EU AI Act.

L'EU AI Act è la prima regolamentazione completa sull'intelligenza artificiale al mondo. Quattro livelli di rischio: inaccettabile (vietato), alto (obblighi sostanziali e valutazione di conformità), limitato (trasparenza), minimo. Si applica per fasi fino ad agosto 2027. Da abbinare a ISO 42001 per una risposta basata su sistema di gestione, non su checklist. Le regole sui modelli GPAI si aggiungono in cima.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyEU regulationsAll entries

Il punto di vista di Cyber Academy

L'EU AI Act è la prima regolamentazione completa sull'intelligenza artificiale al mondo. Quattro livelli di rischio: inaccettabile (vietato), alto (obblighi sostanziali e valutazione di conformità), limitato (trasparenza), minimo. Si applica per fasi fino ad agosto 2027. Da abbinare a ISO 42001 per una risposta basata su sistema di gestione, non su checklist. Le regole sui modelli GPAI si aggiungono in cima.

Una legge basata sul rischio, non un divieto tecnologico

Il EU AI Act regola l'intelligenza artificiale in base a ciò che un sistema fa e a chi può colpire, non in base all'algoritmo che lo sottende. La stessa tecnica di machine learning può essere non regolamentata in un contesto e strettamente controllata in un altro.

È questa l'idea centrale dei quattro livelli di rischio: le pratiche inaccettabili sono vietate del tutto, i sistemi ad alto rischio portano gli obblighi più pesanti, i sistemi a rischio limitato devono trasparenza alle persone che interagiscono con essi, e i sistemi a rischio minimo restano in gran parte intatti.

La maggior parte dell'IA di uso quotidiano si colloca in quella fascia minima, ed è per questo che l'Act si comprende meglio come una regolamentazione mirata degli usi rilevanti piuttosto che come un regime di licenza generalizzato per tutta l'IA.

L'Act è un regolamento, quindi si applica direttamente in ogni Stato membro senza che ciascun paese debba recepirlo nel diritto nazionale. La sua portata è anche extraterritoriale nello spirito: fornitori e deployer al di fuori dell'UE rientrano nell'ambito di applicazione quando il loro sistema di IA è immesso sul mercato dell'UE o i suoi output sono utilizzati nell'Unione. I professionisti dovrebbero mappare i propri sistemi rispetto ai livelli fin da subito, perché la classificazione determina tutto ciò che segue, dalla documentazione alla valutazione della conformità.

Dove gli obblighi mordono davvero

Quasi tutto il peso operativo ricade sui sistemi ad alto rischio. Si tratta tipicamente di IA utilizzata in prodotti regolamentati o in ambiti sensibili come le infrastrutture critiche, l'occupazione, l'accesso ai servizi essenziali, l'applicazione della legge e l'amministrazione della giustizia.

Per questi, l'Act si attende un insieme di discipline operative anziché un modulo una tantum: un sistema di gestione del rischio mantenuto lungo l'intero ciclo di vita, una governance dei dati di addestramento e di test, documentazione tecnica, registrazione, trasparenza e istruzioni per l'uso, una sorveglianza umana che consenta a una persona di intervenire in modo significativo, e un livello adeguato di accuratezza, robustezza e cibersicurezza.

Prima che un sistema ad alto rischio raggiunga il mercato deve superare una valutazione della conformità, e i fornitori effettuano un monitoraggio post-commercializzazione una volta che è operativo.

GPAI, trasparenza e il calendario per fasi

Al di sopra dei livelli si colloca un regime separato per i modelli di IA per finalità generali, i modelli di base che alimentano molte applicazioni a valle. I fornitori di GPAI affrontano doveri di trasparenza e documentazione, con requisiti più rigorosi per i modelli più capaci giudicati portatori di rischio sistemico. Questo livello è stato aggiunto proprio perché un singolo modello per finalità generali può confluire in innumerevoli usi ad alto rischio e a rischio limitato, cosicché regolamentare solo l'applicazione finale lascerebbe un vuoto.

Gli obblighi a rischio limitato sono più leggeri ma reali. Si incentrano sulla trasparenza: le persone dovrebbero sapere quando stanno interagendo con un sistema di IA, e determinati contenuti sintetici o manipolati dovrebbero essere contrassegnati come generati artificialmente. L'Act entra in vigore e si applica per fasi, con i divieti, le regole GPAI e gli obblighi ad alto rischio che si attivano in momenti diversi fino al 2027, il che offre alle organizzazioni un margine ma anche una sequenza di scadenze tassative da pianificare.

Come i professionisti lo rendono operativo

In pratica l'Act è un elenco di obblighi legali, non un metodo di gestione, perciò i team lo abbinano a un sistema in grado di portare quegli obblighi giorno per giorno. ISO/IEC 42001 è la risposta comune: un sistema di gestione dell'IA ti fornisce le valutazioni del rischio, la governance dei dati, le routine di sorveglianza umana e di monitoraggio post-commercializzazione che l'Act si attende, condotte come un sistema ripetibile anziché improvvisate sotto la pressione delle scadenze.

Il NIST AI Risk Management Framework è spesso utilizzato in parallelo come struttura volontaria per identificare e trattare il rischio legato all'IA. Nessuno di questi rende da solo un sistema legalmente conforme. Rendono la conformità raggiungibile e verificabile, che è la differenza tra dimostrare la dovuta diligenza e sperare che nessuno chieda.

Frequently asked questions

01Il EU AI Act si applica alle aziende al di fuori dell'UE?

Sì, può applicarsi. L'Act raggiunge i fornitori e i deployer stabiliti al di fuori dell'Unione quando il loro sistema di IA è immesso sul mercato dell'UE o quando l'output del sistema è utilizzato all'interno dell'UE. L'ubicazione dell'azienda non è il fattore decisivo; lo sono il mercato e l'uso.

02Cosa rende un sistema ad alto rischio?

In linea generale, l'IA utilizzata come componente di sicurezza di un prodotto regolamentato, oppure l'IA utilizzata in ambiti sensibili elencati dall'Act come le infrastrutture critiche, l'occupazione, l'istruzione, i servizi essenziali, l'applicazione della legge e la giustizia. La classificazione ad alto rischio attiva l'intero insieme di obblighi e una valutazione della conformità prima dell'ingresso sul mercato.

03Che rapporto c'è tra l'AI Act e ISO 42001?

L'AI Act fissa gli obblighi legali; ISO/IEC 42001 ti dà un sistema di gestione certificabile per soddisfarli in modo strutturato. Possedere la 42001 non equivale alla conformità legale, ma istituzionalizza la gestione del rischio, la governance dei dati, la supervisione e il monitoraggio che l'Act si attende.

04Che cos'è la GPAI e perché è regolamentata separatamente?

GPAI indica i modelli di IA per finalità generali, i modelli di base che alimentano molte applicazioni a valle. Ricevono regole proprie di trasparenza e documentazione, con obblighi aggiuntivi per i modelli più capaci portatori di rischio sistemico, perché un solo modello può propagarsi in molti usi regolamentati.

05Quando entra in vigore l'AI Act?

Si applica per fasi anziché tutto in una volta. Le pratiche vietate, le regole sull'IA per finalità generali e gli obblighi ad alto rischio si attivano in momenti scaglionati dopo l'entrata in vigore del regolamento, dando alle organizzazioni il tempo di prepararsi ma una sequenza chiara di scadenze fino al 2027.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.