Chi si occupa di governance societaria e consulenza legale sa bene che la stesura originaria del Regolamento europeo sull’intelligenza artificiale, noto come AI Act, pur definendo un quadro etico e giuridico pionieristico, rischiava di scontrarsi con le oggettive difficoltà operative di un tessuto industriale non ancora pienamente pronto a recepire obblighi documentali, test di conformità e verifiche di terze parti entro scadenze eccessivamente stringenti. Il recente accordo di compromesso raggiunto a livello europeo, formalizzato attraverso il cosiddetto Omnibus Digitale, introduce una serie di modifiche mirate che non stravolgono l’impianto strutturale della normativa, ma offrono un pragmatico e indispensabile sollievo temporale, introducendo al contempo semplificazioni cruciali e nuovi, severissimi divieti.
Questo aggiornamento risponde in modo diretto ai quesiti che operatori economici, sviluppatori e investitori sollevano quotidianamente, offrendo risposte chiare sulle tempistiche reali della transizione giuridica, sulle modalità di interazione tra regole settoriali e nuovi obblighi, e sulle sanzioni legate ai rapporti contrattuali tra i diversi attori della filiera.
La novità di maggior impatto immediato per le imprese è indubbiamente la rimodulazione dei termini temporali per l’entrata in vigore dei principali obblighi di conformità, una decisione che riflette la presa d’atto delle complessità insite nella standardizzazione tecnica e nei processi di certificazione.
Per i sistemi di intelligenza artificiale ad alto rischio legati a specifici casi d’uso, originariamente soggetti a vincoli stringenti a partire dall’estate del duemilaventisei, la scadenza è stata differita di ben sedici mesi, spostando l’orizzonte della conformità obbligatoria alla fine del duemilaventisette.
Un approccio parzialmente analogo, ma calibrato su un rinvio di dodici mesi, è stato adottato per i sistemi ad alto rischio integrati all’interno di prodotti regolamentati da normative settoriali preesistenti, come i dispositivi medici, gli ascensori o le apparecchiature radio, per i quali il termine ultimo per l’adeguamento viene posticipato all’estate del duemilaventiotto.
Questo sfasamento temporale non deve essere interpretato come un segnale di rallentamento o come un allentamento dell’attenzione politica, bensì come uno spazio di manovra vitale concesso agli organismi di normazione tecnica, incaricati di elaborare gli standard dettagliati che costituiranno l’ossatura operativa della legge.
Anche l’obbligo per gli Stati membri di istituire almeno uno spazio di sperimentazione normativa a livello nazionale beneficia di una proroga di dodici mesi, slittando alla metà del duemilasetteventi, garantendo così alle autorità pubbliche il tempo necessario per strutturare ambienti di prova realmente efficaci e protetti.
Sul fronte della trasparenza, una proroga tecnica più contenuta, pari a quattro mesi, interessa i fornitori di sistemi che generano o manipolano contenuti sintetici immessi sul mercato prima della scadenza originaria, i quali avranno tempo fino alla fine del duemilaventisei per garantire che tali output siano contrassegnati in un formato leggibile dalla macchina e chiaramente identificabili come frutto di un’elaborazione artificiale, fermo restando che i sistemi introdotti successivamente dovranno risultare conformi sin dal momento del loro debutto commerciale.
Un altro nodo centrale sciolto da questa recente revisione normativa riguarda l’armonizzazione dell’AI Act con il preesistente corpus delle regole europee sulla sicurezza dei prodotti, un tema che aveva sollevato accesi dibattiti dottrinali e industriali circa il rischio di duplicazioni burocratiche o conflitti interpretativi.
Il legislatore comunitario ha operato un riallineamento strategico di fondamentale importanza, in particolare ridefinendo la posizione della disciplina relativa alle macchine e ai macchinari industriali. Spostando tale regolamentazione all’interno dei meccanismi di coordinamento settoriale, si è passati da un modello di doppia conformità cumulativa e parallela a un sistema guidato dal principio della preminenza delle leggi di settore.
Ciò significa che i complessi obblighi previsti dal capo terzo del regolamento sull’intelligenza artificiale non si applicheranno più in modo automatico e diretto a tali prodotti industriali; spetterà invece all’organo esecutivo europeo integrare i requisiti specifici di salute e sicurezza legati all’intelligenza artificiale attraverso atti delegati mirati da adottarsi entro l’estate del duemilaventiotto.
Questo approccio è supportato da una più precisa circoscrizione della nozione di componente di sicurezza, stabilendo che i sistemi utilizzati esclusivamente per finalità di assistenza all’utente, ottimizzazione delle prestazioni, efficienza operativa, controllo qualità o semplice comodità non saranno classificati come ad alto rischio, a meno che un loro eventuale malfunzionamento o guasto non sia concretamente idoneo a mettere in pericolo la salute o l’incolumità delle persone fisiche.
Accanto alle misure di semplificazione e flessibilità temporale, l’aggiornamento introduce elementi di forte rigore etico e penale, inserendo nel tessuto normativo nuovi divieti assoluti volti a contrastare i fenomeni più aberranti legati all’abuso delle tecnologie generative.
A decorrere dalla fine del duemilaventisei, entrerà in vigore il divieto categorico di immettere sul mercato, mettere in servizio o utilizzare sistemi di intelligenza artificiale destinati alla generazione o alla manipolazione non consensuale di materiale personale.
La norma definisce una precisa linea di demarcazione delle responsabilità tra i fornitori della tecnologia e i loro utilizzatori professionali o deployer.
Per i primi, l’illecito si configura qualora la creazione di tali contenuti costituisca lo scopo intrinseco del sistema o qualora tale output rappresenti un risultato ragionevolmente prevedibile e riproducibile in assenza di modifiche tecniche significative, laddove il fornitore abbia omesso di implementare adeguate e stringenti misure di sicurezza tecnologica volte a impedirne la generazione.
Per gli utilizzatori, l’ambito applicativo del divieto è strutturato in modo più circoscritto ma non meno severo, punendo esclusivamente l’uso deliberato dei sistemi per scopi illeciti, compresi i tentativi di aggiramento dei blocchi informatici imposti dallo sviluppatore o lo snaturamento di sistemi legittimi, escludendo esplicitamente dall’alveo della punibilità le ipotesi di generazione del tutto accidentale e non voluta.
Un’innovazione di straordinario rilievo pratico per la gestione dei progetti di intelligenza artificiale, e in particolare per la mitigazione dei rischi di discriminazione algoritmica, è rappresentata dall’introduzione di una deroga mirata al trattamento dei dati personali appartenenti a categorie particolari, come quelli relativi all’origine razziale, alle opinioni politiche, alle convinzioni religiose o allo stato di salute. Il nuovo quadro regolamentare riconosce l’esistenza di un paradosso tecnico: per individuare e correggere i bias, ossia i pregiudizi sistematici insiti nei modelli statistici, è spesso indispensabile testare gli algoritmi utilizzando proprio quei dati sensibili che le normative sulla privacy tendono a proteggere in modo assoluto. La nuova disposizione legale apre una via d’accesso eccezionale, rigorosamente limitata a quanto strettamente necessario e subordinata al rispetto di stringenti tutele cumulative.
I fornitori di sistemi ad alto rischio potranno trattare tali informazioni solo se l’obiettivo di correzione del bias non possa essere conseguito mediante l’impiego di dati alternativi, sintetici o anonimizzati, e a condizione che i dati sensibili siano protetti da misure di sicurezza e riservatezza all’avanguardia, inclusa la pseudonimizzazione, con rigidi controlli di accesso limitati al personale autorizzato e l’obbligo di distruzione immediata non appena il pregiudizio algoritmico sia stato corretto o sia scaduto il termine di conservazione.
Per i sistemi non classificati ad alto rischio, l’accesso a questa deroga viene ulteriormente ristretto alle sole ipotesi in cui il bias riscontrato sia concretamente idoneo a impattare sulla salute e sicurezza delle persone, a violare i diritti fondamentali o a determinare discriminazioni vietate dal diritto dell’Unione Europea, specialmente quando gli output del modello siano destinati a influenzare processi decisionali successivi.
Sul piano istituzionale, la governance e la vigilanza sull’applicazione delle regole conoscono una marcata centralizzazione a livello europeo, tesa a garantire uniformità d’azione e a evitare frammentazioni interpretative tra le diverse autorità nazionali.
L’Ufficio europeo per l’intelligenza artificiale assume la competenza esclusiva per la supervisione e l’esecuzione degli obblighi legati a due specifiche categorie di sistemi ad alto impatto.
La prima comprende i sistemi basati su modelli di intelligenza artificiale per scopi generali, noti come modelli di base o foundation models, qualora lo sviluppo del modello e l’implementazione del sistema facciano capo al medesimo fornitore o a entità appartenenti allo stesso gruppo societario, fatti salvi alcuni espliciti correttivi per i prodotti industriali già regolamentati e per le applicazioni in uso presso le forze dell’ordine o le istituzioni finanziarie.
La seconda categoria riguarda i sistemi integrati all’interno delle piattaforme online di chiarissima rilevanza sistemica o dei motori di ricerca di grandissime dimensioni normati dalla legge sui servizi digitali. In quest’ultimo scenario, le procedure di valutazione del rischio e di audit previste dalla normativa sulle piattaforme costituiranno il primo punto di accesso ispettivo, lasciando all’Ufficio per l’intelligenza artificiale il potere di intervenire con indagini ex post per accertare eventuali violazioni.
Per i sistemi ad alto rischio sottoposti a valutazione di conformità da parte di terzi e rientranti in questa sfera di competenza esclusiva, l’autorità centrale europea sarà responsabile delle verifiche preliminari all’immissione sul mercato, potendo delegare le attività tecniche a organismi notificati designati, con costi a carico delle imprese sviluppatrici.
Si tratta di una centralizzazione che dota l’organo di controllo di poteri ispettivi penetranti, inclusa la facoltà di imporre impegni vincolanti, condurre verifiche in loco e irrogare sanzioni finanziarie di enorme entità.
Il legislatore ha inteso inoltre affilare gli strumenti di ripartizione del rischio e di trasparenza informativa all’interno dei rapporti commerciali complessi che caratterizzano la catena del valore tecnologica.
Quando un operatore economico a valle modifica in modo sostanziale o reimpiega un sistema di intelligenza artificiale preesistente, assumendo la veste giuridica di fornitore di un sistema ad alto rischio, il fornitore iniziale è ora legalmente tenuto a condividere informazioni estremamente specifiche per consentire l’adempimento dei nuovi obblighi.
Tale condivisione non può limitarsi a generiche indicazioni d’uso, ma deve comprendere la messa a disposizione di documentazione tecnica sufficiente a valutare la conformità del sistema, la segnalazione dettagliata di limitazioni note o modalità di guasto prevedibili, e la concessione di un accesso tecnico mirato per l’esecuzione di test e validazioni informatiche.
Questa estensione degli obblighi si applica espressamente anche alle ipotesi di fornitura di modelli di intelligenza artificiale da parte di terzi per l’integrazione in sistemi ad alto rischio, imponendo la stipula di accordi scritti che specifichino le capacità tecniche e l’assistenza dovuta.
Resta pienamente in vigore l’obbligo di iscrizione all’interno della banca dati europea per tutti i sistemi ad alto rischio, sebbene le procedure burocratiche per i sistemi che i fornitori autocertificano come non rientranti in tale categoria siano state parzialmente snellite mediante l’eliminazione di alcune specifiche richieste di informazioni secondarie in fase di registrazione.
Parimenti, permane immutato il requisito della promozione della cultura e dell’alfabetizzazione informatica in materia di intelligenza artificiale, rivolto sia ai fornitori sia agli utilizzatori professionali.
La formulazione della norma è stata tuttavia mitigata in un’ottica di maggiore realismo aziendale: l’obbligo non impone più la garanzia assoluta del raggiungimento di tale alfabetizzazione, bensì il dovere di adottare misure concrete e proporzionate volte a sostenere attivamente lo sviluppo di tali competenze tra il personale dipendente e i collaboratori esterni che operano per conto dell’organizzazione.
Per il mondo delle imprese e per i professionisti del diritto, questo scenario impone un’immediata revisione delle tabelle di marcia per la conformità aziendale. S
e da un lato il rinvio delle scadenze per i sistemi ad alto rischio concede un prezioso margine temporale per evitare l’affanno della conformità improvvisata, dall’altro l’introduzione di sanzioni elevatissime sui rapporti di filiera e l’imminenza dei divieti assoluti in materia di contenuti generativi richiedono un esame immediato dei contratti in essere, delle policy di sviluppo e dei sistemi di monitoraggio dei dati.
La governance dell’intelligenza artificiale non è più una compliance del futuro, ma un imperativo legale del presente.
𝘼 𝙘𝙪𝙧𝙖 𝙙𝙚𝙡𝙡’𝘼𝙫𝙫. 𝘼𝙡𝙛𝙤𝙣𝙨𝙤 𝙎𝙘𝙖𝙛𝙪𝙧𝙤
𝑅𝑒𝑠𝑝𝑜𝑛𝑠𝑎𝑏𝑖𝑙𝑒 𝐴𝑟𝑒𝑎 𝐼𝑛𝑛𝑜𝑣𝑎𝑧𝑖𝑜𝑛𝑒, 𝐷𝑖𝑔𝑖𝑡𝑎𝑙𝑖𝑧𝑧𝑎𝑧𝑖𝑜𝑛𝑒 𝑒 𝐼𝑛𝑡𝑒𝑙𝑙𝑖𝑔𝑒𝑛𝑧𝑎 𝐴𝑟𝑡𝑖𝑓𝑖𝑐𝑖𝑎𝑙𝑒 𝑑𝑖 𝐹𝑖𝑠𝑎𝑝𝑖
