Che cos’è l’AI Act? (Italian/English)

In questo articolo, scritto dai nostri esperti di etica, il ricercatore Corrado Claverini e la professoressa Fiorella Battaglia dell’Università del Salento, Partner di AINCP, rispondiamo alle domande più frequenti sull’AI Act, il regolamento europeo sull’Intelligenza Artificiale entrato in vigore nel 2024.

1.        Che cos’è l’AI Act?

L’AI Act è una normativa dell’Unione Europea che definisce le regole per la progettazione, l’implementazione e l’uso dei sistemi di intelligenza artificiale all’interno dell’UE. Tale normativa classifica i sistemi di IA in base al rischio e stabilisce obblighi specifici per i vari soggetti coinvolti (fornitori, utilizzatori, importatori, distributori e rappresentanti autorizzati). L’AI Act si applica non solo ai soggetti operanti all’interno dell’UE, ma anche a quelli con sede extra-UE che forniscono sistemi di IA o servizi che influenzano persone o mercati europei. Questo fenomeno è noto come “effetto Bruxelles”, un termine che indica l’impatto globale delle normative europee. In breve, quando l’UE introduce regolamentazioni stringenti, molte aziende extra-UE si adeguano a tali standard per poter continuare a operare nel mercato europeo. Di conseguenza, le regole dell’UE influenzano indirettamente anche Paesi e aziende al di fuori dei suoi confini, incentivando una conformità globale. Un fenomeno simile è già avvenuto con il GDPR, la normativa europea sulla protezione dei dati, che ha portato molte aziende internazionali ad adottare standard più rigorosi sulla privacy anche al di fuori dell’Europa.

2.        A che cosa serve l’AI Act?

L’AI Act serve a regolare l’uso dell’intelligenza artificiale da parte delle organizzazioni per garantire la sicurezza, proteggere i diritti fondamentali e promuovere la fiducia nelle tecnologie IA. Adotta un approccio basato sul rischio, classificando i sistemi di IA in categorie (minimo, limitato, alto e inaccettabile) e applicando regole proporzionate per ciascuna.

Accanto all’AI Act, altre normative concorrono a delineare un quadro solido per lo sviluppo e l’utilizzo etico, sicuro e trasparente dell’intelligenza artificiale. Il Digital Services Act (DSA) introduce requisiti di trasparenza e responsabilità per le piattaforme digitali in merito all’uso di algoritmi e alla moderazione dei contenuti, mentre il Digital Markets Act (DMA) salvaguarda la concorrenza garantendo mercati digitali più equi, soprattutto in presenza di grandi operatori (i cosiddetti gatekeepers). Inoltre, il Regolamento Generale sulla Protezione dei Dati (GDPR) assicura che qualsiasi sistema di IA che elabora dati personali rispetti le normative sulla privacy. Infine, in ambito sanitario, il Medical Device Regulation (MDR) e l’In Vitro Diagnostic Regulation (IVDR) stabiliscono regole rigorose per i dispositivi che impiegano tecnologie IA.

3.        Quali sono le categorie di rischio individuate dall’AI Act?

L’AI Act ha identificato quattro categorie di rischio per i sistemi di IA, le quali sono:

• Rischio minimo o trascurabile: Questa categoria include la maggior parte dei sistemi di IA, come quelli utilizzati nei videogiochi o nei filtri antispam. Non presentando rischi significativi, questi sistemi non sono soggetti a regolamentazioni specifiche.

• Rischio limitato: Per questi sistemi, l’AI Act prevede obblighi di trasparenza. Ad esempio, i chatbot devono dichiarare di essere intelligenze artificiali e i contenuti generati tramite deepfake devono essere chiaramente identificati per evitare inganni.

• Rischio alto: I sistemi in questa categoria possono avere un impatto significativo sulla sicurezza o sui diritti delle persone e quindi sono soggetti a rigidi requisiti di conformità. Si tratta di applicazioni in ambiti critici come la sanità, l’istruzione, l’occupazione, il sistema giudiziario e le infrastrutture essenziali.

• Rischio inaccettabile: Questa categoria comprende i sistemi di IA considerati pericolosi per i diritti fondamentali e quindi vietati. Tra questi ci sono pratiche come il social scoring da parte dei governi, la manipolazione subliminale per influenzare i comportamenti e la sorveglianza biometrica massiva in tempo reale negli spazi pubblici, salvo alcune eccezioni specifiche (ad esempio, l’uso per la prevenzione di minacce terroristiche).

4.        Come vengono gestiti i dati personali che alimentano i sistemi di Intelligenza Artificiale?

I dati personali seguono, al momento, le stesse procedure di consenso al trattamento seguite più in generale da tutti i servizi digitali. In particolare, i sistemi di IA sono chiamati a rispettare la legge europea GDPR sulla protezione dei dati personali. In particolare, per l’elaborazione dei dati personali (per esempio per analisi statistiche o di marketing), i sistemi devono ricevere il consenso all’uso specifico, per le finalità indicate, da parte dei soggetti coinvolti (“proprietari” dei dati).

Da notare che la legge europea GDPR prevede in ciascun Paese la presenza di un’Autorità Garante che può prevedere anche norme più stringenti (in Italia è il “Garante Privacy”).

Nel caso specifico dell’Italia, la Legge n. 132 del 23 settembre 2025, entrata in vigore il 10 ottobre e recante “Disposizioni e deleghe al Governo in materia di intelligenza artificiale” introduce specifici provvedimenti relativi all’uso dell’intelligenza artificiale in ambito sanitario e di disabilità, garantendo “alle persone con disabilità il pieno accesso ai sistemi di intelligenza artificiale e alle relative funzionalità o estensioni, su base di uguaglianza e senza alcuna forma di discriminazione e di pregiudizio, in conformità alle disposizioni della Convenzione delle Nazioni Unite sui diritti delle persone con disabilità, fatta a New York il 13 dicembre 2006, ratificata e resa esecutiva in Italia ai sensi della legge 3 marzo 2009, n. 18” (articolo 3, comma 7). Il Garante Privacy ha espresso parere favorevole, chiedendo però di prevedere il necessario coordinamento con il Regolamento sullo Spazio Europeo dei Dati Sanitari, entrato in vigore il 26 marzo 2025. Inoltre, a livello internazionale, va ricordato che nell’ottobre 2024 il Garante Privacy italiano, insieme alle Autorità per la protezione dei dati dei Paesi del G7, ha approvato una dichiarazione congiunta su IA e minori, sottolineando la necessità di protezioni rafforzate per i bambini nell’uso di sistemi basati su IA. 

5.        Quali sono i tempi di attuazione dell’AI Act?

L’AI Act è entrato ufficialmente in vigore ad agosto 2024 e l’AI Office – istituito il 29 maggio 2024 – è responsabile della sua attuazione, supervisionando le seguenti scadenze:

• Febbraio 2025: sono entrati in vigore i divieti per i sistemi di IA con rischio inaccettabile.

• Agosto 2025: approvazione del General-Purpose AI Code of Practice (con un’attenzione specifica alla non discriminazione e alla protezione dei diritti fondamentali, con particolare riguardo ai gruppi vulnerabili) e piena operatività per i sistemi di governance a livello europeo e nazionale per i sistemi di General-Purpose AI.

• Agosto 2026: l’AI Act diventa pienamente applicabile, ad eccezione degli obblighi per i sistemi di AI ad “alto rischio” che avranno un anno di tempo per mettersi in regola.

  Inoltre, tutti i sistemi ritenuti ad “alto rischio” verranno pubblicati in un database europeo.

• Agosto 2027: i sistemi “ad alto rischio” dovranno rispettare tutti i requisiti di compliance fissati dall’AI Act.

6.        E fuori dall’Europa?

L’AI Act non rappresenta l’unica normativa sull’intelligenza artificiale e vi è chi ha sottolineato come, in realtà, non sia nemmeno la prima a livello globale[1]. In Cina, ad esempio, sono entrate in vigore le “Misure provvisorie per la gestione dei servizi di intelligenza artificiale generativa” (15 agosto 2023)[2]. Negli Stati Uniti, sono da segnalare un ordine esecutivo (30 ottobre 2023)[3] e un memorandum (24 ottobre 2024)[4] firmati dal Presidente Biden. Tuttavia, l’AI Act europeo si distingue come uno dei tentativi più completi per promuovere un’innovazione responsabile in questo campo.

7.        Come l’AI Act impatta sul progetto AINCP? Dove è utilizzata l’intelligenza artificiale e come vengono tutelati i diritti dei bambini coinvolti nei percorsi di cura?

All'interno del progetto AINCP, l'intelligenza artificiale non viene utilizzata direttamente sui pazienti: gli studi clinici che stiamo conducendo non usano l’IA, bensì mirano a sviluppare un sistema di supporto decisionale per i clinici, basato su IA.

Questo sistema: 1) da una parte, sarà conforme ai requisiti essenziali già oggi previsti per i dispositivi medici (MDR), in particolare per quanto riguarda trasparenza, gestione del rischio e monitoraggio; 2) dall’altra, rispetterà gli obblighi normativi e operativi richiesti dall’AI Act per i dispositivi medici basati su intelligenza artificiale.

Inoltre, il progetto AINCP assume come riferimenti la Convenzione ONU sui diritti del fanciullo (1989), la Strategia dell’UE sui diritti dei minori (2021), le raccomandazioni dell’UNICEF nel Policy Guidance on AI for Children 2.0 (2021) e le linee guida internazionali del World Economic Forum contenute nell’Artificial Intelligence for Children Toolkit (2022). Questi documenti stabiliscono che ogni tecnologia destinata o potenzialmente rilevante per i bambini debba garantirne diritti, sicurezza, inclusione e partecipazione, principi integrati nell’impostazione metodologica del progetto AINCP.

——

English translation

What is the AI Act?

In this article, written by our ethicists, researcher Corrado Claverini and professor Fiorella Battaglia from the University of Salento, AINCP Partner, we answer to the most frequently asked questions about the AI Act, the European regulation on Artificial Intelligence that came into force in 2024.

1. What is the AI Act?

The AI Act is a European Union regulation that defines the rules for the design, implementation and use of Artificial Intelligence systems within the EU. This regulation classifies AI systems based on risk and establishes specific obligations for the various parties involved (suppliers, users, importers, distributors and authorised representatives). The AI Act applies not only to entities operating within the EU, but also to those based outside the EU that provide AI systems or services that affect people or markets in Europe. This phenomenon is known as the “Brussels effect”, a term that indicates the global impact of European regulations. In short, when the EU introduces stringent regulations, many non-EU companies adapt to those standards to continue operating in the European market. As a result, EU rules indirectly affect countries and companies outside the borders of the European Union, incentivising global compliance. A similar phenomenon has already occurred with the GDPR, the European data protection law, which has led many international companies to adopt more stringent privacy standards even outside Europe.

2. What is the purpose of the AI Act?

The AI Act is intended to regulate the use of Artificial Intelligence by organizations to ensure safety, protect fundamental rights and promote trust in AI technologies. It adopts a risk-based approach, classifying AI systems into categories (minimal, limited, high and unacceptable) and applying proportionate rules for each.

Alongside the AI Act, other regulations help outline a solid framework for the ethical, safe and transparent development and use of Artificial Intelligence. The Digital Services Act (DSA) introduces transparency and accountability requirements for digital platforms regarding the use of algorithms and content moderation, while the Digital Markets Act (DMA) safeguards competition by ensuring fairer digital markets, especially in the presence of large operators (the so-called gatekeepers). Furthermore, the General Data Protection Regulation (GDPR) ensures that any AI system processing personal data complies with privacy regulations. Finally, in the healthcare sector, the Medical Device Regulation (MDR) and the In Vitro Diagnostic Regulation (IVDR) set strict rules for devices that use AI technologies.

3. What are the risk categories identified by the AI Act?

The AI Act has identified four risk categories for AI systems, which are:

• Minimal or negligible risk: This category includes most AI systems, such as those used in video games or spam filters. As they do not pose significant risks, these systems are not subject to specific regulations.

• Limited risk: For these systems, the AI Act provides transparency requirements. For example, chatbots must declare that they are Artificial Intelligence and content generated by deepfakes must be clearly identified to avoid deception.

• High risk: Systems in this category can have a significant impact on the safety or rights of individuals and are therefore subject to strict compliance requirements. These are applications in critical areas such as healthcare, education, employment, the justice system and essential infrastructure.

• Unacceptable risk: This category includes AI systems that are considered dangerous to fundamental rights and are therefore prohibited. These include practices such as social scoring by governments, subliminal manipulation to influence behaviour, and massive real-time biometric surveillance in public spaces, with some specific exceptions (e.g. use to prevent terrorist threats).

4. How are personal data that feed AI systems managed?

Personal data currently follow the same consent procedures as those followed more generally by all digital services. So, Artificial Intelligence systems are required to comply with the European GDPR law on the protection of personal data; for the processing of personal data (e. g. for statistical or marketing analysis), the systems must receive consent for specific use, for the purposes indicated, by the subjects involved (“owners” of the data).

It should be noted that the European GDPR law provides for the presence of a Supervisory Authority in each Country that can also provide more stringent rules (in Italy it is the “Garante Privacy”).

In the specific case of Italy, Law no. 132 of 23 September 2025, which came into force on 10 October "Disposizioni e deleghe al Governo in materia di intelligenza artificiale", introduces specific provisions relating to the use of artificial intelligence in the healthcare and disability sectors, guaranteeing “persons with disabilities full access to artificial intelligence systems and their functionalities or extensions, on an equal basis and without any form of discrimination and prejudice, in accordance with the provisions of the United Nations Convention on the Rights of Persons with Disabilities, made in New York on 13 December 2006, ratified and implemented in Italy pursuant to Law no. 18 of 3 March 2009” (Article 3, paragraph 7). The Italian Data Protection Authority (Garante Privacy) expressed a favorable opinion, but requested that the necessary coordination be established with the Regulation on the European Health Data Area, which entered into force on March 26, 2025. Furthermore, at the international level, it should be noted that in October 2024, the Italian Data Protection Authority, together with the data protection authorities of the G7 countries, approved a joint statement on AI and children, underscoring the need for greater protections for children when using AI-based systems. 

5. What are the implementation times of the AI ​​Act?

The AI ​​Act officially entered into force in August 2024 and the AI ​​Office – established on 29 May 2024 – is responsible for its implementation, overseeing the following deadlines:

• February 2025: bans for AI systems with unacceptable risk come into force.

• August 2025: approval of the General-Purpose AI Code of Practice (with specific attention to non-discrimination and the protection of fundamental rights, with particular regard to vulnerable groups) and the governance systems at European and national level for General-Purpose AI systems become fully operational.

• August 2026: The AI ​​Act becomes fully applicable, except for the obligations for “high-risk” AI systems, which will have one year to comply.

  In addition, all systems deemed to be “high-risk” will be published in a European database.

• August 2027: “high-risk” systems will have to comply with all compliance requirements set by the AI ​​Act.

6. And what about similar regulations outside of Europe?

The AI ​​Act is not the only regulation on Artificial Intelligence, and some have pointed out that it is not even the first at a global level [1]. In China, for example, the “Interim Measures for the Management of Generative Artificial Intelligence Services” came into force (15 August 2023) [2]. In the United States, there is an Executive Order (October 30, 2023) [3] and a Memorandum (October 24, 2024) [4] signed by President Biden. However, the European AI Act stands out as one of the most comprehensive attempts to promote responsible innovation in this field.

7. How does the AI ​​Act impact the AINCP project? How is Artificial Intelligence used and how are the rights of children involved in the care pathways protected?

Within the AINCP project, Artificial Intelligence is not used directly on patients: the clinical trials we are conducting do not use Artificial Intelligence, but rather aim to develop an AI-based Decision Support System for clinicians.

This system: 1) on the one hand, will comply with the essential requirements already in place today for medical devices (MDR), related to transparency, risk management and monitoring; 2) on the other hand, it will comply with the regulatory and operational obligations required by the AI ​​Act for medical devices based on Artificial Intelligence.

Furthermore, the AINCP project refers to the UN Convention on the Rights of the Child (1989), the EU Strategy on the Rights of the Child (2021), the UNICEF recommendations in the Policy Guidance on AI for Children 2.0 (2021) and the international guidelines of the World Economic Forum contained in the Artificial Intelligence for Children Toolkit (2022). These documents establish that any technology intended or potentially relevant for children must guarantee their rights, safety, inclusion and participation, principles integrated into the methodological approach of the AINCP project. 

———

Picture @ unsplash

[1] V. Franceschelli, Norme strutturali e organizzative ad alto impatto sui diversi settori, in “Dossier n. 3/2024” - Intelligenza artificiale e il nuovo AI Act europeo, 12 settembre 2024, https://ntplusdiritto.ilsole24ore.com/art/le-novita--norme-strutturali-e-organizzative-ad-alto-impatto-diversi-settori-AF2UvXqD.

[2] Interim Measures for the Management of Generative AI Services: https://www.cac.gov.cn/2023-07/13/c_1690898327029107.htm.

[3] Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence: https://www.whitehouse.gov/briefing-room/presidential-actions/2023/10/30/executive-order-on-the-safe-secure-and-trustworthy-development-and-use-of-artificial-intelligence/.

[4] Memorandum on Advancing the United States’ Leadership in Artificial Intelligence; Harnessing Artificial Intelligence to Fulfill National Security Objectives; and Fostering the Safety, Security, and Trustworthiness of Artificial Intelligence: https://www.whitehouse.gov/briefing-room/presidential-actions/2024/10/24/memorandum-on-advancing-the-united-states-leadership-in-artificial-intelligence-harnessing-artificial-intelligence-to-fulfill-national-security-objectives-and-fostering-the-safety-security/.