Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

La compagnia dei sistemi AI è partita: Entra in Vigore il Regolamento ‘AI ACT’!

Laura Lecchi : 11 Dicembre 2023 07:39

“A law to govern them all, one to find them, a law to bring them all and in the European Union to regulate them”. AI ACT e La Compagnia dei sistemi (Artificial Intelligence).

Oggi inizia per tutti in Europa la rivoluzione algoritmica: vengono alla luce le regole per sviluppare i futuri sistemi di AI. Le regole sono state approvate e sono ora contenute nel Regolamento europeo già battezzato come “AI ACT”. Questo provvedimento intende contenere le norme giuridiche che disciplineranno lo sviluppo, l’uso e la distribuzione dei sistemi di AI.

La compagnia dei sistemi di Intelligenza Artificiale

L’Unione Europea cerca da un lato di scongiurare il rischio di un algoritmic devide, per evitare quindi un divario di questo tipo, dall’altro di creare una convergenza di definizioni e un catalogo certo e aggiornato di tecniche e approcci specifici impiegati per sviluppare, che sia giuridicamente riconosciuto conforme.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Stabilire regole, individuare quali siano i vari sistemi AI, determinare i criteri per classificarli e sorvegliare: questo l’elenco dei punti salienti. Ma procediamo per punti per individuare lo scopo delle nuove norme che sintetizziamo qui di seguito con piccoli slogan:

  1. ADDIO ALLO SVILUPPO SENZA LIMITI: regolamentare la distribuzione e dunque l’immissione, la messa in servizio e l’uso dei sistemi AI: in altre parole vengono indicati modi, scopi, approcci tecnici per sviluppare un sistema AI “a norma”;
  2. DIVIETO DI SISTEMI AI PROIBITI: introdurre e stabilire quali siano le pratiche da ritenersi vietate e che conducono a considerare proibiti i sistemi AI che le applicano;
  3. SISTEMI AI AD ALTO RISCHIO CON REGOLE FERREE: rispettare i criteri imposti a chi produce sistemi  AI ad altro rischio: per poterli commercializzare si dovranno adempiere una serie di obblighi per i fornitori e le altre categorie di soggetti che contribuiscono alla distribuzione. Dunque addio sviluppo senza binari e regole. Se non sono rispettati gli obblighi il sistema di AI non può essere ritenuto conforme e come tale non solo non è conforme, ma non sarà neppure legittimo poterlo distribuire;
  4. REGOLE AD HOC per tutti quei sistemi AI diversi che provvedono ad effettuare il riconoscimento delle emozioni, la biometria che consenta la manipolazione di video, immagini e audio;
  5. PAROLA D’ORDINE CONTROLLO: provvedere a concepire e regolamentare un sistema di monitoraggio e di  sorveglianza per gli algoritmi di AI è uno degli obiettivi che il regolamento si prefigge.
  6. QUESTIONE DI DIRITTI FONDAMENTALI: prima di conoscere le “regole del gioco” che siano applicabili ai sistemi di intelligenza artificiale, è importante capire che dai “considerando” dell’AI Act, (i considerando motivano in modo conciso le norme essenziali dell’articolato), si ricava che scopo prevalente e preordinato per sviluppare  i sistemi di AI conformi debbano tenere presente i seguenti pillars:
    • diritto alla dignita’
    • diritto alla vita privata
    • diritto alla protezione dei dati personali
    • diritto alla vita familiare
    • diritto del consumatore
    • diritto del lavoratore
    • diritto alla non discriminazione
    • diritto al giudizio imparziale
    • diritto di difesa
    • diritto di presunzione di innocenza
    • diritto di tutela dei diritti dei disabili
    • diritto alla buona p.a.
    • liberta’ di espressione, di riunione e di associazione

Ne deriva che i sistemi AI che hanno un qualsiasi impatto su questi diritti si definiscono ad alto rischio.

Da questa considerazione importante nasce la volontà del legislatore europeo di determinare ed indicare una chiara classificazione dei sistemi AI da poter capire quale sia il tipo di sistema.

  • DIMMI CHE CRITERI HAI E TI DIRO’ CHE SISTEMA AI SEI: i criteri di distinzione per individuare i diversi sistemi sono i seguenti:
    • natura e modalità di funzionamento del sistema AI;
    • tipologia di prodotto (allegato II) ;
    • ambito sociale (allegato III);
    • ambito territoriale (art. 2);

Quali sono i sistemi AI ad alto rischio?

L’informatica ci insegna che questa tecnologia può avere una forma autonoma (stand alone), ma anche integrata (embedded), inoltre può, in relazione al tempo, produrre un output in tempo reale o a posteriori.

E’ ad alto rischio un sistema capace di incidere sui diritti fondamentali delle persone fisiche. In particolare l’AI ACT stabilisce che possono considerarsi ad alto rischio:

  1. Sistemi che costituiscono una componente per la sicurezza di prodotti di cui all’allegato II (soggetto a valutazione conformità): macchine, apparecchi e sistemi per atmosfera esplosiva, attrezzature per imbarcazioni da diporto, impianti fune e a combustione gas, apparecchi radio, giocattoli, ascensori, attrezzature a pressione dispositivi medici e diagnostici;
  2. Sistemi AI individuati per ambito ed elencati all’allegato III, ossia per:
    • Identificazione e categorizzazione dati biometrici;
    • Gestione e funzione di strutture critiche (per esempio, traffico stradale, forniture utenze primarie)
    • Occupazione e lavoro
    • Istruzione e formazione
    • Accesso ai servizi pubblici e privati essenziali (per esempio, affidabilità creditizia, emergenza primo soccorso)
    • Attività di contrasto
    • Attività migratorie
    • Amministrazione giustizia e processi democratici.

In uno schema ecco indicatori distintivi per sommi capi di cosa si possa intendere ad alto rischio:

L’AI Act è un regolamento europeo ma a chi si rivolge?

La risposta è che dovrà ritenersi applicabile se produttore, fornitore o distributore, o utente/fruitore sono in Europa.

Ma non basta.

Se l’output del sistema AI è disponibile e fruibile nella UE, anche se il produttore ha sede altrove, le norme dell’AI Act potranno ritenersi applicabili.

Questo l’inquadramento iniziale: il dettato normativo del regolamento intende fornire un sistema di regole senza precedenti, complesso e dettagliato che, by design, possa indicare l’impostazione e l’approccio da adottare nel corso dell’attività di sviluppo dovranno tassativamente riconoscere il valore e l’importanza dei diritti delle persone per garantire alla popolazione ed alla umanità stessa di restare al comando del governo dei sistemi che vengono progettati e realizzati, sorvegliando a garanzia della preservazione dei diritti del singolo e della collettività.

E chi viola le regole?

Ci sono diversi gradi di sanzione (molto severe!!), proporzionate al ruolo del trasgressore (fornitore, produttore, utente, ecc), la possibilità di bloccare o ritirare dal mercato gli algoritmi “illegali”.

La Compagnia dei Sistemi AI è appena partita, venite con noi!

Laura Lecchi
Senior Innovation Lawyer tra i primi giuristi pionieri in Italia ad occuparsi di IT Law e data Protection, oggi annovera fra le sue competenze legal nella cybersecurity, diritto delle tecnologie digitali ed emergenti IoT, sistemi esperti e robotica. E' convinta che adeguarsi alle norme non corrisponda a produrre carta, ma alla costruzione di processi specifici e aderenti alla realtà specifica. Solo attraverso la conoscenza della tecnologia si approda alla applicazione effettiva delle regole.

Lista degli articoli

Articoli in evidenza

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...

CTF di RHC 2025. Ingegneria sociale in gioco: scopri la quarta “flag” non risolta

La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...

Linux Pwned! Privilege Escalation su SUDO in 5 secondi. HackerHood testa l’exploit CVE-2025-32463

Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...

Hackers nordcoreani a libro paga. Come le aziende hanno pagato stipendi a specialisti IT nordcoreani

Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...