Glossario
Glossario AI Act
I termini chiave del Reg. UE 2024/1689 spiegati in modo semplice, con un esempio pratico per le PMI.
- ACN (Agenzia per la Cybersicurezza Nazionale)
- L'ACN, cioe' l'Agenzia per la Cybersicurezza Nazionale, e' l'autorita' italiana incaricata di vigilare sul rispetto delle regole sull'intelligenza artificiale, con poteri ispettivi e sanzionatori, ed e' anche il punto di contatto unico tra l'Italia e le istituzioni europee, secondo l'articolo 20 della Legge 132/2025 che dà attuazione all'articolo 70 del Regolamento UE 2024/1689. AgID, l'Agenzia per l'Italia Digitale, ha un ruolo distinto e complementare, perche' promuove l'innovazione e lo sviluppo dell'IA ed e' l'autorita' di notifica, quella che accredita e monitora gli organismi che verificano la conformita' dei sistemi. In sintesi l'ACN vigila, ispeziona e sanziona, mentre AgID notifica e accredita.
- AI Office (Ufficio europeo per l'IA)
- L'AI Office è l'Ufficio europeo per l'intelligenza artificiale, istituito all'interno della Commissione europea (definizione all'art. 3) per attuare e far rispettare l'AI Act. Si occupa soprattutto della vigilanza sui modelli di IA per finalità generali, i cosiddetti GPAI.
- Alfabetizzazione AI (AI literacy)
- L'alfabetizzazione AI e' l'insieme di competenze, conoscenze e comprensione che mette le persone della tua azienda nelle condizioni di usare i sistemi di intelligenza artificiale in modo consapevole, capendo opportunita' e rischi, come previsto dall'art. 4 e definito dall'art. 3 punto 56 del Reg. UE 2024/1689. A differenza di una semplice infarinatura tecnologica, qui non conta sapere quale software usi. Conta che chi lo usa capisca cosa fa quel sistema, dove sbaglia e quando serve l'occhio di una persona.
- Allegato III (elenco dei sistemi ad alto rischio)
- L'Allegato III e' la lista, contenuta nel Regolamento UE 2024/1689 (AI Act) e richiamata dall'art. 6, par. 2, degli usi dell'intelligenza artificiale che la legge europea considera "ad alto rischio" perche' incidono in modo serio su salute, sicurezza o diritti fondamentali delle persone. Esiste anche un altro percorso che porta all'alto rischio, quello dell'art. 6, par. 1, che riguarda l'AI inserita in prodotti gia' regolati come dispositivi medici, macchine o veicoli. L'Allegato III invece elenca i sistemi che sono ad alto rischio per via dell'ambito in cui vengono usati, anche quando funzionano da soli e non sono incorporati in un altro prodotto.
- Codici di condotta GPAI
- I codici di condotta GPAI sono strumenti volontari, promossi dalla Commissione e dall'Ufficio europeo per l'AI, che aiutano i fornitori dei grandi modelli a dimostrare il rispetto degli obblighi. Sono previsti dall'art. 56 del Reg. UE 2024/1689, applicabili ma non vincolanti di per se'.
- Decreto Trasparenza (D.Lgs. 104/2022)
- Il Decreto Trasparenza e' la norma italiana che obbliga il datore di lavoro a informare i dipendenti quando usa sistemi automatizzati per decisioni su assunzione, gestione o monitoraggio del rapporto. E' il D.Lgs. 104/2022, in vigore dal 13 agosto 2022, distinto dall'AI Act.
- Deepfake
- Il deepfake e' un'immagine, un audio o un video generato o manipolato dall'AI che somiglia a persone, luoghi o eventi reali e puo' sembrare autentico pur non essendolo. L'art. 3(60) del Reg. UE 2024/1689 lo definisce e l'art. 50 ne impone la dichiarazione.
- Deployer (utilizzatore)
- Il deployer e' la persona fisica o giuridica, l'autorita' pubblica, l'agenzia o altro organismo che usa un sistema di intelligenza artificiale sotto la propria autorita', cioe' in un contesto professionale, secondo la definizione dell'art. 3, punto 4 del Reg. UE 2024/1689. A differenza del fornitore (provider), che sviluppa il sistema o lo immette sul mercato con il proprio nome, il deployer non costruisce nulla, semplicemente lo adopera nella propria attivita'.
- Distributore di sistemi di IA
- Il distributore e' la persona fisica o giuridica nella catena di approvvigionamento, diversa dal fornitore e dall'importatore, che mette a disposizione sul mercato dell'Unione un sistema di intelligenza artificiale (Reg. UE 2024/1689, art. 3, punto 7). A differenza dell'importatore, che porta dentro l'Unione un sistema prodotto da un'azienda con sede fuori dall'UE, il distributore e' chi rivende o rende disponibile un sistema gia' presente sul mercato europeo, senza essere ne' chi lo ha sviluppato ne' chi lo ha fatto entrare per primo nell'Unione.
- Documentazione tecnica
- La documentazione tecnica è il fascicolo che descrive un sistema di IA ad alto rischio, richiesto dall'art. 11 con i contenuti dettagliati nell'allegato IV. Va preparato prima dell'immissione sul mercato e tenuto aggiornato. Per le PMI sono ammesse forme semplificate.
- Fornitore (provider)
- Il fornitore e' la persona fisica o giuridica, l'autorita' pubblica, l'agenzia o altro organismo che sviluppa un sistema di IA o un modello di IA per finalita' generali, oppure lo fa sviluppare da altri, e lo immette sul mercato o lo mette in servizio con il proprio nome o marchio, a titolo gratuito o a pagamento, secondo l'articolo 3, punto 3, del Regolamento UE 2024/1689. A differenza del deployer, che e' chi usa il sistema gia' pronto sotto la propria autorita', il fornitore e' chi quel sistema lo costruisce o lo fa costruire e lo mette sul mercato a proprio nome, e proprio per questo si carica della maggior parte degli obblighi previsti dalla legge.
- FRIA (valutazione d'impatto sui diritti fondamentali)
- La FRIA (dall'inglese Fundamental Rights Impact Assessment, in italiano valutazione d'impatto sui diritti fondamentali) e' l'analisi che alcuni deployer di sistemi di IA ad alto rischio devono svolgere prima di mettere in uso il sistema, per capire quali effetti puo' avere sui diritti delle persone, come previsto dall'art. 27 del Regolamento UE 2024/1689. A differenza della valutazione d'impatto sulla protezione dei dati (la DPIA del GDPR), che guarda solo alla privacy e ai dati personali, la FRIA guarda all'intero ventaglio dei diritti fondamentali, dalla non discriminazione alla dignita', e quindi non sostituisce la DPIA ma la completa.
- GDPR (Reg. UE 2016/679)
- Il GDPR e' il Regolamento europeo sulla protezione dei dati personali, applicabile dal 25 maggio 2018. Si affianca all'AI Act ogni volta che un sistema di intelligenza artificiale tratta dati di persone, perche' i due insiemi di regole convivono e vanno rispettati entrambi.
- GPAI (modelli di IA per finalita' generali)
- Un GPAI e' un modello di intelligenza artificiale addestrato su grandi quantita' di dati che mostra una notevole capacita' di generalizzazione e sa svolgere con competenza un'ampia gamma di compiti diversi, secondo la definizione dell'art. 3(63) del Reg. UE 2024/1689. A differenza di un sistema di IA pensato per un singolo scopo, il GPAI e' il "motore" che puo' essere integrato in tanti prodotti e servizi diversi. Per questo la norma lo distingue dal sistema di IA per finalita' generali dell'art. 3(66), che e' invece l'applicazione concreta costruita sopra quel motore.
- Importatore di sistemi di IA
- L'importatore di sistemi di IA e' la persona fisica o giuridica ubicata o stabilita nell'Unione europea che immette sul mercato europeo un sistema di intelligenza artificiale recante il nome o il marchio di una persona fisica o giuridica stabilita in un paese terzo, secondo la definizione dell'art. 3, punto 6 del Regolamento UE 2024/1689. A differenza del fornitore, che sviluppa il sistema e ci mette sopra il proprio nome, l'importatore non costruisce nulla. Prende un sistema realizzato da un'azienda situata fuori dall'Unione europea e lo porta dentro il mercato europeo.
- Incidente grave
- Un incidente grave e' un malfunzionamento di un sistema di AI che provoca, direttamente o indirettamente, morte o danni seri alla salute, danni a infrastrutture critiche, violazioni di diritti fondamentali o danni gravi a cose o ambiente. Va segnalato secondo gli artt. 3(49) e 73 del Reg. UE 2024/1689.
- Informativa al cliente
- L'informativa al cliente e' la comunicazione con cui dichiari in modo chiaro quando un servizio, un contenuto o una risposta arriva da un sistema di intelligenza artificiale. Discende dagli obblighi di trasparenza dell'art. 50 del Reg. UE 2024/1689 e rafforza la fiducia di chi compra da te.
- Log e registri delle operazioni
- I log e i registri delle operazioni sono le registrazioni automatiche degli eventi che un sistema di IA ad alto rischio deve generare durante il funzionamento, secondo l'art. 12. Servono a ricostruire cosa è successo e vanno conservati per un periodo adeguato, di norma almeno sei mesi.
- Manipolazione subliminale
- La manipolazione subliminale e' l'uso di tecniche che agiscono sotto la soglia della consapevolezza per distorcere il comportamento di una persona e indebolirne le scelte libere. L'art. 5 del Reg. UE 2024/1689 la vieta tra le pratiche di IA a rischio inaccettabile.
- Marcatura dei contenuti generati (watermarking)
- La marcatura dei contenuti generati e' l'apposizione di un segno tecnico, spesso invisibile, che rende riconoscibile come artificiale un testo, un'immagine, un audio o un video prodotto dall'AI. L'art. 50, paragrafo 2 del Reg. UE 2024/1689 la richiede in formato leggibile dalle macchine.
- Modello di base (foundation model)
- Il modello di base e' il grande modello di AI addestrato su enormi quantita' di dati, che funziona da motore riadattabile a moltissimi usi diversi. Nell'AI Act corrisponde al modello di IA per finalita' generali (GPAI), definito dall'art. 3(63) del Reg. UE 2024/1689.
- Obblighi di trasparenza (art. 50)
- Gli obblighi di trasparenza dell'art. 50 sono le regole che impongono di dire chiaramente alle persone quando interagiscono con un'AI o quando un contenuto e' generato artificialmente. Previsti dall'art. 50 del Reg. UE 2024/1689, si applicano dal 2 agosto 2026, cioe' secondo la data generale di applicazione del regolamento.
- Periodo transitorio
- Il periodo transitorio e' il tempo che la norma concede prima che un obbligo diventi pienamente operativo, per dare alle aziende modo di adeguarsi. Nell'AI Act gli obblighi entrano in vigore in date scaglionate fissate dall'art. 113 del Reg. UE 2024/1689, non tutti insieme. La data generale di applicazione e' il 2 agosto 2026, ma i divieti dell'art. 5 e l'alfabetizzazione in materia di IA dell'art. 4 si applicano gia' dal 2 febbraio 2025, mentre i sistemi ad alto rischio dell'Allegato I integrati come componenti di sicurezza dei prodotti seguono la data del 2 agosto 2027.
- Il punteggio sociale è la valutazione o classificazione delle persone in base al comportamento o a caratteristiche personali, con conseguenze sfavorevoli in contesti scollegati o sproporzionate. L'art. 5 lo vieta del tutto, sia per i soggetti pubblici sia per le aziende private, perché ritenuto incompatibile con i valori europei.
- Regolamento UE 2024/1689
- Il Regolamento UE 2024/1689 è l'AI Act, vale a dire la prima legge europea che disciplina l'intelligenza artificiale con un approccio basato sul rischio. Si applica in modo diretto in tutti gli Stati membri, con scadenze scaglionate, e vale per ogni azienda a prescindere dalla dimensione.
- Riconoscimento biometrico
- Il riconoscimento biometrico è l'uso dell'IA per identificare o categorizzare le persone tramite caratteristiche fisiche come il volto. Alcuni usi sono vietati dall'art. 5, ad esempio l'identificazione in tempo reale negli spazi pubblici salvo eccezioni, mentre altri rientrano tra i sistemi ad alto rischio.
- Rischio inaccettabile e pratiche vietate
- Il rischio inaccettabile e' il livello piu' alto della scala dei rischi dell'AI Act, quello che riguarda un gruppo ristretto di usi dell'intelligenza artificiale considerati cosi' pericolosi per i diritti e la sicurezza delle persone da essere semplicemente vietati. L'elenco di questi usi prende il nome di pratiche vietate ed e' contenuto nell'art. 5 del Reg. UE 2024/1689. A differenza dei sistemi ad alto rischio, che sono permessi ma soggetti a obblighi e controlli stringenti, le pratiche vietate non si possono usare, vendere o mettere a disposizione in nessun caso, neanche con la migliore documentazione del mondo.
- Rischio limitato (art. 50)
- Il rischio limitato è la categoria dell'AI Act che raccoglie i sistemi soggetti solo a obblighi di trasparenza previsti dall'art. 50, come i chatbot, i sistemi che generano testi, immagini o video e i deepfake. In pratica devi dire alle persone che stanno interagendo con un'IA o che il contenuto è artificiale.
- Rischio minimo
- Il rischio minimo è la categoria in cui rientra la grande maggioranza dei sistemi di IA, dai filtri antispam alle funzioni intelligenti nei videogiochi. Non comporta obblighi specifici, anche se l'art. 95 incoraggia l'adesione volontaria a codici di condotta per un uso responsabile.
- Rischio sistemico (GPAI)
- Il rischio sistemico e' la categoria che l'AI Act riserva ai modelli per finalita' generali piu' potenti, capaci di impatti diffusi sul mercato e sui diritti. La soglia tecnica e' una potenza di addestramento superiore a 10^25 operazioni in virgola mobile, secondo gli artt. 3(65) e 51 del Reg. UE 2024/1689.
- Sandbox normativa (spazio di sperimentazione)
- La sandbox normativa, in italiano spazio di sperimentazione, e' un ambiente controllato istituito da un'autorita' pubblica in cui chi sviluppa un sistema di intelligenza artificiale puo' costruirlo, addestrarlo, validarlo e testarlo, anche in condizioni reali, per un periodo limitato e sotto la supervisione diretta dell'autorita', secondo quanto previsto dall'art. 3, punto 55 e dall'art. 57 del Regolamento UE 2024/1689. A differenza di un normale ambiente di test interno alla tua azienda, qui sei seguito dall'autorita' di vigilanza stessa, che ti aiuta a capire come applicare le regole prima di mettere il sistema sul mercato.
- Sanzioni dell'art. 99
- Le sanzioni dell'art. 99 sono le sanzioni amministrative pecuniarie che le autorita' competenti possono infliggere a chi viola il Regolamento europeo sull'intelligenza artificiale, fino a un massimo di 35 milioni di euro oppure, se l'autore della violazione e' un'impresa, fino al 7% del fatturato mondiale totale annuo dell'esercizio precedente, applicando l'importo piu' alto tra i due se superiore (art. 99 Reg. UE 2024/1689). A differenza delle sanzioni penali previste dalla legge italiana 132/2025 per casi come i deepfake diffusi senza consenso, quelle dell'art. 99 sono multe amministrative e colpiscono il mancato rispetto degli obblighi dell'AI Act.
- Schrems II e trasferimenti dati
- Schrems II e' la sentenza della Corte di giustizia UE del 2020 (causa C-311/18) che ha invalidato il Privacy Shield, l'accordo per inviare dati personali verso gli Stati Uniti. Riguarda te ogni volta che usi strumenti AI ospitati su server fuori dall'Europa.
- Scoring creditizio automatizzato
- Lo scoring creditizio automatizzato è l'uso dell'IA per valutare l'affidabilità creditizia delle persone o assegnare loro un punteggio. L'allegato III, punto 5 lettera b, lo classifica come sistema ad alto rischio, con l'eccezione dei sistemi usati per individuare le frodi finanziarie.
- Sistema di IA ad alto rischio
- Il sistema di IA ad alto rischio e' un sistema di intelligenza artificiale che, secondo l'articolo 6 del Regolamento UE 2024/1689 (AI Act), puo' incidere in modo serio sulla salute, sulla sicurezza o sui diritti delle persone, perche' rientra in una delle aree elencate nell'Allegato III oppure perche' funziona come componente di sicurezza di un prodotto gia' regolato. A differenza del sistema a rischio inaccettabile, che e' vietato del tutto, il sistema ad alto rischio resta perfettamente legale, a patto che tu rispetti una serie di obblighi prima di metterlo in uso.
- Sorveglianza umana (human oversight)
- La sorveglianza umana e' la garanzia che un sistema di intelligenza artificiale ad alto rischio resti sempre sotto il controllo effettivo di una persona, che puo' monitorarlo, interpretarne i risultati e, se serve, fermarlo o ignorarne l'output, secondo l'articolo 14 del Reg. UE 2024/1689 (AI Act). "Sorveglianza umana" e' il termine ufficiale usato nel testo italiano autentico del Regolamento e corrisponde a quello che nel parlato e nei materiali divulgativi viene spesso chiamato "supervisione umana". Nel seguito usiamo "sorveglianza umana", che e' la dicitura della norma.
- Valutazione di conformità
- La valutazione di conformità è la procedura, prevista dall'art. 43, con cui si verifica che un sistema di IA ad alto rischio rispetti i requisiti dell'AI Act prima di essere immesso sul mercato. Quando va a buon fine, il sistema riceve la marcatura CE.