l’analisi

AI Act, divieti deboli e sanzioni aggirabili: perché così non funziona



Indirizzo copiato

Il nuovo regolamento europeo mostra falle significative nel sistema sanzionatorio, con multe facilmente eludibili e assenza di strumenti efficaci per bloccare i sistemi vietati

Pubblicato il 7 feb 2025

Eugenio Prosperetti

Avvocato esperto trasformazione digitale, docente informatica giuridica facoltà Giurisprudenza LUISS



intelligenza artificiale ai act

Non si fa altro che parlare di intelligenza artificiale: una tecnologia dirompente che- come sempre quando arriva una innovazione che sconvolge alcuni aspetti del nostro modo di fare le cose – solleva interrogativi, dubbi e anche paure.

A questi interrogativi, dubbi e paure l’Unione Europea ha da tempo deciso di rispondere in via preventiva, con un Regolamento, l’AI Act, – valido in tutti e 27 gli Stati membri – che ha l’obiettivo di stabilire da subito cosa si può fare con l’intelligenza artificiale e cosa no, e quali sono le procedure per governare questi sistemi in Europa e i paletti etici del suo utilizzo.

Principali divieti dell’AI Act e linee guida della Commissione UE

Il 2 febbraio scorso sono entrati in vigore alcuni importanti “divieti” posti dal Regolamento: è vietato così produrre, distribuire e usare l’IA per alcune specifiche finalità, che sono pratiche dannose e alcune finalità ad alto rischio, pur non del tutto vietate, comportano obblighi di verifica preventiva da parte degli organismi competenti a livello nazionale ed UE e il 4 febbraio sono state pubblicate dalla Commissione UE delle importanti linee guida sull’applicazione dell’art. 5 dell’AI Act – che stabilisce quali siano le “pratiche” (non ad alto rischio) comunque vietate in base all’AI Act. Si tratta di un documento molto complesso, di 135 pagine, che andrà studiato con attenzione e il fatto che sia stato pubblicato dopo che il divieto è entrato in vigore non aiuta.

Portata ed efficacia dei divieti e della regolamentazione dell’AI

È interessante però – indipendentemente dalle precisazioni e criteri contenuti nelle Linee Guida – riflettere in generale su quale sia la portata effettiva dei divieti che vengono posti: le misure dell’AI Act sono cioè in grado di garantire che un divieto sia realmente efficace e che intervenga tempestivamente, prima che il danno sia fatto o prevedono solamente sanzioni pecuniarie, senza reali misure per bloccare effettivamente gli utilizzi vietati?

Il dibattito sulla necessità di regolamentare l’intelligenza artificiale

Prima di parlarne, c’è da dire che alcuni ritengono errato regolare l’AI, che la regolamentazione sia un freno all’innovazione e – peraltro – si va accentuando questa differenza di vedute tra Italia e USA, ora che la nuova amministrazione Trump, tra i suoi primi atti, ha abrogato l’ordine esecutivo del Presidente Biden che regolava l’AI in maniera abbastanza simile al Regolamento UE.

È però anche vero che è perfettamente normale regolare una nuova tecnologia, che ha effetti così pervasivi sulla vita degli individui: immaginiamo se non ci fossero regole e sorveglianza sui farmaci, se non ci fossero regole sulle automobili e sui veicoli a motore, se non ci fossero regole sul traffico aereo e marittimo, se non ci fossero regole sull’edilizia… probabilmente ci sarebbe minore freno all’innovazione, ma si rischierebbe un’innovazione pericolosa, i cui utilizzatori sarebbero – in sostanza – cavie.

Quale tipo di regolamentazione è più efficace: regole dettagliate o principi generali

Il problema è quale sia il giusto tipo e livello di regolamentazione: regole molto dettagliate come quelle dell’AI Act o principi generali – come quelli del GDPR e dello “storico” regolamento sul commercio elettronico del 2000, che – grazie alle sue regole chiare e generali, ha svolto la sua funzione – stabilendo le generali regole di responsabilità per chiunque fornisce e opera servizi di qualsiasi tipo su Internet – per quasi un quarto di secolo sino a che non è stato integrato dal Digital Services Act.

I rischi di una regolamentazione troppo restrittiva per l’innovazione

Il fatto è che le norme che funzionano meglio sembrano essere principi generali i quali poi lasciano alla giurisprudenza dei tribunali e/o alle autorità di vigilanza l’interpretazione dei singoli casi.

Quando furono introdotte le automobili, nel Regno Unito, una famosa norma imponeva a ogni automobile di farsi precedere da una persona che ne annunciava l’arrivo e diceva di spostarsi…. Quando furono introdotti i fonografi negli USA si cercò di vietarli perché avrebbero impedito la propagazione orale della musica e della cultura… insomma, è facile che una norma impostata male freni l’innovazione a causa di timori eccessivi.

Fatto sta che la scelta europea è stata per una normativa molto analitica, con molte (troppe) distinzioni, prescrizioni ed eccezioni, molto difficili da verificare “a freddo”, prima che il modello di AI entri in funzione e sia utilizzato nella pratica. È come se all’entrata in vigore del GDPR si fosse cercato di stabilire tutti i casi in cui potesse essere applicato e le relative eccezioni… questo lavoro è invece, negli anni, frutto dell’elaborazione e casistica dei Garanti e si adatta così progressivamente all’evoluzione della tecnologia.

L’efficacia reale dei divieti dell’AI Act

Mi sono allora posto il problema di verificare quanto i “divieti” dell’AI Act si possano definire realmente tali – nel senso che non sarà in nessun caso possibile che in UE vengano violati e quanto – invece – siano norme che stabiliscono sanzioni amministrative, ma non garantiscono che i servizi di IA “vietati” non potranno in qualche caso essere prodotti, distribuiti e utilizzati.

Normalmente, quando il Legislatore vuole essere certo che un comportamento sia effettivamente proibito, prevede sanzioni penali – che in questo caso non ci sono, mentre i casi più gravi delle violazioni del GDPR possono essere considerati anche reato – e/o prevede penetranti e dettagliati poteri di inibitoria della Autorità di vigilanza, magari con l’intervento della magistratura e anche l’Autorità Antitrust, ha penetranti poteri di inibitoria dei comportamenti delle imprese che violano la concorrenza o il Codice del Consumo.

Nel caso dell’AI Act, accanto a divieti molto molto dettagliati, troviamo norme molto meno precise su quali siano le sanzioni e, soprattutto, quali siano le procedure per applicarle e i poteri delle autorità di vigilanza di inibire temporaneamente il servizio che potrebbe essere valutato come vietato.

Manca altresì una chiara disposizione su come e per quale motivo è possibile appellare le sanzioni emanate ai sensi dell’AI Act: il Regolamento lascia al Legislatore nazionale di stabilire chi sia competente e quale sia la procedura… bisogna allora pensare che non sia possibile l’appello al Tribunale di Primo Grado e Corte di Giustizia UE? Ciò favorirà la creazione di differenze interpretative tra Stato e Stato, anche riguardo alla medesima violazione.

Il sistema delle sanzioni e i suoi limiti

Concentriamoci però su cosa può effettivamente accadere al soggetto che produca/distribuisca/usi un sistema di AI vietato.

Analisi delle sanzioni previste dall’AI Act

La prima conseguenza potrebbe sicuramente essere la sanzione: le prime letture dell’AI Act parlano di sanzioni monstre: fino a 35.000.000 di euro o 7% del fatturato mondiale – se la cifra è maggiore. Tuttavia, le cifre non devono trarre in inganno: si tratta di massimali e – se guardiamo alle sanzioni erogate per violazioni del GDPR, tali massimali si sono raggiunti molto raramente: tipicamente una grave violazione viene sanzionata con 6-7 milioni di euro e non possono essere applicate in prima battuta alla massima intensità, l’AI Act prescrive una certa gradualità e valutazione della gravità dei comportamenti.

D’altra parte, se pensiamo alle sanzioni monstre del GDPR, vediamo che, a fronte della sanzione massima di 20.000.000 o 4% del fatturato (se maggiore) il livello medio è ben inferiore: grandi gruppi vengono sanzionati per violazioni gravi dei dati personali con importi di 5-6 milioni, piccole e medie imprese se la cavano con cifre anche molto inferiori al milione.

È inoltre molto strano che le sopra citate sanzioni si applichino per la violazione dell’art. 5 dell’AI Act (pratiche vietate) mentre la violazione dell’art. 6 (IA ad alto rischio) viene sanzionata con massimali inferiori: fino a 15 milioni di Euro o 3% del fatturato mondiale annuo, se superiore.

Peraltro, le sopra citate sanzioni si applicano per la “non conformità” ai divieti del modello di IA e non sembra essere chiaramente prevista una specifica ulteriore e diversa sanzione per la violazione degli ordini delle autorità di vigilanza (ad esempio se il fornitore non modifica il modello, nonostante gli sia richiesto) e, paradossalmente, non è chiaro nemmeno se l’Autorità di vigilanza possa ordinare un blocco cautelare del modello e quali siano le conseguenze se questo ordine venga ignorato.

L’unica cosa certa è che la violazione dei principali divieti dell’AI Act viene sanzionata con una sanzione pecuniaria, non necessariamente con il blocco del sistema che viola il divieto e tale sanzione – scimmiottando il GDPR – è elevata in base al “fatturato” della singola impresa.

Ora, non è difficile immaginare una situazione in cui chi sviluppa/distribuisce/usa il sistema di AI sanzionato non abbia un elevato fatturato, potrebbe anche avere fatturato zero… in questo caso si perde ogni effetto deterrente della sanzione.

Gli effetti limitati delle sanzioni sulle pratiche vietate

D’altra parte, le “pratiche” vietate dall’AI Act potrebbero essere compiute non sulla base di considerazioni economiche e la prospettiva di pagare il 7% del fatturato potrebbe essere messa in conto.

Su questo punto l’AI Act mi sembra piuttosto carente: sanziona il fornitore/deployer/utilizzatore ma non prevede (se non in casi molto specifici) che l’uso di un sistema vietato abbia effetti sugli atti che vengono posti in essere attraverso il sistema.

Immaginiamo ad esempio un sistema di AI che – in violazione dell’AI Act – persuada la maggioranza degli elettori in una competizione elettorale a votare per un determinato candidato: non si prevede alcun effetto invalidante delle elezioni “truccate”… il deployer paga la sanzione e l’eletto prende il potere.

Gli esempi potrebbero anche essere più semplici: se un telemarketing usa l’AI per persuadermi con tecniche subliminali a comprare un servizio, non si prevede la nullità del contratto stipulato.

Quando un’impresa compie una pratica commerciale vietata dal Codice del Consumo, l’autorità di vigilanza (in questo caso l’antitrust) non solo applica una sanzione pecuniaria, ma ha il potere di bloccare la pratica scorretta e di imporre a chi la ha messa in atto di annullarne gli effetti e riparare all’illecito (es. risarcire), se l’impresa non obbedisce a questi ordini, addirittura di farla chiudere. Come si diceva nell’AI Act questa escalation non è sembra essere stata prevista: tutto si esaurisce con la sanzione pecuniaria. L’Antitrust ha anche il potere di accettare impegni che, evitando la sanzione, risolvano il danno creato dalla pratica scorretta.

Le scappatoie per le PMI e i gruppi aziendali

Qualcuno dirà che la sanzione pecuniaria alta è comunque un deterrente ma – come dicevo – anche qui diversamente da quel che avviene per le violazioni del Codice del Consumo, la sanzione è applicata sul fatturato della sola impresa che commette la violazione, non del gruppo cui appartiene e, se l’impresa che commette la violazione è una PMI o startup, c’è una importante agevolazione: se il 7% del fatturato è minore di 35.000.000 di euro (come è quasi certo) si applica come massimale la percentuale; se si tratta di una startup che non ha ancora fatturato… la sanzione è zero!

Quindi, se l’interpretazione sopra esposta è corretta, un grosso gruppo, che voglia sviluppare un modello di AI borderline, non ha che da farlo sviluppare a una sua impresa, la quale non fattura direttamente, perché finanziata dagli azionisti a monte, purché abbia i requisiti di PMI. Peraltro, l’AI Act prevede comunque una importante eccezione per le attività di mero sviluppo.

Le sanzioni per informazioni inesatte e la resistenza dei soggetti esteri

Altra sanzione “importante” dell’AI Act è quella relativa alla fornitura agli organismi notificati/autorità di vigilanza nazionali di informazioni “inesatte, incomplete o fuorvianti”: è prevista una sanzione di massimo 7.500.000 di Euro o 1% del fatturato mondiale, se superiore; anche in questo caso una PMI o startup se la cava con un massimo del 1% del fatturato; è da notare al riguardo che la sanzione viene applicata per la fornitura di informazioni inesatte, incomplete o fuorvianti; dal punto di vista semantico potrebbe essere possibile argomentare che potrebbe essere complesso sanzionare la mancata risposta tout court alla richiesta perché non sarebbe una fornitura.

Ci sono già evidenze che l’atteggiamento di resistenza ed elusione sarà quello dei soggetti esteri: basti vedere come Deepseek ha risposto al nostro Garante privacy, rifiutando – di fatto – il contraddittorio e di farsi mettere sotto esame… e, a differenza dell’AI Act, la violazione del GDPR è anche assistita in Italia da possibili sanzioni penali, come avviene in vari paesi UE anche per la violazione delle norme antitrust. Anche su questo fronte la violazione dell’AI Act non è rafforzata da alcuna previsione di natura penale.

Margini di miglioramento dell’AI Act

In conclusione, pur nella sinteticità della analisi sopra effettuata, sembrano esservi ancora significativi margini di miglioramento dell’impianto dell’AI Act, specie dal punto di vista procedurale e sanzionatorio. Alcuni di questi temi potrebbero essere affrontati nella implementazione a livello nazionale, ma altri sembrano richiedere un correttivo a livello UE.

EU Stories - La coesione innova l'Italia

Tutti
Video & Podcast
Analisi
Social
Iniziative
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Podcast
Centro Servizi Territoriali: uno strumento per accompagnare gli enti nell’attuazione della politica di coesione. Il podcast “CapCoe. La coesione riparte dalle persone”
Podcast
EU Stories, il podcast | Politiche di coesione e comunicazione: una sinergia per il futuro
Opinioni
La comunicazione dei fondi europei da obbligo ad opportunità
eBook
L'analisi della S3 in Italia
Norme UE
European Accessibility Act: passi avanti verso un’Europa inclusiva
Agevolazioni
A febbraio l’apertura dello sportello Mini Contratti di Sviluppo
Quadri regolamentari
Nuovi Orientamenti sull’uso delle opzioni semplificate di costo
Coesione
Nuovo Bauhaus Europeo (NEB): i premi che celebrano innovazione e creatività
Dossier
Pubblicato il long form PO FESR 14-20 della Regione Sicilia
Iniziative
400 milioni per sostenere lo sviluppo delle tecnologie critiche nel Mezzogiorno
Formazione
“Gian Maria Volonté”: dalle aule al mondo del lavoro, focus sui tirocini della Scuola d’Arte Cinematografica
TRANSIZIONE ENERGETICA
Il ruolo del finanziamento BEI per lo sviluppo del fotovoltaico in Sicilia
Formazione
“Gian Maria Volonté”: dalla nascita ai progetti futuri, focus sulla Scuola d’Arte Cinematografica. Intervista al coordinatore Antonio Medici
MedTech
Dalla specializzazione intelligente di BionIT Labs una innovazione bionica per la disabilità
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3