Question 1

Cos'è l'AI Act (Regolamento UE 2024/1689) e quali sono i suoi obiettivi principali?

Accepted Answer

L'AI Act, formalmente identificato come Regolamento (UE) 2024/1689, stabilisce un quadro di regole armonizzate per l'immissione sul mercato, la messa in servizio e l'utilizzo dei sistemi di Intelligenza Artificiale (IA) all'interno dell'Unione Europea. Gli obiettivi principali sono:

Garantire la libera circolazione di beni e servizi basati sull'IA, prevenendo la frammentazione del mercato unico.
Assicurare che i sistemi di IA siano sicuri, affidabili e rispettosi dei diritti fondamentali.
Promuovere l'innovazione e rafforzare la competitività dell'UE nel settore globale dell'IA.

Per raggiungere tali scopi, l'AI Act introduce un approccio basato sul rischio, con divieti per pratiche inaccettabili, requisiti stringenti per i sistemi ad alto rischio e obblighi di trasparenza per specifici sistemi IA e modelli per finalità generali (GPAI).

Question 2

Quando è entrato in vigore l'AI Act e quali sono le principali scadenze per la sua piena applicazione?

Accepted Answer

L'AI Act è entrato in vigore il 1° agosto 2024, ma la sua applicazione è graduale. Le principali scadenze sono:

2 Febbraio 2025: Divieto delle pratiche di IA inaccettabili (Art. 5) e obblighi di alfabetizzazione in materia di IA (Art. 4).
2 Agosto 2025: Entrata in vigore delle norme sui modelli GPAI e nomina delle autorità nazionali di vigilanza.
2 Agosto 2026: Applicazione della maggior parte degli altri obblighi e inizio delle attività di vigilanza.
2 Agosto 2027: Applicazione degli obblighi per i sistemi IA ad alto rischio che sono componenti di sicurezza di prodotti (Allegato I).
31 Dicembre 2030: Applicazione degli obblighi per i sistemi IA ad alto rischio utilizzati da autorità pubbliche e già sul mercato prima dell'entrata in vigore dell'AI Act.

Question 3

A chi si applica l'AI Act? Quali sono i principali soggetti coinvolti (fornitori, utilizzatori, importatori, distributori)?

Accepted Answer

L'AI Act si applica a diversi operatori lungo la catena del valore dell'IA, con un'ampia portata extraterritoriale. I principali soggetti coinvolti sono:

Fornitore (Provider): Chi sviluppa un sistema di IA o lo fa sviluppare per immetterlo sul mercato.
Utilizzatore (Deployer): Chi utilizza un sistema di IA sotto la propria autorità, escluso l'uso personale.
Importatore: Chi immette nel mercato UE un sistema di IA proveniente da un paese terzo.
Distributore: Chi mette a disposizione un sistema IA sul mercato UE senza modificarlo.
Rappresentante Autorizzato: Una persona o entità nell'UE che agisce per conto di un fornitore extra-UE.

La normativa si applica a chiunque fornisca o utilizzi sistemi di IA nell'UE o quando l'output è usato nell'UE.

Question 4

Cosa si intende per "sistema di intelligenza artificiale" secondo l'AI Act?

Accepted Answer

Secondo l'Articolo 3 dell'AI Act, un sistema di intelligenza artificiale è "un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può, per obiettivi espliciti o impliciti, dedurre dall'input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali."

Questa definizione è tecnologicamente neutra e ampia per coprire sia le tecnologie attuali che quelle future, concentrandosi su autonomia, adattabilità e capacità di inferenza con impatto sull'ambiente.

Question 5

Come classifica i sistemi di IA l'AI Act in base al rischio?

Accepted Answer

L'AI Act adotta un approccio basato sul rischio, classificando i sistemi di IA in quattro categorie:

Rischio Inaccettabile: Pratiche considerate una minaccia per i diritti fondamentali e quindi completamente vietate (es. social scoring da parte di autorità pubbliche).
Alto Rischio: Sistemi che possono avere un impatto significativo su salute, sicurezza o diritti fondamentali (es. IA in infrastrutture critiche, sanità, giustizia). Sono permessi ma soggetti a requisiti molto rigorosi.
Rischio Limitato: Sistemi per i quali il rischio principale è la mancanza di trasparenza (es. chatbot, deepfake). Sono soggetti a specifici obblighi di trasparenza.
Rischio Minimo o Nullo: La maggior parte dei sistemi IA (es. filtri antispam, IA nei videogiochi). Per questi non sono previsti obblighi aggiuntivi specifici dall'AI Act.

Question 6

Quali sono le pratiche di intelligenza artificiale specificamente vietate dall'Articolo 5 dell'AI Act?

Accepted Answer

L'Articolo 5 vieta pratiche di IA considerate inaccettabili, tra cui:

Sistemi che usano tecniche subliminali, manipolative o ingannevoli per distorcere il comportamento causando un danno significativo.
Sistemi che sfruttano le vulnerabilità di gruppi specifici (età, disabilità) per causare danno.
Il "social scoring" da parte di autorità pubbliche.
L'identificazione biometrica remota 'in tempo reale' in spazi pubblici per finalità di contrasto (salvo eccezioni molto limitate e autorizzate).
La categorizzazione biometrica basata su dati sensibili (razza, orientamento politico, etc.).
Sistemi per dedurre le emozioni in ambito lavorativo o educativo.
Sistemi di polizia predittiva basati unicamente sulla profilazione di un individuo.
La creazione di database di riconoscimento facciale tramite scraping non mirato di immagini da internet o telecamere.

Question 7

Cosa si intende per sistemi di IA a "rischio limitato" e quali obblighi di trasparenza si applicano?

Accepted Answer

I sistemi di IA a "rischio limitato" sono quelli per cui il rischio principale è la mancanza di trasparenza. Gli obblighi mirano a informare gli utenti per evitare inganni. Questi includono:

Chatbot: Gli utenti devono essere informati che stanno interagendo con un'IA.
Deepfake e contenuti generati: I contenuti audio, video o immagine generati o manipolati artificialmente devono essere etichettati come tali.
Riconoscimento delle emozioni: Le persone esposte devono essere informate del funzionamento del sistema.
Testi generati da IA: I testi su questioni di interesse pubblico devono essere segnalati come generati artificialmente, a meno di revisione umana con assunzione di responsabilità editoriale.

Question 8

Esistono sistemi di IA considerati a "rischio minimo" o nullo? Quali regole si applicano?

Accepted Answer

Sì, la maggior parte dei sistemi IA rientra nella categoria a rischio minimo o nullo (es. filtri antispam, IA nei videogiochi). Per questi sistemi, l'AI Act non impone obblighi aggiuntivi specifici.

Tuttavia, questi sistemi devono comunque rispettare tutta la legislazione generale e settoriale applicabile, come il GDPR (se trattano dati personali), le normative sui consumatori o sulla sicurezza dei prodotti. I fornitori sono incoraggiati ad aderire volontariamente a codici di condotta.

Question 9

Quali criteri definiscono un sistema di IA come "ad alto rischio" secondo l'Articolo 6 e l'Allegato III dell'AI Act?

Accepted Answer

Un sistema di IA è classificato ad "alto rischio" se è utilizzato come componente di sicurezza di un prodotto già regolamentato o se rientra in uno degli specifici settori e casi d'uso elencati nell'Allegato III. Questi includono:

Identificazione biometrica.
Gestione di infrastrutture critiche (energia, trasporti).
Istruzione e formazione professionale.
Occupazione, gestione dei lavoratori e accesso al lavoro.
Accesso a servizi essenziali (credito, prestazioni pubbliche).
Attività di contrasto (law enforcement).
Gestione della migrazione, asilo e controllo delle frontiere.
Amministrazione della giustizia e processi democratici.

Question 10

Quali sono gli obblighi generali per i sistemi di IA ad alto rischio (Articoli 8-15)?

Accepted Answer

I sistemi ad alto rischio sono soggetti a obblighi rigorosi, tra cui:

Sistema di gestione dei rischi: Un processo continuo per identificare, analizzare e mitigare i rischi.
Governance e qualità dei dati: I dati di addestramento, convalida e test devono essere di alta qualità, pertinenti e privi di bias.
Documentazione tecnica: Redigere e mantenere una documentazione dettagliata che dimostri la conformità.
Registrazione delle attività (Logging): I sistemi devono registrare automaticamente gli eventi per garantire la tracciabilità.
Trasparenza e istruzioni per l'uso: Fornire informazioni chiare agli utilizzatori su capacità, limiti e uso corretto.
Sorveglianza umana: Progettare i sistemi in modo che possano essere efficacemente supervisionati da persone.
Accuratezza, robustezza e cibersicurezza: Garantire un livello adeguato di prestazioni e resilienza a errori e attacchi.

Question 11

In cosa consiste l'obbligo di "alfabetizzazione sull'IA" (Art. 4) per fornitori e utilizzatori?

Accepted Answer

L'Articolo 4 dell'AI Act richiede a fornitori e utilizzatori di garantire che il loro personale (e chiunque operi sotto la loro autorità) possieda un livello adeguato di alfabetizzazione in materia di IA. Questo significa avere le competenze per:

Comprendere capacità e limiti dei sistemi IA utilizzati.
Conoscere opportunità e rischi associati.
Agire in modo responsabile e conforme alla normativa.

La formazione deve essere continua, personalizzata e adeguata al ruolo e al contesto specifico d'uso dell'IA.

Question 12

Quali sono i principali obblighi dei fornitori (provider) di sistemi di IA, in particolare per quelli ad alto rischio?

Accepted Answer

I fornitori di sistemi IA ad alto rischio hanno la maggior parte delle responsabilità, tra cui:

Istituire un Sistema di Gestione della Qualità (Art. 17).
Redigere e aggiornare la documentazione tecnica (Art. 11).
Eseguire la Valutazione della Conformità (Art. 43), a volte con un organismo notificato.
Redigere la Dichiarazione di Conformità UE e apporre la marcatura CE.
Registrare il sistema nel database pubblico dell'UE.
Implementare un sistema di monitoraggio post-commercializzazione (Art. 72).
Adottare azioni correttive e segnalare incidenti gravi.
Nominare un rappresentante autorizzato se stabiliti fuori dall'UE (Art. 25).

Question 13

Quali sono gli obblighi specifici per gli utilizzatori (deployer) di sistemi di IA ad alto rischio secondo l'Articolo 29?

Accepted Answer

Gli utilizzatori (deployer) di sistemi IA ad alto rischio hanno responsabilità attive, tra cui:

Utilizzare il sistema conformemente alle istruzioni fornite dal provider.
Garantire una sorveglianza umana efficace da parte di personale competente.
Assicurare la qualità dei dati di input, se sotto il loro controllo.
Monitorare il funzionamento e segnalare incidenti o rischi al fornitore e alle autorità.
Conservare i log di funzionamento generati dal sistema.
Condurre una Valutazione d'Impatto sui Diritti Fondamentali (FRIA) se sono enti pubblici o fornitori di servizi essenziali.
Informare i lavoratori e i loro rappresentanti se il sistema è usato in ambito lavorativo.

Question 14

Quali obblighi di trasparenza (Art. 52) si applicano a fornitori e utilizzatori di sistemi come chatbot, sistemi di riconoscimento delle emozioni o per la generazione di "deepfake"?

Accepted Answer

L'Articolo 52 impone obblighi di trasparenza per garantire che le persone siano consapevoli quando interagiscono con un'IA o con contenuti generati artificialmente. I principali obblighi sono:

Chatbot/Assistenti virtuali: Gli utenti devono essere informati che stanno interagendo con un sistema di IA.
Riconoscimento delle emozioni/Categorizzazione biometrica: Gli utilizzatori devono informare le persone esposte al funzionamento di tali sistemi.
Deepfake: I contenuti audio, video o immagine generati o manipolati artificialmente devono essere etichettati come tali in modo rilevabile, e gli utilizzatori che li diffondono devono dichiararne la natura artificiale (salvo eccezioni specifiche).
Testo generato da IA (su temi di interesse pubblico): Deve essere etichettato come generato artificialmente, a meno che non sia stato sottoposto a revisione umana con assunzione di responsabilità editoriale.

Question 15

Cosa sono i modelli di IA per scopi generali (GPAI) e quali obblighi specifici hanno i loro fornitori (Art. 53)?

Accepted Answer

I modelli di IA per scopi generali (GPAI) sono modelli versatili, come i grandi modelli linguistici (LLM), che possono essere integrati in una varietà di applicazioni. L'Articolo 53 impone ai loro fornitori specifici obblighi, tra cui:

Redigere e mantenere una documentazione tecnica dettagliata del modello.
Fornire informazioni e documentazione agli sviluppatori a valle che integrano il modello.
Stabilire una politica per rispettare la normativa dell'UE sul diritto d'autore.
Rendere disponibile al pubblico una sintesi dettagliata del contenuto utilizzato per l'addestramento del modello.
Nominare un rappresentante autorizzato se il fornitore è extra-UE.

Question 16

Quali obblighi aggiuntivi si applicano ai modelli GPAI che presentano "rischio sistemico" (Art. 55)?

Accepted Answer

Un modello GPAI è considerato a "rischio sistemico" se ha capacità di impatto elevato (es. addestrato con più di 10^25 FLOPs) o è designato come tale dalla Commissione. Per questi modelli, l'Articolo 55 impone obblighi aggiuntivi:

Eseguire valutazioni complete del modello (model evaluation), inclusi test contraddittori (adversarial testing).
Valutare e mitigare i possibili rischi sistemici per la democrazia, i diritti fondamentali, la salute, ecc.
Segnalare incidenti gravi e misure correttive all'Ufficio per l'IA (AI Office).
Garantire un livello adeguato di protezione della cibersicurezza.

Question 17

Cosa prevede l'AI Act riguardo la trasparenza sui dati utilizzati per l'addestramento dei modelli GPAI?

Accepted Answer

L'AI Act enfatizza la trasparenza sui dati di addestramento dei GPAI. I fornitori devono:

Pubblicare una sintesi: Rendere disponibile al pubblico una sintesi sufficientemente dettagliata dei contenuti utilizzati per addestrare il modello, seguendo un modello che sarà fornito dall'AI Office.
Fornire documentazione tecnica: Includere nella documentazione tecnica dettagliata informazioni sull'origine, la portata e le metodologie di raccolta dei dati di addestramento.
Avere una politica sul diritto d'autore: Stabilire politiche per rispettare la normativa UE sul copyright, il che implica trasparenza su come i dati sono stati acquisiti e utilizzati legalmente.

Question 18

Cos'è la Valutazione d'Impatto sui Diritti Fondamentali (FRIA) e quando è obbligatoria secondo l'AI Act?

Accepted Answer

La Valutazione d'Impatto sui Diritti Fondamentali (FRIA) è una valutazione preventiva obbligatoria per analizzare e mitigare gli impatti negativi di un sistema IA ad alto rischio sui diritti fondamentali (es. non discriminazione, dignità, equo processo).

È obbligatoria quando un utilizzatore, che è un ente pubblico o un soggetto privato che fornisce servizi pubblici essenziali, mette in servizio un sistema IA ad alto rischio tra quelli elencati nei punti da 2 a 8 dell'Allegato III (es. in ambito educativo, lavorativo, accesso a servizi, giustizia).

Question 19

Come si relaziona l'AI Act con il GDPR? Ci sono sovrapposizioni o differenze chiave?

Accepted Answer

L'AI Act e il GDPR sono complementari e spesso si applicano insieme. Le differenze chiave sono:

Oggetto: Il GDPR protegge i dati personali, indipendentemente dalla tecnologia. L'AI Act regola la sicurezza e i rischi dei sistemi di IA come prodotti/servizi.
Focus del rischio: Il GDPR si concentra sui rischi per i dati personali. L'AI Act ha un focus più ampio su salute, sicurezza e diritti fondamentali in generale.
Valutazioni d'Impatto: Il GDPR richiede la DPIA (Data Protection Impact Assessment) per i rischi sui dati. L'AI Act introduce la FRIA (Fundamental Rights Impact Assessment) per i rischi sui diritti fondamentali. Le due valutazioni possono essere integrate per evitare duplicazioni.

Question 20

Qual è il ruolo dell'Ufficio Europeo per l'IA (AI Office)?

Accepted Answer

L'Ufficio Europeo per l'IA (AI Office), istituito all'interno della Commissione Europea, è il centro di competenza e coordinamento dell'UE sull'IA. I suoi ruoli principali sono:

Supportare l'applicazione coerente dell'AI Act in tutta l'UE.
Vigilare direttamente sulle norme per i modelli GPAI, specialmente quelli a rischio sistemico, con potere sanzionatorio.
Elaborare codici di condotta, linee guida e strumenti tecnici.
Promuovere un ecosistema di IA affidabile e innovativo, supportando anche le PMI e le startup.
Coordinare l'approccio strategico europeo all'IA a livello internazionale.

Question 21

Quali sono le sanzioni pecuniarie previste dall'AI Act (Art. 71) in caso di non conformità?

Accepted Answer

L'AI Act prevede sanzioni severe, calcolate sul fatturato globale o su importi fissi, a seconda di quale sia il valore più alto. Gli scaglioni principali sono:

Fino a 35 milioni di euro o il 7% del fatturato globale: Per la violazione dei divieti sulle pratiche inaccettabili (Art. 5) o dei requisiti sui dati (Art. 10).
Fino a 15 milioni di euro o il 3% del fatturato globale: Per la non conformità con la maggior parte degli altri obblighi del regolamento (es. per sistemi ad alto rischio, GPAI, trasparenza).
Fino a 7,5 milioni di euro o l'1% del fatturato globale: Per la fornitura di informazioni scorrette o incomplete alle autorità.

Sono previste sanzioni proporzionate per PMI e start-up.

Question 22

Cosa sono le "sandbox regolamentari" previste dall'AI Act e quali vantaggi offrono, specialmente per PMI e startup?

Accepted Answer

Le "sandbox regolamentari" sono ambienti controllati e supervisionati dalle autorità nazionali in cui le imprese (specialmente PMI e startup) possono sviluppare, testare e convalidare sistemi IA innovativi in un contesto di maggiore certezza giuridica. I vantaggi includono:

Accesso prioritario e spesso gratuito o a costi ridotti per PMI e startup.
Guida diretta dalle autorità sull'applicazione delle norme.
Possibilità di testare in condizioni realistiche ma sicure.
La documentazione prodotta può essere usata per dimostrare la conformità.
Potenziale protezione da sanzioni per infrazioni involontarie durante la sperimentazione.
Facilitazione dell'accesso al mercato e aumento della fiducia nel sistema.

Question 23

Come si implementa il markup Schema.org FAQPage per una pagina di FAQ come questa?

Accepted Answer

Il markup Schema.org FAQPage si implementa utilizzando JSON-LD inserito in un tag

Livello di Rischio	Descrizione	Obblighi e Divieti
Rischio Inaccettabile	Sistemi di IA considerati una chiara minaccia per la sicurezza, i mezzi di sussistenza e i diritti delle persone.	Divieto totale. Include pratiche come il social scoring, la manipolazione comportamentale e l'identificazione biometrica remota in tempo reale per scopi di polizia (con eccezioni limitate).
Rischio Elevato	Sistemi di IA che possono avere un impatto negativo sulla sicurezza o sui diritti fondamentali.	Obblighi rigorosi: valutazione della conformità, registrazione, documentazione tecnica, supervisione umana, alta qualità dei dati, trasparenza e robustezza. Esempi: IA in infrastrutture critiche, istruzione, occupazione, servizi essenziali.
Rischio Limitato	Sistemi di IA che richiedono trasparenza per consentire agli utenti di prendere decisioni informate.	Obblighi di trasparenza. Gli utenti devono essere informati quando interagiscono con un sistema di IA (es. chatbot). I contenuti generati dall'IA (deep fake) devono essere etichettati.
Rischio Minimo o Nullo	La stragrande maggioranza dei sistemi di IA, come videogiochi o filtri antispam.	Nessun obbligo. L'uso è libero, anche se si incoraggia l'adozione volontaria di codici di condotta per una maggiore trasparenza.

AI Act, sono in vigore i primi obblighi. Ecco perché la figura del CIO diventa cruciale

L'AI Act rappresenta un'opportunità strategica per i CIO di consolidare il vantaggio competitivo aziendale. Attraverso una Governance IA strutturata e proattiva, le organizzazioni possono riposizionarsi come leader nel mercato.

Mappatura completa, pratiche vietate e formazione. Cosa chiede l'AI Act

Il quadro normativo e gli obiettivi che l’Unione Europea persegue con l’AI Act Regulation (EU) 2024/1689

L'AI Act dell'UE: motivi, scopi e approccio al rischio

Tabella riepilogativa dell'approccio basato sul rischio

Principi chiave dell'AI Act

Una Guida Operativa per i CIO

Gli obblighi immediati dell'AI Act

Questo cosa significa?

La complessità della catena di fornitura

L'evoluzione del ruolo di CIO da tecnico a strategico

Passi concreti per agire ora

Contenuti simili

Continuous Integration e Continuous Delivery

Creare Form dinamici e scalabili in Flutter: una soluzione modulare