Il primo framework globale sull’intelligenza artificiale e la scelta di mettere il cittadino al centro

In un’epoca in cui l’intelligenza artificiale trasforma ogni settore produttivo con una velocità senza precedenti, l’Unione Europea
ha compiuto un passo che nessuna altra economia al mondo aveva ancora osato: definire, per legge, le regole del gioco. Con
imperfezioni, compromessi e inevitabili ritardi burocratici, l’EU AI Act rimane un atto di coraggio politico e visione strategica che
merita di essere letto con occhi aperti.

Un Primato Storico

Entrato ufficialmente in vigore nell’agosto 2024, il Regolamento (UE) 2024/1689 — noto come EU AI Act — è il primo e tuttora
unico framework legislativo al mondo che disciplina in modo organico lo sviluppo, la commercializzazione e l’utilizzo di sistemi di
intelligenza artificiale. Nessun’altra giurisdizione, dagli Stati Uniti alla Cina, dal Regno Unito al Giappone, ha prodotto qualcosa di
paragonabile in termini di portata e vincolatività giuridica.

Questo primato non va inteso come mero vanto istituzionale. Significa che l’Europa ha scelto di non aspettare che il mercato
trovasse da sé un equilibrio — scelta che storicamente ha prodotto squilibri profondi, come dimostrano le vicende dei social media
e dei big data nell’ultimo decennio. Ha scelto invece di anticipare, di provare a scrivere le regole prima che il danno fosse già fatto.

“Regolamentare non significa frenare l’innovazione. Significa creare le condizioni affinché l’innovazione generi valore sostenibile
per tutti, non solo per chi la produce.”

Il Cuore del Framework: l’Individuo, Non il Prodotto

La scelta filosofica più rilevante dell’EU AI Act non è tecnica, è politica: il cittadino europeo non è il prodotto dell’intelligenza
artificiale, ma il suo principale beneficiario e il soggetto da tutelare in via prioritaria. Questo principio, che può sembrare ovvio, ha
implicazioni pratiche enormi.

Sistemi che riducono le persone a oggetti di profilazione comportamentale, che manipolano le scelte individuali attraverso tecniche
subliminali, che assegnano “punteggi sociali” come avviene in altri contesti geopolitici, sono semplicemente vietati. Non limitati,
non soggetti a supervisione rafforzata: vietati. È una presa di posizione netta che ridefinisce il perimetro entro cui l’AI può operare
in Europa.

La Piramide del Rischio: Una Bussola per le Imprese

L’architettura centrale dell’EU AI Act è la classificazione per livelli di rischio. Non tutti i sistemi AI sono uguali: un’app per
filtrare le email di spam non pone gli stessi problemi etici e sociali di un algoritmo che seleziona candidati per un posto di lavoro
o che assiste un giudice nell’emissione di sentenze. Il Regolamento ne prende atto con pragmatismo.

🚫 Rischio Inaccettabile
⚠️ Alto Rischio
ℹ️ Rischio Limitato
✅ Rischio Minimo

La piramide del rischio secondo l’EU AI Act

Rischio Inaccettabile — Divieto Assoluto

Al vertice della piramide siedono i sistemi che l’Europa ha deciso di non ammettere in nessuna forma. Tra questi: i sistemi di
social scoring su base pubblica, le tecniche di manipolazione subliminale delle decisioni umane, i sistemi di
identificazione biometrica real-time in spazi pubblici a fini di law enforcement (con eccezioni molto limitate), e i sistemi
capaci di sfruttare le vulnerabilità di gruppi specifici come bambini o persone con disabilità.

Alto Rischio — Obblighi Stringenti

Questa categoria è la più densa e impattante per le imprese. Vi rientrano sistemi impiegati in settori come infrastrutture critiche,
istruzione, occupazione, servizi essenziali, giustizia e sicurezza pubblica. Per questi sistemi, il Regolamento impone obblighi
precisi prima della messa in commercio: valutazione della conformità, sistema di gestione del rischio, qualità dei dati di training,
documentazione tecnica dettagliata, supervisione umana, robustezza e cybersicurezza, registrazione nel database UE.

Rischio Limitato — Trasparenza Obbligatoria

Per sistemi come chatbot, deepfake o generatori di contenuti sintetici, l’obbligo principale è la trasparenza: l’utente deve sapere
che sta interagendo con una macchina o con contenuto artificialmente generato. Un principio di onestà minima che tutela la fiducia
digitale.

Rischio Minimo — Libertà con Responsabilità

La grande maggioranza delle applicazioni AI rientra in questa categoria: filtri antispam, sistemi di raccomandazione, videogiochi
con AI, strumenti di produttività. Non sono soggetti a obblighi specifici, ma i fornitori sono incoraggiati ad adottare codici di
condotta volontari.

La Matrice del Rischio: Chi Fa Cosa

A ciascun livello di rischio corrispondono obblighi differenziati per le diverse categorie di operatori coinvolti nella catena del valore
AI: fornitori (chi sviluppa), deployer (chi usa il sistema), importatori e distributori.

Livello di Rischio Esempi di Applicazioni Obblighi Chiave
Inaccettabile Social scoring, manipolazione subliminale, biometria real-time in spazi pubblici Divieto assoluto di immissione sul mercato o messa in servizio
Alto Selezione CV, scoring creditizio, sistemi medici diagnostici, AI nella giustizia Conformità obbligatoria, risk management, qualità dati, supervisione umana, registrazione UE
Limitato Chatbot, generatori di immagini, deepfake, assistenti virtuali Obbligo di disclosure all’utente (natura artificiale del sistema o contenuto)
Minimo Filtri spam, recommendation engine, giochi, traduzione automatica Nessun obbligo specifico; codici di condotta volontari consigliati
Nota per le PMI

Le piccole e medie imprese e le startup godono di misure di favore specifiche: accesso a sandbox regolatori per testare i propri sistemi,
linee guida semplificate, e un periodo transitorio più lungo per adeguarsi. Il Regolamento ha cercato di non gravare in modo
sproporzionato sulle realtà più piccole, pur non sacrificando la sostanza degli obblighi.

La Formazione: Il Diritto di Capire Prima di Usare

Uno degli aspetti più innovativi — e meno commentati — dell’EU AI Act è l’obbligo di AI literacy per il personale aziendale.
Le organizzazioni che deploiano sistemi AI sono tenute a garantire che il proprio personale disponga di un livello adeguato di
competenza per comprendere le caratteristiche e i limiti dei sistemi utilizzati.

Questo vale non solo per i team tecnici, ma per tutti i dipendenti che interagiscono con sistemi AI nell’esercizio delle proprie
funzioni: dal manager che usa uno strumento di analisi predittiva, all’impiegato amministrativo che lavora con un sistema
automatizzato digestione documentale.

La logica è profonda: non puoi esercitare un diritto se non sai che esiste. Non puoi supervisionare una macchina se non
ne capisci il funzionamento di base. La formazione obbligatoria è la garanzia che l’AI non diventi una scatola nera opaca
nelle mani di chi la usa inconsapevolmente, ma uno strumento compreso, controllato e impiegato responsabilmente.

“Il più potente strumento di tutela non è il divieto. È la consapevolezza. E la consapevolezza si costruisce con la formazione.”

Le Scadenze: Un Calendario da Non Ignorare

Il Regolamento non è entrato in vigore tutto in una volta. L’implementazione segue una roadmap progressiva, calibrata sulla
severità degli obblighi. Conoscere le scadenze è oggi una priorità strategica per qualsiasi azienda che utilizzi o stia sviluppando
sistemi AI.

Agosto 2024
Entrata in vigore del Regolamento
L’EU AI Act è pubblicato nella Gazzetta Ufficiale UE ed entra formalmente in vigore.
Febbraio 2025
Divieti di rischio inaccettabile applicabili
I sistemi AI vietati devono essere immediatamente ritirati dal mercato europeo. Nessuna deroga. Applicabile a tutti gli operatori.
Agosto 2025
Obblighi per i modelli GPAI (General Purpose AI)
I fornitori di modelli AI a uso generale (come i grandi modelli linguistici) devono rispettare obblighi di trasparenza, documentazione
tecnica e cooperazione con le autorità. Modelli con rischio sistemico soggetti a requisiti aggiuntivi.
Agosto 2026
Piena applicabilità per i sistemi ad alto rischio (nuovi)
Tutti i sistemi AI ad alto rischio immessi sul mercato dopo questa data devono essere pienamente conformi. Fornitori e deployer
devono aver completato le procedure di conformità, registrazione e governance.
Agosto 2027
Sistemi ad alto rischio preesistenti
I sistemi AI ad alto rischio già in commercio prima dell’entrata in vigore hanno tempo fino a questa data per adeguarsi, salvo
modifiche sostanziali che anticipino l’obbligo.

Sanzioni in caso di violazione

Le sanzioni previste sono significative: fino a 35 milioni di euro o il 7% del fatturato globale annuo per violazioni dei divieti
assoluti; fino a 15 milioni o il 3% del fatturato per altre violazioni; fino a 7,5 milioni o l’1,5% per informazioni errate fornite alle
autorità. Per le PMI sono previsti massimali ridotti.

Una Lettura Positiva del Framework

È facile cedere alla tentazione di leggere la regolamentazione come un freno all’innovazione, come una risposta burocratica europea
a una sfida che richiederebbe invece velocità e audacia. Ma questa lettura è miope.

Le aziende che oggi investono nell’adeguamento all’EU AI Act stanno costruendo un vantaggio competitivo duraturo: sistemi più
affidabili, documentati, verificabili, capaci di resistere a scenari di rischio che i competitor non conformi non hanno nemmeno
considerato. La fiducia è un asset. E la fiducia si guadagna con la trasparenza e la responsabilità, non con la velocità a ogni costo.

L’Europa, con tutte le sue lentezze istituzionali, ha scelto di scommettere su una visione: che una AI affidabile, centrata sull’uomo,
governata da regole chiare, possa essere non solo eticamente superiore ma anche economicamente vincente nel lungo periodo.
È una scommessa che vale la pena supportare.

“L’AI Act non è contro l’innovazione. È per un’innovazione che gli europei possano fidarsi di usare.”