Regole per un’intelligenza artificiale affidabile nell’Unione europea
SINTESI DI:
Regolamento (UE) 2024/1689 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
QUAL È L’OBIETTIVO DEL REGOLAMENTO?
Il regolamento (UE) 2024/1689 mira a incoraggiare lo sviluppo e l’adozione di sistemi di intelligenza artificiale (IA) sicuri e affidabili in tutto il mercato unico dell’Unione europea (Unione) sia nel settore pubblico che in quello privato, garantendo al contempo la salute e la sicurezza dei cittadini dell’Unione e il rispetto dei diritti fondamentali. Il regolamento stabilisce norme basate sul rischio per quanto riguarda:
l’immissione sul mercato, la messa in servizio e l’utilizzo di taluni sistemi IA;
il divieto di determinate pratiche di IA;
i requisiti e gli obblighi relativi ai sistemi di IA ad alto rischio;
la trasparenza per taluni sistemi di IA;
la trasparenza e la gestione dei rischi per i modelli di IA per finalità generali (modelli IA potenti che supportano i sistemi IA in grado di svolgere una vasta gamma di compiti);
il monitoraggio del mercato, la vigilanza del mercato, la governance e l’esecuzione;
il sostegno all’innovazione, concentrandosi sulle piccole e medie imprese (PMI) e sulle start-up.
Sono previste alcune esenzioni, come ad esempio per i sistemi utilizzati esclusivamente a fini militari e di difesa o a fini di ricerca.
PUNTI CHIAVE
Cos’è un sistema IA?
Un sistema di IA è un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può:
presentare adattabilità dopo la diffusione;
generare output quali previsioni, contenuti, raccomandazioni o decisioni dall’input che riceve per obiettivi espliciti o impliciti.
Un approccio basato sul rischio
La normativa segue un approccio basato sul rischio, il che significa che tanto più alto è il rischio di provocare danni alla società, tanto più rigoroso è il livello delle regole. Il regolamento definisce l’utilizzo dell’IA nelle aree seguenti come ad alto rischio, a causa del potenziale impatto sui diritti fondamentali, la sicurezza e il benessere:
componenti di sicurezza di prodotti disciplinati dalla normativa di armonizzazione dell’Unione (o in qualità di prodotti autonomi) che sono tenuti a sottoporsi a una valutazione di conformità di terze parti ai sensi della stessa normativa;
biometrica, se usata per l’identificazione remota, per classificare le persone da attributi sensibili (come la razza o la religione), o per il riconoscimento delle emozioni, salvo quando utilizzata per verificarne semplicemente l’identità;
infrastrutture critiche, quando l’IA è una componente di sicurezza in settori quali le infrastrutture digitali, il traffico, l’acqua, il gas, il riscaldamento e l’elettricità;
istruzione e formazione professionale, compreso l’accesso alle questioni educative, la valutazione dei risultati dell’apprendimento, la valutazione dei livelli di istruzione o il monitoraggio del comportamento durante le prove;
occupazione, comprese l’assunzione, la selezione dei candidati, l’adozione di decisioni in materia di condizioni di impiego (promozioni, cessazioni del rapporto di lavoro), l’assegnazione dei compiti o il monitoraggio delle prestazioni;
servizi essenziali: sistemi di IA utilizzati dalle autorità pubbliche per valutare l’ammissibilità alle prestazioni e ai servizi di assistenza pubblica (compresi i servizi di assistenza sanitaria), il merito di credito, la valutazione del rischio di assicurazione e la priorità delle risposte di emergenza;
attività di contrasto: sistemi di AI utilizzati per valutare i rischi di reato, poligrafi, valutare l’attendibilità delle prove, prevedere la recidività o la profilazione di persone per le indagini penali;
migrazione e controllo delle frontiere: sistemi di AI utilizzati per valutare i rischi legati alla migrazione, alle domande di asilo e ai visti, o per individuare e identificare le persone in contesti migratori;
gestione della giustizia e dei processi democratici: sistemi di IA utilizzati dalle autorità giudiziarie per la ricerca e l’interpretazione legale o sistemi che potrebbero influenzare i risultati delle elezioni.
Il regolamento vieta le seguenti pratiche di IA con un livello di rischio inaccettabile:
tecniche subliminali o ingannevoli per manipolare comportamenti individuali o di gruppo, compromettendone la capacità di prendere decisioni informate e potenzialmente provocando danni;
sfruttamento delle vulnerabilità basate su età, disabilità o situazioni socioeconomiche per manipolare persone o gruppi, causando potenziali danni;
assegnazione di un punteggio sociale, ossia una valutazione o una classificazione delle persone in base al comportamento o alle caratteristiche, che risulta in un trattamento iniquo, indipendentemente dal contesto in cui i dati sono stati raccolti, o sproporzionato rispetto alla gravità del comportamento;
valutazione del rischio penale, che prevede la probabilità di commettere un reato sulla base unicamente di tratti comportamentali o di personalità, a eccezione di indagini penali obiettive;
riconoscimento facciale mediante scraping di banche di date da Internet o videocamere di sicurezza senza target specifico;
inferire emozioni in settori sensibili, come ad esempio nell’ambito del luogo di lavoro e degli istituti di istruzione, tranne quando sia usato per motivi medici o di sicurezza;
categorizzazione biometrica basata su dati per trarre deduzioni o inferenze in merito a razza, religione o opinioni politiche, tranne per l’uso legittimo nel settore delle attività di contrasto;
identificazione biometrica remota in tempo reale in spazi accessibili al pubblico a fini di attività di contrasto, a meno che non sia strettamente necessaria per la ricerca mirata di persone scomparse, la prevenzione di una minaccia specifica o l’identificazione di una persona sospettata di aver commesso un reato grave. Ciò deve seguire rigorose procedure giuridiche, compresa l’autorizzazione preventiva, un ambito di applicazione limitato e garanzie per proteggere i diritti e le libertà.
Il regolamento introduce obblighi di divulgazione qualora un rischio possa derivare da una mancanza di trasparenza circa l’uso dell’intelligenza artificiale:
AI progettata per impersonare esseri umani (ad esempio, un chatbot) deve informare la persona con la quale sta interagendo;
l’output dell’IA generativa deve essere indicato come generato dall’IA e leggibile meccanicamente;
in alcuni casi, l’output dell’IA generativa deve essere chiaramente indicato, vale a dire in caso di deepfake e di testi destinati a informare il pubblico in merito a questioni di interesse pubblico.
Tutti gli altri sistemi di IA sono considerati a rischio limitato e pertanto il regolamento non introduce ulteriori regole.
Uso affidabile dei grandi modelli di IA
I modelli di AI per finalità generali sono modelli di IA che vengono addestrati su grandi quantità di dati e possono svolgere un’ampia gamma di attività. Possono essere componenti dei sistemi di AI.
Il regolamento introduce obblighi di trasparenza per i fornitori di tali modelli di IA per finalità generali, ovvero la documentazione tecnica, la fornitura di informazioni agli sviluppatori a valle di sistemi IA e la divulgazione dei dati utilizzati nell’addestramento del modello.
I più potenti modelli di AI per per finalità generali possono presentare rischi sistemici. Se un modello soddisfa una determinata soglia di capacità, il fornitore di tale modello deve adempiere a ulteriori obblighi di gestione del rischio e di cibersicurezza.
Governance
Il regolamento istituisce diversi organismi di regolamentazione attivi dal 2 agosto 2025:
autorità nazionali competenti che sovrintenderanno e applicheranno le regole per i sistemi di IA;
un ufficio per l’IA all’interno della Commissione europea che coordinerà l’applicazione coerente delle norme comuni in tutta l’Unione, fungendo da organo di regolamentazione per i modelli di IA per finalità generali.
Gli Stati membri dell’Unione e l’ufficio per l’IA collaboreranno strettamente nell’ambito di un comitato per l’IA, composto dai rappresentanti degli Stati membri, per garantire un’applicazione coerente ed efficace del regolamento.
Il regolamento istituisce due organi consultivi per l’ufficio per l’IA e il comitato per l’IA:
un gruppo scientifico di esperti indipendenti per fornire pareri scientifici;
un forum consultivo per le parti interessate al fine di fornire consulenza tecnica al comitato per l’IA e alla Commissione.
Sanzioni
Le ammende per le violazioni sono definite come percentuale del fatturato totale annuo o di un importo predeterminato a carico dell’azienda responsabile, a seconda di quale sia più elevato. Le piccole e medie imprese e le start-up sono soggette a sanzioni amministrative proporzionate.
Trasparenza e tutela dei diritti fondamentali
La maggiore trasparenza si applica allo sviluppo e all’uso di sistemi di IA ad alto rischio:
prima che un sistema di IA ad alto rischio sia utilizzato da entità che forniscono servizi pubblici, deve esserne valutato l’impatto sui diritti fondamentali;
i sistemi di IA ad alto rischio e le entità che li usano devono essere registrati in una banca dati dell’Unione.
Innovazione
Il regolamento fornisce un quadro giuridico favorevole all’innovazione e mira a promuovere un apprendimento normativo basato su dati concreti. Prevede spazi di sperimentazione normativa per l’IA, consentendo un ambiente controllato in cui è possibile sviluppare, testare e convalidare sistemi di IA innovativi, anche in condizioni reali. Inoltre, il regolamento consente, a determinate condizioni, la prova in tempo reale di sistemi di IA ad alto rischio.
Valutazione e revisione
La Commissione valuta la necessità di modificare ogni anno l’elenco degli usi ad alto rischio dell’IA e l’elenco delle pratiche vietate. Entro il 2 agosto 2028, e successivamente ogni quattro anni, la Commissione valuta e riferisce su quanto segue:
aggiunta o ampliamento dell’elenco delle categorie ad alto rischio;
modifiche all’elenco dei sistemi di IA che richiedono ulteriori misure di trasparenza;
modifiche per migliorare la vigilanza e la governance.
A PARTIRE DA QUANDO SI APPLICA IL REGOLAMENTO?
Il presente regolamento si applicherà a partire dal 2 agosto 2026. Tuttavia, vi sono alcune eccezioni:
i divieti, le definizioni e gli obblighi relativi all’alfabetizzazione in materia di IA si applicano dal 2 febbraio 2025;
alcune regole entreranno in vigore il 2 agosto 2025, comprese quelle sulla struttura di governance, le sanzioni e gli obblighi per i fornitori di modelli di IA per finalità generali.
CONTESTO
Per ulteriori informazioni, si veda:
Legge sull’IA (Commissione europea).
Ufficio europeo per l’IA (Commissione europea).
DOCUMENTO PRINCIPALE
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull’intelligenza artificiale e modifica i regolamenti (CE) n, 300/2008, (UE) n, 167/2013, (UE) n, 168/2013, (UE) 2018/858, (UE) 2018/1139 e (UE) 2019/2144 e le direttive 2014/90/UE, (UE) 2016/797 e (UE) 2020/1828 (regolamento sull’intelligenza artificiale) (GU L, 2024/1689 del 12.7.2024).
DOCUMENTI CORRELATI
Regolamento (UE) 2022/2065 del Parlamento europeo e del Consiglio, del 19 ottobre 2022, relativo a un mercato unico dei servizi digitali e che modifica la direttiva 2000/31/CE (regolamento sui servizi digitali) (GU L 277 del 27.10.2022, pag. 1).
Direttiva (UE) 2020/1828 del Parlamento europeo e del Consiglio, del 25 novembre 2020, relativa alle azioni rappresentative a tutela degli interessi collettivi dei consumatori e che abroga la direttiva 2009/22/CE (GU L 409 del 4.12.2020, pag. 1).
Le modifiche successive alla direttiva (UE) 2020/1828 sono state incorporate nel testo originale. La versione consolidata ha esclusivamente valore documentale.
Regolamento (UE) 2019/881 del Parlamento europeo e del Consiglio, del 17 aprile 2019, relativo all’ENISA, l’Agenzia dell’Unione europea per la cibersicurezza, e alla certificazione della cibersicurezza per le tecnologie dell’informazione e della comunicazione, e che abroga il regolamento (UE) n. 526/2013 (regolamento sulla cibersicurezza) (GU L 151 del 7.6.2019, pag. 15).
Direttiva (UE) 2019/882 del Parlamento europeo e del Consiglio, del 17 aprile 2019, sui requisiti di accessibilità dei prodotti e dei servizi (GU L 151 del 7.6.2019, pag. 70).
Regolamento (UE) 2019/1020 del Parlamento europeo e del Consiglio, del 20 giugno 2019, sulla vigilanza del mercato e sulla conformità dei prodotti e che modifica la direttiva 2004/42/CE e i regolamenti (CE) n. 765/2008 e (UE) n. 305/2011 (GU L 169 del 25.6.2019, pag. 1).
Regolamento (UE) 2019/2144 del Parlamento europeo e del Consiglio, del 27 novembre 2019, relativo ai requisiti di omologazione dei veicoli a motore e dei loro rimorchi, nonché di sistemi, componenti ed entità tecniche destinati a tali veicoli, per quanto riguarda la loro sicurezza generale e la protezione degli occupanti dei veicoli e degli altri utenti vulnerabili della strada, che modifica il regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio e abroga i regolamenti (CE) n. 78/2009, (CE) n. 79/2009 e (CE) n. 661/2009 del Parlamento europeo e del Consiglio e i regolamenti (CE) n. 631/2009, (UE) n. 406/2010, (UE) n. 672/2010, (UE) n. 1003/2010, (UE) n. 1005/2010, (UE) n. 1008/2010, (UE) n. 1009/2010, (UE) n. 19/2011, (UE) n. 109/2011, (UE) n. 458/2011, (UE) n. 65/2012, (UE) n. 130/2012, (UE) n. 347/2012, (UE) n. 351/2012, (UE) n. 1230/2012 e (UE) 2015/166 della Commissione (GU L 325 del 16.12.2019, pag. 1).
Regolamento (UE) 2018/858 del Parlamento europeo e del Consiglio, del 30 maggio 2018, relativo all’omologazione e alla vigilanza del mercato dei veicoli a motore e dei loro rimorchi, nonché dei sistemi, componenti ed entità tecniche destinati a tali veicoli, che modifica i regolamenti (CE) n. 715/2007 e (CE) n. 595/2009 e che abroga la direttiva 2007/46/CE (GU L 151 del 14.6.2018, pag. 1).
Regolamento (UE) 2018/1139 del Parlamento europeo e del Consiglio, del 4 luglio 2018, recante norme comuni nel settore dell’aviazione civile, che istituisce un’Agenzia dell’Unione europea per la sicurezza aerea e che modifica i regolamenti (CE) n. 2111/2005, (CE) n. 1008/2008, (UE) n. 996/2010, (UE) n. 376/2014 e le direttive 2014/30/UE e 2014/53/UE del Parlamento europeo e del Consiglio, e abroga i regolamenti (CE) n. 552/2004 e (CE) n. 216/2008 del Parlamento europeo e del Consiglio e il regolamento (CEE) n. 3922/91 del Consiglio (GU L 212 del 22.8.2018, pag. 1).
Regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell’Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (GU L 295 del 21.11.2018, pag. 39).
Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche in materia di trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (GU L 119 del 4.5.2016, pag. 1).
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (GU L 119 del 4.5.2016, pag. 89).
Direttiva (UE) 2016/797 del Parlamento europeo e del Consiglio, dell’11 maggio 2016, relativa all’interoperabilità del sistema ferroviario dell’Unione europea (rifusione) (GU L 138 del 26.5.2016, pag. 44).
Direttiva (UE) 2016/2102 del Parlamento europeo e del Consiglio, del 26 ottobre 2016, relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici (GU L 327 del 2.12.2016, pag. 1).
Direttiva 2014/90/UE del Parlamento europeo e del Consiglio, del 23 luglio 2014, sull’equipaggiamento marittimo e che abroga la direttiva 96/98/CE del Consiglio (GU L 257 del 28.8.2014, pag. 146).
Regolamento (UE) n. 167/2013 del Parlamento europeo e del Consiglio, del 5 febbraio 2013, relativo all’omologazione e alla vigilanza del mercato dei veicoli agricoli e forestali (GU L 60 del 2.3.2013, pag. 1).
Si veda la versione consolidata.
Regolamento (UE) n. 168/2013 del Parlamento europeo e del Consiglio, del 15 gennaio 2013, relativo all’omologazione e alla vigilanza del mercato dei veicoli a motore a due o tre ruote e dei quadricicli (GU L 60 del 2.3.2013, pag. 52).
Regolamento (UE) n. 1025/2012 del Parlamento europeo e del Consiglio, del 25 ottobre 2012, sulla normazione europea, che modifica le direttive 89/686/CEE e 93/15/CEE del Consiglio nonché le direttive 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE e 2009/105/CE del Parlamento europeo e del Consiglio e che abroga la decisione 87/95/CEE del Consiglio e la decisione n. 1673/2006/CE del Parlamento europeo e del Consiglio (GU L 316 del 14.11.2012, pag. 12).
Regolamento (CE) n. 300/2008 del Parlamento europeo e del Consiglio, dell’11 marzo 2008, che istituisce norme comuni per la sicurezza dell’aviazione civile e che abroga il regolamento (CE) n. 2320/2002 (GU L 97 del 9.4.2008, pag. 72).
Regolamento (CE) n. 765/2008 del Parlamento europeo e del Consiglio, del 9 luglio 2008, che pone norme in materia di accreditamento e vigilanza del mercato per quanto riguarda la commercializzazione dei prodotti e che abroga il regolamento (CEE) n. 339/93 (GU L 218 del 13.8.2008, pag. 30).