Nell’aprile del 2021, la Commissione Europea ha proposto un primo quadro normativo per i sistemi di intelligenza artificiale in base al rischio:

1) Inaccettabile

2) Alto

3) Limitato

Rischio Inaccettabile

Il rischio inaccettabile è quello che comporta una minaccia per le persone. Sono quindi vietate:

• Le manipolazioni cognitivo-comportamentali di persone o specifici gruppi vulnerabili (ad es.: giocattoli ad attivazione vocale che incoraggiano comportamenti pericolosi nei bambini);
• I sistemi di identificazione biometrica remota e in tempo reale, come il riconoscimento facciale, ad eccezione dei sistemi di identificazione biometrica remota autorizzati per perseguire reati gravi.

Rischio alto

Il rischio alto è quello che incide negativamente sulla sicurezza o sui diritti fondamentali. I prodotti devono essere valutati prima di essere immessi sul mercato.

Sono suddivisi in due categorie

A) Sistemi di intelligenza artificiale utilizzati nei prodotti soggetti alla legislazione dell’UE sulla sicurezza dei prodotti (ad es. giocattoli, aviazione, automobili, dispositivi medici e ascensori).

B) Sistemi di IA che rientrano in otto aree specifiche che dovranno essere registrate in una banca dati dell’UE:

1) Biometria e riconoscimento facciale – Regole stringenti per l’identificazione biometrica

2) Gestione e funzionamento delle infrastrutture essenziali critiche come reti elettriche o trasporti.

3) Istruzione e formazione – Sistemi AI che influenzano l’accesso all’istruzione e la valutazione degli studenti.

4) Occupazione e gestione dei lavoratori – nei processi di assunzione, monitoraggio e valutazione dei dipendenti.

5) Servizi essenziali e finanziari – Sistemi AI impiegati in ambiti bancari, creditizi, sanitari e assistenziali.

6) Forze dell’ordine – AI utilizzata per prevenzione, indagini e sicurezza pubblica.

7) Giustizia e processi democratici – AI nei tribunali o nei sistemi decisionali pubblici.

8) Sistemi AI a rischio inaccettabile – Tecnologie vietate, come la manipolazione cognitiva o la valutazione sociale dei cittadini.

  Rischio limitato

Il Rischio limitato è quello che si riscontra ad es. in una chatbot utilizzata per l’assistenza clienti. In questo caso, è obbligatorio informare chiaramente l’utente che sta interagendo con una macchina e non con una persona reale, garantendo così trasparenza e consentendo all’utente di scegliere se proseguire l’interazione o richiedere l’assistenza di un operatore umano.

Altro esempio è rappresentato da un software di elaborazione delle immagini che migliora la qualità visiva delle foto nei cataloghi online. Non identifica né memorizza informazioni personali sulle persone presenti nelle immagini, riducendo così le implicazioni etiche e i rischi per la privacy. Questi sistemi devono comunque rispettare specifici obblighi di trasparenza per garantire un utilizzo etico e consapevole dell’IA.

Panoramica delle normative

Negli ultimi anni si sono succedute tantissime normative :

AI Act (Artificial Intelligence Act) è stato proposto in data 21/4/2021. Approvato in data 21/5/24 dal Consiglio dell’Unione Europea. In data 1/8/24 è entrato in vigore introducendo regole basate sul livello di rischio dei sistemi di IA. Impone obblighi specifici a sviluppatori, fornitori e utilizzatori.

Direttiva NIS 2 ((Network and Information Security) è una normativa dell’Unione Europea, adottata nel 2016, approvata nel gennaio 2023 per migliorare la sicurezza informatica a livello europeo.

Data Act presentato dalla Commissione Europea nel febbraio 2022 per la data economy e l’economia digitale per facilitare lo scambio di dati tra imprese, governi e consumatori.

DORA ( Digital Operational Resilience Act) è una normativa proposta dalla Commissione Europea nel 2020 per affrontare le sfide e i rischi legati alla sicurezza informatica e alla continuità operativa nel settore finanziario.

Intersezione tra Regolamento (UE) 2018/679 (GDPR) e AI

In data 18 dicembre 2024, il Comitato Europeo per la Protezione dei Dati (“EDPB”) è intervenuto sull’intersezione tra il Regolamento (UE) 2018/679 (GDPR) e AI Act.

Dal l 2 febbraio 2025 sono operative nell’Unione Europea le prime disposizioni del Regolamento volte a garantire un quadro giuridico uniforme per tutti gli Stati membri dell’UE: chiunque voglia sviluppare, vendere o utilizzare un sistema di intelligenza artificiale in Europa dovrà seguire le medesime regole.

L’obiettivo principale è quello di eliminare la frammentazione normativa tra i singoli ordinamenti, nel rispetto dei diritti fondamentali.