L’intelligenza artificiale non è più solo un’ipotesi futura: è una realtà che plasma sempre più settori della nostra vita quotidiana. L’Unione Europea, con il Regolamento (UE) 2024/1689l (AI Act), ha voluto definire regole chiare per garantire che questa tecnologia cresca in modo sicuro, trasparente e rispettoso dei diritti fondamentali. Ma come si colloca questa nuova normativa rispetto ad altri strumenti giuridici della politica digitale europea, già noti, come il Regolamento (UE) 2016/679 (GDPR), la Direttiva 2022/2555 (NIS2) ed il Regolamento (UE) 2022/2554 (DORA)?
Un obiettivo comune: tutelare i diritti fondamentali
Le norme “digitali” europee – AI Act, GDPR, NIS2 e DORA – nascono da un’esigenza condivisa: proteggere i cittadini europei nel contesto della digitalizzazione. Se il GDPR si concentra sulla privacy e la protezione dei dati personali, l’AI Act ha un respiro più ampio: tutela anche la salute, la sicurezza, lo Stato di diritto e persino l’ambiente. Un cambio di prospettiva, che riflette la portata trasversale dell’intelligenza artificiale. Tenuto conto che l’IA si nutre di dati – inclusi quelli personali – un sistema di IA che possa ritenersi compliant deve necessariamente basarsi una struttura privacy solida, rappresentando un prerequisito essenziale per garantire la conformità dei sistemi alle normative in vigore.
Ambito di applicazione: quando si applica l’AI Act?
Anche l’AI Act, come il GDPR, ha efficacia extraterritoriale: si applica a tutte le imprese, anche non europee, che immettono sul mercato o mettono in funzione sistemi di IA nell’UE. Ma a differenza del GDPR, che si applica solo in presenza di dati personali, l’AI Act si applica anche quando tali dati non sono trattati. L’AI Act si applica a una generalità di casi riguardanti i sistemi di intelligenza artificiale, stabilendo diversi parametri di applicazione e regolamentazione a seconda del loro contenuto e scopo. In molti casi le due normative potrebbero, ovviamente, applicarsi in contemporanea.
Un approccio basato sul rischio
Il risk-based approach è il cuore dell’AI Act: i sistemi di IA sono classificati in base al rischio connesso al loro utilizzo – proibiti, ad alto rischio, a rischio limitato o minimo – e per ciascuna categoria sono previsti obblighi specifici. Si tratta di una classificazione ed un approccio molto più sofisticato rispetto al GDPR, che si limita a prevedere misure rafforzate per trattamenti “a rischio elevato” per i diritti e le libertà fondamentali dei singoli soggetti interessati. Anche la NIS2 e la DORA adottano logiche orientate al rischio, ma in settori specifici: la prima riguarda la cybersicurezza delle reti e dei sistemi informativi, mentre la seconda si concentra sulla resilienza operativa digitale nel settore finanziario ed assicurativo.
Trasparenza e responsabilità: un filo rosso tra tutte le normative
Tanto il GDPR quanto l’AI Act impongono trasparenza e responsabilità. Il GDPR lo fa prevedendo obblighi in tema di informativa agli interessati, il diritto di accesso e l’obbligo di accountability. L’AI Act richiede istruzioni d’uso dettagliate per i sistemi ad alto rischio, registri tecnici e la possibilità di dimostrare la conformità in ogni momento. Analogamente, la NIS2 impone alle imprese l’adozione di piani di gestione degli incidenti e misure organizzative robuste. Il Regolamento DORA, invece, obbliga gli operatori finanziari ed assicurativi, tra i vari obblighi, a testare regolarmente la propria capacità di resistere (i.e. di essere resilienti) a minacce informatiche.
Supervisione e sanzioni: verso un enforcement più coordinato
Il GDPR prevede un collegamento tra le singole autorità nazionali per la protezione dei dati (per l’Italia il Garante per la protezione dei dati personali) e il Comitato europeo per la protezione dei dati (l’EDPB), formato dai tutti i Garanti europei. L’AI Act prevede un’architettura simile: accanto a enti nazionali (ancora da designare in molti Stati membri), nasce l’AI Office presso la Commissione europea e un Comitato europeo per l’IA per garantire coerenza tra Stati membri. Ricordiamo che tutte le normative menzionate prevedono un regime sanzionatorio piuttosto severo. Ad esempio, le sanzioni previste dall’AI Act possono arrivare fino a 35 milioni di euro o il 7 % del fatturato globale del soggetto sanzionato, superando quelle del GDPR (fino al 4% o 20 milioni di euro). Per PMI e startup, l’IA Act prevede soglie più favorevoli, insieme a misure di sostegno e “laboratori reali” per sperimentare innovazioni in ambienti controllati (sandbox). Anche la normativa NIS2 prevede sanzioni pecuniarie importanti – fino a 10 milioni di euro o il 2% del fatturato – mentre il Regolamento DORA affida alle autorità di vigilanza finanziaria la possibilità di imporre sanzioni dirette, specie verso fornitori ICT critici.
AI Act vs GDPR, DORA e NIS2: convergenze e divergenze
Una differenza chiave tra AI Act, DORA, GDPR e NIS2 riguarda il tipo di atto normativo scelto a livello comunitario per regolamentare i diversi settori di riferimento: mentre l’AI Act e DORA e il GDPR sono Regolamenti europei, direttamente applicabili in tutti gli Stati membri; la NIS2, invece, è una direttiva, che richiede trasposizione nel diritto nazionale. In Italia la NIS2 è entrata in piena operatività solo dopo il suo recepimento nel diritto nazionale il 18 ottobre 2024 attraverso d il D. Lgs. 138/2024. In termini settoriali, l’AI Act si applica a tutti i settori (salvo le classificazioni dei rischi per settori specifici), mentre la NIS2 si limita alle infrastrutture critiche (operatori economici importanti o essenziali) e DORA si concentra esclusivamente sul settore finanziario ed assicurativo. Tuttavia, un’istituzione finanziaria può essere soggetta a tutte e tre le normative, rendendo necessaria una strategia di conformità integrata. Il GDPR, come noto, ha un’applicazione trasversale laddove si tratti di dati personali riferibili a persone fisiche.
Conclusione: una mappa normativa da governare
Con l’introduzione dell’AI Act, il diritto europeo compie un passo decisivo nella regolazione delle tecnologie emergenti. Ma le imprese non devono pensare a ciascuna norma come a un compartimento stagno. Al contrario, GDPR, NIS2, DORA e AI Act vanno letti come un sistema integrato, capace di offrire non solo obblighi, ma anche strumenti per costruire innovazione in modo sicuro, conforme e competitivo. Per affrontare questo scenario complesso serve un cambio di mentalità: non più reagire alle normative, ma anticiparle, comprenderle e trasformarle in vantaggio strategico e in un’opportunità di crescita imprenditoriale.
Avv. Grazia Quacquarelli e dott. Diego Gonzalez (Studio Caporale Carbone Giuffrè Strano)
