforma.

 Scopri watsonx
IBM OpenPages

Semplifica la governance dei dati, la gestione del rischio e la conformità normativa con IBM OpenPages: una piattaforma GRC unificata altamente scalabile e basata sulla tecnologia AI.

 Esplora OpenPages
Risorse Crea un workflow responsabile per l'AI

Il nostro ultimo eBook illustra gli elementi fondamentali della governance dell'AI e condivide un framework dettagliato di governance dell'AI che puoi applicare alla tua organizzazione.

 3 motivi fondamentali per cui la tua organizzazione ha bisogno di un'AI responsabile

Esplora il potenziale trasformativo dell'AI responsabile per la tua organizzazione e scopri quali sono i fattori cruciali per l'adozione di pratiche etiche di AI.

 La tua AI è affidabile?

Partecipa alla discussione sul motivo per cui le aziende devono dare priorità alla governance dell'AI per implementare un'AI responsabile.

 Che cos'è la governance dei dati?

Scopri come la governance dei dati garantisce alle aziende di ottenere il massimo dai propri asset di dati.

 Che cos'è l'AI spiegabile?

L'AI spiegabile riveste un ruolo centrale nelle organizzazioni per instaurare fiducia e sicurezza nel momento in cui si inseriscono in produzione i modelli AI.

 Che cos'è l'etica dell'AI?

L'etica dell'AI è un campo multidisciplinare che studia come ottimizzare l'impatto benefico dell'AI riducendo al contempo i rischi e gli esiti negativi. Scopri di più sull'approccio di IBM all'etica dell'AI.
Fai il passo successivo

Accelera i workflow di AI responsabili, trasparenti e spiegabili attraverso il ciclo di vita dei modelli generativi e di apprendimento automatico. Assimila, gestisci e monitora le attività di AI della tua organizzazione per gestire meglio le crescenti normative in materia di AI e rilevare e ridurre i rischi.

Esplora watsonx.governance Prenota una demo live

Il cliente è responsabile della conformità a tutte le leggi e le normative vigenti. IBM non fornisce consulenza legale, né dichiara o garantisce che i suoi servizi o prodotti assicurino al cliente la conformità a qualsivoglia legge o regolamento.