Vai al contenuto Vai alla navigazione del sito
Governo Italiano
Conferenza Stato-città ed autonomie locali
Presidenza del Consiglio dei Ministri
Link e Allegati

La normativa europea: l’Artificial Intelligence Act

Per quanto concerne l’ambito europeo, già nel 2017, l’utilizzo dell’intelligenza artificiale aveva indotto alla necessità della formulazione di norme di regolazione quali, ad esempio, i cosiddetti “Principi di Asilomar” e nel 2020 è stato redatto il “Libro bianco sull’intelligenza artificiale”. Inoltre, nel 2019, l’Unione europea ha varato il Codice Etico, oggi confluito nel Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024, noto anche come Artificial Intelligence Act o AI Act, rappresenta il primo approccio giuridico completo a livello mondiale.

Il Regolamento, la cui proposta era stata presentata dalla Commissione il 21 aprile 2021 come parte integrante della strategia digitale dell’UE, garantisce la protezione e il rispetto dei diritti fondamentali dell’Unione, mira a promuovere l’innovazione, la competitività e lo sviluppo di un ecosistema di fiducia ed è volto ad incoraggiare lo sviluppo e l'adozione di sistemi di intelligenza artificiale sicuri e affidabili in tutto il mercato unico dell'Unione europea, sia nel settore pubblico, puntando a diventare leader strategico nell’impiego dell’IA, sia in quello privato.

L'Artificial Intelligence Act o AI Act fa tuttavia parte di un pacchetto più ampio di misure politiche a sostegno dello sviluppo di una IA affidabile, che include il  Pacchetto Innovazione per la IA, il lancio di AI Factories  e il Piano Coordinato sulla IA, tutte volte a garantire la sicurezza, i diritti fondamentali e una IA incentrata sull'uomo, a rafforzarne l'adozione, gli investimenti e l'innovazione in tutta l'UE.

Il regolamento (UE) 2024/1689 stabilisce regole armonizzate per l'uso della IA nell'Unione Europea fornendo certezza giuridica attraverso un quadro unificato di norme applicabili a tutti i sistemi di intelligenza artificiale immessi sul mercato dell’Unione.


Sui rischi

Il Regolamento (UE) 2024/1689, al fine di accrescere la fiducia dei cittadini nella IA mira a proteggere i cittadini dai rischi potenziali, partendo da una classificazione a monte e stabilendo un insieme chiaro di regole ed obblighi per gli sviluppatori e gli utilizzatori di IA in merito a specifici utilizzi della stessa.

Si può dunque affermare che la normativa segue un approccio basato sul rischio, stabilendo obblighi differenziati e articolati su quattro livelli:

a) rischio inaccettabile (divieto);

b) rischio alto;

c) rischio limitato;

d) rischio minimo.

Tanto più alto è il rischio di provocare danni alla società, tanto più rigoroso è il livello delle regole.

I sistemi di IA che determinano un rischio inaccettabile per la sicurezza e i diritti delle persone, sono vietati e dovranno essere eliminati dagli Stati Membri entro sei mesi dall’entrata in vigore del Regolamento. In tale ambito rientrano ad esempio:

  1. i sistemi che sfruttano la vulnerabilità delle persone o tecniche deliberatamente manipolative, che consentono di attribuire un “punteggio sociale” (social scoring), classificando le persone in base al loro comportamento sociale o alle loro caratteristiche personali;
  2. l’estrazione non mirata di immagini facciali da internet o telecamere a circuito chiuso per la creazione o l’espansione di banche dati e i sistemi di identificazione biometrica in tempo reale in spazi accessibili al pubblico (ossia il riconoscimento facciale mediante telecamere a circuito chiuso) da parte delle forze di polizia;
  3. i sistemi di IA che possono avere un impatto “sistemico”, ossia significativo sulla sicurezza delle persone o sui diritti fondamentali, come tutelati dalla Carta dei diritti fondamentali dell’UE.

Tra i settori considerati ad alto rischio a causa del potenziale impatto sui diritti fondamentali, la sicurezza e il benessere, si annoverano: le infrastrutture critiche (quando l’IA è una componente di sicurezza in settori quali le infrastrutture digitali, il traffico, l’acqua, il gas, il riscaldamento e l’elettricità); i servizi essenziali (sistemi di IA utilizzati dalle autorità pubbliche per valutare l’ammissibilità alle prestazioni e ai servizi di assistenza pubblica, compresi i servizi di assistenza sanitaria); l’occupazione (comprese l’assunzione, la selezione dei candidati, l’adozione di decisioni in materia di condizioni di impiego quali promozioni e cessazioni del rapporto di lavoro); l’attività di contrasto della criminalità; la gestione della giustizia e dei processi democratici (ivi compresi i sistemi che potrebbero influenzare i risultati delle elezioni); migrazione e controllo delle frontiere (sistemi di AI utilizzati per valutare i rischi legati alla migrazione, alle domande di asilo e ai visti, o per individuare e identificare le persone in contesti migratori).

 
Sulla trasparenza

Il regolamento introduce obblighi di divulgazione qualora un rischio possa derivare da una mancanza di trasparenza circa l’uso dell’intelligenza artificiale, mentre invece non introduce norme per l’IA considerata a rischio minimo o nullo, che attualmente rappresenta la stragrande maggioranza dei sistemi di intelligenza artificiale utilizzati nella UE, ferma restando l’adesione volontaria a codici di condotta da parte dei fornitori di tali sistemi.

La tutela della trasparenza è ritenuta fondamentale e la sua applicazione è maggiore in riferimento allo sviluppo e all’uso di sistemi di IA ad alto rischio. Di fatto, prima che un sistema di IA ad alto rischio sia utilizzato da entità che forniscono servizi pubblici, le stesse entità che lo utilizzano devono essere registrate in una banca dati dell’Unione, previa valutazione dell’impatto sui diritti fondamentali.

Per quanto concerne l’uso della IA considerato ad alto rischio e l’elenco delle pratiche vietate, il Regolamento prevede, da parte della Commissione europea, un processo di valutazione e revisione annuale. Entro il 2 agosto 2028, e successivamente ogni quattro anni, la Commissione valuta e riferisce sull’aggiunta o ampliamento dell’elenco delle categorie ad alto rischio, sulle modifiche all’elenco dei sistemi di IA che richiedono ulteriori misure di trasparenza e sulle modifiche per migliorare la vigilanza e la governance.


Sulla responsabilità

Una volta che un sistema di intelligenza artificiale è immesso sul mercato, le Autorità sono responsabili della sorveglianza del mercato, i distributori garantiscono la supervisione e il monitoraggio umano e i fornitori dispongono di un sistema di monitoraggio post-commercializzazione. Fornitori e distributori segnaleranno anche incidenti gravi e malfunzionamenti.


Sul piano organizzativo

Il Regolamento, al fine di garantire un’applicazione coerente ed efficace, prevede l’istituzione di un comitato per l’IA composto dai rappresentanti degli Stati membri,

e di un Ufficio europeo per l’IA responsabile del coordinamento delle Autorità nazionali competenti per la sorveglianza sull’attuazione delle nuove norme e l’applicazione di sanzioni amministrative. Gli Stati Membri, chiamati ad assumere una stretta collaborazione tra loro e l’ufficio per l’IA nell’ambito di un comitato per l’IA, possono prevedere ulteriori sanzioni di natura penale per garantire la tutela degli interessi che possono essere offesi da un uso illecito dell’intelligenza artificiale.

Inoltre, il regolamento istituisce diversi organismi di regolamentazione attivi dal 2 agosto 2025 quali le autorità nazionali competenti che sovrintenderanno e applicheranno le regole per i sistemi di IA e un ufficio per l’IA all’interno della Commissione europea che coordinerà l’applicazione coerente delle norme comuni in tutta l’Unione, fungendo da organo di regolamentazione per i modelli di IA per finalità generali.


Entrata in vigore

Il regolamento UE 2024/1689, entrato in vigore il 1° agosto 2024, sarà pienamente applicabile a partire dal 2 agosto 2026 fatte salve le seguenti eccezioni:

  • divieti e obblighi di alfabetizzazione in materia di intelligenza artificiale entrati in vigore dal 2 febbraio 2025;
  • regole di governance e obblighi per i modelli GPAI (algoritmi addestrati con grandi quantità di dati e in grado di svolgere un'ampia gamma di compiti, spesso integrati in altri sistemi di IA) diventati applicabili il 2 agosto 2025;
  • norme per i sistemi di intelligenza artificiale ad alto rischio, integrati nei prodotti regolamentati, che hanno un periodo di transizione esteso fino al 2 agosto 2027.


Ultimo aggiornamento: 29 dicembre 2025

L’intelligenza Artificiale (IA) nella PA