Il 1 agosto 2024 è entrato in vigore l'AI Act dell'UE, la prima normativa al mondo sull'Intelligenza Artificiale. Il regolamento mira a garantire la sicurezza e l'affidabilità dei software di IA, ma l'incertezza normativa potrebbe frenare lo sviluppo digitale in Europa.
IL PRIMO agosto 2024 è entrato in vigore l’Artificial Intelligence Act (AI Act), la prima normativa al mondo sui software di Intelligenza Artificiale. Il Regolamento Ue mira a incentivare lo sviluppo e la diffusione di queste tecnologie all’interno del mercato unico garantendone, allo stesso tempo, la sicurezza e l’affidabilità, oltre a un elevato livello di tutela dei diritti fondamentali. L’obiettivo del legislatore europeo è ambizioso: guidare gli operatori che sviluppano, vendono o utilizzano software di intelligenza artificiale affinché gestiscano correttamente la tecnologia. L’impianto della normativa risiede in un approccio basato sul rischio (’risk-based approach’), che classifica i software di Intelligenza Artificiale in base a quattro livelli: rischio inaccettabile, alto, limitato e minimo. Il livello è stabilito in base al potenziale impatto sulla salute, sulla sicurezza o sui diritti fondamentali degli individui, a conferma della prospettiva fortemente antropocentrica adottata dal regolamento. Sono state vietate, ad esempio, una serie di pratiche di IA, caratterizzate dall’utilizzo di dati sensibili o dal particolare scopo loro assegnato.
Tra i punti meno chiari del Regolamento vi è, però, l’individuazione della categoria di sistemi ad alto rischio, che non avviene in base al tipo di dati trattati, ma al loro settore di applicazione. In base a questa classificazione, sono ritenuti ad alto rischio i software impiegati in otto aree critiche: sicurezza dei prodotti, istruzione, gestione e assunzione del personale, accesso e godimento di servizi pubblici essenziali, forze dell’ordine, gestione e controllo del flusso migratorio e nell’amministrazione della giustizia e dei processi democratici. L’AI Act evidenzia i fattori da considerare nella valutazione del rischio, tra cui lo scopo del software, la misura in cui il sistema verrà usato, la natura e la qualità dei dati trattati, il livello di autonomia. Ulteriori elementi includono il margine di controllo da parte dell’uomo, l’entità dei danni o impatti negativi sui diritti fondamentali, l’asimmetria informativa tra le aziende tech e gli utenti, la possibilità di eliminare o invertire il risultato prodotto dall’algoritmo, i benefici che la tecnologia apporta.
Tuttavia, non sono state identificate soglie o parametri specifici e ciò rischia di lasciare spazio a interpretazioni diverse, con conseguenze significative per le aziende che operano in questi settori. La qualificazione di un software ad alto rischio, infatti, ha dirette conseguenze sulla loro disponibilità nel mercato europeo, poiché gli operatori che desiderano commercializzare questi prodotti nel Vecchio Continente devono rispettare una serie di requisiti e obblighi stringenti. Gli sviluppatori sono tenuti a documentare in maniera dettagliata la conformità agli standard di sicurezza, trasparenza e affidabilità dei sistemi, evidenziando anche l’implementazione di meccanismi volti a garantire l’accuratezza e la resilienza del software contro ’bias’ ed errori, allo scopo di impedire il rilascio di output errati sia nel mondo reale sia in quello digitale.
Sebbene si attendano ulteriori chiarimenti sull’applicazione del regolamento – entro febbraio 2026 saranno emanati esempi pratici e standard armonizzati – il quadro attuale, che avrebbe dovuto accrescere la fiducia degli investitori e dei consumatori, ha invece ottenuto, per ora, l’effetto contrario. L’incertezza su cosa costituisca effettivamente un sistema ad alto rischio e sugli standard tecnici necessari per rispettare i requisiti ha alimentato, tra le imprese digitali e i reparti R&D di tutte le aziende, il timore che i propri prodotti in fase di sviluppo possano essere considerati illegali nei prossimi due anni. Questo scenario potrebbe rappresentare un freno allo sviluppo del digitale in Europa. Da un lato, gli obblighi amministrativi previsti dal regolamento rischiano di creare barriere all’ingresso per la nascita di nuove startup. Dall’altro grandi aziende tecnologiche stanno rivedendo i propri piani per il mercato Ue, ritardando o evitando il lancio di nuovi prodotti di IA multimodale.
Queste criticità sono emerse chiaramente nel corso dell’evento ’Innovazione e Regolamentazione al tempo dell’intelligenza artificiale: un’agenda per la nuova legislatura europea’, organizzato di recente dal Policy Observatory della Luiss School of Government. Come evidenziato durante il convegno, l’incertezza normativa è aggravata dall’intreccio di molteplici regolamenti sul mercato digitale – Dsa, Dma, Gdpr e AI Act – che determinano sovrapposizioni tra ambiti applicativi e duplicazioni degli obblighi amministrativi a carico dei provider, ma anche dalla pluralità di autorità di settore che intervengono ad interpretare ed applicare questi atti.
L’incertezza e la frammentazione rischiano di penalizzare non soltanto le Big tech, ma tutte le imprese che intendono integrare i propri processi produttivi o tecniche di commercio con software di IA. Questo aspetto risulta particolarmente cruciale per il tessuto industriale europeo, che fatica a colmare il divario di produttività rispetto alle imprese oltreoceano proprio a causa del ’middle technology trap’ – ovvero l’incapacità di competere efficacemente su scala globale in settori altamente tecnologici – a cui l’iper-regolamentazione ha condotto.
* Coordinatrice Policy Observatory,
Luiss School of Government