Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

La compagnia dei sistemi AI è partita: Entra in Vigore il Regolamento ‘AI ACT’!

Laura Lecchi : 11 Dicembre 2023 07:39

“A law to govern them all, one to find them, a law to bring them all and in the European Union to regulate them”. AI ACT e La Compagnia dei sistemi (Artificial Intelligence).

Oggi inizia per tutti in Europa la rivoluzione algoritmica: vengono alla luce le regole per sviluppare i futuri sistemi di AI. Le regole sono state approvate e sono ora contenute nel Regolamento europeo già battezzato come “AI ACT”. Questo provvedimento intende contenere le norme giuridiche che disciplineranno lo sviluppo, l’uso e la distribuzione dei sistemi di AI.

La compagnia dei sistemi di Intelligenza Artificiale

L’Unione Europea cerca da un lato di scongiurare il rischio di un algoritmic devide, per evitare quindi un divario di questo tipo, dall’altro di creare una convergenza di definizioni e un catalogo certo e aggiornato di tecniche e approcci specifici impiegati per sviluppare, che sia giuridicamente riconosciuto conforme.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI

Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro.
Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello.
Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com
Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

Stabilire regole, individuare quali siano i vari sistemi AI, determinare i criteri per classificarli e sorvegliare: questo l’elenco dei punti salienti. Ma procediamo per punti per individuare lo scopo delle nuove norme che sintetizziamo qui di seguito con piccoli slogan:

  1. ADDIO ALLO SVILUPPO SENZA LIMITI: regolamentare la distribuzione e dunque l’immissione, la messa in servizio e l’uso dei sistemi AI: in altre parole vengono indicati modi, scopi, approcci tecnici per sviluppare un sistema AI “a norma”;
  2. DIVIETO DI SISTEMI AI PROIBITI: introdurre e stabilire quali siano le pratiche da ritenersi vietate e che conducono a considerare proibiti i sistemi AI che le applicano;
  3. SISTEMI AI AD ALTO RISCHIO CON REGOLE FERREE: rispettare i criteri imposti a chi produce sistemi  AI ad altro rischio: per poterli commercializzare si dovranno adempiere una serie di obblighi per i fornitori e le altre categorie di soggetti che contribuiscono alla distribuzione. Dunque addio sviluppo senza binari e regole. Se non sono rispettati gli obblighi il sistema di AI non può essere ritenuto conforme e come tale non solo non è conforme, ma non sarà neppure legittimo poterlo distribuire;
  4. REGOLE AD HOC per tutti quei sistemi AI diversi che provvedono ad effettuare il riconoscimento delle emozioni, la biometria che consenta la manipolazione di video, immagini e audio;
  5. PAROLA D’ORDINE CONTROLLO: provvedere a concepire e regolamentare un sistema di monitoraggio e di  sorveglianza per gli algoritmi di AI è uno degli obiettivi che il regolamento si prefigge.
  6. QUESTIONE DI DIRITTI FONDAMENTALI: prima di conoscere le “regole del gioco” che siano applicabili ai sistemi di intelligenza artificiale, è importante capire che dai “considerando” dell’AI Act, (i considerando motivano in modo conciso le norme essenziali dell’articolato), si ricava che scopo prevalente e preordinato per sviluppare  i sistemi di AI conformi debbano tenere presente i seguenti pillars:
    • diritto alla dignita’
    • diritto alla vita privata
    • diritto alla protezione dei dati personali
    • diritto alla vita familiare
    • diritto del consumatore
    • diritto del lavoratore
    • diritto alla non discriminazione
    • diritto al giudizio imparziale
    • diritto di difesa
    • diritto di presunzione di innocenza
    • diritto di tutela dei diritti dei disabili
    • diritto alla buona p.a.
    • liberta’ di espressione, di riunione e di associazione

Ne deriva che i sistemi AI che hanno un qualsiasi impatto su questi diritti si definiscono ad alto rischio.

Da questa considerazione importante nasce la volontà del legislatore europeo di determinare ed indicare una chiara classificazione dei sistemi AI da poter capire quale sia il tipo di sistema.

  • DIMMI CHE CRITERI HAI E TI DIRO’ CHE SISTEMA AI SEI: i criteri di distinzione per individuare i diversi sistemi sono i seguenti:
    • natura e modalità di funzionamento del sistema AI;
    • tipologia di prodotto (allegato II) ;
    • ambito sociale (allegato III);
    • ambito territoriale (art. 2);

Quali sono i sistemi AI ad alto rischio?

L’informatica ci insegna che questa tecnologia può avere una forma autonoma (stand alone), ma anche integrata (embedded), inoltre può, in relazione al tempo, produrre un output in tempo reale o a posteriori.

E’ ad alto rischio un sistema capace di incidere sui diritti fondamentali delle persone fisiche. In particolare l’AI ACT stabilisce che possono considerarsi ad alto rischio:

  1. Sistemi che costituiscono una componente per la sicurezza di prodotti di cui all’allegato II (soggetto a valutazione conformità): macchine, apparecchi e sistemi per atmosfera esplosiva, attrezzature per imbarcazioni da diporto, impianti fune e a combustione gas, apparecchi radio, giocattoli, ascensori, attrezzature a pressione dispositivi medici e diagnostici;
  2. Sistemi AI individuati per ambito ed elencati all’allegato III, ossia per:
    • Identificazione e categorizzazione dati biometrici;
    • Gestione e funzione di strutture critiche (per esempio, traffico stradale, forniture utenze primarie)
    • Occupazione e lavoro
    • Istruzione e formazione
    • Accesso ai servizi pubblici e privati essenziali (per esempio, affidabilità creditizia, emergenza primo soccorso)
    • Attività di contrasto
    • Attività migratorie
    • Amministrazione giustizia e processi democratici.

In uno schema ecco indicatori distintivi per sommi capi di cosa si possa intendere ad alto rischio:

L’AI Act è un regolamento europeo ma a chi si rivolge?

La risposta è che dovrà ritenersi applicabile se produttore, fornitore o distributore, o utente/fruitore sono in Europa.

Ma non basta.

Se l’output del sistema AI è disponibile e fruibile nella UE, anche se il produttore ha sede altrove, le norme dell’AI Act potranno ritenersi applicabili.

Questo l’inquadramento iniziale: il dettato normativo del regolamento intende fornire un sistema di regole senza precedenti, complesso e dettagliato che, by design, possa indicare l’impostazione e l’approccio da adottare nel corso dell’attività di sviluppo dovranno tassativamente riconoscere il valore e l’importanza dei diritti delle persone per garantire alla popolazione ed alla umanità stessa di restare al comando del governo dei sistemi che vengono progettati e realizzati, sorvegliando a garanzia della preservazione dei diritti del singolo e della collettività.

E chi viola le regole?

Ci sono diversi gradi di sanzione (molto severe!!), proporzionate al ruolo del trasgressore (fornitore, produttore, utente, ecc), la possibilità di bloccare o ritirare dal mercato gli algoritmi “illegali”.

La Compagnia dei Sistemi AI è appena partita, venite con noi!

Laura Lecchi
Senior Innovation Lawyer tra i primi giuristi pionieri in Italia ad occuparsi di IT Law e data Protection, oggi annovera fra le sue competenze legal nella cybersecurity, diritto delle tecnologie digitali ed emergenti IoT, sistemi esperti e robotica. E' convinta che adeguarsi alle norme non corrisponda a produrre carta, ma alla costruzione di processi specifici e aderenti alla realtà specifica. Solo attraverso la conoscenza della tecnologia si approda alla applicazione effettiva delle regole.

Lista degli articoli

Articoli in evidenza

Due bug critici in Cisco ASA e FTD: score 9.9 e rischio esecuzione di codice remoto
Di Redazione RHC - 25/09/2025

Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...

Linux balla la samba… ma cade in una race condition. Una falla critica minaccia il kernel
Di Redazione RHC - 25/09/2025

Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...

Criptovalute, ransomware e hamburger: la combo fatale per Scattered Spider
Di Redazione RHC - 25/09/2025

Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...

Rilevate vulnerabilità Zero-Day in Cisco IOS e IOS XE: Aggiornamenti Urgenti
Di Redazione RHC - 25/09/2025

Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...

Esce Kali Linux 2025.3! Nuova release con miglioramenti e nuovi strumenti
Di Redazione RHC - 24/09/2025

Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...