Abbiamo già trattato in un precedente articolo (https://www.dihliguria.it/it/archivio-news/item/835-la-rivoluzione-dell-ai-act.html) l’obbligo dell’alfabetizzazione digitale introdotto dall’ AI Act ovvero dalla prima legge europea riguardante l’intelligenza artificiale e del fatto che, quest’ultima, stia avendo un’applicazione graduale nei vari ordinamenti.

Dopo la prima applicazione di febbraio 2025, il 2 agosto sono entrate in vigore una seconda parte delle norme esplicitate dal regolamento che meritano di essere approfondite singolarmente.

Nello specifico si tratta del terzo, quinto, settimo e dodicesimo capo del trattato:

1. il terzo capo, e più nello specifico, la quarta sezione, affronta la tematica del Sistemi ad alto rischio, con riguardo alle autorità di notifica e agli organismi notificati;
2. il quinto capo tratta il tema dei modelli di AI general purpose;
3. il settimo capo riguarda la governance;
4. il dodicesimo capo esplicita le possibili sanzioni.
   
   
   

• Capo III, Sezione 4 : Sistemi ad alto rischio

Viene disciplinato quello che è il ruolo dell’autorità di notifica e degli organismi incaricati della valutazione dei sistemi di IA ad alto rischio.

Risulta essere compito di ogni Stato Membro designare l’autorità responsabile della notifica, supervisione e sorveglianza degli organismi notificati: nel caso dello Stato italiano questo ente dovrebbe corrispondere all’AgiD (agenzia tecnica della Presidenza del Consiglio dei Ministri che si occupa di realizzare gli obiettivi dell'Agenda Digitale Italiana).

Il compito di tali autorità, in generale, è di svolgere una valutazione circa i sistemi di IA nel caso in cui essi risultino essere ad alto rischio.

• Capo V: General Porpuse AI

Il quinto capo ha come elemento base l’introduzione di obblighi per i modelli di intelligenza artificiale di uso generale, altresì enti come “General Porpuse AI o GPAI”.

Per poter comprendere quali modelli vengono considerati in tale categoria è però necessario fare un passo indietro riprendendo i punti 44 e 45 del terzo articolo dell’AI Act dove si va a definire rispettivamente che cosa si intende per “modello di intelligenza artificiale di uso generico” e “Modello di AI di uso generale ad alto impatto”:

1. modello di IA di uso generico: modello di intelligenza artificiale che aiuta l’utente in varie situazioni; non è esclusivamente specializzata in un’unica azione ma è progettata per essere versatile e flessibile
2. modello di AI ad alto impatto: modello particolarmente efficiente con caratteristiche misurate in base ad elementi come la complessità del modello, l’addestramento computazionale e la dimensione del set di dati, e che presenta un rischio sistemico per la salute, la sicurezza, i diritti fondamentali, l’ambiente, la democrazia o lo Stato di diritto.

Questa distinzione risulta essere fondamentale ai fini dell’analisi del Capo V in quanto, quest’ultimo, riporta, quali elementi devono essere forniti da tutti i modelli di intelligenza artificiale in generale e quali si aggiungono ai primi solo nel caso in cui si tratti di un modello ad alto impatto.

I modelli GPAI, in generale, devono fornire una documentazione tecnica che vada a descrivere:

• l’architettura;
• i dati di addestramento;
• le capacità del modello.

Vi è inoltre l’obbligo di redazione e pubblicazione di un documento di riepilogo nel quale sono riportati i dati che sono stati utilizzati per l’addestramento.

• Obblighi per i fornitori: obbligo ad attuare delle specifiche misure per essere conformi alla normativa UE sul diritto d’autore, andando a facilitare l’identificazione di contenuti protetti.

I modelli ad alto impatto avendo un rischio di tipo sistemico, sono infatti anche noti come “modelli con rischio sistemico” sono soggetti a requisiti più stringenti tra cui:

• la valutazione preventiva dei rischi sistemici;
• un monitoraggio continuo del funzionamento del modello;
• i reporting di incidenti gravi;
• test e audit indipendenti.
  
  
  
  
• Capo VII : La Governance

La governance viene articolata su vari livelli e organizzata tramite una co-responsabilità tra l’Unione Europea, mediante apposito organismo, e l’autorità nazionale.

Ogni Stato infatti viene chiamato a designare una o più autorità responsabili dell’applicazione del regolamento a livello nazionale: nel caso dello stato italiano tale ruolo viene ricoperto da AgiD e ACN (l’autorità nazionale per la cybersicurezza).

A livello europeo invece è stato istituito dalla Commissione “l’Ufficio europeo per l’intelligenza artificiale” il quale ha il compito di

• coordinare l’applicazione del Regolamento per i modelli GPAI;
• promuovere la cooperazione tra gli Stati Membri e supportarne l’armonizzazione.

Un altro ente di rilevante importanza è il “Comitato Europeo per l’Intelligenza artificiale” costituito dai vari rappresentati delle autorità nazionali e che detiene la forma del “forum consultivo”. Il Comitato, inoltre, fornisce pareri alla Commissione al fine di promuovere una prassi comune e collabora con il Board Europeo per la protezione dei dati.

• Capo XII : Le sanzioni

Le sanzioni sono di tipo amministrativo e risultano essere proporzionali all’entità dell’infrazione e della società che la compie: sono infatti previste delle riduzioni in caso di PMI e di start up.

In generale le sanzioni possono essere ricondotte a tre tipologie che fanno riferimento ad altrettante tipologie di infrazioni:

1. per quelle più gravi relative alla violazione dei divieti è prevista un’ammenda fino a 35 milioni di euro o 7% del fatturato annuo globale;
2. per le violazioni dei requisiti sui sistemi ad alto rischio la sanzione può arrivare fino a 15 milioni di euro o 3% del fatturato;
3. per la fornitura di informazioni false o incomplete si arriva fino a 7,5 milioni di euro o 1% del fatturato.

Risulta, pertanto, opportuno che ogni società sia dotata di un’opportuna strategia di adeguamento per evitare ogni tipo di rischio sia esso di tipo normativo che reputazionale.

In Allegato il regolamento completo