Industria
La legge UE AI: cosa significa realmente per le aziende che spediscono AI
Vincent Wahidi
Se costruisci, acquisti o distribuisci AI che tocca le persone nell'UE, la legge AI ora stabilisce le regole a cui rispondi. Le multe per pratiche vietate si applicano dal febbraio 2025, e la scadenza che conta per la maggior parte delle aziende ordinarie, quando entrano in vigore gli obblighi per il rischio elevato e le relative sanzioni, cade il 2 agosto 2026. La maggior parte dei team non deve farsi prendere dal panico. Deve sapere in quale livello di rischio rientra il proprio sistema, e avviare la documentazione richiesta da quel livello.
Quattro livelli e solo due ti costano un vero sforzo
La legge suddivide ogni sistema AI in quattro livelli di rischio. I rischi inaccettabili sono completamente vietati: il punteggio sociale del governo, la maggior parte dell’identificazione biometrica in tempo reale negli spazi pubblici e la manipolazione che causa danni. Tali pratiche sono vietate dal 2 febbraio 2025. Il rischio minimo, che copre la maggior parte dei software, compresi i filtri antispam e i motori di raccomandazione, non comporta nuovi obblighi.
Tra questi due estremi si trovano i livelli che determinano effettivamente il modo in cui costruisci. Il rischio limitato comporta un dovere di trasparenza: avvisare le persone quando stanno parlando con un bot ed etichettare i media sintetici. Il rischio elevato è il luogo in cui risiedono gli obblighi pesanti e dove sarà destinata la maggior parte del lavoro di conformità e del budget. Se non puoi ancora escludere un rischio elevato per un sistema, assumilo finché puoi. Il costo di indovinare punti errati va solo in una direzione.
Cosa conta effettivamente come ad alto rischio
Questa è la domanda che decide il tuo carico di lavoro ed è più ristretta di quanto suggeriscano i titoli. Un sistema è ad alto rischio in due casi. In primo luogo, se si tratta di un componente di sicurezza di un prodotto già regolamentato, come un dispositivo medico, un macchinario o un veicolo. In secondo luogo, se opera in uno dei settori elencati dalla legge nell’allegato III: assunzione e gestione dei lavoratori, accesso all’istruzione, credit scoring e servizi finanziari essenziali, servizi e benefici pubblici essenziali, applicazione della legge, migrazione e amministrazione della giustizia.
Il filo conduttore è la conseguenza. Se il tuo modello aiuta a decidere chi ottiene un lavoro, un prestito, un posto scolastico o un beneficio, probabilmente è ad alto rischio e spetta a te dimostrare il contrario. Un chatbot che risponde alle domande sui prodotti non è ad alto rischio. Lo stesso chatbot, riproposto per selezionare i candidati al lavoro, lo è.
Le date che comportano multe
La legge è entrata in vigore il 1° agosto 2024 e entrerà in vigore gradualmente. Le pratiche vietate e l'obbligo di alfabetizzazione AI si applicano dal 2 febbraio 2025. Gli obblighi per i modelli AI per scopi generali, i modelli linguistici di grandi dimensioni su cui si basa ora la maggior parte dei team, si applicano dal 2 agosto 2025. La data più importante per le attività ordinarie è il 2 agosto 2026, quando entreranno in vigore i requisiti ad alto rischio e le sanzioni pecuniarie. AI ad alto rischio incorporato in prodotti regolamentati ha tempo fino al 2 agosto 2027.
Le sanzioni sono dimensionate per farsi sentire. L’utilizzo di un sistema vietato può costare fino a 35 milioni di euro o il 7% del fatturato annuo globale, a seconda di quale sia il valore più alto. La violazione degli obblighi ad alto rischio può raggiungere i 15 milioni di euro o il 3% del fatturato. Fornire alle autorità di regolamentazione informazioni errate o fuorvianti può raggiungere i 7,5 milioni di euro, ovvero l’1%. Si tratta di massimali, ridimensionati in base alla violazione, ma sufficientemente grandi da far sì che "ce ne occuperemo più tardi" smetta di essere un piano.
Come si presentano nella pratica gli obblighi ad alto rischio
Eliminare il linguaggio giuridico e il regime ad alto rischio è per lo più una buona disciplina ingegneristica, messa per iscritto. È necessario un processo di gestione del rischio che si estenda lungo tutta la vita del sistema e non un'approvazione una tantum. Hai bisogno della governance dei dati: sapere quali sono i tuoi dati di formazione e input, da dove provengono e come potrebbero influenzare un risultato. C'è bisogno di documentazione tecnica e di registrazione automatica, in modo che quando una decisione viene contestata si possa ricostruire come il sistema l'ha raggiunta. C’è bisogno di una supervisione umana significativa, di una persona che possa comprendere, scavalcare e fermare il sistema, piuttosto che un timbro di gomma. E prima di entrare in funzione, un sistema ad alto rischio necessita di una valutazione di conformità e di una registrazione nel database dell’UE.
Niente di tutto questo è esotico. È la stessa disciplina che separa un modello che funziona in produzione da una demo che funziona una volta.
Cosa fare adesso
Una lista di controllo breve e onesta batte un raccoglitore di conformità che nessuno legge.
- Inventaria ogni sistema AI che costruisci o acquisti, comprese le funzionalità silenziosamente alimentate dal modello di un fornitore.
- Classificare ciascuno per livello e essere severi riguardo alle aree ad alto rischio nell'allegato III.
- Assegnare a ogni sistema ad alto rischio un nome proprietario. La conformità senza proprietario non avviene.
- Avvia la documentazione tecnica e la registrazione adesso, mentre il sistema è piccolo. Aggiornarlo in un secondo momento costa molto di più.
- Integrare il percorso di supervisione umana nel prodotto, non come un elemento aggiuntivo alla fine.
- Leggere i termini del fornitore AI per uso generico. I loro obblighi non cancellano i tuoi.
Mappare i tuoi sistemi sui livelli di rischio della legge e costruire la documentazione richiesta da ciascuno fa parte del nostro lavoro di consulenza AI.
La conclusione pratica
La legge AI non mira tanto a vietare AI quanto a costringerti a documentare e supervisionare AI che prende decisioni consequenziali sulle persone. Per i sistemi che presentano chiaramente un rischio minimo o limitato, il lavoro è piccolo. Per i sistemi ad alto rischio, il lavoro è reale e il 2 agosto 2026 è più vicino di quanto sembri. Mappa prima i tuoi sistemi ai livelli. Quasi tutto il resto deriva dal sapere dove ti trovi.

Vincent Wahidi
Autore
Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.
Da leggere dopo
AI per hotel e operatori turistici: oltre il chatbot
Hai un problema che vale la pena risolvere?
Raccontaci cosa stai costruendo o sistemando. Risponderemo entro un giorno lavorativo con un passo successivo chiaro.
