Che cos’è l’AI Act? (Italian/English)
In questo articolo, scritto dai nostri esperti di etica, il ricercatore Corrado Claverini e la professoressa Fiorella Battaglia dell’Università del Salento, Partner di AINCP, rispondiamo alle domande più frequenti sull’AI Act, il regolamento europeo sull’Intelligenza Artificiale entrato in vigore nel 2024.
1. Che cos’è l’AI Act?
L’AI Act è una normativa dell’Unione Europea che definisce le regole per la progettazione, l’implementazione e l’uso dei sistemi di intelligenza artificiale all’interno dell’UE. Tale normativa classifica i sistemi di IA in base al rischio e stabilisce obblighi specifici per i vari soggetti coinvolti (fornitori, utilizzatori, importatori, distributori e rappresentanti autorizzati). L’AI Act si applica non solo ai soggetti operanti all’interno dell’UE, ma anche a quelli con sede extra-UE che forniscono sistemi di IA o servizi che influenzano persone o mercati europei. Questo fenomeno è noto come “effetto Bruxelles”, un termine che indica l’impatto globale delle normative europee. In breve, quando l’UE introduce regolamentazioni stringenti, molte aziende extra-UE si adeguano a tali standard per poter continuare a operare nel mercato europeo. Di conseguenza, le regole dell’UE influenzano indirettamente anche Paesi e aziende al di fuori dei suoi confini, incentivando una conformità globale. Un fenomeno simile è già avvenuto con il GDPR, la normativa europea sulla protezione dei dati, che ha portato molte aziende internazionali ad adottare standard più rigorosi sulla privacy anche al di fuori dell’Europa.
2. A che cosa serve l’AI Act?
L’AI Act serve a regolare l’uso dell’intelligenza artificiale da parte delle organizzazioni per garantire la sicurezza, proteggere i diritti fondamentali e promuovere la fiducia nelle tecnologie IA. Adotta un approccio basato sul rischio, classificando i sistemi di IA in categorie (minimo, limitato, alto e inaccettabile) e applicando regole proporzionate per ciascuna.
Accanto all’AI Act, altre normative concorrono a delineare un quadro solido per lo sviluppo e l’utilizzo etico, sicuro e trasparente dell’intelligenza artificiale. Il Digital Services Act (DSA) introduce requisiti di trasparenza e responsabilità per le piattaforme digitali in merito all’uso di algoritmi e alla moderazione dei contenuti, mentre il Digital Markets Act (DMA) salvaguarda la concorrenza garantendo mercati digitali più equi, soprattutto in presenza di grandi operatori (i cosiddetti gatekeepers). Inoltre, il Regolamento Generale sulla Protezione dei Dati (GDPR) assicura che qualsiasi sistema di IA che elabora dati personali rispetti le normative sulla privacy. Infine, in ambito sanitario, il Medical Device Regulation (MDR) e l’In Vitro Diagnostic Regulation (IVDR) stabiliscono regole rigorose per i dispositivi che impiegano tecnologie IA.
3. Quali sono le categorie di rischio individuate dall’AI Act?
L’AI Act ha identificato quattro categorie di rischio per i sistemi di IA, le quali sono:
Rischio minimo o trascurabile: Questa categoria include la maggior parte dei sistemi di IA, come quelli utilizzati nei videogiochi o nei filtri antispam. Non presentando rischi significativi, questi sistemi non sono soggetti a regolamentazioni specifiche.
Rischio limitato: Per questi sistemi, l’AI Act prevede obblighi di trasparenza. Ad esempio, i chatbot devono dichiarare di essere intelligenze artificiali e i contenuti generati tramite deepfake devono essere chiaramente identificati per evitare inganni.
Rischio alto: I sistemi in questa categoria possono avere un impatto significativo sulla sicurezza o sui diritti delle persone e quindi sono soggetti a rigidi requisiti di conformità. Si tratta di applicazioni in ambiti critici come la sanità, l’istruzione, l’occupazione, il sistema giudiziario e le infrastrutture essenziali.
Rischio inaccettabile: Questa categoria comprende i sistemi di IA considerati pericolosi per i diritti fondamentali e quindi vietati. Tra questi ci sono pratiche come il social scoring da parte dei governi, la manipolazione subliminale per influenzare i comportamenti e la sorveglianza biometrica massiva in tempo reale negli spazi pubblici, salvo alcune eccezioni specifiche (ad esempio, l’uso per la prevenzione di minacce terroristiche).
4. Come vengono gestiti i dati personali che alimentano i sistemi di Intelligenza Artificiale?
I dati personali seguono, al momento, le stesse procedure di consenso al trattamento seguite più in generale da tutti i servizi digitali. In particolare, i sistemi di IA sono chiamati a rispettare la legge europea GDPR sulla protezione dei dati personali. In particolare, per l’elaborazione dei dati personali (per esempio per analisi statistiche o di marketing), i sistemi devono ricevere il consenso all’uso specifico, per le finalità indicate, da parte dei soggetti coinvolti (“proprietari” dei dati).
Da notare che la legge europea GDPR prevede in ciascun Paese la presenza di un’Autorità Garante che può prevedere anche norme più stringenti (in Italia è il “Garante Privacy”).
Nel caso specifico dell’Italia, è rilevante notare come il Consiglio dei ministri n. 78 del 23 aprile 2024 abbia dato il via libera al disegno di legge “Disposizioni e delega al Governo in materia di intelligenza artificiale” – Atto Senato n. 1146 – con specifici provvedimenti relativi all’uso dell’intelligenza artificiale in ambito sanitario e di disabilità, garantendo “alle persone con disabilità il pieno accesso ai sistemi di intelligenza artificiale e alle relative funzionalità o estensioni, su base di uguaglianza e senza alcuna forma di discriminazione e di pregiudizio, in conformità alle disposizioni della Convenzione delle Nazioni Unite sui diritti delle persone con disabilità, fatta a New York il 13 dicembre 2006, ratificata e resa esecutiva in Italia ai sensi della legge 3 marzo 2009, n. 18” (articolo 3, comma 6). Pur avendo espresso un parere positivo sul DDL, il Garante Privacy ha proposto di includere, fra le altre cose, una disposizione che garantisca il coordinamento con il Regolamento sullo Spazio europeo dei dati sanitari, approvato il 24 aprile 2024.
5. Quali sono i tempi di attuazione dell’AI Act?
L’AI Act è entrato ufficialmente in vigore ad agosto 2024 e l’AI Office – istituito il 29 maggio 2024 – è responsabile della sua attuazione, supervisionando le seguenti scadenze:
Febbraio 2025: sono entrati in vigore i divieti per i sistemi di IA con rischio inaccettabile.
Maggio 2025: applicazione del General-Purpose AI Code of Practice (con un’attenzione specifica alla non discriminazione e alla protezione dei diritti fondamentali, con particolare riguardo ai gruppi vulnerabili).
Agosto 2025: diventano a tutti gli effetti operativi i sistemi di governance a livello europeo e nazionale per i sistemi di General-Purpose AI.
Agosto 2026: l’AI Act diventa pienamente applicabile, ad eccezione degli obblighi per i sistemi di AI ad “alto rischio” che avranno un anno di tempo per mettersi in regola.
Inoltre, tutti i sistemi ritenuti ad “alto rischio” verranno pubblicati in un database europeo.
Agosto 2027: i sistemi “ad alto rischio” dovranno rispettare tutti i requisiti di compliance fissati dall’AI Act.
6. E fuori dall’Europa?
L’AI Act non rappresenta l’unica normativa sull’intelligenza artificiale e vi è chi ha sottolineato come, in realtà, non sia nemmeno la prima a livello globale[1]. In Cina, ad esempio, sono entrate in vigore le “Misure provvisorie per la gestione dei servizi di intelligenza artificiale generativa” (15 agosto 2023)[2]. Negli Stati Uniti, sono da segnalare un ordine esecutivo (30 ottobre 2023)[3] e un memorandum (24 ottobre 2024)[4] firmati dal Presidente Biden. Tuttavia, l’AI Act europeo si distingue come uno dei tentativi più completi per promuovere un’innovazione responsabile in questo campo.
7. Come l’AI Act impatta sul progetto AINCP? Dove è utilizzata?
All'interno del progetto AINCP, l'intelligenza artificiale non viene utilizzata direttamente sui pazienti: gli studi clinici che stiamo conducendo non usano l’IA, bensì mirano a sviluppare un sistema di supporto decisionale per i clinici, basato su IA.
Questo sistema: 1) da una parte, sarà conforme ai requisiti essenziali già oggi previsti per i dispositivi medici (MDR), in particolare per quanto riguarda trasparenza, gestione del rischio e monitoraggio; 2) dall’altra, rispetterà gli obblighi normativi e operativi richiesti dall’AI Act per i dispositivi medici basati su intelligenza artificiale.
——
English translation
What is the AI Act?
In this article, written by our ethicists, researcher Corrado Claverini and professor Fiorella Battaglia from the University of Salento, AINCP Partner, we answer to the most frequently asked questions about the AI Act, the European regulation on Artificial Intelligence that came into force in 2024.
1. What is the AI Act?
The AI Act is a European Union regulation that defines the rules for the design, implementation and use of Artificial Intelligence systems within the EU. This regulation classifies AI systems based on risk and establishes specific obligations for the various parties involved (suppliers, users, importers, distributors and authorised representatives). The AI Act applies not only to entities operating within the EU, but also to those based outside the EU that provide AI systems or services that affect people or markets in Europe. This phenomenon is known as the “Brussels effect”, a term that indicates the global impact of European regulations. In short, when the EU introduces stringent regulations, many non-EU companies adapt to those standards to continue operating in the European market. As a result, EU rules indirectly affect countries and companies outside the borders of the European Union, incentivising global compliance. A similar phenomenon has already occurred with the GDPR, the European data protection law, which has led many international companies to adopt more stringent privacy standards even outside Europe.
2. What is the purpose of the AI Act?
The AI Act is intended to regulate the use of Artificial Intelligence by organizations to ensure safety, protect fundamental rights and promote trust in AI technologies. It adopts a risk-based approach, classifying AI systems into categories (minimal, limited, high and unacceptable) and applying proportionate rules for each.
Alongside the AI Act, other regulations help outline a solid framework for the ethical, safe and transparent development and use of Artificial Intelligence. The Digital Services Act (DSA) introduces transparency and accountability requirements for digital platforms regarding the use of algorithms and content moderation, while the Digital Markets Act (DMA) safeguards competition by ensuring fairer digital markets, especially in the presence of large operators (the so-called gatekeepers). Furthermore, the General Data Protection Regulation (GDPR) ensures that any AI system processing personal data complies with privacy regulations. Finally, in the healthcare sector, the Medical Device Regulation (MDR) and the In Vitro Diagnostic Regulation (IVDR) set strict rules for devices that use AI technologies.
3. What are the risk categories identified by the AI Act?
The AI Act has identified four risk categories for AI systems, which are:
Minimal or negligible risk: This category includes most AI systems, such as those used in video games or spam filters. As they do not pose significant risks, these systems are not subject to specific regulations.
Limited risk: For these systems, the AI Act provides transparency requirements. For example, chatbots must declare that they are Artificial Intelligence and content generated by deepfakes must be clearly identified to avoid deception.
High risk: Systems in this category can have a significant impact on the safety or rights of individuals and are therefore subject to strict compliance requirements. These are applications in critical areas such as healthcare, education, employment, the justice system and essential infrastructure.
Unacceptable risk: This category includes AI systems that are considered dangerous to fundamental rights and are therefore prohibited. These include practices such as social scoring by governments, subliminal manipulation to influence behaviour, and massive real-time biometric surveillance in public spaces, with some specific exceptions (e.g. use to prevent terrorist threats).
4. How are personal data that feed AI systems managed?
Personal data currently follow the same consent procedures as those followed more generally by all digital services. So, Artificial Intelligence systems are required to comply with the European GDPR law on the protection of personal data; for the processing of personal data (e. g. for statistical or marketing analysis), the systems must receive consent for specific use, for the purposes indicated, by the subjects involved (“owners” of the data).
It should be noted that the European GDPR law provides for the presence of a Supervisory Authority in each Country that can also provide more stringent rules (in Italy it is the “Garante Privacy”).
In the specific case of Italy, it is important to note that the Council of Ministers no. 78 of 23 April 2024 gave the green light to the bill “Provisions and delegation to the Government on Artificial Intelligence” – Senate Act no. 1146 – with specific provisions relating to the use of artificial intelligence in the healthcare and disability sectors, guaranteeing “persons with disabilities full access to artificial intelligence systems and their functionalities or extensions, on an equal basis and without any form of discrimination and prejudice, in accordance with the provisions of the United Nations Convention on the Rights of Persons with Disabilities, made in New York on 13 December 2006, ratified and implemented in Italy pursuant to Law no. 18 of 3 March 2009” (Article 3, paragraph 6). Although the Garante Privacy expressed a positive opinion on the DDL, they proposed to include, among other things, a provision that guarantees coordination with the “Regolamento sullo Spazio europeo dei dati sanitari”( rule on European healthcare data), approved on 24 April 2024.
5. What are the implementation times of the AI Act?
The AI Act officially entered into force in August 2024 and the AI Office – established on 29 May 2024 – is responsible for its implementation, overseeing the following deadlines:
February 2025: bans for AI systems with unacceptable risk come into force.
May 2025: application of the General-Purpose AI Code of Practice (with specific attention to non-discrimination and the protection of fundamental rights, with particular regard to vulnerable groups).
August 2025: governance systems at European and national level for General-Purpose AI systems become fully operational.
August 2026: The AI Act becomes fully applicable, except for the obligations for “high-risk” AI systems, which will have one year to comply.
In addition, all systems deemed to be “high-risk” will be published in a European database.
August 2027: “high-risk” systems will have to comply with all compliance requirements set by the AI Act.
6. And what about similar regulations outside of Europe?
The AI Act is not the only regulation on Artificial Intelligence, and some have pointed out that it is not even the first at a global level [1]. In China, for example, the “Interim Measures for the Management of Generative Artificial Intelligence Services” came into force (15 August 2023) [2]. In the United States, there is an Executive Order (October 30, 2023) [3] and a Memorandum (October 24, 2024) [4] signed by President Biden. However, the European AI Act stands out as one of the most comprehensive attempts to promote responsible innovation in this field.
7. How does the AI Act impact the AINCP project? How is Artificial Intelligence used?
Within the AINCP project, Artificial Intelligence is not used directly on patients: the clinical trials we are conducting do not use Artificial Intelligence, but rather aim to develop an AI-based Decision Support System for clinicians.
This system: 1) on the one hand, will comply with the essential requirements already in place today for medical devices (MDR), related to transparency, risk management and monitoring; 2) on the other hand, it will comply with the regulatory and operational obligations required by the AI Act for medical devices based on Artificial Intelligence.
———
Picture @ unsplash
[1] V. Franceschelli, Norme strutturali e organizzative ad alto impatto sui diversi settori, in “Dossier n. 3/2024” - Intelligenza artificiale e il nuovo AI Act europeo, 12 settembre 2024, https://ntplusdiritto.ilsole24ore.com/art/le-novita--norme-strutturali-e-organizzative-ad-alto-impatto-diversi-settori-AF2UvXqD.
[2] Interim Measures for the Management of Generative AI Services: https://www.cac.gov.cn/2023-07/13/c_1690898327029107.htm.
[3] Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence: https://www.whitehouse.gov/briefing-room/presidential-actions/2023/10/30/executive-order-on-the-safe-secure-and-trustworthy-development-and-use-of-artificial-intelligence/.
[4] Memorandum on Advancing the United States’ Leadership in Artificial Intelligence; Harnessing Artificial Intelligence to Fulfill National Security Objectives; and Fostering the Safety, Security, and Trustworthiness of Artificial Intelligence: https://www.whitehouse.gov/briefing-room/presidential-actions/2024/10/24/memorandum-on-advancing-the-united-states-leadership-in-artificial-intelligence-harnessing-artificial-intelligence-to-fulfill-national-security-objectives-and-fostering-the-safety-security/.