AI Act: Classificazione del rischio — Guida

Il Regolamento europeo sull'Intelligenza Artificiale (AI Act) è il primo quadro normativo al mondo che regolamenta l'IA in base al rischio. Per le aziende italiane che sviluppano o utilizzano sistemi di IA, comprendere la classificazione del rischio è il primo passo verso la conformità.

I quattro livelli di rischio

L'AI Act classifica i sistemi di IA in quattro categorie, dalla più restrittiva alla più permissiva:

1. Rischio inaccettabile (VIETATO)

Sistemi di IA vietati nell'UE senza eccezioni o con eccezioni molto limitate:

| Sistema vietato | Motivo | |-----------------|--------| | Scoring sociale da parte dei governi | Violazione diritti fondamentali | | Manipolazione subliminale che causa danni | Sfruttamento delle vulnerabilità | | Sfruttamento di vulnerabilità (età, disabilità) | Protezione soggetti vulnerabili | | Categorizzazione biometrica in tempo reale in spazi pubblici (con eccezioni) | Sorveglianza di massa | | Riconoscimento delle emozioni sul posto di lavoro e nelle scuole | Privacy e dignità | | Polizia predittiva basata solo su profilazione | Presunzione di innocenza | | Scraping non mirato di immagini per database biometrici | Raccolta dati sproporzionata |

2. Rischio alto (REGOLAMENTATO)

Sistemi soggetti a requisiti rigorosi prima dell'immissione sul mercato:

Infrastrutture critiche:

• Gestione del traffico stradale, idrico, energetico
• Componenti di sicurezza di dispositivi medici

Istruzione e formazione:

• Sistemi per determinare l'accesso all'istruzione
• Valutazione automatizzata degli studenti

Occupazione e gestione dei lavoratori:

• Screening automatizzato di CV e candidati
• Sistemi per decisioni su promozioni o licenziamenti

Servizi essenziali:

• Scoring creditizio e valutazione del rischio assicurativo
• Valutazione dell'ammissibilità a prestazioni sociali

Forze dell'ordine (con garanzie):

• Valutazione del rischio di recidiva
• Analisi delle prove
• Poligrafi e analisi dello stato emotivo

Migrazione e controllo delle frontiere:

• Valutazione dei rischi securitari
• Verifica dell'autenticità dei documenti

Giustizia e processi democratici:

• Assistenza alla ricerca e interpretazione giuridica
• Influenza sui risultati elettorali

3. Rischio limitato (OBBLIGHI DI TRASPARENZA)

Sistemi con obblighi specifici di trasparenza:

• Chatbot e assistenti virtuali: gli utenti devono sapere che interagiscono con un'IA
• Generazione di contenuti: i contenuti generati dall'IA (testo, immagini, audio, video) devono essere contrassegnati
• Deepfake: obbligo di dichiarare che il contenuto è stato generato artificialmente
• Sistemi di riconoscimento delle emozioni: informare gli utenti

4. Rischio minimo (NESSUN OBBLIGO SPECIFICO)

La grande maggioranza dei sistemi di IA rientra in questa categoria:

• Filtri anti-spam
• Raccomandazioni di contenuti
• Assistenti alla scrittura
• Traduzione automatica
• Ottimizzazione logistica

Per questi sistemi, l'AI Act non impone obblighi specifici ma incoraggia l'adozione volontaria di codici di condotta.

Obblighi per i sistemi ad alto rischio

Se il vostro sistema è classificato ad alto rischio, dovete soddisfare una serie di requisiti:

Prima dell'immissione sul mercato

| Requisito | Dettaglio | |-----------|----------| | Sistema di gestione del rischio | Identificazione, analisi e mitigazione dei rischi lungo l'intero ciclo di vita | | Governance dei dati | Dati di addestramento pertinenti, rappresentativi e privi di bias | | Documentazione tecnica | Informazioni sufficienti per valutare la conformità | | Registrazione automatica | Log che permettano la tracciabilità delle operazioni | | Trasparenza | Informazioni chiare per gli utenti sulla finalità e i limiti del sistema | | Supervisione umana | Misure per consentire il controllo umano effettivo | | Accuratezza e robustezza | Livelli adeguati di prestazione, sicurezza e cybersicurezza |

Marcatura CE

I sistemi ad alto rischio devono ottenere la marcatura CE prima dell'immissione sul mercato UE, attraverso una procedura di valutazione della conformità.

Registrazione nella banca dati UE

I sistemi ad alto rischio devono essere registrati in una banca dati pubblica dell'UE prima dell'immissione sul mercato.

I modelli di IA per finalità generali (GPAI)

L'AI Act introduce obblighi specifici per i modelli di IA per finalità generali (come GPT-4, Claude, Gemini):

Obblighi base (tutti i GPAI)

• Documentazione tecnica dettagliata
• Informazioni per i fornitori a valle che integrano il modello
• Rispetto della direttiva sul diritto d'autore
• Pubblicazione di un riepilogo dei dati di addestramento

Obblighi aggiuntivi (GPAI con rischio sistemico)

Per i modelli con capacità di impatto elevate (>10^25 FLOPS di addestramento):

• Valutazione del modello secondo protocolli standardizzati
• Valutazione e mitigazione dei rischi sistemici
• Segnalazione degli incidenti gravi
• Protezione adeguata della cybersicurezza

Calendario di applicazione

| Data | Obbligo | |------|---------| | Agosto 2024 | Entrata in vigore dell'AI Act | | Febbraio 2025 | Divieti sui sistemi a rischio inaccettabile | | Agosto 2025 | Obblighi per i modelli GPAI | | Agosto 2026 | Obblighi per i sistemi ad alto rischio | | Agosto 2027 | Applicazione completa per tutti i sistemi |

Il ruolo dell'Italia

L'Italia ha designato l'AgID e l'ACN come autorità nazionali per la vigilanza sull'AI Act. Il coordinamento con il Garante Privacy è previsto per i trattamenti di IA che coinvolgono dati personali.

Le aziende italiane devono:

1. Classificare i propri sistemi di IA secondo la tassonomia dell'AI Act
2. Mappare le lacune di conformità
3. Pianificare l'adeguamento secondo il calendario
4. Documentare le scelte e le valutazioni

Come classificare il vostro sistema

Domande chiave

1. Il sistema prende decisioni che impattano diritti fondamentali?
2. Opera in uno dei settori elencati nell'Allegato III (alto rischio)?
3. Genera contenuti che potrebbero essere scambiati per contenuti umani?
4. Utilizza riconoscimento biometrico o delle emozioni?
5. Influenza decisioni su accesso al credito, lavoro, istruzione?

Se la risposta è sì a una di queste domande, il vostro sistema è probabilmente ad alto rischio o soggetto a obblighi di trasparenza.

Conclusione

L'AI Act non vieta l'innovazione — la incornicia. Per le aziende italiane, la classificazione del rischio è il primo passo: sapere dove si colloca il vostro sistema determina tutto il resto del percorso di conformità.

Scansiona il tuo sito web gratis con WarDek — OWASP, NIS2, GDPR, AI Act in un'unica scansione.