L'8 dicembre 2023, dopo 38 ore di negoziazione, Parlamento e Consiglio UE hanno raggiunto l'accordo politico sull'AI Act. È il primo regolamento al mondo sull'intelligenza artificiale, e tocca chiunque venda o usi sistemi AI in UE.
Le quattro fasce di rischio
- Inaccettabile (vietato): social scoring, manipolazione subliminale, identificazione biometrica in tempo reale in spazi pubblici (con eccezioni stringenti).
- Alto rischio: sanità, istruzione, infrastrutture critiche, lavoro, giustizia. Richiede valutazioni di conformità, documentazione tecnica, sorveglianza umana.
- Rischio limitato: chatbot, deepfake. Obbligo di trasparenza (l'utente deve sapere che parla con un'AI).
- Rischio minimo: filtri spam, raccomandatori. Niente obblighi specifici.
I modelli "general-purpose" (GPT, Claude, Llama)
Categoria nuova introdotta nel deal. I modelli con impatto sistemico (oltre 10²⁵ FLOPS di training) avranno obblighi specifici: red-teaming, segnalazione incidenti, valutazione del rischio, cybersecurity. Per quelli sotto soglia, basta documentazione tecnica e rispetto del copyright sui dati di training.
Deadline
- Entrata in vigore: ~maggio 2024 (dopo pubblicazione in Gazzetta UE).
- Pratiche vietate: 6 mesi dopo (≈ novembre 2024).
- Modelli general-purpose: 12 mesi dopo (≈ maggio 2025).
- Resto: 24 mesi dopo (≈ maggio 2026).
Cosa fare nelle PMI italiane oggi
Per la maggior parte dei progetti che facciamo (chatbot interni, AI assistant, automazioni), il regime applicabile è "rischio limitato". Significa: trasparenza, niente trucchi, log delle interazioni. Tutto fattibile senza stravolgimenti. Per chi tocca sanità, HR, istruzione: il lavoro di compliance è serio, partiamo subito.