Pubblicato il Regolamento (UE) 2024/1689 in materia di Intelligenza Artificiale
23/09/2024
Il Regolamento (UE) 2024/1689, pubblicato il 12 luglio 2024, stabilisce regole armonizzate per l'intelligenza artificiale (IA) all'interno dell'Unione Europea. Questo regolamento, unico e innovativo a livello mondiale per i contenuti e i livelli di approfondimento previsti, intende garantire che i sistemi di IA siano sicuri, affidabili e conformi ai diritti fondamentali dell'Unione, promuovendo al contempo l'innovazione e l'adozione di IA antropocentrica e sostenibile. La conformità totale alle nuove disposizioni è richiesta entro 24 mesi dalla pubblicazione, assicurando un periodo di adattamento adeguato per tutti gli attori coinvolti.
Obiettivi del provvedimento
Il regolamento persegue tre obiettivi fondamentali:
- Garantire un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali.
- Promuovere l'innovazione tecnologica responsabile e la competitività europea.
- Creare un quadro normativo chiaro che faciliti la libera circolazione di beni e servizi basati sull'IA all'interno del mercato interno.
Soggetti coinvolti
Il regolamento si applica a una vasta gamma di soggetti, tra cui:
- Sviluppatori e fornitori di sistemi di IA, responsabili della progettazione e della distribuzione di tali sistemi.
- Utilizzatori di sistemi di IA (deployer) che integrano questi sistemi nei loro processi operativi.
- Organizzazioni pubbliche e private che utilizzano sistemi di IA nelle loro attività.
Obblighi degli Operatori
Gli operatori sono tenuti a rispettare vari obblighi specifici, tra cui:
- Effettuare una valutazione dettagliata dei rischi associati ai sistemi di IA ad alto rischio e implementare misure di mitigazione adeguate.
- Garantire la trasparenza e la tracciabilità dei sistemi di IA, fornendo informazioni chiare e accessibili agli utenti finali riguardo al funzionamento e alle limitazioni dei sistemi.
- Assicurare la conformità continua con le disposizioni regolamentari, sottoponendosi a verifiche periodiche e supervisioni da parte delle autorità competenti.
- Mantenere una documentazione tecnica dettagliata e registrare i sistemi di IA in apposite banche dati come richiesto dal regolamento.
Definizioni essenziali
Il regolamento definisce chiaramente i termini chiave per garantire una comprensione uniforme delle sue disposizioni. Tra questi:
- Sistema di IA: Insieme di tecnologie che consentono a un software di eseguire compiti che normalmente richiederebbero intelligenza umana, come l'apprendimento, il ragionamento, la risoluzione dei problemi, la percezione e la comprensione del linguaggio.
- Capacità inferenziale dei sistemi IA: Capacità di un sistema di IA di trarre conclusioni o dedurre nuove informazioni non esplicitamente presenti nei dati di input.
- Adattabilità di un sistema di IA: Capacità del sistema di modificare il proprio comportamento e migliorare le proprie prestazioni in risposta ai cambiamenti dell'ambiente e ai dati ricevuti.
Vantaggi e benefici attesi
Il Regolamento UE 2024/1689 è progettato per apportare numerosi benefici, tra cui:
- Miglioramento della sicurezza e dell'affidabilità dei sistemi di IA, attraverso l'implementazione di standard elevati.
- Promozione dell'innovazione tecnologica, creando un ambiente normativo favorevole allo sviluppo di tecnologie IA innovative.
- Protezione dei diritti fondamentali, garantendo che i sistemi di IA siano conformi ai diritti fondamentali dell'Unione Europea quali la privacy, la non discriminazione e la trasparenza.
- Uniformità normativa, evitando la frammentazione del mercato interno e facilitando la libera circolazione di beni e servizi basati sull'IA tra gli Stati membri.
- Benefici economici e sociali, migliorando l'efficienza operativa in vari settori come la sanità, i trasporti e la pubblica amministrazione.
Impatti negativi potenziali
Il regolamento riconosce anche diversi rischi e impatti negativi potenziali:
- Discriminazione algoritmica: Rischio che gli algoritmi possano riprodurre o amplificare pregiudizi esistenti.
- Violazioni della privacy: Uso improprio dei dati personali raccolti dai sistemi di IA.
- Vulnerabilità di sicurezza: Possibili exploit dei sistemi di IA per scopi dannosi.
- Impatto psicologico e sociale: Influenze negative sul benessere psicologico degli individui e alterazioni del tessuto sociale.
- Limitazione dell'autonomia e dei processi decisionali: Rischio che le decisioni automatizzate compromettano l'autonomia degli individui.
Limitazioni all’impiego dei sistemi di IA
Il regolamento prevede specifiche limitazioni e divieti per garantire la protezione degli interessi pubblici e dei diritti fondamentali:
- Divieto di sorveglianza di massa indiscriminata.
- Limitazioni sull'uso della profilazione automatizzata per decisioni con effetti legali significativi sugli individui.
- Restrizioni sull'uso di identificazione biometrica remota in tempo reale in spazi pubblici, consentite solo in circostanze eccezionali.
Diritti fondamentali da preservare
Il regolamento tutela in modo particolare i seguenti diritti fondamentali:
- Privacy e protezione dei dati personali.
- Non discriminazione.
- Trasparenza e informazione agli utenti.
Criteri di Classificazione dei sistemi IA
I criteri di classificazione dei sistemi di IA, stabiliti dall'articolo 51, includono la gravità dell'impatto sui diritti fondamentali, l'ambito di applicazione e il contesto di utilizzo, la finalità dell'uso, il livello di autonomia e complessità e il potenziale di utilizzo improprio o malevolo.Obblighi correlati alla Classificazione
I sistemi di IA classificati come ad alto rischio sono soggetti a obblighi normativi più stringenti:
- Valutazione del rischio e implementazione di misure di mitigazione.
- Trasparenza e documentazione tecnica dettagliata.
- Monitoraggio continuo e supervisione da parte delle autorità competenti.
- Ottenimento di certificazioni e autorizzazioni necessarie prima dell'immissione sul mercato o della messa in servizio.
Procedura di Valutazione della Conformità
L'articolo 43 stabilisce la procedura di valutazione della conformità per i sistemi di IA ad alto rischio, che può includere:
- Modulo A: Controllo interno della produzione.
- Modulo B: Esame UE del tipo.
- Modulo C: Conformità al tipo basata sul controllo interno della produzione.
Il coinvolgimento degli organismi notificati è essenziale per i moduli che richiedono la valutazione da parte di enti accreditati.Strategie per il raggiungimento degli obiettivi
Il regolamento adotta varie strategie per garantire il raggiungimento dei suoi obiettivi, tra cui:
- Classificazione dei sistemi di IA in base al livello di rischio.
- Procedure di valutazione della conformità.
- Monitoraggio continuo e supervisione.
- Trasparenza e tracciabilità.
- Coinvolgimento degli stakeholder.
Strumenti di finanziamento e agevolazioni
Sono previsti vari strumenti di finanziamento e supporto per facilitare l'attuazione del regolamento:
- Fondi europei per l'innovazione tecnologica.
- Contributi per ricerca e sviluppo.
- Agevolazioni fiscali.
- Supporto tecnico e finanziario per PMI e start-up.
Timeline degli obblighi
Gli obblighi previsti devono essere implementati progressivamente:
- Valutazione del rischio entro 12 mesi dalla pubblicazione.
- Implementazione delle misure di mitigazione entro 18 mesi.
- Conformità totale entro 24 mesi.
Autorità competenti
Le autorità coinvolte includono:
- Autorità Garante per la Protezione dei Dati Personali.
- Agenzia Europea per la Sicurezza delle Reti e dell'Informazione (ENISA).
- Autorità nazionali designate da ciascuno Stato membro.
Quadro sanzionatorio
Il regolamento prevede sanzioni pecuniarie fino al 4% del fatturato globale annuo per le violazioni gravi, nonché la sospensione o la revoca delle autorizzazioni e l'obbligo di risarcimento per i danni causati. Le sanzioni variano in base alla gravità della violazione e includono:
- Ammende fino a 20 milioni di euro.
- Sospensione delle autorizzazioni.
- Obbligo di risarcimento dei danni.
Misure per PMI e Start-up
Il regolamento prevede misure specifiche per facilitare la conformità delle PMI e delle start-up:
- Procedure semplificate.
- Supporto tecnico e finanziario.
- Programmi di formazione e assistenza.
Allegati al Regolamento
Gli allegati forniscono un quadro dettagliato e operativo per l'implementazione delle norme principali:
- Allegato I: Requisiti essenziali per i sistemi di IA ad alto rischio.
- Allegato II: Requisiti per la documentazione tecnica.
- Allegato III: Procedure di valutazione della conformità.
- Allegato IV: Registrazione dei sistemi di IA.
- Allegato V: Misure di sorveglianza del mercato.
Tempi di entrata in vigore
Il regolamento è in vigore di fatto dal 1 gennaio 2024, con un periodo di 24 mesi per la piena conformità, consentendo agli operatori di adeguarsi progressivamente alle nuove disposizioni.