Il 1° agosto è entrato ufficialmente il vigore il Regolamento sull’AI dell’UE (AI Act), con l’obiettivo di promuovere uno sviluppo e un’implementazione responsabili dell’AI in tutta l’Europa.
Per consultare la Timeline di Implementazione sul sito web del Regolamento sull’AI dell’UE per una panoramica user-friendly delle prossime tappe di implementazione.
La Timeline di implementazione dell’AI Act
2 novembre 2024
Stati membri: Termine ultimo per gli Stati membri per identificare ed elencare pubblicamente le autorità/gli organismi responsabili della tutela dei diritti fondamentali e per notificarlo alla Commissione e agli altri Stati membri.
2025
2 febbraio 2025
Applicazione: Inizio dell’applicazione dei divieti relativi a determinati sistemi di IA (Capitolo 1 e Capitolo 2).
2 maggio 2025
Commissione: I codici di pratica devono essere pronti entro questa data.
2 agosto 2025
Applicazione: Iniziano ad applicarsi le seguenti regole:
- Organismi notificati (capitolo III, sezione 4),
- Modelli GPAI (capitolo V),
- governance (capitolo VII),
- Riservatezza (articolo 78)
- Sanzioni (articoli 99 e 100)
2 agosto 2025
Fornitori: I fornitori di modelli GPAI immessi sul mercato / messi in servizio prima di questa data devono essere conformi all’AI Act entro il 2 agosto 2027.
2 agosto 2025 (e successivamente ogni due anni)
Stati membri: Termine ultimo per gli Stati membri per riferire alla Commissione sullo stato delle risorse finanziarie e umane delle autorità nazionali competenti.
2 agosto 2025
Stati membri: Termine ultimo per la designazione da parte degli Stati membri delle autorità nazionali competenti (autorità di notifica e autorità di vigilanza del mercato), per la loro comunicazione alla Commissione e per la messa a disposizione del pubblico dei loro dati di contatto.
2 agosto 2025 (in base alla data di applicazione degli articoli sulle “Sanzioni”)
Stati membri: Termine ultimo per gli Stati membri per stabilire le regole per le sanzioni e le ammende, per notificarle alla Commissione e per assicurarne la corretta applicazione.
2 agosto 2025
Commissione: (se il codice di condotta non può essere finalizzato o se l’Ufficio AI lo ritiene inadeguato) la Commissione può fornire norme comuni per l’attuazione degli obblighi dei fornitori di modelli GPAI mediante atti di esecuzione.
2 agosto 2025 (e successivamente ogni anno)
Commissione: Scadenza per la revisione annuale della Commissione e per eventuali modifiche ai divieti.
2026
2 febbraio 2026
Commissione: Termine ultimo per la fornitura da parte della Commissione di linee guida che specifichino l’attuazione pratica dell’articolo 6, compreso il piano di monitoraggio post-vendita.
2 agosto 2026
Applicazione: Inizia ad applicarsi il resto della legge sull’AI, tranne l’articolo 6(1).
2 agosto 2026
Operatori: Il presente regolamento si applica agli operatori di sistemi di IA ad alto rischio (diversi dai sistemi di cui all’articolo 111, paragrafo 1), immessi sul mercato/messi in servizio prima di tale data. Tuttavia, si applica solo ai sistemi che sono soggetti a modifiche significative nella loro progettazione a partire da questa data.
2 agosto 2026
Stati membri: Gli Stati membri devono garantire che le loro autorità competenti abbiano istituito almeno una sandbox normativa sull’IA a livello nazionale. Dovrebbe essere operativa entro questa data.
2027
2 agosto 2027
Fornitori: I fornitori di modelli di GPAI immessi sul mercato prima del 2 agosto 2025 devono aver preso le misure necessarie per conformarsi agli obblighi stabiliti nel presente regolamento entro questa data.
Sistemi IT su larga scala: I sistemi di IA che sono componenti dei sistemi IT su larga scala elencati nell’Allegato X e che sono stati immessi sul mercato / messi in servizio prima di questa data devono essere resi conformi al presente regolamento entro il 31 dicembre 2030.
2028
2 agosto 2028
Commissione: La Commissione valuta il funzionamento dell’Ufficio AI.
2 agosto 2028 (e successivamente ogni tre anni)
Commissione: La Commissione valuterà l’impatto e l’efficacia dei codici di condotta volontari.
2 agosto 2028 (e successivamente ogni quattro anni)
Commissione: La Commissione valuta e riferisce al Parlamento europeo e al Consiglio sulla necessità di apportare modifiche a:
- voci di area dell’allegato III,
- Elenco dei sistemi di AI che richiedono misure di trasparenza aggiuntive all’articolo 50,
- Sistema di supervisione e governance.
2 agosto 2028 (e successivamente ogni quattro anni)
Commissione: La Commissione presenta una relazione sullo stato di avanzamento dei “risultati della standardizzazione” che coprono il tema dello sviluppo efficiente dal punto di vista energetico di modelli di IA per uso generale. Tale relazione deve essere presentata al Parlamento europeo e al Consiglio e resa pubblica.
1° dicembre 2028 (ossia 9 mesi prima del 1° agosto 2029)
Commissione: La Commissione deve redigere una relazione sulla delega di potere di cui all’articolo 97.
2029
1° agosto 2029
Commissione: Il potere della Commissione di adottare gli atti delegati di cui ai seguenti articoli scade, a meno che il periodo non venga prorogato: - Articolo 6, paragrafi 6 e 7,
- Articolo 7, paragrafi 1 e 3,
- articolo 11, paragrafo 3,
- Articolo 43 (5) e (6),
- Articolo 47 (5),
- Articolo 51 (3),
- Articolo 52 (4),
- Articolo 53 (5) e (6)
La delega di potere sarà prorogata di default per periodi ricorrenti di 5 anni, a meno che il Parlamento europeo o il Consiglio non si oppongano a tale proroga almeno tre mesi prima della fine di ciascun periodo.
2 agosto 2029 (e successivamente ogni quattro anni)
Commissione: La Commissione presenta al Parlamento europeo e al Consiglio una relazione sulla valutazione e sul riesame del presente regolamento.
2030
2 agosto 2030
Fornitori e distributori: I fornitori e gli implementatori di sistemi di AI ad alto rischio destinati a essere utilizzati dalle autorità pubbliche devono aver adottato le misure necessarie per conformarsi ai requisiti e agli obblighi del presente regolamento entro questa data.
31 dicembre 2030
Sistemi IT su larga scala: Termine ultimo per rendere conformi al presente regolamento i sistemi di IA che sono componenti dei sistemi IT su larga scala elencati nell’allegato X e che sono stati immessi sul mercato o messi in servizio prima del 2 agosto 2027. - 2031
2 agosto 2031
Commissione: La Commissione effettua una valutazione dell’applicazione del presente regolamento e ne riferisce al Parlamento europeo, al Consiglio e al Comitato economico e sociale europeo.
Consultazione dell’Ufficio sull’AI a scopo generale:
L’Ufficio AI europeo ha avviato una consultazione multi-stakeholder dal 30 luglio al 10 settembre sull’AI affidabile a scopo generale (GPAI) ai sensi del Regolamento sull’AI. Questa consultazione consente agli stakeholder di fornire input sul primo Codice di Condotta, che dettaglia le regole per i fornitori di modelli GPAI. Informa inoltre il lavoro dell’Ufficio AI su un modello per riassumere i contenuti utilizzati per addestrare questi modelli e le relative linee guida. L’Ufficio AI incoraggia la partecipazione di una vasta gamma di stakeholder, tra cui accademici, esperti indipendenti, rappresentanti dell’industria, organizzazioni della società civile, titolari di diritti e autorità pubbliche. Il questionario della consultazione è diviso in tre sezioni:
- Disposizioni sulla trasparenza e sul diritto d’autore per i modelli GPAI;
- Tassonomia del rischio, valutazione e mitigazione per i modelli GPAI con rischio sistemico;
- Revisione e monitoraggio dei Codici di Condotta per i modelli GPAI.
Una bozza iniziale del Codice di Condotta sarà sviluppata sulla base delle sottomissioni e l’Ufficio AI pubblicherà un riepilogo dei risultati aggregati della consultazione.
Chiamata per manifestazione di interesse
L’Ufficio AI ha emesso una chiamata per manifestazioni di interesse per aiutare a redigere il primo Codice di Condotta per l’AI a scopo generale (GPAI). I partecipanti idonei includono fornitori di modelli AI, fornitori downstream e altre organizzazioni industriali, società civile, titolari di diritti, accademici e altri esperti indipendenti. Il Codice, che sarà redatto iterativamente entro aprile 2025, mira a garantire la corretta applicazione delle regole del Regolamento sull’AI per i modelli GPAI e quelli con rischi sistemici. L’interesse può essere espresso entro il 25 agosto. Il processo di redazione, che inizierà con una Plenaria di avvio a settembre, includerà tre riunioni virtuali e cicli di feedback.
I partecipanti faranno parte della Plenaria del Codice di Condotta, che sarà composta da quattro gruppi di lavoro. I presidenti e i vice-presidenti sintetizzeranno le sottomissioni dalla consultazione e dai partecipanti alla plenaria. I fornitori di modelli GPAI saranno invitati a workshop con i presidenti e i vice-presidenti per contribuire a ciascun ciclo di redazione oltre alla loro partecipazione alla Plenaria. Dopo la pubblicazione, l’Ufficio AI e il Consiglio AI valuteranno la sua adeguatezza, e la Commissione potrà approvarlo o fornire regole comuni se queste saranno ritenute inadeguate.
Il Parlamento istituisce un gruppo di lavoro
Secondo Euractiv, due delle commissioni del Parlamento Europeo – la commissione per il Mercato Interno e la Protezione dei Consumatori (IMCO) e la commissione per le Libertà Civili, la Giustizia e gli Affari Interni (LIBE) – hanno istituito un gruppo di lavoro congiunto per supervisionare l’implementazione del Regolamento sull’AI. Gli eurodeputati hanno precedentemente sollevato preoccupazioni sulla trasparenza del processo di assunzione dell’Ufficio AI e sul coinvolgimento della società civile nel processo di implementazione. I dettagli riguardanti l’approccio del gruppo di lavoro, la composizione e la frequenza delle riunioni saranno determinati dopo l’estate.
Ruoli per gli istituti di sicurezza dell’AI
Alexandre Variengien, Co-fondatore e capo della ricerca presso il Centre pour la Sécurité de l’IA (CeSIA), e Charles Martinet, Summer fellow presso il Centre for the Governance of AI e ricercatore affiliato presso l’Oxford Martin AI Governance Initiative, hanno scritto in un articolo di OECD AI Wonk che in risposta allo sviluppo rapido dell’AI, gli Stati Uniti, il Regno Unito, il Giappone, il Canada e Singapore hanno istituito Istituti di Sicurezza dell’IA (AISIs) per valutare le capacità e i rischi dei sistemi di AI, condurre ricerche sulla sicurezza e facilitare lo scambio di informazioni. L’Ufficio AI dell’UE, attraverso la sua Unità di Sicurezza dell’AI, svolgerà compiti simili insieme ai suoi doveri regolatori. Secondo gli autori, questi istituti mirano a creare una strategia globale coordinata per un’AI sicura e benefica.
Gli AISIs tentano di affrontare l’imprevedibilità dei modelli di AI, che pongono sfide in termini di sicurezza e affidabilità. Cercano anche di stabilire standard di valutazione e costruire consenso per una migliore governance dell’AI. Inoltre, i paesi variano nei loro mandati AISI: l’istituto del Regno Unito mira a minimizzare i rapidi e inaspettati progressi dell’AI, mentre altri, come l’Ufficio AI dell’UE, hanno poteri regolatori. Infine, gli AISIs contribuiscono anche al coordinamento internazionale, assistendo i paesi nello sviluppo di quadri regolatori, stabilendo soglie basate sulla scienza e contribuendo alla governance e agli standard globali.
OpenAI si impegna a rispettare il Regolamento
OpenAI ha pubblicato una panoramica preliminare del Regolamento sull’AI affermando che esso rappresenta un quadro regolatorio significativo per la gestione dello sviluppo, dell’implementazione e dell’uso dell’AI in tutta Europa, enfatizzando la sicurezza per garantire un’adozione affidabile dell’AI proteggendo al contempo la salute, la sicurezza e i diritti fondamentali. OpenAI dichiara di essere impegnata a conformarsi al Regolamento non solo per obbligo legale, ma anche perché allineato con la missione di OpenAI di sviluppare e implementare un’AI sicura a beneficio dell’umanità.
L’azienda intraprende vari sforzi tecnici, tra cui valutazioni dei modelli nell’ambito del suo Preparedness Framework, red-teaming interno ed esterno, monitoraggio post-implementazione, programmi Bug Bounty e Cybersecurity Grant e contributi agli standard di autenticità. OpenAI prevede di collaborare strettamente con l’Ufficio AI dell’UE e altre autorità durante l’implementazione del Regolamento, offrendo la propria esperienza per supportare gli obiettivi del Regolamento. L’azienda preparerà documentazione tecnica per i fornitori downstream e migliorerà la sicurezza e l’affidabilità dei suoi modelli in Europa e oltre.
