In questo articolo scoprirete in quali casi l’AI Act è rilevante anche per le aziende svizzere e a cosa dovete prestare attenzione.

L’AI Act classifica i cosiddetti sistemi di IA in base a una valutazione del rischio e ne deduce requisiti e norme diversi per i vari soggetti coinvolti. Poiché l’AI Act – come ad esempio anche il Regolamento generale sulla protezione dei dati dell’UE (RGPD, GDPR) – ha un cosiddetto effetto extraterritoriale, le imprese svizzere, indipendentemente dalle loro dimensioni (cioè anche le PMI e le start-up), devono rispettare l’AI Act in diverse circostanze.

L'AI Act è un complesso quadro normativo dell'UE. In questo articolo ci concentreremo su alcuni aspetti importanti.

Quali aziende svizzere devono rispettare l’AI Act dell’UE?

Un’impresa con sede in Svizzera è tenuta a rispettare l’AI Act nei seguenti casi (elenco non esaustivo):

  • Quando un fornitore immette sul mercato o mette in funzione un sistema di intelligenza artificiale nell'UE;
  • Quando un fornitore immette sul mercato dell'UE un modello di intelligenza artificiale a uso generico;
  • Se il risultato generato dal sistema di intelligenza artificiale di un fornitore o di un operatore viene utilizzato nell'UE;
  • Rappresentanti legali dei fornitori.

Cosa si intende per "sistema di intelligenza artificiale"?

Per sistema di intelligenza artificiale si intende un sistema basato su algoritmi automatici, progettato per funzionare con vari livelli di autonomia, in grado di adattarsi una volta avviato e di dedurre, sulla base degli input ricevuti e di obiettivi espliciti o impliciti, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.

Cosa si intende per “modello di intelligenza artificiale a uso generico”?

Per “modello di IA a uso generico” si intende un modello di IA — compresi i casi in cui tale modello venga addestrato con un’ampia quantità di dati nell’ambito di un’automonitorizzazione completa —, che presenta una notevole versatilità d’uso ed è in grado, indipendentemente dalle modalità della sua immissione sul mercato, di svolgere con competenza un’ampia gamma di compiti diversi e che può essere integrato in una moltitudine di sistemi o applicazioni a valle, ad eccezione dei modelli di IA utilizzati, prima della loro immissione sul mercato, per attività di ricerca e sviluppo o per la progettazione di prototipi.

Esempi:

  • ChatGPT
  • Claude

Chi è il fornitore?

Per «fornitore» si intende una persona fisica o giuridica, un’autorità pubblica, un ente o altro organismo che sviluppi o faccia sviluppare un sistema di IA o un modello di IA per uso generico e lo immetta sul mercato con il proprio nome o marchio commerciale, oppure che metta in funzione il sistema di IA con il proprio nome o marchio commerciale, a titolo oneroso o gratuito.

Esempi:

  • OpenAI (ChatGPT)
  • Microsoft (Copilot)

Chi è il gestore?

Per «gestore» si intende una persona fisica o giuridica, un’autorità pubblica, un ente o altro organismo che utilizza un sistema di intelligenza artificiale sotto la propria responsabilità, a meno che tale sistema non sia utilizzato nell’ambito di un’attività personale e non professionale.

Esempi:

  • Ogni azienda che utilizza un sistema di intelligenza artificiale.

Quando si ritiene che un sistema di intelligenza artificiale comporti un rischio inaccettabile e cosa si intende per “pratiche vietate”?

Le seguenti situazioni sono classificate come comportanti un rischio inaccettabile:

  • Influenza subliminale attraverso tecniche intenzionalmente manipolative o ingannevoli
  • Sfruttamento delle debolezze o della vulnerabilità
  • Valutazione sociale («social scoring»)
  • Previsione delle attività criminali
  • Database per il riconoscimento facciale
  • Riconoscimento delle emozioni sul posto di lavoro o negli istituti scolastici
  • Classificazione biometrica
  • Sorveglianza biometrica

Esempi:

  • Manipolazione mirata dei contenuti sui social media al fine di perseguire obiettivi politici.
  • Analisi dei dati dei social media per valutare l'affidabilità creditizia di una persona.

Quali sono le conseguenze nel caso in cui un sistema di intelligenza artificiale presenti un rischio inaccettabile?

Le pratiche basate sull'intelligenza artificiale sono completamente vietate se classificate come comportanti un rischio inaccettabile. Per questo motivo vengono anche definite "pratiche vietate".

Quando si può parlare di rischio elevato in un sistema di intelligenza artificiale?

Da un lato, quando si tratta di un prodotto o di un componente di sicurezza di un prodotto soggetto alle norme di armonizzazione dell’UE (ad esempio dispositivi medici, macchinari industriali, giocattoli, aeromobili, automobili). Dall’altro lato, i casi di applicazione di cui all’allegato III (soggetto a modifiche/adeguamenti):

  • Biometria:
    • sistemi biometrici di identificazione a distanza
    • classificazione biometrica in base ad attributi sensibili
    • Sistemi di riconoscimento delle emozioni
  • Infrastrutture critiche:
    • Sistemi di sicurezza per la gestione e il funzionamento di infrastrutture quali trasporti, risorse idriche e approvvigionamento energetico
  • Istruzione:
    • Sistemi di accesso, valutazione e monitoraggio negli istituti scolastici
  • Occupazione e gestione del personale:
    • Sistemi per l'assunzione, la valutazione, le condizioni di lavoro e il monitoraggio dei dipendenti
  • Servizi di base:
    • Valutazione dei diritti alle prestazioni pubbliche/private (ad es. assistenza sanitaria, prestiti)
  • Procedimenti penali:
    • Valutazione dei rischi, rilevatori di bugie, valutazione delle prove, profilazione
  • Migrazione e controllo delle frontiere:
    • Detettori di bugie, valutazioni dei rischi, assistenza per le domande di asilo e di visto
  • Diritto e democrazia:
    • Sostegno alle autorità giudiziarie, influenza sui risultati elettorali

Quali sono le conseguenze se un sistema di intelligenza artificiale viene classificato come ad alto rischio?

I sistemi di intelligenza artificiale ad alto rischio sono soggetti a norme rigorose ed esaustive.

I fornitori di tali sistemi di IA ad alto rischio devono, ad esempio, rispettare i seguenti obblighi:

  • Sistema di gestione della qualità e dei rischi
  • Governance dei dati
  • Documentazione tecnica
  • Obblighi di registrazione
  • Requisiti di trasparenza
  • Supervisione umana
  • Precisione, robustezza e sicurezza informatica
  • Misure correttive
  • Dichiarazione di conformità

Anche i gestori di sistemi di IA ad alto rischio devono rispettare una serie di obblighi, ad esempio:

  • Garantire che il sistema di IA venga utilizzato secondo le istruzioni per l'uso (misure tecniche e organizzative)
  • Supervisione umana
  • Controllo e obbligo di informazione
  • Conservazione dei verbali
  • Valutazione d'impatto sui diritti fondamentali

Quali requisiti di trasparenza si applicano a tutti i sistemi di intelligenza artificiale?

Indipendentemente dalla classificazione di rischio, devono essere sempre rispettati i seguenti obblighi di trasparenza:

  • I fornitori di sistemi di intelligenza artificiale devono garantire che le persone fisiche siano informate quando interagiscono direttamente con un sistema di intelligenza artificiale, a meno che ciò non sia evidente.
  • I fornitori di sistemi di intelligenza artificiale che generano contenuti sintetici audio, immagine, video o testuali devono garantire che i risultati prodotti dal sistema di intelligenza artificiale siano contrassegnati in un formato leggibile da macchina e siano riconoscibili come generati artificialmente o manipolati.
  • I gestori di un sistema di riconoscimento delle emozioni o di un sistema di classificazione biometrica informano le persone fisiche in merito al funzionamento e al trattamento dei dati personali.
  • I gestori sono tenuti a contrassegnare i deepfake, ovvero contenuti visivi, audio o video generati o manipolati tramite intelligenza artificiale che assomigliano a persone, oggetti, luoghi, strutture o eventi reali, oppure che potrebbero essere erroneamente percepiti da una persona come autentici o veritieri.
  • I gestori di un sistema di intelligenza artificiale che genera o modifica testi destinati alla pubblicazione al fine di informare l'opinione pubblica su questioni di interesse pubblico devono indicare chiaramente che il testo è stato generato o modificato artificialmente.

Quali sono le regole valide per tutti i fornitori e gli operatori di sistemi di intelligenza artificiale?

Sia i fornitori che gli operatori di sistemi di IA devono garantire la cosiddetta «competenza in materia di IA», ovvero devono assicurarsi che il proprio personale e le altre persone incaricate di gestire tali sistemi dispongano di conoscenze adeguate per l'utilizzo dei sistemi di IA.

Ecco una panoramica dei corsi di formazione e di aggiornamento.

Quali sono i rischi in caso di mancato rispetto dell’AI Act?

A seconda della violazione, sono previsti i seguenti livelli di sanzione:

  • 35 milioni di euro, pari al 7% del fatturato annuo globale
  • 15 milioni di euro, pari al 3% del fatturato annuo globale
  • 7,5 milioni di euro, pari all'1% del fatturato annuo globale

A partire da quando entrano in vigore gli obblighi previsti dall’AI Act?

L'AI Act è in vigore già dall'inizio di agosto 2024. Gli obblighi di attuazione, tuttavia, vengono applicati in modo scaglionato come segue:

A partire dal 2 febbraio 2025:

  • Divieto di sistemi di intelligenza artificiale che comportano un rischio inaccettabile
  • È necessario che tutti dimostrino di possedere competenze in materia di IA

A partire dal 2 agosto 2025:

  • Norme relative ai modelli di intelligenza artificiale per uso generico

A partire dal 2 agosto 2026:

  • Tutte le norme, ad eccezione di alcuni sistemi di intelligenza artificiale ad alto rischio

A partire dal 2 agosto 2027:

  • Norme relative ad alcuni sistemi di IA ad alto rischio

In quali casi l'AI Act non si applica?

L'AI Act non si applica nelle seguenti circostanze:

  • Finalità militari e di sicurezza
  • Cooperazione internazionale in materia di applicazione della legge e cooperazione giudiziaria
  • Ricerca e sviluppo
  • Uso personale
  • IA open source (purché non si tratti di pratiche di IA vietate, di un sistema ad alto rischio o della generazione di deepfake)

Sintesi e schema di verifica

L'AI Act è un quadro normativo complesso, i cui dettagli concreti si definiranno solo col tempo, ovvero con la pubblicazione delle relative linee guida e grazie all'esperienza pratica.

In questo articolo ci siamo concentrati su alcuni aspetti importanti.

Nella pratica, raccomandiamo di seguire le seguenti fasi di verifica:

  1. Si tratta di un sistema di IA o di un modello di IA per uso generico?
  2. In caso affermativo: in quale ruolo previsto dall’AI-Act si opera? In particolare, si è fornitori o gestori di un sistema di IA?
  3. L'AI Act si applica anche al di fuori dell'UE?
  4. A quale categoria di rischio appartiene il sistema di intelligenza artificiale?

Infine, ma non meno importante, occorre tenere presente che i gestori sono tenuti a rispettare anche gli obblighi stabiliti dal produttore di un sistema di IA o di un modello di IA per uso generico nelle proprie condizioni d’uso. Tali obblighi possono andare oltre quelli definiti nell’AI Act.

Panoramica dei corsi di formazione e di aggiornamento.

Informazioni sulla fonte: Questo articolo è stato originariamente scritto da Caroline Danner, avvocato e socia fondatrice di ONLAW, e pubblicato nel pubblicato sul suo blog. Lo pubblichiamo qui con il suo consenso.