L'AI Act (Regolamento UE 2024/1689) è la prima normativa orizzontale al mondo che disciplina l'intelligenza artificiale. Entrato ufficialmente in vigore il 1° agosto 2024, stabilisce un quadro giuridico uniforme per lo sviluppo, l'immissione sul mercato e l'uso di sistemi di IA all'interno dell'Unione Europea.
Il regolamento è stato adottato dal Parlamento Europeo e dal Consiglio dopo un lungo e complesso processo di negoziazione. Si tratta di un regolamento — non di una direttiva — il che significa che è direttamente applicabile in tutti gli Stati membri senza necessità di recepimento nazionale.
In Italia la norma è integrata dal Disegno di Legge in materia di IA (DDL IA), che adegua l'ordinamento nazionale definendo le autorità competenti e introducendo nuove fattispecie di reato legate all'uso illecito degli algoritmi.
La vigilanza a livello europeo è affidata all'AI Office — Ufficio Europeo per l'IA — un organismo della Commissione con poteri di supervisione diretta sui modelli di IA general-purpose (GPAI) e di coordinamento con le autorità nazionali.
In Italia la governance si articola su più livelli: l'ACN (Agenzia per la Cybersicurezza Nazionale) e l'AGID (Agenzia per l'Italia Digitale) operano come autorità di vigilanza nazionali nei rispettivi ambiti di competenza, in raccordo con l'AI Office europeo.
L'intelligenza artificiale offre benefici immensi, ma presenta anche rischi unici come l'opacità dei processi decisionali, la presenza di bias nei dati e il potenziale di manipolazione comportamentale. Tre ragioni hanno reso necessaria una legge.
Le normative esistenti sui prodotti non erano state progettate per gestire sistemi che "imparano" e si evolvono nel tempo. Il diritto tradizionale ragionava su prodotti statici; l'IA richiede un quadro dinamico capace di regolare comportamenti emergenti e non predeterminati.
Il rischio concreto era — e resta — che sistemi algoritmici impiegati in settori critici come la sanità, il lavoro o la giustizia automatizzino e amplificano pregiudizi sociali preesistenti nei dati di addestramento, con impatti diretti sui diritti fondamentali delle persone.
Senza un quadro europeo comune, ogni Stato membro avrebbe potuto creare le proprie regole, generando un mercato unico digitale frammentato e incoerente. L'AI Act garantisce un level playing field uniforme per sviluppatori e deployer in tutta l'UE.
L'obiettivo primario è promuovere un'IA antropocentrica e affidabile. Il regolamento punta a tre risultati concreti.
Assicurare che i sistemi di IA immessi sul mercato UE rispettino elevati standard di salute, sicurezza e diritti fondamentali. Nessun sistema può essere commercializzato se non supera i requisiti di conformità previsti per la sua categoria di rischio.
Fornire regole chiare e "spazi di sperimentazione normativa" — le sandbox regolamentari — per aiutare le imprese, in particolare le PMI e le startup, a innovare in modo sicuro senza la paralisi dell'incertezza giuridica.
Permettere a cittadini e aziende di adottare l'IA con la certezza che esistano tutele legali e trasparenza. La fiducia è il prerequisito perché la tecnologia generi valore economico e sociale su scala, e non rimanga appannaggio di pochi.
Il cuore dell'AI Act è il "Risk-Based Approach": le regole non sono uguali per tutti, ma diventano più severe all'aumentare del rischio potenziale per le persone. La norma classifica ogni sistema di IA in una delle quattro categorie seguenti.
Sistemi che manipolano il comportamento umano aggirando la libera volontà, tecniche subliminali, sfruttamento delle vulnerabilità di specifici gruppi (bambini, anziani, disabili) e social scoring governativo sono banditi in modo assoluto. Non esiste compliance possibile: questi usi sono proibiti.
Sistemi usati in sanità, istruzione, gestione del lavoro, infrastrutture critiche, migrazione e amministrazione della giustizia. Devono rispettare obblighi rigorosi di qualità dei dati, documentazione tecnica, trasparenza, accuratezza, robustezza e sorveglianza umana prima di essere immessi sul mercato.
Chatbot, sistemi che generano immagini sintetiche o deepfake e assistenti virtuali devono palesare chiaramente all'utente che sta interagendo con un sistema di IA. L'obiettivo è preservare la consapevolezza e il consenso informato delle persone nell'interazione con macchine.
La grande maggioranza delle applicazioni attuali — filtri antispam, videogiochi, sistemi di raccomandazione in contesti non critici — ricade in questa categoria. L'uso è libero, ma il regolamento incoraggia comunque l'adesione volontaria a codici di condotta etici per promuovere una cultura della responsabilità.
In sintesi: l'AI Act trasforma i principi etici astratti in obblighi legali concreti. Per le organizzazioni, la conformità non è solo un adempimento burocratico, ma una leva per posizionarsi sul mercato come attori etici e responsabili, pronti a guidare la trasformazione digitale in modo sicuro e trasparente. Navigare la complessità dell'AI Act — e integrarlo con NIS2 e GDPR — richiede un approccio sistemico alla gestione del rischio.
Per mappare i sistemi di IA in uso, classificarli per livello di rischio e integrare i requisiti dell'AI Act con NIS2 e GDPR, CLAVIS offre un supporto dinamico per la mappatura dei rischi e la gestione dei protocolli di conformità — senza partire da zero.