Il 13 marzo 2024 il Parlamento europeo ha approvato l’AI Act. Cosa cambia per chi opera nel campo dell’intelligenza artificiale, o che comunque utilizza sistemi di IA nella sua impresa? Secondo gli avvocati Lydia Mendola, Luca Tormen e Francesca Ellena dello studio legale Portolano Cavallo, leader nei settori Digital-tech-media e Life Sciences-Healthcare, si tratta di una novità importantissima, ma l’iter legislativo in realtà non è ancora completo e per la sua piena applicabilità ci vorranno alcuni anni, con il rischio che la norma nasca obsoleta. Ciononostante, vi soggetti interessati devono attivarsi per prendere consapevolezza del proprio ruolo nella filiera, in modo da valutare la portata degli obblighi da rispettare, fare una ricognizione dei sistemi di intelligenza artificiale attualmente utilizzati o che si vorranno utilizzare in futuro, nonché identificare figure professionali tecniche e legali che possano assistere nell’adeguamento alla legislazione.
“Il testo dell’AI Act è tuttora soggetto a un controllo finale e manca l’approvazione del Consiglio europeo – commentano gli avv.ti Mendola, Tormen ed Ellena di Portolano Cavallo – Anche i tempi di entrata in vigore degli obblighi e delle sanzioni previsti dal testo di legge non sono immediati, posto che l’AI Act entrerà in vigore 20 giorni dopo la pubblicazione nella Gazzetta ufficiale e sarà pienamente applicabile solo 24 mesi dopo la sua entrata in vigore, ad eccezione di alcune previsioni che prevedono tempistiche ancora più lunghe: le previsioni sulle applicazioni AI vietate (6 mesi dopo la data di entrata in vigore); le previsioni sui codici di condotta (9 mesi dopo l’entrata in vigore); le regole AI di portata generale, compresa la governance (12 mesi dopo l’entrata in vigore) e gli obblighi per i sistemi AI ad alto rischio (36 mesi dopo l’entrata in vigore). E proprio questa scaletta temporale ha sollevato alcuni commenti negativi, perché la norma rischierebbe di nascere obsoleta.”
Chi sono i destinatari del Regolamento?
“Sono gli sviluppatori/fornitori (providers), i distributori, i produttori, gli importatori di sistemi di intelligenza artificiale, anche con sede fuori dall’Unione europea purché utilizzino dati di soggetti residenti nel territorio europeo o offrano servizi a questi ultimi (si parla di efficacia extra-territoriale del Regolamento). Ci sono poi previsioni anche per gli utilizzatori (deployers) di sistemi di intelligenza artificiale.”
Quali sono gli obblighi di natura tecnica in capo ai soggetti interessati? Variano a seconda del ruolo concretamente assunto nella filiera che va dallo sviluppo alla messa in commercio, fino all’utilizzazione dei sistemi di intelligenza artificiale. “Essenzialmente, la maggior parte degli obblighi sono posti a carico dei provider di sistemi di AI –proseguono gli avvocati– Ad esempio, sono i provider di sistemi di general purpose AI a dover soddisfare gli obblighi di disclosure previsti dal Regolamento (e.g. pubblicazione dei contenuti usati per il training per le verifiche copyright, messa disposizione di documentazione tecnica e istruzioni per l’uso), così come sono i provider di sistemi di AI ad alto rischio a dover condurre valutazioni di rischio, assicurare supervisione umana dei sistemi e gestire le richieste di informazioni dei cittadini. Le sanzioni previste per Il mancato rispetto di questa normativa sono significative. A seconda della gravità della violazione, è infatti previsto che le sanzioni varino in un range tra 10 e 40 milioni di euro o tra il 2% e il 7% del fatturato annuo globale dell’azienda.”
