L’AI Act, regolamento n. 1689 del 13 giugno 2024 del Parlamento Europeo e del Consiglio dell’Unione Europea pubblicato in Gazzetta Ufficiale Europea il 12 luglio 2024 e applicato a decorrere dal 2 agosto 2026, è il primo atto normativo che disciplina lo sviluppo, l’immissione sul mercato e l’uso dei sistemi di intelligenza artificiale, adottando un approccio “risk-based” per la gestione preventiva dei rischi.
Tuttavia, considerati tutti i rischi associati al possibile uso distorto dell’IA, i divieti, nonché le disposizioni generali del regolamento, potrebbero trovare applicazione già a decorrere dal 2 febbraio 2025, così come stabilito nel “Considerato” n. 179 del Regolamento stesso.
Sebbene ad oggi si parli perlopiù di responsabilità civile connessa alla lesione di beni giuridici da incauto utilizzo dell’IA, sono già pronosticabili responsabilità di tipo penalistico.
Anzitutto il Regolamento disciplina due figure nella sezione 3, rispettivamente agli artt. 16-22 e agli artt. 26 e 27: il Provider, persona fisica o giuridica che sviluppa o fa sviluppare un sistema di IA per finalità generali e lo immette sul mercato e il Deployer, persona fisica o giuridica, che utilizza un sistema di IA sotto la propria autorità per fini puramente personali.
I Provider di sistemi di IA, specialmente quelli ad alto rischio, sono tenuti a rispettare un serie di obblighi ex art. 16 di seguito elencati:
- Garantire la conformità dei sistemi ai requisiti del regolamento.
- Adottare un sistema di gestione della qualità.
- Conservare i log generati dai sistemi.
- Effettuare la valutazione della conformità prima dell’immissione sul mercato.
- Redigere una dichiarazione di conformità UE e apporre la marcatura CE.
- Rispettare gli obblighi di registrazione.
- Adottare misure correttive e fornire le informazioni necessarie.
- Dimostrare la conformità del sistema su richiesta delle autorità nazionali.
Viceversa, l’art 26 stabilisce che i Deployer sono onerati di:
- Adottare misure tecniche e organizzative conformemente alle istruzioni fornite dai provider.
- Affidare la sorveglianza umana a personale competente.
- Monitorare il funzionamento del sistema di IA e informare il provider in caso di problemi.
- Informare immediatamente le autorità competenti in caso di incidenti gravi.
L’AI Act, pur promuovendo un approccio consapevole nella gestione dei rischi, non introduce specifica responsabilità penale, che rimane, dunque, disciplinata dalle normative esistenti, tra cui:
- D.lgs.vo 231/2001 ovverosia la predisposizione di modelli di organizzazione e gestione (MOG) per il controllo del rischio;
- normative di protezione dei consumatori, come il Codice del Consumo, che prevede sanzioni per l’immissione sul mercato di prodotti pericolosi.
Il Regolamento, all’art. 14, introduce per la prima volta un nuovo concetto la c.d. “human oversight” con l’obiettivo di prevenire o ridurre i rischi per la salute, la sicurezza o i diritti fondamentali derivanti dall’uso dei sistemi di IA ad alto rischio. L’omessa adozione di misure idonee alla tutela dei suddetti diritti comporta addebito di responsabilità al “sorvegliante umano“, sia esso Provider o Deployer.
L’AI Act predispone un quadro normativo dettagliato per la gestione e la conformità dei sistemi di IA, con un focus sulla prevenzione dei rischi per fornitori e deployer. Tuttavia, come detto, lascia aperte questioni relative alla responsabilità penale, che saranno disciplinate dalle normative esistenti e future disposizioni legislative.