È partita l’applicazione dell’Ai Act, ossia la prima regolazione al mondo dell’intelligenza artificiale ma servono ancora circa 60 provvedimenti per dare attuazione e completare il mosaico normativo previsto dal Regolamento 2024/1689.
Da ieri, domenica 2 febbraio, sono infatti applicabili i divieti volti a evitare che l’intelligenza artificiale (Ia) sia utilizzata per attività contraria ai valori fondamentali dell’Ue e cioè per controlli indiscriminati di massa, influenzare le opinioni politiche o interferire nei processi democratici.
È il primo step del Regolamento entrato in vigore il 2 agosto scorso dopo un processo legislativo durato oltre tre anni ma non diventato immediatamente operativo anche per dare agli operatori il tempo di adeguarsi alle nuove misure.
L’operatività dell’intera disciplina che fissa i livelli di rischio e gli oneri di conformità a seconda degli usi dell’Ia richiederà 24 mesi e si concluderà ad agosto 2026. Più alto è il rischio (individuato dall’AI Act) che la tecnologia possa violare i diritti delle persone, più attento e oneroso dovrà essere il sistema di prevenzione e controllo implementato da operatori economici e pubbliche amministrazioni per escluderlo o minimizzarlo.
I provvedimenti attuativi
Questi 24 mesi serviranno però all’Unione europea anche per completare il lavoro attuazione dell’Ai Act: tre anni di lavoro, 180 considerando, 113 articoli e 13 allegati, non sono stati infatti sufficienti a completare il quadro gli atti di normativa secondaria previsti dal Regolamento sono circa sessanta. Sono previsti:
atti di esecuzione, volti ad assicurare un’applicazione uniforme del Regolamento in tutti gli Stati membri tramite l’emanazione di misure pratiche e operative, come la costituzione di un panel di esperti indipendenti e i chiarimenti sulle modalità operative per le valutazioni dei modelli di Ia per finalità generali e sulle specifiche tecniche comuni per garantire requisiti minimi di sicurezza e performance;
atti di natura delegata, che consentiranno alla Commissione di modificare o integrare elementi non essenziali del Regolamento, al fine di fissare criteri, o esempi, per meglio chiarire la definizione delle categorie come l’alto rischio o persino il perimetro – in continua evoluzione – di cosa rientri in un “sistema di intelligenza artificiale”. O ancora per precisare i requisiti e le procedure standardizzate da seguire per la valutazione della conformità dei sistemi di Ia;
linee guida della Commissione che offriranno chiarimenti pratici (non obbligatori) e supporto agli operatori del settore per interpretare e applicare correttamente le diverse disposizioni del Regolamento. È il caso delle linee guida sulla procedura per la segnalazione di incidenti gravi relativi ai sistemi Ia ad alto rischio (che saranno emanate entro il 2 febbraio 2026) e degli orientamenti generali sull’attuazione pratica dell’Ai Act e dell’integrazione con altre normative dell’Unione (Gdpr in primis). Le categorie definite dal Regolamento sono infatti molto ampie e la loro applicazione concreta non pare essere così semplice e scontata, ma andrà verificata e adeguata nell’implementazione concreta.
Governance e autorità nazionali
Del resto, ad oggi, nonostante l’entrata in vigore dell’Ai Act, non è stata ancora completata la struttura di governance del Regolamento, sia a livello europeo, che nazionale. Se a livello centrale europeo l’Ai Office è stato formalmente costituito, i componenti e le sottostrutture sono ancora in fase di definizione. Parallelamente, i singoli Stati membri dovranno procedere ad instituire le proprie autorità nazionali, che avranno un ruolo cruciale non solo nella vigilanza e nell’enforcement, ma, soprattutto, nell’attuazione di una disciplina che richiede ancora molti interventi per regolamentare una materia assai complessa e in continua evoluzione.
