Il regolamento UE n. 1689 del 2024 - recante la disciplina sull’Intelligenza Artificiale (cd “AI Act”) - è destinato ad essere un faro nel cielo sterminato delle applicazioni dell’intelligenza artificiale.
Il principio fondamentale su cui si basa è quello dell’antropocentrismo: una IA che sia strumentale alle esigenze della persona umana, che sia affidabile, che garantisca livelli elevati di protezione dei diritti fondamentali previsti dalla Carta dei diritti fondamentali UE, ricomprendendo anche la democrazia e lo Stato di diritto. Sulla base di ciò, le norme, al contempo, promuovono l’innovazione (art. 1) o, meglio, un’innovazione sicura e costituzionalmente orientata, l’unica possibile nell’attuale quadro ordinamentale. Ciò consente che l’UE faccia conformare a tali standard tutte le aziende che desiderano vendere nel mercato europeo, spingendo a un effetto conformativo che si diffonde anche extra-UE (cd “effetto Bruxelles” dal libro di Anu Bradford del 2020, secondo cui l’UE, promulgando regolamenti che modellano l'ambiente imprenditoriale internazionale, elevando gli standard in tutto il mondo e portando a una notevole europeizzazione di molti aspetti importanti del commercio globale, è riuscita a plasmare la politica in settori come la privacy dei dati, la salute e la sicurezza dei consumatori, la protezione dell'ambiente, l’antitrust).
Si tratta di una legislazione trasversale poiché interviene su tutti i settori ma con un unico metodo: “basato sul rischio” (risk-based). Sulla base di ciò, tutti i sistemi vengono classificati in quattro diverse categorie: a) rischio inaccettabile: IA proibita; b) rischio alto: IA permessa ma con una compliance ex ante; c) rischio medio: IA permessa ma sottoposta a pratiche trasparenti; d) rischio minimo (non esite un rischio pari a zero): IA permessa senza restrizioni o al massimo con l’ausilio di un codice di condotta.
Tra le diverse attività proibite vengono annoverate le tecniche subliminali e le tecniche manipolative che creano danno (significativo, più ampio, non solo fisico); lo sfruttamento di persone vulnerabili alle quali viene arrecato un danno; i software che attribuiscono un punteggio sociale da parte delle autorità pubbliche (e talvolta private, per es. assicurazioni); pratiche di riconoscimento biometrico in diretta in luogo aperto al pubblico da parte di autorità di pubblica sicurezza (ma con eccezioni, ad es. se vi è autorizzazione di autorità giudiziaria oppure la necessità di ricerca di persone scomparse).
Tra le categorie ad alto rischio occorre diversificare se il rischio è nel prodotto intero allora occorre una procedura di valutazione della conformità del prodotto stesso oppure se il rischio è nel software (esterno al prodotto) come, ad es. i dispositivi medici, vi è l’obbligo di conformità a dei requisiti (sarà necessario un intervento di un organismo certificato oppure una valutazione self-assesment, un’autovalutazione del produttore).
Per i sistemi a rischio medio, il regolamento impone l’uso della trasparenza: ad es. se le persone interagiscono con un sistema chatbot; un sistema di riconoscimento emozionale o biometrico; dei deep fake. Inoltri gli audio, le immagini generate da AI devono essere tracciati da un simbolo (obbligo di etichettatura); oppure un testo creato da IA su materie di pubblico interesse deve contenere una watermark, filigrana automatica.
Il regolamento prevede anche una governance molto complessa estesa tra autorità nazionali ed europee. Sin qui, molte luci.
Le ombre si stagliano sull’implementazione dello stesso regolamento che ha una entrata in vigore (specialmente per tutti gli allegati) diluita nel tempo. Ciò è necessario per dettagliare al meglio i requisiti ma la complessità del sistema (frutto di una faticosa negoziazione europea su un tema molto difficile) sta producendo molte critiche concernenti la problematicità di applicazione per le imprese. Sembrerebbe che la Commissione europea sia pronta a sospendere l’efficacia di alcune parti del regolamento in ottica di semplificazione.
Nel frattempo, è stata promossa la “Via italiana per IA” con l’entrata in vigore lo scorso 10 ottobre della Legge n. 132 del 2025 che riprende tutti i principi fondamentali del Regolamento UE e ne delinea alcune puntuali applicazioni nel territorio italiano.
Sicuramente, la copiosa alluvione “normativa” nel tema è già percepita dagli operatori del settore come troppo articolata e capace di imbrigliare l’innovazione (più libera negli USA e in Cina, per alcuni aspetti) ma dall’altro ci si chiede come ciò possa impattare proprio sul “rule of law” dell’UE e sull’effetto Bruxelles. Probabilmente, è già ora di una terza via: un unico testo normativo europeo sulla gestione dei dati e dell’IA che quei dati utilizza. Tale via sembra essere stata già annunciata dalla Commissione europea. Non resta che sperare negli esiti per rinsaldare la capacità di diffusione della potestà regolatoria dell’UE nelle moderne tecnologie.
Autore: Marta Cerioni, Professoressa Associata di Diritto Costituzionale e Pubblico presso il Dipartimento di Management dell’Università Politecnica delle Marche ove insegna Diritto pubblico, Diritto dell’informazione e Diritto sanitario; Direttrice dell’Osservatorio sulla Legalità Economica e i Diritti fondamentali del DIMA; Membro del Centro Alti Studi Europei, UNIVPM; Avvocata Cassazionista.
In collaborazione con Europe Direct
barbara.fioravanti barbara.fioravanti@regione.marche.it barbara.fioravanti