L’AI ACT tra divieti e obblighi: un primo bilancio
Analisi del Regolamento UE 2024/1689: pratiche vietate, trasparenza algoritmica e il sistema sanzionatorio
Il Regolamento UE 2024/1689 (AI Act), in vigore dal 1° agosto 2024, introduce la prima disciplina europea vincolante sull'intelligenza artificiale. Adottando un approccio basato sul rischio, il regolamento distingue tra pratiche vietate per incompatibilità con i diritti fondamentali (art. 5) e sistemi ad alto rischio ammessi se conformi agli obblighi di trasparenza e supervisione umana (art. 13), prevedendo sanzioni fino a 35 milioni di euro o in alternativa,
fino al 7% del fatturato mondiale annuo.
PRATICHE VIETATE: ART. 5
L'articolo 5 stabilisce otto divieti assoluti per pratiche AI incompatibili con i valori fondamentali dell'Unione, operativi già dal 2 febbraio 2025. La violazione comporta sanzioni fino a 35 milioni di euro o il 7% del fatturato mondiale totale annuo (applicando il criterio del valore più elevato). Le pratiche vietate includono la manipolazione subliminale
degli utenti; lo sfruttamento di fragilità legate ad età, disabilità o condizione socio-economica; sistemi di valutazione e classificazione sociale con effetti in ambiti diversi da quello originario; previsione algoritmica del rischio di commissione di reati basandosi solo su caratteristiche fenotipiche; acquisizione massiva non mirata di dati biometrici facciali; riconoscimento automatico delle emozioni in contesti lavorativi ed educativi; categorizzazione biometrica volte a dedurre l’appartenenza a categorie protette; identificazione biometrica remota in tempo reale in spazi pubblicamente accessibili, salvo limitate eccezioni per finalità di contrasto della criminalità.
L’ampiezza semantica del divieto di valutazione sociale generalizzata ha generato incertezze applicative nel settore finanziario e delle piattaforme digitali, le Linee Guida della Commissione (4 febbraio 2025) chiariscono che la valutazione creditizia bancaria e i sistemi di punteggio comportamentale online restano leciti se strettamente finalizzati e proporzionati
al contesto specifico.
TRASPARENZA ALGORITMICA: ART. 13
L'articolo 13 impone ai fornitori di sistemi AI ad alto rischio (recruitment, credit scoring, diagnostica medica, valutazione studenti etc.…) un triplice obbligo: (a) trasparenza funzionale del sistema, (b) istruzioni d'uso dettagliate per gli utilizzatori (deployer), (c) documentazione tecnica completa (architettura, dataset, metriche performance), conservata per 10 anni.
Obblighi di Trasparenza per Fornitori e Utilizzatori
L’articolo 26 pone in capo a chi impiega questi sistemi l’obbligo di informare le persone coinvolte e di garantire un controllo umano effettivo sul processo decisionale. In Italia, la Legge 132/2025 aggiunge un obbligo specifico per le professioni intellettuali (avvocati, commercialisti, notai etc..) i quali devono comunicare ai clienti l'uso di IA, precisando che tale utilizzo è finalizzato solo per attività strumentali e non sostituisce il giudizio professionale.
SISTEMA SANZIONATORIO: TRE LIVELLI DI GRAVITÀ L'articolo 99 struttura le sanzioni su tre livelli proporzionali alla gravità della violazione:
I
Studente magistrale in Giurisprudenza, Università degli Studi Roma Tre E-mail: gio.galeota@stud.uniroma3.it
VIOLAZIONE | IMPORTO FISSO MASSIMO | % FATTURATO |
Violazione dei divieti assoluti | € 35.000.000 | 7% |
Mancata trasparenza algoritmica e supervisione umana | € 15.000.000 | 3% |
Informazioni false o incomplete alle autorità | € 7.500.000 | 1% |
Criterio applicativo: Si applicherà il valore più elevato tra importo fisso e percentuale del fatturato mondiale annuo. Eccezione è fatta per PMI e startup, per le quali si dovrà far riferimento all’importo dal valore più basso, introducendo un principio di proporzionalità a tutela delle realtà minori.
Modelli GPAI: competenza della Commissione Europea
L'articolo 101 attribuisce alla Commissione UE competenza sanzionatoria esclusiva per i fornitori di modelli IA generativi (foundation model es. GPT-4). Sanzioni fino a 15 milioni o 3% del fatturato mondiale annuo (applicando il criterio del valore più elevato) per violazioni di: documentazione tecnica; conformità al diritto d’autore; filigranatura digitale (watermarking) dei contenuti generati; mancata cooperazione nelle ispezioni.
La scelta di una vigilanza centralizzata riflette la natura transnazionale di questi sistemi e i rischi sistemici connessi.
TIMELINE APPLICATIVA
1 agosto 2024 | Entrata in vigore del Regolamento |
2 febbraio 2025 | Operatività divieti assoluti e formazione obbligatoria |
2 agosto 2025 | Avvio del regime sanzionatorio + obblighi per modelli IA generativi |
2 agosto 2026 | Applicazione generale del Regolamento |
CONCLUSIONI
L'AI Act introduce per la prima volta sanzioni vincolanti proporzionate al fatturato degli operatori. La principale sfida si pone sul piano interpretativo: stabilire quando un sistema di punteggio diventa "generalizzato", distinguere manipolazione commerciale lecita da quella vietata, definire cosa costituisca supervisione umana efficace. Saranno quindi le prime decisioni della Commissione e delle autorità nazionali che andranno a definire i confini applicativi della norma.
II
Studente magistrale in Giurisprudenza, Università degli Studi Roma Tre E-mail: gio.galeota@stud.uniroma3.it
La competenza esclusiva della Commissione sui modelli di intelligenza artificiale a scopo generale (GPAI) genera una disomogeneità delle competenze sanzionatorie problematica in sede applicativa. Un'impresa sanzionata da un'autorità nazionale per un sistema ad alto rischio potrà sostenere che la responsabilità ricade sul fornitore del modello di fondazione, sottratto alla competenza sanzionatoria della giurisdizione nazionale. La responsabilità lungo la catena fornitore-utilizzatore resta irrisolta e con essa il rischio concreto di un contenzioso prima che la giurisprudenza offra risposte stabili.
Per gli operatori economici, l’adeguamento comporta investimenti che rischiano ricadute asimmetriche tra i soggetti minori e i grandi operatori. Il rischio è che la conformità diventi un privilegio di pochi, lasciando i soggetti minori esposti a sanzioni che non possono permettersi.
RIFERIMENTI NORMATIVI
| Regolamento (UE) 2024/1689, GU L 2024/1689, 12.7.2024: https://eur
lex.europa.eu/eli/reg/2024/1689/oj?locale=it
| Linee Guida Commissione UE, 4.2.2025: https://digital-strategy.ec.europa.eu/it/library/commission publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act
| Legge 132/2025 (Italia): https://www.normattiva.it/uri-res/N2Ls?urn:nir:stato:legge:2025-09-23;132
PRATICHE VIETATE: ART. 5
L'articolo 5 stabilisce otto divieti assoluti per pratiche AI incompatibili con i valori fondamentali dell'Unione, operativi già dal 2 febbraio 2025. La violazione comporta sanzioni fino a 35 milioni di euro o il 7% del fatturato mondiale totale annuo (applicando il criterio del valore più elevato). Le pratiche vietate includono la manipolazione subliminale
degli utenti; lo sfruttamento di fragilità legate ad età, disabilità o condizione socio-economica; sistemi di valutazione e classificazione sociale con effetti in ambiti diversi da quello originario; previsione algoritmica del rischio di commissione di reati basandosi solo su caratteristiche fenotipiche; acquisizione massiva non mirata di dati biometrici facciali; riconoscimento automatico delle emozioni in contesti lavorativi ed educativi; categorizzazione biometrica volte a dedurre l’appartenenza a categorie protette; identificazione biometrica remota in tempo reale in spazi pubblicamente accessibili, salvo limitate eccezioni per finalità di contrasto della criminalità.
L’ampiezza semantica del divieto di valutazione sociale generalizzata ha generato incertezze applicative nel settore finanziario e delle piattaforme digitali, le Linee Guida della Commissione (4 febbraio 2025) chiariscono che la valutazione creditizia bancaria e i sistemi di punteggio comportamentale online restano leciti se strettamente finalizzati e proporzionati
al contesto specifico.