AI Act e modello UK: panoramica e differenze

Entrato parzialmente in vigore ad agosto di quest'anno e destinato ad essere pienamente applicabile a partire dal 2 agosto 2026, l'AI Act (Reg. UE 2024/1689, anche noto come The EU Artificial Intelligence Act) è un regolamento europeo di ampia portata che ha come obiettivo l'armonizzazione delle normative relative all'intelligenza artificiale nei diversi paesi dell'Unione Europea.

Inizialmente proposto dalla Commissione Europea nel 2021, ha avuto un iter di redazione e approvazione complesso che riflette la complessità di questo momento storico in relazione all'impiego delle nuove tecnologie. Approvato dal Parlamento Europeo, l'AI Act adotta un approccio basato sul rischio che mira a bilanciare innovazione e protezione dei diritti fondamentali e della privacy dei dati personali.

In Italia, il DDL 1146/2024, che costituisce l'integrazione italiana all'AI Act, è stato approvato dal Senato, e ora il governo ha tempo fino a marzo 2026 per adottare un decreto legge di recepimento della normativa europea.

L'AI Act si estende su tutte le applicazioni di IA con l'eccezione di quelle militari, suddividendole in tre categorie:

• Sistemi ad alto rischio: sono considerati ad alto rischio tutti quei sistemi che possono rappresentare una minaccia ai diritti, alla salute e alla sicurezza degli individui. Questi includono applicazioni nei settori dell'istruzione, dell'occupazione, dei servizi pubblici essenziali e dell'applicazione della legge.
• Pratiche vietate: rientrano in questa categoria le applicazioni che possono causare danni, sia fisici che psicologici, alle persone tramite lo sfruttamento delle loro fragilità, la manipolazione, l'applicazione di "social scoring" utilizzati a scopo punitivo, o l'identificazione biometrica indiscriminata nei luoghi pubblici ad opera delle forze dell'ordine.
• Altri sistemi: questo grande insieme include tutte le pratiche che non rientrano nelle categorie precedenti, e che per questo non sono oggetto di regolamentazione specifica.

L'approccio dei legislatori europei è stato quindi "risk-based", imponendo maggiori regole laddove ci sono maggiori rischi. Tuttavia, alcuni obblighi ricadono su tutte le aziende e organizzazioni che impieghino l'intelligenza artificiale:

• Mapping e valutazione del rischio: la normativa stabilisce l'obbligo per le aziende di mappare tutte le applicazioni di IA che impiega e classificarle sulla base del loro livello di rischio. Laddove sono presenti pratiche rischiose o vietate secondo l'AI Act, l'azienda deve intervenire per garantirsi la conformità. La digitalizzazione degli archivi e la gestione documentale strutturata diventano quindi essenziali.
• Formazione per gli utenti: sia le aziende fornitrici che quelle utilizzatrici dei sistemi di intelligenza artificiale devono assicurare la formazione del personale, dei partner e di chiunque altro interagisca con essi. La formazione deve essere documentata a scopi di audit, e deve includere temi quali machine learning, normative vigenti, bias, problemi etici.
• Copyright e GDPR: le aziende devono accertarsi che il loro uso dell'IA sia in linea con il GDPR per quanto riguarda il trattamento dei dati personali e la protezione dei dati. Devono inoltre verificare che sia rispettato il diritto d'autore nell'utilizzo dei dati che ne sono coperti.
• Quadro di governance: è necessario che le imprese stabiliscano un quadro di governance per l'impiego dell'intelligenza artificiale sia tra i dipendenti che tra i fornitori e i collaboratori esterni, a partire da un team che riunisca tutti gli stakeholder (dall'ufficio IT a quello legale, passando per gestione del rischio, conformità e via dicendo).
• Cicli di revisione e monitoraggio continuo: le buone pratiche implementate devono essere periodicamente riviste in linea con le evoluzioni della tecnologia e della normativa. Inoltre, il monitoraggio continuo deve attivare subito gli interventi in caso di anomalie o incidenti (quest'ultimi vanno subito comunicati anche alle autorità competenti).
• Attenzione all'intelligenza artificiale generativa: lo sviluppo e l'integrazione di strumenti di intelligenza artificiale generativa devono andare di pari passo con una documentazione trasparente sui dati di training e sul modello. In particolare, vanno prese misure per evitare l'insorgenza di contenuti illeciti o abusi, attraverso l'impiego di policy di moderazione, filtri e altre misure. Occorre inoltre registrarsi nel database europeo dei sistemi di intelligenza artificiale. Anche i modelli di IA generativa già sul mercato alla data del 2 agosto 2025 dovranno avviare un processo di adattamento alle nuove normative, raggiungendo la piena conformità entro il 2027.

Nel tentativo di allinearsi maggiormente con l'amministrazione statunitense, il Regno Unito non ha al momento adottato una normativa di ampio respiro come quella UE. Esistono tuttavia dei documenti di guidance (l'AI Playbook, l'AI Regulation White Paper) e una proposta di legge che dovrebbe essere approvata nei prossimi mesi. Tutti elementi che ci permettono di tracciare i principi del modello UK:

• Focus sull'innovazione: invece di regolamentazione stringente, il governo britannico privilegia un approccio che lascia ampia libertà all'innovazione, in linea con le analoghe iniziative statunitensi. L'obiettivo è rendere il Regno Unito un hub globale per lo sviluppo dell'IA.
• Forte spinta al settore: il governo britannico ha emesso grossi finanziamenti per spingere all'adozione e all'uso dell'IA, e nel 2021 ha reso pubblica la sua strategia per rendere il Paese un nuovo hub globale di sviluppo dell'intelligenza artificiale.
• AI Growth Lab: durante il Times Tech Summit di ottobre 2024, il governo britannico ha svelato la proposta di quella che appare come una sandbox istituzionale, all'interno della quale le aziende potrebbero fare ricerca e sperimentare le loro applicazioni di intelligenza artificiale beneficiando di leggi e regolamenti più rilassati. Un modo per accelerare l'avanzamento della tecnologia in un momento storico in cui è in pieno svolgimento una corsa tra potenze per mettersi alla testa dell'innovazione. Inizialmente questi ambienti di ricerca e test saranno aperti a settori ritenuti particolarmente strategici, come industria, sanità e trasporti.
• Regolamentazioni specifiche per settore: invece di una normativa generale, il Regno Unito procede verso un sistema "a collage", per cui ogni Ministero ed ente regolamenterà l'IA nel suo ambito sulla base di alcuni principi generali stabiliti nell'AI Playbook.

Appare evidente che la maggiore differenza tra l'AI Act e le proposte che stanno emergendo dal governo britannico è di approccio: se l'Unione Europea ha adottato un approccio basato sul rischio, ponendo al centro la valutazione dei potenziali pericoli delle applicazioni di IA e la loro limitazione, il modello britannico è decisamente più morbido e basato su principi di guidance invece che su obblighi vincolanti.

La scelta fatta dal Regno Unito può dunque apparire decisamente morbida nei confronti delle imprese, ponendo l'imperativo dell'innovazione prima delle regole. Un'impronta politica che pare aver attraversato indenne i diversi governi, testimoniando di una volontà strategica che va al di là delle logiche di partito e che ha a che fare con la posizione che il Paese vuole assumere nel mercato digitale. Con un'economia che fatica a riprendere il decollo dopo il divorzio dall'Europa, l'UK sembra voler puntare su un approccio pienamente favorevole alle imprese che si dedicano a ricerca e sviluppo nell'ambito complesso dei sistemi di intelligenza artificiale.

L'Unione Europea, per suo conto, ha invece preferito, come ha già fatto in passato con la legge sulla privacy, stabilire dei confini chiari all'interno dei quali l'innovazione può svilupparsi senza il rischio che questa prevalichi sui diritti.

Le aziende che sviluppano o utilizzano sistemi di intelligenza artificiale devono gestire una quantità importante di documentazione per garantire la conformità all'AI Act: contratti con fornitori di IA, accordi di protezione dati, registri di valutazione del rischio, documenti di formazione del personale, audit trail per dimostrare la conformità.

La soluzione di firma elettronica Yousign (Youtrust) supporta le imprese innovative nella gestione di questi processi critici:

• Automatizza la firma dei contratti con fornitori di tecnologie IA e accordi di partnership
• Garantisce la conformità GDPR richiesta dall'AI Act per il trattamento dei dati personali
• Crea audit trail certificati per dimostrare la conformità in caso di controllo dalle autorità
• Accelera l'onboarding di collaboratori esterni che lavorano su progetti IA con massima sicurezza

La nostra piattaforma è progettata per le startup innovative e le aziende tecnologiche che vogliono scalare rapidamente garantendo al contempo cybersicurezza e conformità normativa.