Linee guida della Commissione sulle pratiche vietate di intelligenza artificiale stabilite dal Regolamento(UE) 2024/1689 (Legge sull'intelligenza artificiale)

Premessa

Il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce norme armonizzate in materia di intelligenza artificiale e modifica taluni regolamenti (“legge sull’IA”)1 è entrato in vigore il 1° agosto 2024.

La legge sull’IA norme armonizzate per l’immissione sul mercato, la messa in servizio e l’uso dell’intelligenza artificiale (“IA”) nell’Unione. Il suo obiettivo è promuovere l’innovazione e l’adozione dell’IA, garantendo al contempo un elevato livello di protezione della salute, della sicurezza e dei diritti fondamentali nell’Unione, compresi la democrazia e lo Stato di diritto.

L’AI Act segue un approccio basato sul rischio, classificando i sistemi di IA in quattro diverse categorie di rischio:

(i) Rischio inaccettabile: I sistemi di IA che presentano rischi inaccettabili per i diritti fondamentali e i valori dell’Unione sono vietati ai sensi dell’articolo 5 della legge sull’IA.

(ii) Rischio elevato: I sistemi di IA che presentano rischi elevati per la salute, la sicurezza e i diritti fondamentali sono soggetti a una serie di requisiti e obblighi. Questi sistemi sono classificati come “ad alto rischio” ai sensi dell’articolo 6 della legge sull’IA in combinato disposto con gli allegati I e III della legge sull’IA.

(iii) Rischio di trasparenza: I sistemi di IA che presentano un rischio di trasparenza limitato sono soggetti agli obblighi di trasparenza ai sensi dell’articolo 50 della legge sull’IA.

(iv) Rischio minimo o nullo: I sistemi di IA che presentano rischi minimi o nulli non sono regolamentati, ma i fornitori e gli implementatori possono aderire volontariamente a codici di condotta volontari.

PANORAMICA DELLE PRATICHE VIETATE AI

L’articolo 5 dell’AI Act vieta l’immissione sul mercato dell’UE, la messa in servizio o l’uso di determinati sistemi di IA per pratiche di manipolazione, sfruttamento, controllo sociale o sorveglianza, che per loro natura violano i diritti fondamentali e i valori dell’Unione. Il considerando 28 dell’Atto di AI chiarisce che tali pratiche sono particolarmente dannose e abusive e dovrebbero essere vietate perché contraddicono i valori dell’Unione del rispetto della dignità umana, della libertà, dell’uguaglianza, della democrazia e dello Stato di diritto, nonché i diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell’Unione europea ((”la Carta”), tra cui il diritto alla non discriminazione (articolo 21 della Carta) e all’uguaglianza (articolo 20), la protezione dei dati (articolo 8 della Carta) e la vita privata e familiare (articolo 7 della Carta), nonché i diritti del minore (articolo 24 della Carta). I divieti di cui all’articolo 5 della legge sull’AI mirano anche a sostenere il diritto alla libertà di espressione e di informazione (articolo 11 della Carta), la libertà di riunione e di associazione (articolo 12 della Carta), la libertà di pensiero, di coscienza e di religione (articolo 10 della Carta), il diritto a un ricorso effettivo e a un giudice imparziale (articolo 47 della Carta) e la presunzione di innocenza e il diritto alla difesa (articolo 48 della Carta).

Divieti elencati nell’articolo 5 della legge sull’AI

Ambito personale: attori responsabili

La legge sull’IA distingue diverse categorie di operatori in relazione ai sistemi di IA: fornitori, implementatori, importatori, distributori e produttori di prodotti. Le presenti Linee guida si concentrano solo sui fornitori e sui distributori, data la portata delle pratiche vietate dall’articolo 5 della legge sull’IA.

Ai sensi dell’articolo 3, paragrafo 3, della legge sull’IA, i fornitori sono persone fisiche o giuridiche, autorità pubbliche, agenzie o altri organismi che sviluppano o fanno sviluppare sistemi di IA e li immettono sul mercato dell’Unione o li mettono in servizio con il proprio nome o marchio11 (cfr. sezione 2.3). Fornitori stabiliti o situati al di fuori dell’Unione sono soggetti alle disposizioni della legge sull’IA se immettono tali sistemi sul mercato o li

mettono in servizio nell’Unione12 o se il prodotto del sistema di IA viene utilizzato nell’Unione13. I fornitori devono assicurarsi che i loro sistemi di IA soddisfino tutti i requisiti pertinenti prima di immetterli sul mercato o metterli in servizio.

I responsabili del dispiegamento sono persone fisiche o giuridiche, autorità pubbliche, agenzie o altri organismi che utilizzano i sistemi di IA sotto la loro autorità, a meno che l’utilizzo non avvenga per un’attività personale non professionale. Per “autorità” su un sistema di IA si deve intendere l’assunzione di responsabilità sulla decisione di dispiegare il sistema e sulle modalità del suo effettivo utilizzo. I responsabili dell’installazione rientrano nell’ambito di applicazione della legge sull’IA se il loro luogo di stabilimento o la loro sede si trovano all’interno dell’Unione15 o, se sono situati in un paese terzo, se i risultati sistema di IA sono utilizzati nell’Unione.

Se l’implementatore di un sistema di IA è una persona giuridica sotto la cui autorità il sistema viene utilizzato, ad esempio un’autorità di polizia o una società di sicurezza privata, i singoli dipendenti che agiscono nell’ambito delle procedure e sotto il controllo di tale persona non dovrebbero essere considerati l’implementatore. Una persona giuridica rimane un responsabile dell’implementazione anche se coinvolge terze parti (ad esempio, appaltatori, personale esterno) nel funzionamento del sistema per suo conto e sotto la sua responsabilità e controllo.

Gli operatori possono svolgere più di un ruolo contemporaneamente in relazione a un sistema di IA. Ad esempio, se un operatore sviluppa un proprio sistema di IA che utilizza in seguito, sarà considerato sia fornitore che distributore di tale sistema, anche se tale sistema è utilizzato anche da altri distributori ai quali il sistema è stato fornito a pagamento o gratuitamente.

La conformità continua alla legge sull’IA è richiesta durante tutte le fasi del ciclo di vita dell’IA. Ciò richiede un monitoraggio continuo e aggiornamenti dei sistemi di IA immessi sul mercato o messi in servizio nell’Unione per garantire che un sistema di IA rimanga conforme alla legge sull’IA per tutto il suo ciclo di vita e che non dia luogo a una pratica vietata dall’articolo 5 della legge sull’IA. I fornitori e i distributori di sistemi di IA hanno responsabilità diverse a seconda del loro ruolo e del loro controllo sulla progettazione, sullo sviluppo e sull’uso effettivo del sistema per evitare una pratica vietata. Per ognuno dei divieti, questi ruoli e responsabilità devono essere interpretati in proporzionato, tenendo conto di chi nella catena del valore è nella posizione migliore per adottare specifiche misure preventive e di mitigazione e garantire uno sviluppo e un utilizzo conformi dei sistemi di IA in linea con gli obiettivi e l’approccio dell’AI Act.

L’apparato sanzionatorio

La legge sull’AI segue un approccio graduale nel definire le sanzioni per l’inosservanza delle sue varie disposizioni, a seconda della gravità dell’infrazione. L’inosservanza dei divieti di cui all’articolo 5 della legge sull’IA è considerata la violazione più grave ed è pertanto soggetta all’ammenda più elevata. I fornitori e i distributori che adottano pratiche di IA vietate possono essere multati fino a 35.000.000 di euro, o, se il trasgressore è un’impresa, fino al 7% del suo fatturato mondiale totale annuo dell’esercizio precedente, se superiore. Ciascuno Stato membro dovrebbe stabilire se e nella misura in cui le ammende amministrative possono essere inflitte alle autorità pubbliche e agli organismi stabiliti in tale Stato membro in qualità di fornitori e installatori di sistemi di IA. Le istituzioni, gli organi e le agenzie dell’UE che violano i divieti possono essere soggetti a sanzioni amministrative pecuniarie fino a 1 500 000 euro.

È possibile che uno stesso comportamento vietato costituisca una violazione di due o più disposizioni della legge sull’AI (ad esempio, la mancata etichettatura dei falsi profondi può anche costituire una tecnica ingannevole ai sensi dell’articolo 5, paragrafo 1, lettera a), della legge sull’AI). In questi casi, dovrebbe essere rispettato il principio del ne bis in idem. In ogni caso, devono essere presi in considerazione i criteri di determinazione della sanzione previsti dall’articolo 99, paragrafo 7[9], della legge sull’AI.

Poiché le violazioni dei divieti di cui all’articolo 5 dell’AI interferiscono maggiormente con le libertà altrui e danno luogo alle ammende più elevate, il loro ambito di applicazione deve essere interpretato in modo restrittivo.

[1] a) l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che utilizza tecniche subliminali che agiscono senza che una persona ne sia consapevole o tecniche volutamente manipolative o ingannevoli aventi lo scopo o l’effetto di distorcere materialmente il comportamento di una persona o di un gruppo di persone, pregiudicando in modo considerevole la loro capacità di prendere una decisione informata, inducendole pertanto a prendere una decisione che non avrebbero altrimenti preso, in un modo che provochi o possa ragionevolmente provocare a tale persona, a un’altra persona o a un gruppo di persone un danno significativo;

[2] b) l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che sfrutta le vulnerabilità di una persona fisica o di uno specifico gruppo di persone, dovute all’età, alla disabilità o a una specifica situazione sociale o economica, con l’obiettivo o l’effetto di distorcere materialmente il comportamento di tale persona o di una persona che appartiene a tale gruppo in un modo che provochi o possa ragionevolmente provocare a tale persona o a un’altra persona un danno significativo;

[3] c) l’immissione sul mercato, la messa in servizio o l’uso di sistemi di IAper la valutazione o la classificazione delle persone fisiche o di gruppi di persone per un determinato periodo di tempo sulla base del loro comportamento sociale o di caratteristiche personali o della personalità note, inferite o previste, in cui il punteggio sociale così ottenuto comporti il verificarsi di uno o di entrambi gli scenari seguenti: i) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone in contesti sociali che non sono collegati ai contesti in cui i dati sono stati originariamente generati o raccolti; ii) un trattamento pregiudizievole o sfavorevole di determinate persone fisiche o di gruppi di persone che sia ingiustificato o sproporzionato rispetto al loro comportamento sociale o alla sua gravità;

[4] d) l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di un sistema di IA per effettuare valutazioni del rischio relative a persone fisiche al fine di valutare o prevedere il rischio che una persona fisica commetta un reato, unicamente sulla base della profilazione di una persona fisica o della valutazione dei tratti e delle caratteristiche della personalità; tale divieto non si applica ai sistemi di IA utilizzati a sostegno della valutazione umana del coinvolgimento di una persona in un’attività criminosa, che si basa già su fatti oggettivi e verificabili direttamente connessi a un’attività criminosa;

[5] e) l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di IA che creano o ampliano le banche dati di riconoscimento facciale mediante scraping non mirato di immagini facciali da internet o da filmati di telecamere a circuito chiuso;

[6] f) f) l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di IA per inferire le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione, tranne laddove l’uso del sistema di IA sia destinato a essere messo in funzione o immesso sul mercato per motivi medici o di sicurezza;

[7] g) l’immissione sul mercato, la messa in servizio per tale finalità specifica o l’uso di sistemi di categorizzazione biometrica che classificano individualmente le persone fisiche sulla base dei loro dati biometrici per trarre deduzioni o inferenze in merito a razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale; tale divieto non riguarda l’etichettatura o il filtraggio di set di dati biometrici acquisiti legalmente, come le immagini, sulla base di dati biometrici o della categorizzazione di dati biometrici nel settore delle attività di contrasto;

[8] h) l’uso di sistemi di identificazione biometrica remota «in tempo reale» in spazi accessibili al pubblico a fini di attività di contrasto a meno che, e nella misura in cui, tale uso sia strettamente necessario per uno degli obiettivi seguenti: i) la ricerca mirata di specifiche vittime di sottrazione, tratta di esseri umani o sfruttamento sessuale di esseri umani, nonché la ricerca di persone scomparse; ii) la prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l’incolumità fisica delle persone fisiche o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico; iii) La localizzazione o l’identificazione di una persona sospettata di aver commesso un reato, ai fini dello svolgimento di un’indagine penale, o dell’esercizio di un’azione penale o dell’esecuzione di una sanzione penale per i reati di cui all’allegato II, punibile nello Stato membro interessato con una pena o una misura di sicurezza privativa della libertà della durata massima di almeno quattro anni.

[9] Articolo 99 Sanzioni

(omissis)

7. Nel decidere se infliggere una sanzione amministrativa pecuniaria e nel determinarne l’importo in ogni singolo caso, si tiene conto di tutte le circostanze pertinenti della situazione specifica e, se del caso, si tiene in considerazione quanto segue:

a) la natura, la gravità e la durata della violazione e delle sue conseguenze, tenendo in considerazione la finalità del sistema di IA, nonché, ove opportuno, il numero di persone interessate e il livello del danno da esse subito;

b) se altre autorità di vigilanza del mercato hanno già applicato sanzioni amministrative pecuniarie allo stesso operatore per la stessa violazione;

c) se altre autorità hanno già applicato sanzioni amministrative pecuniarie allo stesso operatore per violazioni di altre disposizioni del diritto dell’Unione o nazionale, qualora tali violazioni derivino dalla stessa attività o omissione che costituisce una violazione pertinente del presente regolamento;

d) le dimensioni, il fatturato annuo e la quota di mercato dell’operatore che ha commesso la violazione;

e) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione;

f) il grado di cooperazione con le autorità nazionali competenti al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

g) il grado di responsabilità dell’operatore tenendo conto delle misure tecniche e organizzative attuate;

h) il modo in cui le autorità nazionali competenti sono venute a conoscenza della violazione, in particolare se e in che misura è stata notificata dall’operatore;

i) il carattere doloso o colposo della violazione;

j) l’eventuale azione intrapresa dall’operatore per attenuare il danno subito dalle persone interessate.

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

Linee guida della Commissione sulle pratiche vietate di intelligenza artificiale stabilite dal Regolamento

About Author / Davide De Luca

Le misure di sicurezza informatica declinata attraverso le prescrizioni contenute nel Piano triennale AGID per l’informatica nella P.A., 2024-2026.

Obbligo in capo ai fornitori ed agli utilizzatori di sistemi di IA di garantire un livello sufficiente di alfabetizzazione dei propri dipendenti e di coloro che utilizzano i sistemi per loro conto.

Lascia un commento Annulla risposta