Pasticcio Ue
sull’AI Act

Il 13 marzo 2024 il Parlamento europeo ha approvato l’AI Act. Cosa cambierà? Secondo gli avvocati Lydia Mendola, Luca Tormen e Francesca Ellena, l’iter legislativo in realtà non è ancora completo e per la sua piena applicabilità ci vorranno alcuni anni, con la conseguenza che la norma nasca obsoleta.

“Il testo dell’AI Act – affermano gli avvocati – è tuttora soggetto a un controllo finale e manca l’approvazione del Consiglio europeo. Anche i tempi di entrata in vigore degli obblighi e delle sanzioni previsti dal testo di legge non sono immediati, posto che l’AI Act entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale e sarà pienamente applicabile solo 24 mesi dopo la sua entrata in vigore, ad eccezione di alcune previsioni che prevedono tempistiche ancora più lunghe: le previsioni sulle applicazioni AI vietate (6 mesi dopo la data di entrata in vigore); le previsioni sui codici di condotta (9 mesi dopo l’entrata in vigore); le regole AI di portata generale, compresa la governance (12 mesi dopo l’entrata in vigore) e gli obblighi per i sistemi AI ad alto rischio (36 mesi dopo l’entrata in vigore). E proprio questa scaletta temporale ha sollevato alcuni commenti negativi, perché la norma rischierebbe di nascere obsoleta.”

Chi sono i destinatari del Regolamento?

“Sono gli sviluppatori/fornitori (providers), i distributori, i produttori, gli importatori di sistemi di intelligenza artificiale, anche con sede fuori dall’Unione europea purché utilizzino dati di soggetti residenti nel territorio europeo o offrano servizi a questi ultimi (si parla di efficacia extra-territoriale del Regolamento). Ci sono poi previsioni anche per gli utilizzatori (deployers) di sistemi di intelligenza artificiale.”

Quali sono gli obblighi di natura tecnica in capo ai soggetti interessati?

“Essenzialmente, la maggior parte degli obblighi sono posti a carico dei provider di sistemi di AI. Ad esempio, sono i provider di sistemi di general purpose AI a dover soddisfare gli obblighi di disclosure previsti dal Regolamento (e.g. pubblicazione dei contenuti usati per il training per le verifiche copyright, messa disposizione di documentazione tecnica e istruzioni per l’uso), così come sono i provider di sistemi di AI ad alto rischio a dover condurre valutazioni di rischio, assicurare supervisione umana dei sistemi e gestire le richieste di informazioni dei cittadini. Le sanzioni previste per Il mancato rispetto di questa normativa sono significative. A seconda della gravità della violazione, è infatti previsto che le sanzioni varino in un range tra 10 e 40 milioni di euro o tra il 2% e il 7% del fatturato annuo globale dell’azienda.”