AI ACT: tra gestione del rischio e competitività (nel caos geopolitico)

11/07/2025

di Marco Soffientini - Avvocato, Esperto di Privacy e Diritto delle Nuove Tecnologie e docente Ethos Academy

È pacifico come il mercato della tecnologia, e quindi anche quello dell’intelligenza artificiale, non sia limitato a contesti geografici specifici ma rivesta un ruolo globale. In un tale contesto, dove player quali Cina e Stati Uniti si contendono lo scettro della produzione tecnologica, l’Unione Europea ha scelto di porsi come modello universale nella produzione normativa. Si legge infatti nella Relazione dell’AI Act che soltanto un’azione comune a livello di Unione può altresì tutelare la sovranità digitale dell’Unione e sfruttare gli strumenti e i poteri di regolamentazione di quest’ultima per plasmare regole e norme di portata globale. Relazione alla proposta di “REGOLAMENTO DEL PARLAMENTO EUROPEO E DEL CONSIGLIO CHE STABILISCE REGOLE ARMONIZZATE SULL’INTELLIGENZA ARTIFICIALE (LEGGE SULL’INTELLIGENZA ARTIFICIALE) E MODIFICA ALCUNI ATTI LEGISLATIVI DELL’UNIONE” cit. punto 2.2.

Se la strategia dell’Unione Europea è, quindi, quella di porsi come leader nella produzione normativa, il recente Regolamento (UE) 1689/2024 (c.d. AI Act) non ha optato per normare gli effetti dell’intelligenza artificiale in specifici ambiti, ma ha scelto di normarla nel suo complesso (c.d. approccio regolatorio orizzontale). In altri termini, non abbiamo norme specifiche per determinate situazioni, ma disposizioni generali destinate a regolare per intero l’intelligenza artificiale presente e futura. Per fare questo l’AI Act prevede un approccio basato sul rischio che suddivide i sistemi di intelligenza artificiale in quattro categorie di rischi: sistemi che presentano un rischio inaccettabile, sistemi ad alto rischio, sistemi a rischio limitato e sistemi a rischio minimo.

I sistemi di intelligenza artificiale che presentano un rischio inaccettabile sono vietati dall’articolo 5 AI Act, oggetto delle recenti Linee Guida esplicative rilasciate dalla Commissione Europea (Brussels, 4.2.2025 C(2025) 884 final). Per i sistemi ad alto rischio, invece, la normativa prevede una dettagliata e complessa procedura per la gestione e il monitoraggio continuo dei rischi, mentre per i sistemi a rischio limitato particolari obblighi di trasparenza.

Differenze con il GDPR

Ad un attento lettore non sfuggirà la considerazione che il metodo di approccio basato sul rischio non è una novità dell’AI Act, ma è una caratteristica del GDPR (Regolamento UE 679/2016) in tema di protezione dei dati personali. Quest’ultimo, però, prevede il principio dell’accountability (art. 5.2. GDPR), secondo il quale spetta al titolare del trattamento adottare misure di sicurezza tecnico-organizzative adeguate ad attuare i principi del regolamento e a gestire il rischio inerente il trattamento, ossia gli eventuali impatti sui diritti, libertà fondamentali e dignità degli interessati.

Sennonché nel GDPR è il titolare che gestisce e valuta il rischio, mentre nell’AI Act è il legislatore che decide quali sono i sistemi ad alto rischio e come vanno affrontati i rischi. Così, ad esempio, è il legislatore che per i sistemi ad alto rischio prevede che siano sottoposti ad una procedura di valutazione della conformità che si dovrà concludere con l’apposizione della marcatura CE.

Conseguenze per le PMI

La conseguenza di questa diversa impostazione comporterà che per le aziende di grandi dimensioni sarà relativamente più agevole gestire la pertinente produzione documentale, le certificazioni, la marcatura CE, ecc. Al contrario le aziende di medie e piccole dimensioni dovranno fare i conti con costi e oneri rilevanti. Siamo agli albori di una nuova era che non solo vedrà incrementarsi e aumentare la produzione tecnica di sistemi basati sull’intelligenza artificiale, ma che dovrà prevedere modelli organizzativi di gestione del rischio GDPR/AI Act complessi e articolati.

In un contesto geopolitico che vede nazioni quali gli Stati Uniti ritirare a inizio 2025 un Ordine Esecutivo del 2023 in tema di intelligenza artificiale e l’Unione Europea rafforzare le garanzie sui diritti e libertà fondamentali delle persone con l’introduzione di norme specifiche, le aziende, università, istituti di ricerca e Pubbliche Amministrazioni sono chiamate ad una sfida impegnativa, pena: il rischio di perdere di competitività.