In sintesi
Il Consiglio dell'Unione Europea ha approvato gli emendamenti all'EU AI Act, introducendo significative modifiche. Queste includono nuove date di applicazione per i sistemi AI ad alto rischio e un nuovo divieto sulla generazione di contenuti sessuali non consensuali. Vengono inoltre chiarite le competenze dell'AI Office e l'interazione con le normative settoriali per minimizzare gli oneri di conformità. Il testo legislativo deve ancora essere pubblicato nella Gazzetta Ufficiale dell'Unione Europea per entrare in vigore.
Contesto
Il 29 giugno 2026, il Consiglio dell'Unione Europea ha approvato emendamenti all'EU AI Act. Tra i cambiamenti chiave, vi sono nuovi termini per l'applicazione delle norme: il 2 dicembre 2027 per i sistemi AI ad alto rischio elencati nell'Allegato III e il 2 agosto 2028 per quelli dell'Allegato I. Il 2 agosto 2027 è la nuova scadenza per l'istituzione di sandbox regolamentari per l'IA da parte delle autorità nazionali competenti, mentre il 2 dicembre 2026 termina il periodo di grazia per i fornitori per implementare soluzioni di trasparenza per i contenuti generati dall'AI.
È stata introdotta una nuova pratica AI proibita: la generazione di contenuti sessuali e intimi non consensuali o di materiale pedopornografico (CSAM). I sistemi AI che generano immagini nude di persone reali o che modificano abiti in foto esistenti per rivelare parti intime saranno vietati a partire da dicembre 2026.
Il nuovo testo chiarisce le competenze dell'AI Office per la supervisione dei sistemi AI basati su modelli AI per scopi generali, quando modello e sistema sono sviluppati dallo stesso fornitore. Vengono elencate eccezioni in cui le autorità nazionali rimangono competenti, inclusi settori come le forze dell'ordine, la gestione delle frontiere, le autorità giudiziarie e le istituzioni finanziarie.
Per i sistemi AI ad alto rischio coperti dall'Allegato I (già regolamentati da leggi settoriali, come dispositivi medici, giocattoli, ascensori), il nuovo testo limita l'applicazione dell'AI Act in situazioni in cui le leggi settoriali impongono già requisiti specifici per l'AI simili a quelli dell'AI Act. I prodotti coperti dalla regolamentazione sui macchinari (e precedentemente classificati come ad alto rischio ai sensi dell'Allegato I) sono stati esentati dall'applicabilità diretta dell'AI Act, con la Commissione UE abilitata ad adottare legislazione secondaria per aggiungere requisiti di salute e sicurezza.
Inoltre, il nuovo testo impone alla Commissione UE l'obbligo di fornire linee guida per assistere gli operatori economici di sistemi AI ad alto rischio coperti dall'Allegato I nella conformità ai requisiti dell'AI Act, minimizzando l'onere di conformità. Si ricorda che l'atto legislativo che rende queste modifiche ufficiali deve ancora essere pubblicato nella Gazzetta Ufficiale dell'Unione Europea ed entrerà in vigore tre giorni dopo la pubblicazione.
Perché conta
Le modifiche approvate all'AI Act hanno implicazioni dirette per tutte le organizzazioni che sviluppano, implementano o utilizzano sistemi di intelligenza artificiale, in particolare quelli classificati come ad alto rischio. Le nuove scadenze richiedono una revisione immediata delle tempistiche di compliance e delle strategie interne per l'adeguamento normativo, evitando di incorrere in ritardi o sanzioni. L'introduzione di un divieto esplicito su specifiche pratiche AI (generazione di contenuti sessuali non consensuali o CSAM) impone alle organizzazioni di valutare attentamente le capacità dei propri sistemi e di implementare robusti controlli etici e tecnici per prevenire usi illeciti, influenzando la progettazione e la gestione del ciclo di vita dell'AI.
La chiarezza sulle competenze dell'AI Office e delle autorità nazionali è fondamentale per comprendere chi sarà l'interlocutore regolatorio e per indirizzare correttamente le attività di auditing e di interazione con le autorità di vigilanza. L'interazione tra l'AI Act e le normative settoriali, insieme all'esenzione per i macchinari, evidenzia la necessità di un'analisi multi-normativa per determinare l'effettivo onere di conformità e per evitare duplicazioni o contraddizioni regolamentari. Le future linee guida della Commissione Europea saranno uno strumento cruciale per le organizzazioni, offrendo un supporto pratico per la minimizzazione degli oneri e una migliore navigazione nel complesso panorama normativo dell'AI, che si integra con le pratiche di privacy (GDPR) e cybersecurity (NIS2) per una governance aziendale complessiva.
Cosa fare
- Monitorare la pubblicazione ufficiale dell'atto legislativo nella Gazzetta Ufficiale dell'Unione Europea e la sua entrata in vigore.
- Rivedere e aggiornare i piani di conformità e le tempistiche interne in base alle nuove scadenze per i sistemi AI ad alto rischio (Allegato I e III).
- Valutare i sistemi AI utilizzati o sviluppati per identificare quelli che generano contenuti e assicurarsi che non rientrino nelle nuove pratiche proibite (contenuti sessuali non consensuali, CSAM, alterazione di immagini).
- Verificare le competenze dell'AI Office e delle autorità nazionali per la supervisione dei propri sistemi AI, in particolare per i modelli AI per scopi generali.
- Analizzare l'interazione tra l'AI Act e le normative settoriali applicabili ai propri sistemi ad alto rischio (es. dispositivi medici, giocattoli, macchinari) per comprendere l'effettivo onere di conformità.
- Attendere e consultare le future linee guida della Commissione Europea per minimizzare l'onere di conformità per i sistemi AI ad alto rischio già coperti da leggi settoriali.
Cosa evitare
- Ignorare le modifiche approvate dal Consiglio dell'UE, anche se non ancora pubblicate ufficialmente, poiché delineano il futuro quadro normativo.
- Ritardare la valutazione della conformità dei propri sistemi AI ad alto rischio, data la revisione delle scadenze che richiede un'adeguata pianificazione.
- Sviluppare o utilizzare sistemi AI che possano generare contenuti sessuali non consensuali o materiale pedopornografico (CSAM), data l'imminenza del divieto esplicito.
Implicazioni pratiche
Le organizzazioni che sviluppano, distribuiscono o utilizzano sistemi di intelligenza artificiale devono prepararsi a un quadro normativo in evoluzione. Le modifiche introducono chiarezza su scadenze, divieti specifici e ripartizione delle competenze, ma richiedono anche un'attenta analisi dell'interazione con altre normative settoriali. È fondamentale integrare queste nuove disposizioni nelle strategie di governance e compliance aziendale, monitorando gli sviluppi normativi e le future linee guida per garantire un uso etico e legale dell'AI, minimizzando i rischi e gli oneri.
Azioni da fare
- Riclassificare i sistemi AI in uso o in sviluppo alla luce delle nuove date di applicazione per l'alto rischio.
- Implementare controlli rigorosi e meccanismi di supervisione per prevenire la generazione di contenuti proibiti da parte dei sistemi AI.
- Stabilire i punti di contatto interni ed esterni (AI Office, autorità nazionali competenti) per la gestione della supervisione dei sistemi AI.
- Formare il personale coinvolto nello sviluppo, implementazione e gestione dei sistemi AI sulle nuove disposizioni dell'AI Act e sulle interazioni con le normative settoriali pertinenti.
- Aggiornare le politiche interne, le procedure operative e i framework di gestione del rischio AI per riflettere le modifiche normative.
Errori da evitare
- Sottovalutare l'impatto delle modifiche legislative sulle proprie operazioni e sul proprio portafoglio di soluzioni AI.
- Assumere che un sistema AI già conforme a normative settoriali (es. medical device, macchinari) non necessiti di ulteriori valutazioni o adeguamenti per l'AI Act.
- Mancare di monitorare attivamente la pubblicazione ufficiale del testo legislativo e l'entrata in vigore delle nuove disposizioni, esponendosi a rischi di non conformità.
Domande di self-assessment
- Quali dei nostri sistemi AI rientrano nelle categorie ad alto rischio di Allegato I o III, e come si allineano alle nuove scadenze di conformità?
- I nostri sistemi AI hanno la capacità di generare contenuti e, in tal caso, sono state implementate misure tecniche e organizzative per prevenire la generazione di contenuti proibiti (es. materiale sessuale non consensuale o CSAM)?
- Comprendiamo appieno quale autorità (AI Office o autorità nazionale competente) sarà responsabile per la supervisione dei nostri specifici sistemi AI e abbiamo stabilito i canali di comunicazione necessari?
- Come interagisce l'AI Act con le normative settoriali già applicabili ai nostri prodotti o servizi (es. dispositivi medici, regolamentazione sui macchinari), e quale impatto ha ciò sul nostro onere di conformità complessivo?
- Abbiamo un piano per integrare le future linee guida della Commissione Europea nella nostra strategia di conformità per ottimizzare i nostri sforzi e minimizzare gli oneri?
Riferimenti
Normativa nazionale: EU AI Act · Machinery regulation
Leggi l'articolo originale su Luiza Jarovsky (AI & Privacy) ↗
