Cos'è l'EU Artificial Intelligence Act (EU AI Act)?
Esplora la soluzione di governance per l'AI di IBM Abbonati per ricevere gli aggiornamenti sull'AI
Diagramma astratto di un albero decisionale

Pubblicato: 8 aprile 2024
Collaboratori: Matt Kosinski

Cos'è l'EU AI Act?

L'EU Artificial Intelligence Act, o EU AI Act, è una legge che disciplina lo sviluppo e l'uso dell'intelligenza artificiale nell'Unione europea (UE). La legge adotta un approccio alla regolamentazione basato sul rischio, applicando regole diverse ai sistemi AI in base alle minacce che rappresentano per la salute, la sicurezza e i diritti umani.

Considerato il primo framework normativo completo al mondo per le applicazioni AI, l'EU AI Act vieta alcuni usi dell'AI a titolo definitivo e implementa rigorosi standard di sicurezza e trasparenza per altri.

La legge crea inoltre regole mirate per progettare, addestrare e distribuire modelli di intelligenza artificiale per scopi generali, come i foundation model Power ChatGPT e Google Gemini.

Le sanzioni per la non conformità possono raggiungere i 35.000.000 di euro o il 7% del fatturato mondiale annuo di un'azienda, a seconda di quale sia il valore più alto.

Allo stesso modo in cui il Regolamento generale sulla protezione dei dati (GDPR) dell'UE ha ispirato altre nazioni ad adottare leggi sulla privacy dei dati , gli esperti prevedono che l'EU AI Act stimolerà lo sviluppo di una governance per l'AI più forte e di standard etici in tutto il mondo.

Cosa implica per te l'EU AI Act e come prepararti
Contenuti correlati

Registrati per il report IDC

A chi si applica l'EU AI Act?

L'EU AI Act si applica a fornitori, utilizzatori, importatori e distributori di sistemi e modelli AI nell'UE.

La legge definisce i sistemi AI come sistemi che possono, con un certo livello di autonomia, elaborare input per generare output che influenzano le persone e gli ambienti. Questi output influenti includono cose come previsioni, decisioni e contenuti. 

Nel linguaggio della legge, i modelli AI si riferiscono principalmente all'AI per scopi generali (GPAI) che può essere adattata per costruire vari sistemi AI. Ad esempio, il modello linguistico di grandi dimensioni GPT-4 è un modello AI. Il chatbot ChatGPT basato su GPT-4 è un sistema AI.

Altri termini importanti nella legge:

  • I fornitori sono le persone e le organizzazioni che creano sistemi e modelli AI.

  • Gli utilizzatori sono persone e organizzazioni che utilizzano gli strumenti AI. Ad esempio, un'organizzazione che acquista e utilizza un chatbot AI per gestire le richieste di servizio clienti sarebbe un utilizzatore.

  • Gli importatori sono persone e organizzazioni che portano sistemi e modelli AI da paesi extraeuropei al mercato dell'UE.
Applicazioni al di fuori dell'UE

L'EU AI Act si applica alle persone e alle organizzazioni al di fuori dell'Europa se i loro strumenti AI, o gli output di tali strumenti, vengono utilizzati nell'UE. 

Ad esempio, supponiamo che un'azienda nell'UE invii i dati dei clienti a una terza parte al di fuori dell'UE e che tale terza parte utilizzi l'AI per elaborare i dati dei clienti e inviare i risultati all'azienda. Poiché l'azienda utilizza l'output del sistema AI di terze parti all'interno dell'UE, la terza parte è vincolata dall'EU AI Act. 

I fornitori al di fuori dell'UE che offrono servizi AI nell'UE devono designare rappresentanti autorizzati nell'UE per coordinare gli sforzi di conformità per loro conto.

Eccezioni

Sebbene la legge abbia un'ampia portata, alcuni usi dell'AI sono esenti. Tra questi ci sono:

  • Usi puramente personali

  • Modelli e sistemi sviluppati esclusivamente per la difesa militare e nazionale

  • Modelli e sistemi utilizzati solo per la ricerca e lo sviluppo

  • I modelli AI gratuiti, open source e a basso rischio che condividono pubblicamente i loro parametri e la loro architettura sono esentati dalla maggior parte delle regole dell'AI Act, ma non da tutte. (Vedi "Regole per i modelli AI per scopi generali (GPAI)" di seguito per ulteriori informazioni.)
Scopri come la piattaforma dati e AI IBM Watsonx™ aiuta le organizzazioni a creare applicazioni AI responsabili e conformi
Scopri come la piattaforma dati e AI IBM Watsonx™ aiuta le organizzazioni a creare applicazioni AI responsabili e conformi
Quali requisiti impone l'EU AI Act?

L'EU AI Act contiene una serie di regole finalizzate a supportare l'uso e lo sviluppo responsabile dell'AI. Alcune delle disposizioni più importanti includono divieti sull'AI pericolosa, norme per lo sviluppo e la distribuzione dell'AI a rischio elevato, obblighi di trasparenza e norme per i modelli per scopi generali. 

Vale la pena notare che molti dei dettagli più fini dell'EU AI Act relativi all'implementazione sono ancora in fase di definizione. Ad esempio, la legge rileva che la Commissione europea pubblicherà ulteriori linee guida su requisiti come i piani di monitoraggio post-commercializzazione e riepiloghi dei dati di addestramento. 

Normative sull'AI basate sul rischio

L'EU AI Act classifica i sistemi AI in diverse categorie in base al livello di rischio. Il rischio qui si riferisce alla probabilità e alla gravità del potenziale danno che un'AI potrebbe causare alla salute, alla sicurezza o ai diritti umani. 

In generale, la legge affronta quattro categorie di rischio legato all'AI:

·       Rischio inaccettabile

·       Rischio elevato

·       Rischio limitato

·       Rischio minimo

Rischio inaccettabile

Le applicazioni AI che presentano un livello di rischio inaccettabile sono vietate. L'EU AI Act elenca esplicitamente tutte le pratiche AI proibite, che includono:

  • Sistemi che manipolano intenzionalmente le persone per farle fare scelte dannose che altrimenti non farebbero.

  • Sistemi che utilizzano l'età, la disabilità o lo stato sociale o economico di una persona per influenzarne materialmente il comportamento. 

  • Sistemi biometrici di categorizzazione che utilizzano i dati biometrici per dedurre informazioni personali sensibili, come etnia, orientamento sessuale o opinioni politiche.

  • Sistemi di punteggio sociale che utilizzano comportamenti e caratteristiche irrilevanti o incongruenti per promuovere il trattamento dannoso delle persone.

  • Sistemi di identificazione biometrica remoti in tempo reale utilizzati in luoghi pubblici per l'applicazione della legge. Esistono alcune ristrette eccezioni, come l'utilizzo di questi strumenti per ricerche mirate sulle vittime di alcuni reati gravi.

  • Sistemi di polizia predittiva che profilano le persone per valutare la loro probabilità di commettere un crimine. 

  • Database di riconoscimento facciale che eseguono lo scraping non mirato di immagini Internet o CCTV.

  • Strumenti di riconoscimento delle emozioni utilizzati nelle scuole o nei posti di lavoro, tranne quando questi strumenti vengono utilizzati per scopi medici o di sicurezza.

La Commissione europea si riserva il diritto di rivedere e modificare questo elenco, quindi è possibile che in futuro vengano vietati altri usi dell'AI.

Rischio elevato

La maggior parte della legge riguarda i sistemi AI a rischio elevato. Ci sono due modi in cui un sistema può essere considerato a rischio elevato ai sensi dell'EU AI Act: se è utilizzato in un prodotto regolamentato o esplicitamente indicato come a rischio elevato. 

I prodotti di alcuni settori, come i giocattoli, le attrezzature radio e i dispositivi medici, sono già regolamentati da leggi preesistenti dell'UE. Tutti i sistemi AI che fungono da componenti di sicurezza di questi prodotti regolamentati, o che agiscono essi stessi come prodotti regolamentati, sono automaticamente considerati a rischio elevato. 

La legge elenca anche usi specifici dell'AI che contano sempre come a rischio elevato. Tra questi ci sono:

  • Tutti i sistemi biometrici non espressamente vietati dall'EU AI Act o da altre leggi dell'UE o degli Stati membri, ad eccezione dei sistemi che verificano l'identità di una persona (ad esempio, l'utilizzo di uno scanner di impronte digitali per concedere a qualcuno l'accesso a un'app bancaria).

  • Sistemi utilizzati come componenti di sicurezza per le infrastrutture critiche, come le forniture di acqua, gas ed elettricità.

  • Sistemi utilizzati nella formazione educativa e professionale, inclusi sistemi che monitorano le prestazioni degli studenti, rilevano gli imbrogli e dirigono le ammissioni.

  • Sistemi utilizzati in ambienti di lavoro, come quelli utilizzati per assumere candidati, valutare i candidati e prendere decisioni di promozione.

  • Sistemi utilizzati per determinare l'accesso a servizi privati o pubblici essenziali, inclusi i sistemi che valutano l'idoneità ai benefici pubblici e valutano i punteggi di credito. Ciò non include i sistemi utilizzati per rilevare frodi finanziarie.

  • Sistemi utilizzati dalle forze dell'ordine, come i poligrafi abilitati all'AI e l'analisi delle prove.

  • Sistemi utilizzati per la migrazione e il controllo delle frontiere, come i sistemi che elaborano le domande di visto. Ciò non include sistemi che verificano i documenti di viaggio.

  • Sistemi utilizzati in processi giudiziari e democratici, come sistemi che influenzano direttamente i risultati delle elezioni.

  • La profilazione, ossia l'elaborazione automatica dei dati personali per valutare o prevedere alcuni aspetti della vita di una persona, come le preferenze relative ai prodotti, è sempre a rischio elevato.

Come per l'elenco delle AI vietate, la Commissione europea potrebbe aggiornare questo elenco in futuro.

I fornitori di sistemi a rischio elevato devono seguire le seguenti regole:

  • Implementare un sistema di gestione continua del rischio per monitorare l'AI e garantire la conformità durante l'intero ciclo di vita. Ci si aspetta che i fornitori riducano i rischi posti dall'uso previsto e dal prevedibile uso improprio dei loro sistemi.

  • Adottare rigorosi standard di governance dei dati per garantire che i dati di addestramento e test vengano raccolti, gestiti e protetti correttamente. I dati dovrebbero inoltre essere di alta qualità, pertinenti allo scopo del sistema e ragionevolmente privi di distorsioni.

  • Conservare la documentazione tecnica completa sulle specifiche, le funzionalità, le limitazioni e le iniziative di conformità normativa del sistema.

  • Implementare log eventi automatizzati negli strumenti AI per monitorare le operazioni di sistema, tracciare i risultati e identificare i rischi e gli incidenti gravi.

  • Fornire agli utilizzatori di sistemi AI le informazioni di cui hanno bisogno per conformarsi alle normative, incluse istruzioni chiare su come utilizzare il sistema, interpretare gli output e mitigare i rischi.

  • Progettare sistemi per supportare e consentire la supervisione umana, ad esempio fornendo interfacce che consentano agli utenti di monitorare, sovrascrivere e intervenire sulle operazioni del sistema.

  • Garantire che i sistemi AI siano ragionevolmente accurati, robusti e sicuri. Ciò può includere la creazione di sistemi di backup, la progettazione di algoritmi per evitare distorsioni e l'implementazione di adeguati controlli di cybersecurity.

Se un sistema AI rientra in una delle categorie a rischio elevato ma non rappresenta una minaccia significativa per la salute, la sicurezza o i diritti, i fornitori possono rinunciare a tali requisiti. Il fornitore deve documentare la prova che il sistema non presenta rischi e le autorità di regolamentazione possono penalizzare le organizzazioni per la classificazione errata dei sistemi.

Scopri come watsonx.governance aiuta le organizzazioni a mitigare i rischi, gestire le policy e soddisfare i requisiti di conformità con workflow AI spiegabili
Rischio limitato

I sistemi AI a rischio limitato sono sistemi che soddisfano specifici obiettivi di trasparenza: regole che specifici tipi di AI devono seguire indipendentemente dal loro livello di rischio. Queste regole includono:

  • I sistemi AI devono informare chiaramente gli utenti quando interagiscono con l'intelligenza artificiale. Ad esempio, un chatbot dovrebbe dire alle persone che è un chatbot.

  • Le organizzazioni devono informare le persone ogni volta che utilizzano il riconoscimento delle emozioni o sistemi di categorizzazione biometrica. Tutti i dati personali raccolti tramite questi sistemi devono essere gestiti in conformità con il GDPR. 

  • I sistemi di AI generativa che creano testo, immagini o altri contenuti devono utilizzare filigrane o altri segnali leggibili da computer per contrassegnare tali contenuti come generati dall'AI

  • Gli utilizzatori devono etichettare chiaramente i deepfake e comunicare questo fatto al destinatario.

  • Gli utilizzatori che utilizzano l'AI per produrre testo su questioni di interesse pubblico, come articoli di notizie, devono etichettare il testo come generato dall'AI a meno che un redattore umano non lo revisioni e se ne assuma la responsabilità.
Rischio minimo

La categoria di rischio minimo (a volte chiamata "categoria di rischio minimo o nullo") include strumenti di AI che non interagiscono direttamente con le persone o che hanno un impatto materiale molto limitato quando lo fanno. Gli esempi includono i filtri antispam per le e-mail e l'AI nei videogiochi. Molti usi comuni dell'AI oggi rientrano in questa categoria. 

La maggior parte delle norme dell'AI Act non si applica all'AI a rischio minimo (sebbene in alcuni casi possa dover soddisfare gli obblighi di trasparenza sopra elencati).

Scopri come watsonx.governance aiuta le organizzazioni a mitigare i rischi, gestire le policy e soddisfare i requisiti di conformità con workflow AI spiegabili
Regole per i modelli AI per scopi generali (GPAI)

Poiché i modelli GPAI sono così adattabili, può essere difficile categorizzarli in base al livello di rischio. Per questo motivo, l'EU AI Act crea un insieme separato di regole esplicitamente per la GPAI.

Tutti i fornitori di modelli GPAI devono:

  • Conservare la documentazione tecnica aggiornata che descrive, tra l'altro, i processi di progettazione, test e addestramento del modello.

  • Fornire agli utilizzatori dei loro modelli, come le organizzazioni che costruiscono sistemi AI su di essi, le informazioni necessarie per un uso responsabile del modello. Queste informazioni includono le funzionalità, i limiti e lo scopo previsto del modello.

  • Stabilire politiche per seguire le leggi sul copyright dell'UE.

  • Scrivere e rendere pubblicamente disponibili riepiloghi dettagliati dei set di dati di addestramento.

La maggior parte dei modelli GPAI open-source gratuiti sono esenti dai primi due requisiti. Devono solo seguire le leggi sul copyright e condividere i riepiloghi dei dati di addestramento.

Regole per i modelli GPAI che presentano un rischio sistemico

L'EU AI Act ritiene che alcuni modelli GPAI rappresentino un rischio sistemico. Il rischio sistemico è la possibilità che un modello possa causare danni gravi e di vasta portata alla salute pubblica, alla sicurezza o ai diritti fondamentali. 

Secondo la legge, un modello costituisce un rischio sistemico se ha "funzionalità ad alto impatto". In sostanza, ciò significa che le funzionalità del modello corrispondono o superano quelle delle GPAI più avanzate disponibili al momento. 

La legge utilizza le risorse di addestramento come criterio chiave per identificare il rischio sistemico. Se la quantità cumulativa di potenza di calcolo utilizzata per addestrare un modello è superiore a 1025 operazioni in virgola mobile (FLOP, Floating Point Operation), si ritiene che abbia funzionalità ad alto impatto e rappresenti un rischio sistemico. 

La Commissione europea può anche classificare un modello come rischio sistemico se determina che il modello ha un impatto equivalente a quelle funzionalità a rischio elevato, anche se non soddisfa la soglia FLOP. 

I modelli GPAI che rappresentano un rischio sistemico, inclusi i modelli gratuiti e open source, devono soddisfare tutti i requisiti precedenti oltre ad alcuni obblighi aggiuntivi:

  • Eseguire valutazioni standardizzate dei modelli, inclusi i test di simulazione di attacchi, per identificare e mitigare i rischi sistemici.

  • Documentare e segnalare incidenti gravi all'Ufficio europeo per l'AI e alle autorità di regolamentazione di livello statale pertinenti.

  • Implementare controlli di sicurezza adeguati per proteggere il modello e la sua infrastruttura fisica.

I fornitori di modelli GPAI possono raggiungere la conformità adottando codici di condotta volontari, che l'Ufficio europeo per l'AI sta attualmente elaborando. I codici dovrebbero essere completati entro nove mesi dall'entrata in vigore della legge. I fornitori che non adottano questi codici devono dimostrare la propria conformità in altri modi. 

Requisiti aggiuntivi

I fornitori, gli utilizzatori, gli importatori e i distributori sono generalmente responsabili di garantire che i prodotti AI che producono, utilizzano o diffondono siano conformi. Devono documentare la prova della loro conformità e condividerla con le autorità su richiesta. Devono inoltre condividere le informazioni e collaborare tra loro per garantire che ogni organizzazione della supply chain dell'AI sia in grado di rispettare l'EU AI Act.

I fornitori e gli utilizzatori devono inoltre garantire che i membri del personale o altre parti che lavorano con AI per conto dell'organizzazione abbiano la necessaria alfabetizzazione AI per gestire l'AI in modo responsabile.

Oltre a questi requisiti generali, ogni parte ha i propri obblighi specifici.

Obblighi per i fornitori
  • Progettare sistemi e modelli AI per soddisfare i requisiti pertinenti.

  • Inviare nuovi prodotti AI a rischio elevato alle autorità competenti per le valutazioni di conformità prima di immetterli sul mercato. Le valutazioni di conformità sono valutazioni di terze parti sulla conformità di un prodotto all'EU AI Act. 

  • Se un fornitore apporta una modifica sostanziale a un prodotto AI che ne altera lo scopo o influisce sul suo stato di conformità, il fornitore deve inviare nuovamente il prodotto per la valutazione.

  • Registrare i prodotti AI a rischio elevato nel database a livello UE.

  • Implementare piani di monitoraggio post-commercializzazione per monitorare le prestazioni dell'AI e garantire la conformità continua durante il ciclo di vita del sistema.

  • Segnalare gravi incidenti di AI, come decessi, interruzioni di infrastrutture critiche e violazioni dei diritti fondamentali, alle autorità degli Stati membri e adottare le misure correttive necessarie. 
Obblighi per gli utilizzatori
  • Utilizzare i sistemi AI per lo scopo previsto e secondo le istruzioni dei fornitori.

  • Assicurarsi che i sistemi a rischio elevato abbiano un'adeguata supervisione umana.

  • Informare fornitori, distributori, autorità e altre parti interessate di gravi incidenti legati all'AI.

  • Conservare i registri del sistema AI per almeno sei mesi o più, a seconda della legislazione dello Stato membro.

  • Gli utilizzatori che utilizzano sistemi AI a rischio elevato per fornire servizi essenziali, come istituti finanziari, enti governativi e forze dell'ordine, devono condurre valutazioni d'impatto sui diritti fondamentali prima di utilizzare un'AI per la prima volta.
Obblighi per importatori e distributori

Gli importatori e i distributori devono garantire che i sistemi e i modelli AI che distribuiscono siano conformi all'EU AI Act. 

Un importatore o distributore è considerato un fornitore di AI se appone il proprio nome o marchio su un prodotto o apporta una modifica sostanziale al prodotto stesso. In questo caso, l'importatore o il distributore deve assumersi tutte le responsabilità di fornitore previste dalla legge.

Scopri in che modo IBM OpenPages può semplificare la governance dei dati e la conformità normativa
Come verrà applicato l'EU AI Act?

L'applicazione della legge sarà suddivisa tra diversi organismi.

A livello europeo, la Commissione europea ha creato l'Ufficio per l'AI per coordinare l'applicazione coerente dell'atto in tutti gli Stati membri. L'Ufficio per l'AI applicherà inoltre direttamente le norme GPAI, con la possibilità di multare le organizzazioni e di imporre azioni correttive. 

I singoli Stati membri designeranno le autorità nazionali competenti per far rispettare tutte le normative non GPAI. La legge impone a ciascuno Stato di istituire due autorità diverse: un'autorità di vigilanza del mercato e un'autorità di notifica.

Le autorità di vigilanza del mercato garantiscono che le organizzazioni rispettino l'EU AI Act. Possono ascoltare i reclami dei consumatori, indagare sulle violazioni e multare le organizzazioni.

Le autorità notificanti vigilano sulle terze parti che conducono valutazioni di conformità per i nuovi prodotti AI a rischio elevato.

Sanzioni previste dall'EU AI Act

Per l'utilizzo di pratiche di AI vietate, le organizzazioni possono essere multate fino a 35.000.000 di euro o al 7% del fatturato mondiale, a seconda di quale sia il valore più alto.

Per altre violazioni, comprese le violazioni delle regole GPAI, le organizzazioni possono essere multate fino a 15.000.000 di euro o al 3% del fatturato mondiale, a seconda di quale sia il valore più alto.

Per aver fornito informazioni errate o fuorvianti alle autorità, le organizzazioni possono essere multate fino a 7.500.000 di euro o all'1% del fatturato, a seconda di quale sia il valore più alto.

In particolare, l'EU AI Act prevede regole diverse per multare le startup e altre piccole organizzazioni. Per queste imprese, la multa è il più basso dei due importi possibili. Ciò è in linea con lo sforzo generale della legge per garantire che i requisiti non siano così onerosi da escludere le imprese più piccole dal mercato dell'AI.

Quando entrerà in vigore l'EU AI Act?

Il Parlamento europeo ha approvato l'EU AI Act il 13 marzo 2024. Il Consiglio europeo completerà un'ultima serie di controlli e la legge entrerà in vigore 20 giorni dopo la sua pubblicazione nella Gazzetta ufficiale dell'Unione europea. Gli osservatori si aspettano che ciò accada nel maggio 2024.

La piena portata della legge non entrerà in vigore fino al 2026, con diverse disposizioni che entreranno gradualmente in vigore nel tempo:

  • A sei mesi entreranno in vigore i divieti sui sistemi inaccettabilmente rischiosi.

  • A 12 mesi, le regole per l'AI per scopi generali entreranno in vigore per le nuove GPAI. I modelli GPAI già in commercio avranno 24 mesi di tempo per adeguarsi.

  • Dopo 24 mesi entreranno in vigore le regole per i sistemi AI a rischio elevato.
Soluzioni correlate
watsonx

Implementa e integra facilmente l'AI in tutta l'azienda, gestisci tutte le fonti di dati e accelera i workflow di AI responsabile—tutto su un'unica piattaforma.

Scopri watsonx

IBM OpenPages

Semplifica la governance dei dati, la gestione del rischio e la conformità normativa con IBM OpenPages: una piattaforma GRC unificata altamente scalabile e basata sulla tecnologia AI.

Esplora OpenPages

Risorse Crea un workflow responsabile per l'AI

Il nostro ultimo eBook illustra gli elementi fondamentali della governance dell'AI e condivide un framework dettagliato di governance dell'AI che puoi applicare alla tua organizzazione.

3 motivi fondamentali per cui la tua organizzazione ha bisogno di un'AI responsabile

Esplora il potenziale trasformativo dell'AI responsabile per la tua organizzazione e scopri quali sono i fattori cruciali per l'adozione di pratiche etiche di AI.

La tua AI è affidabile?

Partecipa alla discussione sul motivo per cui le aziende devono dare priorità alla governance dell'AI per implementare un'AI responsabile.

Che cos'è la governance dei dati?

Scopri come la governance dei dati garantisce alle aziende di ottenere il massimo dai propri asset di dati.

Che cos'è l'AI spiegabile?

L'AI spiegabile riveste un ruolo centrale nelle organizzazioni per instaurare fiducia e sicurezza nel momento in cui si inseriscono in produzione i modelli AI.

Che cos'è l'etica dell'AI?

L'etica dell'AI è un campo multidisciplinare che studia come ottimizzare l'impatto benefico dell'AI riducendo al contempo i rischi e gli esiti negativi. Scopri di più sull'approccio di IBM all'etica dell'AI.

Fai il passo successivo

Accelera i workflow di AI responsabili, trasparenti e spiegabili attraverso il ciclo di vita dei modelli generativi e di apprendimento automatico. Assimila, gestisci e monitora le attività di AI della tua organizzazione per gestire meglio le crescenti normative in materia di AI e rilevare e ridurre i rischi.

Esplora watsonx.governance Prenota una demo live