Con l’entrata in vigore del Regolamento UE 2024/1689 (AI Act), l’Europa segna un passaggio decisivo nella regolamentazione dell’intelligenza artificiale. Non si tratta solo di norme da rispettare, ma di un vero cambio di paradigma per chi sviluppa o semplicemente utilizza (quindi tutti noi) tecnologie di IA all’interno dell’Unione. Le imprese ed i professionisti che si trovano coinvolti – in qualità di fornitori o di deployer – sono chiamati oggi a chiedersi: Cosa significa, per me, questa nuova normativa? Che impatto avrà sulla mia impresa, sul mio lavoro? Quali sono le implicazioni pratiche? Le risposte non sono banali. Comprendere per tempo i propri obblighi non è solo un esercizio di conformità, ma può diventare anche un’occasione per rivedere processi, garantire maggiore affidabilità e, perché no, creare valore.
I doveri dei fornitori: molto più che una semplice checklist
Chi sviluppa e immette sul mercato unico sistemi di IA ad alto rischio ha davanti a sé un percorso ben definito. Si parte da una valutazione di conformità, per verificare che il sistema rispetti i requisiti imposti dall’AI Act e, se tutto è in regola, si procede con la dichiarazione di conformità e il rilascio del marchio CE.
Ma non finisce qui. Il Regolamento IA chiede molto di più: un solido sistema di gestione del rischio, una governance dei dati coerente, inclusa la compliance alla normativa data protection, documentazione tecnica esaustiva e una conservazione scrupolosa delle informazioni. Fondamentali la trasparenza, supervisione umana, attenzione all’accuratezza, alla robustezza e alla cybersicurezza. E poi, ancora, un sistema di gestione della qualità, il monitoraggio del funzionamento del prodotto (sistema di IA) dopo la commercializzazione e la segnalazione tempestiva di incidenti gravi.
Un elemento spesso sottovalutato – ma cruciale – è la catena di fornitura. In questo senso il fornitore deve stipulare accordi chiari e dettagliati con chi contribuisce, con componenti o servizi, alla realizzazione e commercializzazione dei sistemi di IA. Perché? Per assicurarsi di avere accesso a tutte le informazioni e i documenti che servono per garantire il pieno rispetto degli obblighi normativi.
E se il fornitore è stabilito fuori dall’UE? Nessun problema, purché nomini un rappresentante autorizzato all’interno dell’Unione. Anche questo è un tassello fondamentale del nuovo scenario europeo.
Deployer: utilizzatori, ma non spettatori
Chi utilizza, purché non a livello personale, un sistema di IA ad alto rischio – il deployer – non può limitarsi a “premere il tasto”. Deve conoscere e rispettare le istruzioni d’uso fornite dal produttore, assicurarsi che ci sia un’adeguata supervisione umana, conservare i registri e monitorare il comportamento del sistema.
Non solo. È tenuto ad informare le persone (compresi i dipendenti) quando queste interagiscono con sistemi ad alto rischio, a spiegare le decisioni automatizzate, a valutare l’impatto e – quando necessario – a segnalare alle autorità eventuali rischi per la salute, la sicurezza o i diritti fondamentali.
C’è un dettaglio da non dimenticare: se il deployer modifica in modo sostanziale il sistema di IA o lo commercializza con un proprio marchio, cambia ruolo. In quel caso, il Regolamento IA lo considera un fornitore. E, con il nuovo ruolo, arrivano anche obblighi più stringenti.
Competenze condivise, responsabilità condivise
Infine, c’è un terreno comune tra fornitori e deployer: la formazione. Entrambi devono promuovere un’adeguata alfabetizzazione sull’intelligenza artificiale tra i propri collaboratori. Detto obbligo, peraltro, è entrato in vigore a febbraio di quest’anno. Non serve che tutti diventino esperti, ma è importante che ciascuno – in base al proprio ruolo – sappia orientarsi.
Ci sono poi regole trasversali: il dovere di informare (sopra menzionato), in modo chiaro quando una persona sta interagendo con un sistema di IA (tranne nei casi in cui sia ovvio), identificare in modo leggibile per le macchine ogni contenuto generato dall’intelligenza artificiale, segnalare deepfake o sistemi di riconoscimento delle emozioni e categorizzazione biometrica.
Non solo obblighi, ma nuove possibilità
L’AI Act non è solo un manuale di regole da seguire. È anche un’occasione per fermarsi, capire, pianificare. Per proteggere i propri utenti, ma anche per costruire processi più solidi, affidabili, e – in prospettiva – più competitivi. In fondo, conoscere le regole del gioco non serve solo a evitare i falli, ma anche a giocare meglio.
Avv. Grazia Quacquarelli, dott. Diego Gonzales – Studio legale Caporale Carbone Giuffrè Strano
