Checklist di conformità al Regolamento IA UE per il 2025

Il Regolamento IA UE (Regolamento 2024/1689) è il primo quadro giuridico completo al mondo per l'intelligenza artificiale. È entrato in vigore il 1° agosto 2024 con un calendario di attuazione graduale. Questa guida illustra ogni obbligo per ruolo, livello di rischio e scadenza.

Scadenze chiave

Pratiche di IA vietate (Articolo 5)

Le seguenti pratiche di IA sono vietate, con sanzioni fino a 35 milioni di EUR o 7% del fatturato annuo globale:

• Manipolazione subliminale o tecniche ingannevoli che causano danni significativi
• Sfruttamento di vulnerabilità dovute a età, disabilità o situazione sociale/economica
• Social scoring da parte di autorità pubbliche che porta a trattamenti pregiudizievoli
• Identificazione biometrica remota in tempo reale in spazi pubblici per attività di contrasto (con eccezioni ristrette)
• Scraping non mirato di immagini facciali da Internet o telecamere a circuito chiuso per database di riconoscimento facciale
• Riconoscimento delle emozioni nei luoghi di lavoro e negli istituti di istruzione (con eccezioni ristrette)
• Categorizzazione biometrica per inferire razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o orientamento sessuale
• Polizia predittiva individuale basata esclusivamente sulla profilazione

Obblighi del fornitore (Articolo 16)

I fornitori di sistemi di IA ad alto rischio sopportano l'onere di conformità più gravoso. Prima di immettere un sistema sul mercato o metterlo in servizio, i fornitori devono:

1. Sistema di gestione dei rischi (Art. 9) — Stabilire un processo continuo e iterativo per l'intero ciclo di vita del sistema di IA
2. Data governance (Art. 10) — Garantire che i dataset di addestramento, convalida e prova soddisfino criteri di qualità con proprietà statistiche adeguate
3. Documentazione tecnica (Art. 11, Allegato IV) — Predisporre documentazione completa che copra tutte le 9 sezioni richieste prima dell'immissione sul mercato
4. Tenuta dei registri (Art. 12) — Integrare capacità di logging automatico proporzionate alla finalità prevista del sistema
5. Trasparenza (Art. 13) — Progettare il sistema affinché i deployer possano interpretare l'output e usarlo in modo appropriato
6. Sorveglianza umana (Art. 14) — Implementare misure che consentano una sorveglianza umana efficace durante l'uso del sistema
7. Accuratezza, robustezza e cybersicurezza (Art. 15) — Raggiungere livelli adeguati per tutto il ciclo di vita
8. Sistema di gestione della qualità (Art. 17) — Documentare politiche e procedure che garantiscano la conformità continua
9. Valutazione della conformità (Art. 43) — Completare la procedura di valutazione adeguata prima dell'immissione sul mercato
10. Dichiarazione UE di conformità (Art. 47) — Redigere e tenere aggiornata per ogni sistema di IA ad alto rischio
11. Marcatura CE (Art. 48) — Apporla in modo visibile, leggibile e indelebile sul sistema
12. Registrazione database UE (Art. 49) — Registrare il sistema e il fornitore nel database UE prima dell'immissione sul mercato

Obblighi del deployer (Articolo 26)

Le organizzazioni che usano sistemi di IA ad alto rischio (deployer) hanno il proprio set di obblighi:

• Uso secondo le istruzioni — Implementare misure tecniche e organizzative adeguate per usare il sistema secondo le istruzioni per l'uso del fornitore
• Sorveglianza umana — Assegnare persone qualificate con la competenza, la formazione, l'autorità e il supporto necessari per supervisionare il funzionamento del sistema
• Pertinenza dei dati di input — Quando il deployer controlla i dati di input, garantirne la pertinenza e la sufficiente rappresentatività rispetto alla finalità prevista
• Monitoraggio — Monitorare il funzionamento del sistema sulla base delle istruzioni per l'uso e informare il fornitore di eventuali rischi o incidenti gravi
• Conservazione dei log — Conservare i log generati automaticamente per almeno 6 mesi
• Notifica ai lavoratori — Informare i rappresentanti dei lavoratori e i lavoratori interessati prima del deployment di un sistema di IA ad alto rischio sul posto di lavoro
• Valutazione d'impatto sui diritti fondamentali — Per alcuni deployer (enti pubblici, soggetti privati che erogano servizi pubblici), eseguire una valutazione dell'impatto del sistema sui diritti fondamentali prima dell'uso

Obblighi di importatore e distributore

Gli importatori (Articolo 23) devono verificare che il fornitore abbia completato la valutazione della conformità, predisposto la documentazione tecnica, apposto la marcatura CE e nominato un rappresentante autorizzato. Non possono immettere sul mercato un sistema non conforme.

I distributori (Articolo 24) devono verificare la presenza di marcatura CE, dichiarazione UE di conformità e istruzioni per l'uso. Devono garantire che le condizioni di stoccaggio e trasporto non compromettano la conformità.

Struttura sanzionatoria (Articolo 99)

Per le PMI e le start-up, le sanzioni sono limitate al minore tra la percentuale e l'importo fisso. Tra i fattori attenuanti rientrano l'autodenuncia, il grado di cooperazione e le misure tecniche già attuate.