IT / EN

IT / EN

AI ACT 1689/2024
Your essential guide
to the new European regulation
on Artificial Intelligence

THINGS?​

AI ACT 1689/2024

The AI ​​Act, formally known as Regulation (EU) 2024/1689, is a European Union regulation that establishes harmonized rules for the development, placing on the market and use of artificial intelligence systems within the EU.

The AI ​​Act promotes safe and informed use of artificial intelligence, paying particular attention to digital literacy. Understanding the functioning, risks and opportunities of AI is fundamental for citizens, companies and institutions.

LITERACY

The importance of training

We develop training programmes for all personnel in your company involved in the operation and use of AI systems,
in order to make the change sustainable.

FIND OUT MORE

Structure

The main provisions

SCOPE

AI LITERACY

PROHIBITED AI PRACTICES

HIGH-RISK AI SYSTEMS

HIGH-RISK AI SYSTEMS ANNEX 3 – AI ACT 2024/1689

RISK MANAGEMENT SYSTEM

DATA AND DATA GOVERNANCE

TECHNICAL DOCUMENTATION

RECORD – KEEPING

TRANSPARENCY AND PROVISION OF INFORMATION TO DEPLOYERS

UMAN OVERSIGHT

ACCURACY, ROBUSTNESS AND CYBERSECURITY

OBLIGATIONS OF PROVIDERS OF HIGH-RISK AI SYSTEMS

FUNDAMENTAL RIGHTS IMPACT ASSESSMENT FOR HIGH-RISK AI SYSTEMS

TRANSPARENCY OBLIGATIONS FOR PROVIDERS AND DEPLOYERS OF CERTAIN AI SYSTEMS ( NO HIGH RISK)

PENALTIES

NEWS

Focus articles and videos

Does your organization use artificial intelligence systems? A Q&A guide to compliance

AI week Lugano | AI in the workplace

Literacy | AI Act 2024/1689

The importance of AI literacy explained in four languages ​​thanks to artificial intelligence

Privacy & Artificial Intelligence | European Data Protection Day 2025

WAICF 2025 | World AI Cannes Festival

AI DESK ITALY​

Request Information

Do you need information?
Click here and fill out the form.

Ask for information

Labor Project srl
Iscrizione Ufficio Registro Imprese di Como con n. 02725120139
Cap. Soc. € 100.000 i.v. / P.I. 02725120139

Linkedin Instagram Youtube Facebook

Copyright © 2025 Labor Project

TERMINOLOGY GENERAL SUI AI SYSTEMS

A machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments

 
 

 

 

The combination of the probability of an occurrence of harm and the severity of that harm

 
 

 

 

The use for which an AI system is intended by the provider, including the specific context and conditions of use, as specified in the information supplied by the provider in the instructions for use, promotional or sales materials and statements, as well as in the technical documentation

 
 

 

 

The use of an AI system in a way that is not in accordance with its intended purpose, but which may result from reasonably foreseeable human behaviour or interaction with other systems, including other AI systems

 
 

 

 

The ability of an AI system to achieve its intended purpose

A risk that is specific to the high-impact capabilities of general-purpose AI models, having a significant impact on the Union market due to their reach, or due to actual or reasonably foreseeable negative effects on public health, safety, public security, fundamental rights, or the society as a whole, that can be propagated at scale across the value chain

 
 

 

 

Capabilities that match or exceed the capabilities recorded in the most advanced general-purpose AI models

 
 

 

 

ACTORS INVOLVED E RESPONSIBILITY

A natural or legal person, public authority, agency or other body that develops an AI system or a general-purpose AI model or that has an AI system or a general-purpose AI model developed and places it on the market or puts the AI system into service under its own name or trademark, whether for payment or free of charge

 
 

 

 

A natural or legal person, public authority, agency or other body using an AI system under its authority except where the AI system is used in the course of a personal non-professional activity

 
 

 

 

A provider of an AI system, including a general-purpose AI system, which integrates an AI model, regardless of whether the AI model is provided by themselves and vertically integrated or provided by another entity based on contractual relations

A natural or legal person located or established in the Union who has received and accepted a written mandate from a provider of an AI system or a general-purpose AI model to, respectively, perform and carry out on its behalf the obligations and procedures established by this Regulation

 
 

 

 

A natural or legal person located or established in the Union that places on the market an AI system that bears the name or trademark of a natural or legal person established in a third country

 
 

 

 

A natural or legal person in the supply chain, other than the provider or the importer, that makes an AI system available on the Union market

 
 

 

 

A provider, product manufacturer, deployer, authorised representative, importer or distributor

 
 

 

 

  1. any public authority competent for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security; or
  2. any other body or entity entrusted by Member State law to exercise public authority and public powers for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including the safeguarding against and the prevention of threats to public security

A notifying authority or a market surveillance authority; as regards AI systems put into service or used by Union institutions, agencies, offices and bodies, references to national competent authorities or market surveillance authorities in this Regulation shall be construed as references to the European Data Protection Supervisor

 
 

 

 

The national authority carrying out the activities and taking the measures pursuant to Regulation (EU) 2019/1020

 
 

 

 

The national authority responsible for setting up and carrying out the necessary procedures for the assessment, designation and notification of conformity assessment bodies and for their monitoring

Activities carried out by law enforcement authorities or on their behalf for the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, including safeguarding against and preventing threats to public security

 
 

 

 

The Commission’s function of contributing to the implementation, monitoring and supervision of AI systems and general-purpose AI models, and AI governance, provided for in Commission Decision of 24 January 2024; references in this Regulation to the AI Office shall be construed as references to the Commission

 
 

 

 

PROCESSES MARKET AND REGULATION

The first making available of an AI system or a general-purpose AI model on the Union market

 
 

 

 

The supply of an AI system or a general-purpose AI model for distribution or use on the Union market in the course of a commercial activity, whether in return for payment or free of charge

 
 

 

 

The supply of an AI system for first use directly to the deployer or for own use in the Union for its intended purpose

 
 

 

 

The process of demonstrating whether the requirements set out in Chapter III, Section 2 relating to a high-risk AI system have been fulfilled

 
 

 

 

A body that performs third-party conformity assessment activities, including testing, certification and inspection

A conformity assessment body notified in accordance with this Regulation and other relevant Union harmonisation legislation

 
 

 

 

A change to an AI system after its placing on the market or putting into service which is not foreseen or planned in the initial conformity assessment carried out by the provider and as a result of which the compliance of the AI system with the requirements set out in Chapter III, Section 2 is affected or results in a modification to the intended purpose for which the AI system has been assessed

 
 

 

 

A marking by which a provider indicates that an AI system is in conformity with the requirements set out in Chapter III, Section 2 and other applicable Union harmonisation legislation providing for its affixing

 
 

 

 

A harmonised standard as defined in Article 2(1), point (c), of Regulation (EU) No 1025/2012

A set of technical specifications as defined in Article 2, point (4) of Regulation (EU) No 1025/2012, providing means to comply with certain requirements established under this Regulation

 
 

 

 

MONITORING AND SECURITY

All activities carried out by providers of AI systems to collect and review experience gained from the use of AI systems they place on the market or put into service for the purpose of identifying any need to immediately apply any necessary corrective or preventive actions

 
 

 

 

Any measure aiming to achieve the return to the provider or taking out of service or disabling the use of an AI system made available to deployers

 
 

 

 

Any measure aiming to prevent an AI system in the supply chain being made available on the market

 
 

 

 

A component of a product or of an AI system which fulfils a safety function for that product or AI system, or the failure or malfunctioning of which endangers the health and safety of persons or property

 
 

 

 

An incident or malfunctioning of an AI system that directly or indirectly leads to any of the following:

  1. the death of a person, or serious harm to a person’s health;
  2. a serious and irreversible disruption of the management or operation of critical infrastructure;
  3. the infringement of obligations under Union law intended to protect fundamental rights;
  4. serious harm to property or the environment;
 
 

 

 

any act or omission contrary to Union law protecting the interest of individuals, which:

  1. has harmed or is likely to harm the collective interests of individuals residing in at least two Member States other than the Member State in which::
      1. the act or omission originated or took place;
      2. the provider concerned, or, where applicable, its authorised representative is located or established; or
      3. the deployer is established, when the infringement is committed by the deployer.
  2. has caused, causes or is likely to cause harm to the collective interests of individuals and has common features, including the same unlawful practice or the same interest being infringed, and is occurring concurrently, committed by the same operator, in at least three Member States

Critical infrastructure as defined in Article 2, point (4), of Directive (EU) 2022/2557

 
 

 

 

DATI E PRIVACY

Data used for training an AI system through fitting its learnable parameters

 
 

 

 

Data used for providing an evaluation of the trained AI system and for tuning its non-learnable parameters and its learning process in order, inter alia, to prevent underfitting or overfitting

 
 

 

 

A separate data set or part of the training data set, either as a fixed or variable split

 
 

 

 

Data used for providing an independent evaluation of the AI system in order to confirm the expected performance of that system before its placing on the market or putting into service

 
 

 

 

Data provided to or directly acquired by an AI system on the basis of which the system produces an output

 
 

 

 

Personal data resulting from specific technical processing relating to the physical, physiological or behavioural characteristics of a natural person, such as facial images or dactyloscopic data

 
 

 

 

The automated recognition of physical, physiological, behavioural, or psychological human features for the purpose of establishing the identity of a natural person by comparing biometric data of that individual to biometric data of individuals stored in a database

The automated, one-to-one verification, including authentication, of the identity of natural persons by comparing their biometric data to previously provided biometric data

 
 

 

 

the categories of personal data referred to in Article 9(1) of Regulation (EU) 2016/679, Article 10 of Directive (EU) 2016/680 and Article 10(1) of Regulation (EU) 2018/1725

Operational data related to activities of prevention, detection, investigation or prosecution of criminal offences, the disclosure of which could jeopardise the integrity of criminal proceedings

Personal data as defined in Article 4, point (1), of Regulation (EU) 2016/679

 
 

 

 

Data other than personal data as defined in Article 4, point (1), of Regulation (EU) 2016/679

TECHNOLOGIES SPECIFICATIONS E AI MODELS

AI model, including where such an AI model is trained with a large amount of data using self-supervision at scale, that displays significant generality and is capable of competently performing a wide range of distinct tasks regardless of the way the model is placed on the market and that can be integrated into a variety of downstream systems or applications, except AI models that are used for research, development or prototyping activities before they are placed on the market

An AI system which is based on a general-purpose AI model and which has the capability to serve a variety of purposes, both for direct use as well as for integration in other AI systems

 
 

 

 

An AI system for the purpose of identifying or inferring emotions or intentions of natural persons on the basis of their biometric data

 
 

 

 

An AI system for the purpose of assigning natural persons to specific categories on the basis of their biometric data, unless it is ancillary to another commercial service and strictly necessary for objective technical reasons

 
 

 

 

An AI system for the purpose of identifying natural persons, without their active involvement, typically at a distance through the comparison of a person’s biometric data with the biometric data contained in a reference database

 
 

 

 

A remote biometric identification system, whereby the capturing of biometric data, the comparison and the identification all occur without a significant delay, comprising not only instant identification, but also limited short delays in order to avoid circumvention

 
 

 

 

A remote biometric identification system other than a real-time remote biometric identification system

 
 

 

 

Any publicly or privately owned physical place accessible to an undetermined number of natural persons, regardless of whether certain conditions for access may apply, and regardless of the potential capacity restrictions

AI-generated or manipulated image, audio or video content that resembles existing persons, objects, places, entities or events and would falsely appear to a person to be authentic or truthful

TESTING AND CONDITIONS REAL

A controlled framework set up by a competent authority which offers providers or prospective providers of AI systems the possibility to develop, train, validate and test, where appropriate in real-world conditions, an innovative AI system, pursuant to a sandbox plan for a limited time under regulatory supervision

 
 

 

 

A document agreed between the participating provider and the competent authority describing the objectives, conditions, timeframe, methodology and requirements for the activities carried out within the sandbox

 
 

 

 

The temporary testing of an AI system for its intended purpose in real-world conditions outside a laboratory or otherwise simulated environment, with a view to gathering reliable and robust data and to assessing and verifying the conformity of the AI system with the requirements of this Regulation and it does not qualify as placing the AI system on the market or putting it into service within the meaning of this Regulation, provided that all the conditions laid down in Article 57 or 60 are fulfilled

 
 

 

 

A document that describes the objectives, methodology, geographical, population and temporal scope, monitoring, organisation and conduct of testing in real-world conditions

 
 

 

 

A subject’s freely given, specific, unambiguous and voluntary expression of his or her willingness to participate in a particular testing in real-world conditions, after having been informed of all aspects of the testing that are relevant to the subject’s decision to participate

 
 

 

 

For the purpose of real-world testing, a natural person who participates in testing in real-world conditions

 
 

 

 

TECHNICAL ASPECTS

The information provided by the provider to inform the deployer of, in particular, an AI system’s intended purpose and proper use

Any mathematical operation or assignment involving floating-point numbers, which are a subset of the real numbers typically represented on computers by an integer of fixed precision scaled by an integer exponent of a fixed base

 
 

 

 

Profiling as defined in Article 4, point (4), of Regulation (EU) 2016/679

 
 

 

 

Skills, knowledge and understanding that allow providers, deployers and affected persons, taking into account their respective rights and obligations in the context of this Regulation, to make an informed deployment of AI systems, as well as to gain awareness about the opportunities and risks of AI and possible harm it can cause

SCOPE

  • The AI Act applies to providers, distributors, and users of AI systems within the European Union, including those based in third countries if their systems or outputs are used in the EU. The rules also cover manufacturers incorporating AI in their products and authorized representatives of non-EU suppliers. However, the regulation excludes military, defense, and national security sectors, as well as systems developed solely for scientific research and development purposes. Data protection and privacy laws remain applicable, while open-source AI systems and non-professional personal use are generally excluded.

AMBITO DI APPLICAZIONE

  • L'AI Act si applica ai fornitori, distributori e utilizzatori di sistemi di intelligenza artificiale (IA) all'interno dell'Unione Europea, inclusi quelli con sede in paesi terzi se i loro sistemi o output vengono utilizzati nell'UE. Le norme si applicano anche ai produttori che integrano IA nei loro prodotti e ai rappresentanti autorizzati di fornitori extra-UE. Tuttavia, il regolamento esclude settori militari, di difesa e sicurezza nazionale, nonché sistemi sviluppati esclusivamente per scopi di ricerca e sviluppo scientifico. Rimangono applicabili le normative sulla protezione dei dati personali e della privacy, mentre i sistemi di IA open source e non professionali utilizzati per scopi personali sono generalmente esclusi.

AI LITERACY

  • AI system providers and deployers must take measures to ensure a sufficient level of AI literacy among their staff and anyone operating or using these systems on their behalf. This should be done considering their technical knowledge, experience, education, the context of use, and the people or groups impacted by the systems.

ALFABETIZZAZIONE IN MATERIA DI AI

  • I fornitori e gli utilizzatori di sistemi di IA devono adottare misure per garantire un adeguato livello di alfabetizzazione in materia di intelligenza artificiale tra il loro personale e chiunque operi o utilizzi tali sistemi per loro conto. Ciò deve avvenire considerando le competenze tecniche, l'esperienza, l'istruzione e il contesto di utilizzo, nonché le persone o gruppi coinvolti nell'uso dei sistemi.

PROHIBITED AI PRACTICES

The following AI practices are prohibited:

  • Use of subliminal or manipulative techniques to distort human behavior, causing potential harm.
  • Exploitation of vulnerabilities (age, disability, social/economic conditions) to manipulate behavior.
  • Social scoring systems based on behaviors or personal traits, leading to unfair or disproportionate treatment.
  • Risk assessments of criminal activity based solely on profiling or personality traits.
  • Creation of facial recognition databases through indiscriminate scraping of online images or CCTV footage.
  • Emotion inference in workplaces and educational institutions, except for medical or safety purposes.
  • Biometric categorization to infer race, political opinions, religion, or sexual orientation, except for law enforcement.
  • Use of real-time remote biometric identification systems in public spaces, except for narrowly defined legal and security exceptions.

SISTEMI DI AI VIETATI

Sono vietate le seguenti pratiche di IA:

  • Utilizzo di tecniche subliminali o manipolative per distorcere il comportamento umano, causando potenziali danni.
  • Sfruttamento delle vulnerabilità di persone fisiche (età, disabilità, condizioni sociali/economiche) per manipolare il comportamento.
  • Sistemi di punteggio sociale basati su comportamenti o caratteristiche personali, con trattamenti ingiusti o sproporzionati.
  • Valutazioni del rischio di reati basate solo sulla profilazione o tratti della personalità.
  • Creazione di database di riconoscimento facciale tramite raccolta non mirata di immagini online o CCTV.
  • Inferenza delle emozioni nei luoghi di lavoro e istruzione, salvo motivi medici o di sicurezza.
  • Categorizzazione biometrica per dedurre razza, opinioni politiche, religione, orientamento sessuale, salvo per attività di contrasto.
  • Uso di sistemi di identificazione biometrica remota “in tempo reale” in spazi pubblici, salvo specifiche eccezioni legali e di sicurezza.

HIGH-RISK AI SYSTEMS

AI systems are classified as high-risk if:

  1. They serve as a safety component of a product or are standalone systems regulated by EU law and subject to third-party conformity assessment.
  2. They fall under the categories listed in Annex III of the regulation.

Exceptions: A system listed in Annex III may not be considered high-risk if it poses no significant risk to health, safety, or fundamental rights, for example, when performing limited tasks, assisting human decisions already made, or identifying decision patterns without replacing human oversight. However, systems involving the profiling of individuals are always classified as high-risk.

Providers must document the classification before placing the system on the market and provide this documentation to authorities upon request. The European Commission will publish guidelines and may amend the classification conditions to reflect technological and market developments.

ALTO RISCHIO

I sistemi di IA sono classificati come ad alto rischio se:

  1. Sono componenti di sicurezza di un prodotto o sistemi autonomi regolamentati dal diritto dell’UE e soggetti a valutazione di conformità da parte di terzi.
  2. Rientrano nelle categorie elencate nell’Allegato III del regolamento.

Eccezioni: Un sistema elencato nell’Allegato III può non essere considerato ad alto rischio se non comporta un rischio significativo per la salute, la sicurezza o i diritti fondamentali, ad esempio quando esegue compiti limitati, supporta decisioni umane già completate o rileva schemi decisionali senza sostituire la supervisione umana. Tuttavia, se un sistema effettua profilazione di persone fisiche, è sempre considerato ad alto rischio.

I fornitori devono documentare la classificazione prima dell’immissione sul mercato e fornire tale documentazione alle autorità su richiesta. La Commissione Europea pubblicherà linee guida e potrà modificare l’elenco delle condizioni per adeguarsi ai progressi tecnologici e di mercato.

HIGH-RISK AI SYSTEMS ANNEX 3 – AI ACT 2024/1689

High-risk AI systems under Article 6, paragraph 2, include those used in the following areas:

  1. Biometrics: Remote biometric identification, biometric categorization based on sensitive attributes, and emotion recognition.
  2. Critical Infrastructure: AI for security in digital infrastructures, road traffic management, and essential services like water, gas, heating, and electricity.
  3. Education and Training: AI for admission, assessment, monitoring of student behavior, and educational guidance.
  4. Employment: AI for recruitment, worker evaluation, task management, and performance monitoring.
  5. Essential Services: AI for determining access to public services, credit scoring, life and health insurance pricing, and emergency call prioritization.
  6. Law Enforcement: AI for evidence assessment, crime risk evaluation, and suspect profiling.
  7. Migration and Border Control: AI for risk assessment, asylum application support, and identifying individuals.
  8. Justice and Democratic Processes: AI for legal interpretation and influencing elections or referendums.

SISTEMI AD ALTO RISCHIO ALLEGATO 3 – AI ACT 2024/1689

I sistemi di IA ad alto rischio ai sensi dell’articolo 6, paragrafo 2, comprendono quelli utilizzati nei seguenti ambiti:

  1. Biometria: Sistemi di identificazione biometrica remota, categorizzazione biometrica basata su caratteristiche sensibili e riconoscimento delle emozioni.
  2. Infrastrutture critiche: IA utilizzata per la sicurezza di infrastrutture digitali, traffico stradale e servizi essenziali come acqua, gas, riscaldamento ed elettricità.
  3. Istruzione e formazione: IA per ammissione, valutazione, monitoraggio del comportamento e orientamento degli studenti.
  4. Occupazione: IA per selezione, valutazione, monitoraggio e gestione delle prestazioni dei lavoratori.
  5. Servizi essenziali: IA per determinare l’accesso a servizi pubblici essenziali, valutare l’affidabilità creditizia e il merito di credito, e gestire le chiamate di emergenza.
  6. Attività di contrasto: IA per il supporto alle indagini, valutazione delle prove, determinazione del rischio di reato o recidiva e profilazione di sospettati.
  7. Migrazione e controllo delle frontiere: IA per valutazione del rischio, supporto all’esame di domande di asilo e identificazione di persone.
  8. Giustizia e processi democratici: IA per supportare l’autorità giudiziaria nell’interpretazione delle leggi e influenzare elezioni o referendum.

RISK MANAGEMENT SYSTEM

A risk management system is mandatory for high-risk AI systems and must be established, documented, and maintained throughout the system’s entire lifecycle. It involves a continuous iterative process including:

  1. Identification and analysis of foreseeable risks to health, safety, and fundamental rights.
  2. Evaluation and estimation of risks under normal and foreseeable misuse conditions.
  3. Implementation of measures to minimize or eliminate residual risks.
  4. Continuous testing to ensure system compliance, including real-world testing before market release.
  5. Special attention must be given to vulnerable groups, such as minors.
  6. Risk management procedures can be combined with other EU regulatory requirements.

SISTEMA DI GESTIONE DEI RISCHI

Un sistema di gestione dei rischi è obbligatorio per i sistemi di IA ad alto rischio e deve essere implementato, documentato e mantenuto lungo l’intero ciclo di vita del sistema. Deve seguire un processo iterativo continuo che includa:

  1. Identificazione e analisi dei rischi prevedibili per salute, sicurezza e diritti fondamentali.
  2. Valutazione e stima dei rischi in condizioni di uso normale e improprio ragionevolmente prevedibile.
  3. Implementazione di misure per ridurre o eliminare i rischi residui.
  4. Test continui per garantire la conformità del sistema, anche in condizioni reali, prima dell’immissione sul mercato.
  5. Particolare attenzione è data ai gruppi vulnerabili, come i minori.
  6. Le procedure di gestione del rischio possono essere integrate con altri obblighi normativi UE esistenti.

DATA AND DATA GOVERNANCE

High-risk AI systems using data for training must rely on high-quality datasets that meet specific standards:

Data Governance: Proper data management practices must be in place, covering data collection, processing, origin, and quality, while addressing and mitigating potential biases.

Data Quality: Datasets should be relevant, representative, error-free, and sufficient for the intended purpose, considering the geographical and functional context of use.

Sensitive Data Handling: Providers may process sensitive data only when strictly necessary to correct biases, with strong protective measures such as pseudonymization and restricted access.

Data Deletion and Retention: Sensitive data must be deleted once the bias is corrected or the retention period expires.

Documentation: All data processing activities must be logged and justified, particularly the need for processing sensitive data.

DATI E GOVERNANCE DEI DATI

I sistemi di IA ad alto rischio che utilizzano dati per l’addestramento devono basarsi su set di dati di qualità, conformi a criteri specifici:

Governance dei Dati: Devono essere adottate pratiche di gestione dei dati adeguate che coprano la raccolta, l’elaborazione, l’origine e la qualità dei dati, con attenzione a eventuali distorsioni e loro mitigazione.

Qualità dei Dati: I set di dati devono essere pertinenti, rappresentativi, privi di errori e sufficienti per lo scopo previsto, considerando il contesto geografico e funzionale di utilizzo.

Trattamento di Dati Sensibili: I fornitori possono trattare dati sensibili solo se strettamente necessario per correggere distorsioni e rispettando rigorose misure di protezione, come pseudonimizzazione e accesso limitato.

Cancellazione e Conservazione: I dati sensibili devono essere eliminati una volta corretti gli errori o scaduti i termini di conservazione.

Registrazione: Le attività di trattamento devono essere documentate e giustificate, con particolare attenzione alla necessità dell’uso di dati sensibili.

TECHNICAL DOCUMENTATION

Technical documentation for high-risk AI systems must be prepared before market release and kept up to date. It must demonstrate the system’s compliance with regulatory requirements and provide competent authorities with clear information for conformity assessment. The documentation must include the elements listed in Annex IV, with SMEs and start-ups allowed to submit a simplified version using a standardized template provided by the European Commission. If the AI system is linked to a regulated product, a single comprehensive document is sufficient. The Commission can update the documentation requirements through delegated acts to align with technological advancements.

DOCUMENTAZIONE TECNICA

La documentazione tecnica per i sistemi di IA ad alto rischio deve essere redatta prima dell’immissione sul mercato e mantenuta aggiornata. Essa deve dimostrare la conformità del sistema ai requisiti normativi e fornire alle autorità competenti informazioni chiare per la valutazione. Deve includere almeno gli elementi dell’Allegato IV, con la possibilità per PMI e start-up di presentare una versione semplificata utilizzando un modulo standard definito dalla Commissione Europea. Se il sistema è associato a un prodotto regolamentato, è sufficiente una documentazione unica. La Commissione può aggiornare i requisiti della documentazione tecnica tramite atti delegati per adattarsi ai progressi tecnologici.

RECORD – KEEPING

High-risk AI systems must enable automatic event logging throughout their entire lifecycle. This logging ensures traceability and must cover events relevant to:

  • Identifying potential risks or substantial modifications.
  • Post-market monitoring.
  • Ongoing performance assessment.

For systems listed in Annex III, point 1(a), the logs must include at least:

  • Usage period (start and end date/time).
  • Reference database used for verification.
  • Input data that generated a match.
  • Identification of individuals involved in result verification.

CONSERVAZIONE DELLE REGISTRAZIONI

I sistemi di IA ad alto rischio devono consentire la registrazione automatica degli eventi (“log”) per l’intero ciclo di vita del sistema. Tale registrazione garantisce la tracciabilità del funzionamento e deve includere eventi rilevanti per:

  • L’individuazione di potenziali rischi o modifiche sostanziali.
  • Il monitoraggio post-commercializzazione.
  • La verifica continua delle prestazioni.

Per i sistemi elencati nell’Allegato III, punto 1, lettera a), i registri devono includere almeno:

  • Periodo di utilizzo (data e ora di inizio e fine).
  • Database di riferimento utilizzato per la verifica.
  • Dati di input che hanno generato corrispondenze.
  • Identificativo delle persone coinvolte nella verifica dei risultati.

TRANSPARENCY AND PROVISION OF INFORMATION TO DEPLOYERS

High-risk AI systems must be designed to ensure sufficient transparency, enabling deployers to properly interpret and use the system’s output. They must be accompanied by clear, complete, and accessible instructions, including:

  1. Supplier identity and contact information.
  2. Performance characteristics and limitations, such as accuracy, robustness, and cybersecurity.
  3. Foreseeable risks related to system use.
  4. Technical features explaining the output and dataset specifications.
  5. Predefined system modifications.
  6. Human oversight measures and required maintenance resources.
  7. Mechanisms for logging and log interpretation.

TRASPARENZA E FORNITURA DI INFORMAZIONI AI DEPLOYER

Riassunto in Italiano:

I sistemi di IA ad alto rischio devono essere progettati per garantire un livello di trasparenza adeguato, consentendo ai deployer di interpretare e utilizzare correttamente l’output del sistema. Devono essere accompagnati da istruzioni d’uso chiare, complete e accessibili, che includano:

  1. Identità e contatti del fornitore.
  2. Caratteristiche e limiti delle prestazioni, come accuratezza, robustezza e sicurezza informatica.
  3. Rischi prevedibili legati all’uso del sistema.
  4. Capacità tecniche per spiegare l’output e indicazioni sui set di dati utilizzati.
  5. Modifiche predeterminate al sistema.
  6. Misure di sorveglianza umana e risorse necessarie per il mantenimento.
  7. Meccanismi per la raccolta e l’interpretazione dei log di sistema.

UMAN OVERSIGHT

High-risk AI systems must be designed to allow effective human oversight through suitable interfaces. Human oversight aims to prevent or minimize risks to health, safety, and fundamental rights, especially when risks persist despite other measures. Oversight measures must be proportionate to the risks and autonomy level of the system and may include:

  • Tools integrated by the provider for monitoring and control.
  • Tools deployable by the operator before system use.

Supervising personnel must be able to:

  • Understand the system’s capabilities and limitations.
  • Recognize the risk of over-relying on AI (automation bias).
  • Correctly interpret the system’s output.
  • Override or ignore the system’s output when necessary.
  • Safely interrupt the system’s operation.

For biometric identification systems, decisions must be independently verified by at least two qualified persons, except in law enforcement, migration, or border control contexts where such requirements may be legally waived.

SORVEGLIANZA UMANA

I sistemi di IA ad alto rischio devono essere progettati per permettere una sorveglianza umana efficace tramite interfacce adeguate. La sorveglianza umana serve a prevenire o ridurre i rischi per la salute, sicurezza e diritti fondamentali, specialmente quando i rischi persistono nonostante altre misure. Le misure di sorveglianza devono essere proporzionate ai rischi e al livello di autonomia del sistema e possono includere:

  • Strumenti integrati dal fornitore per monitorare e controllare il sistema
  • Strumenti implementabili dal deployer prima dell’uso.

Le persone responsabili della sorveglianza devono poter:

  • Comprendere le capacità e i limiti del sistema.
  • Riconoscere la tendenza all’affidamento eccessivo sull’IA (automation bias).
  • Interpretare correttamente l’output del sistema.
  • Ignorare o annullare l’output se necessario.
  • Interrompere il funzionamento del sistema in modo sicuro.

Per i sistemi di identificazione biometrica, l’output deve essere verificato separatamente da almeno due persone qualificate, salvo eccezioni legali per scopi di contrasto, migrazione o controllo delle frontiere.

ACCURACY, ROBUSTNESS AND CYBERSECURITY

High-risk AI systems must ensure an adequate level of accuracy, robustness, and cybersecurity throughout their lifecycle.

Accuracy: Must be measurable and included in the system’s instructions. The Commission encourages standardized metrics development.

Robustness: Systems must resist errors, failures, and inconsistencies through measures like technical redundancies and backup plans. Continuously learning systems must prevent feedback loop distortions.

Cybersecurity: Systems should resist unauthorized attempts to alter their use or performance and include protections against threats like data and model poisoning, adversarial examples, and privacy attacks.

ACCURATEZZA ROBUSTEZZA E CIBERSICUREZZA

I sistemi di IA ad alto rischio devono garantire un adeguato livello di accuratezza, robustezza e cibersicurezza per tutto il loro ciclo di vita.

Accuratezza: Deve essere misurabile e dichiarata nelle istruzioni d’uso. La Commissione promuove lo sviluppo di metriche standard per la misurazione.

Robustezza: I sistemi devono essere resistenti a errori, guasti e incongruenze, con misure come ridondanze tecniche e piani di backup. I sistemi che continuano ad apprendere dopo l’immissione sul mercato devono prevenire distorsioni nei circuiti di feedback.

Cibersicurezza: I sistemi devono essere resilienti contro tentativi non autorizzati di modifica dell’uso o delle prestazioni. Devono includere protezioni contro minacce come l’avvelenamento dei dati e dei modelli, esempi antagonisti e attacchi alla riservatezza.

OBLIGATIONS OF PROVIDERS OF HIGH-RISK AI SYSTEMS

Deployers of high-risk AI systems are required to:

Proper Use: Ensure the system is used according to its intended purpose and the supplier’s instructions.

Training and Competence: Provide adequate training for staff on system capabilities, limitations, and risks.

Monitoring and Oversight: Implement supervision measures to monitor the system’s performance and detect malfunctions.

Event Logging: Maintain usage logs for traceability and review in case of incidents.

Incident Reporting: Promptly report any malfunctions, risks, or incidents to the supplier and authorities.

Data Protection: Comply with personal data protection regulations (e.g., GDPR).

OBBLIGHI DEI DEPLOYER DEI SISTEMI DI IA AD ALTO RISCHIO

I deployer di sistemi di IA ad alto rischio hanno l’obbligo di:

Utilizzo Conforme: Assicurare che il sistema sia utilizzato in conformità con la sua finalità prevista e seguendo le istruzioni fornite dal fornitore.

Formazione e Competenza: Garantire che il personale incaricato dell’uso del sistema riceva un’adeguata formazione sulle sue capacità, limiti e rischi.

Monitoraggio e Sorveglianza: Implementare misure di sorveglianza per monitorare il funzionamento del sistema, identificare malfunzionamenti e garantire la sicurezza.

Registrazione degli Eventi: Assicurare la conservazione dei log di utilizzo per consentire la tracciabilità e la revisione in caso di anomalie.

Segnalazione di Incidenti: Segnalare tempestivamente al fornitore e alle autorità competenti eventuali malfunzionamenti, rischi o incidenti legati al sistema.

Protezione dei Dati: Rispettare la normativa sulla protezione dei dati personali (GDPR e altre norme UE).

FUNDAMENTAL RIGHTS IMPACT ASSESSMENT FOR HIGH-RISK AI SYSTEMS

Deployers of high-risk AI systems must conduct a fundamental rights impact assessment before using the system to prevent potential harm. The assessment must include:

  • Usage Description: How and for how long the system will be used.
  • Affected Categories: People or groups likely impacted.
  • Specific Risks: Potential harms to the identified categories.
  • Human Oversight: Measures ensuring effective human control.
  • Risk Management: Steps to address identified risks, including internal governance and complaint mechanisms.

This requirement applies to the first use of the system and can rely on previous assessments or those performed by the supplier. The results must be notified to the market surveillance authority, with some exemptions. If a Data Protection Impact Assessment (DPIA) under GDPR has already been conducted, it may fulfill part of this requirement. A standardized questionnaire for this assessment will be provided by the AI Office.

VALUTAZIONE DI IMPATTO SUI DIRITTI FONDAMENTALI PER I SISTEMI AD ALTO RISCHIO (FRIA)

I deployer di sistemi di IA ad alto rischio devono effettuare una valutazione d’impatto sui diritti fondamentali prima dell’utilizzo, per prevenire potenziali danni. Tale valutazione deve includere:

  • Descrizione dell’uso: Come e per quanto tempo verrà utilizzato il sistema.
  • Categorie coinvolte: Persone o gruppi interessati dall’utilizzo.
  • Rischi specifici: Danni potenziali per le persone coinvolte.
  • Sorveglianza umana: Misure adottate per garantire il controllo umano.
  • Gestione dei rischi: Azioni da intraprendere in caso di violazioni o danni, incluse misure di governance interna e meccanismi di reclamo.

L’obbligo si applica al primo utilizzo del sistema e può basarsi su valutazioni precedenti o già effettuate dal fornitore. La valutazione deve essere notificata all’autorità di vigilanza, salvo esenzioni specifiche. Se già è stata effettuata una DPIA (Valutazione di impatto sulla protezione dei dati) ai sensi del GDPR, questa può integrare l’obbligo di valutazione sui diritti fondamentali. Un modello di valutazione standardizzato sarà fornito dall’Ufficio per l’IA.

TRANSPARENCY OBLIGATIONS FOR PROVIDERS AND DEPLOYERS OF CERTAIN AI SYSTEMS ( NO HIGH RISK)

AI providers and deployers must comply with specific transparency obligations:

  1. Human Interaction: AI systems interacting directly with individuals must clearly disclose the use of AI, unless it is already obvious.
  2. Generated or Manipulated Content: Providers of AI generating synthetic content (audio, video, images, text) must ensure such outputs are labeled and detectable as artificially generated.
  3. Biometric and Emotion Recognition: Deployers using AI for biometric categorization or emotion recognition must inform exposed individuals and comply with GDPR and other EU data protection laws.
  4. Deepfakes and Manipulated Media: Deployers creating deepfakes must disclose it, except for artistic, creative, or satirical works.
  5. Timing of Disclosure: Transparency information must be provided clearly at the first interaction with the system.

OBBLIGHI DI TRASPARENZA PER I FORNITORI E I DEPLOYERS DI DETERMINATI SISTEMI DI IA (NO ALTO RISCHIO)

I fornitori e i deployer di sistemi di IA devono rispettare specifici obblighi di trasparenza:

  1. Interazione con le persone: I sistemi di IA che interagiscono direttamente con le persone devono informare chiaramente che si tratta di un’interazione con un sistema automatizzato, salvo che ciò sia già evidente.
  2. Contenuti generati o manipolati: I fornitori di sistemi che generano contenuti sintetici (audio, video, immagini o testo) devono garantire che tali contenuti siano marcati e rilevabili come artificialmente generati.
  3. Riconoscimento biometrico ed emozioni: I deployer di sistemi di riconoscimento delle emozioni o categorizzazione biometrica devono informare le persone esposte e rispettare il GDPR e altre normative UE sulla protezione dei dati.
  4. Deepfake e contenuti manipolati: I deployer che utilizzano IA per creare deepfake devono dichiararlo, tranne nei casi di uso artistico, creativo o satirico.
  5. Tempistica delle informazioni: Le informazioni devono essere fornite chiaramente alla prima interazione con il sistema.

L’Ufficio per l’IA promuove codici di buone pratiche per facilitare la conformità e la Commissione può adottare norme comuni per l’etichettatura dei contenuti IA.

PENALTIES

The Regulation (EU) 2024/1689 on Artificial Intelligence (AI Act) provides for sanctions for violations of its provisions, as outlined in Article 99. Here’s a summary of the main sanctions:

  1. Violation of the prohibition on AI practices:
      1. Fine up to 35,000,000 EUR or, if the offender is a company, up to 7% of the total worldwide annual turnover of the preceding financial year, whichever is higher.
  2. Non-compliance with specific obligations:
      1. Fine up to 15,000,000 EUR or, if the offender is a company, up to 3% of the total worldwide annual turnover of the preceding financial year, whichever is higher.
      2. This category includes obligations for providers, authorized representatives, importers, distributors, deployers, and notified bodies.
  3. Providing inaccurate, incomplete, or misleading information:
      1. Fine up to 7,500,000 EUR or, if the offender is a company, up to 1% of the total worldwide annual turnover of the preceding financial year, whichever is higher.

For small and medium-sized enterprises (SMEs), including start-ups, each financial penalty is limited to the lower percentage or amount among those mentioned above.

The sanctions are designed to be effective, proportionate, and dissuasive, considering the nature, severity, and duration of the violation, as well as the size and turnover of the operator involved.

For further details, refer to the full text of Regulation (EU) 2024/1689.

SANZIONI

Il Regolamento (UE) 2024/1689 sull’intelligenza artificiale (AI Act) prevede sanzioni per le violazioni delle sue disposizioni, come delineato nell’Articolo 99. Ecco un riepilogo delle principali sanzioni:
  1. Violazione del divieto di pratiche di IA:
      1. Sanzione fino a 35.000.000 EUR o, se l’autore è un’impresa, fino al 7% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
  2. Non conformità a obblighi specifici:
      1. Sanzione fino a 15.000.000 EUR o, se l’autore è un’impresa, fino al 3% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
      2. o Questa categoria include obblighi per fornitori, rappresentanti autorizzati, importatori, distributori, deployer e organismi notificati.
  3. Fornitura di informazioni inesatte, incomplete o fuorvianti:
      1. Sanzione fino a 7.500.000 EUR o, se l’autore è un’impresa, fino all’1% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Per le piccole e medie imprese (PMI), comprese le start-up, ciascuna sanzione pecuniaria è limitata alle percentuali o all’importo inferiore tra quelli sopra indicati. Le sanzioni sono progettate per essere effettive, proporzionate e dissuasive, tenendo conto della natura, gravità e durata della violazione, nonché delle dimensioni e del fatturato dell’operatore coinvolto. Per ulteriori dettagli, si rimanda al testo completo del Regolamento (UE) 2024/1689.

ASPETTI TECNICI

Le informazioni comunicate dal fornitore per informare il deployer in particolare della finalità prevista e dell’uso corretto di un sistema di AI.

Qualsiasi operazione o assegnazione matematica che comporta numeri in virgola mobile, un sottoinsieme dei numeri reali generalmente rappresentati sui computer mediante un numero intero con precisione fissa avente come fattore di scala un esponente intero di una base fissa.

La profilazione quale definita all’articolo 4, punto 4), del regolamento (UE) 2016/679

Le competenze, le conoscenze e la comprensione che consentono ai fornitori, ai deployer e alle persone interessate, tenendo conto dei loro rispettivi diritti e obblighi nel contesto del presente regolamento, di procedere a una diffusione informata dei sistemi di IA, nonché di acquisire consapevolezza in merito alle opportunità e ai rischi dell’IA e ai possibili danni che essa può causare.

SPERIMENTAZIONE E CONDIZIONI REALI

Un quadro controllato istituito da un’autorità competente che offre ai fornitori o potenziali fornitori di sistemi di IA la possibilità di sviluppare, addestrare, convalidare e provare, se del caso in condizioni reali, un sistema di IA innovativo, conformemente a un piano dello spazio di sperimentazione per un periodo di tempo limitato sotto supervisione regolamentare.

Un documento concordato tra il fornitore partecipante e l’autorità competente in cui sono descritti gli obiettivi, le condizioni, il calendario, la metodologia e i requisiti relativamente alle attività svolte all’interno dello spazio di sperimentazione.

Un documento che descrive gli obiettivi, la metodologia, l’ambito geografico, della popolazione e temporale, il monitoraggio, l’organizzazione e lo svolgimento della prova in condizioni reali.

Un documento che descrive gli obiettivi, la metodologia, l’ambito geografico, della popolazione e temporale, il monitoraggio, l’organizzazione e lo svolgimento della prova in condizioni reali.

L’espressione libera, specifica, inequivocabile e volontaria di un soggetto della propria disponibilità a partecipare a una determinata prova in condizioni reali, dopo essere stato informato di tutti gli aspetti della prova rilevanti per la sua decisione di partecipare.

Ai fini della prova in condizioni reali, una persona fisica che partecipa a prove in condizioni reali.

TECNOLOGIE SPECIFICHE E MODELLI DI IA

Un modello di AI, anche laddove tale modello di AI sia addestrato con grandi quantità di dati utilizzando l’auto supervisione su larga scala, che sia caratterizzato una generalità significativa e sia in grado di svolgere con competenza un’ampia gamma di compiti distinti, indipendentemente dalle modalità con cui il modello è immesso sul mercato, e che può essere integrato in una varietà di sistemi o applicazioni a valle, ad eccezione dei modelli di IA utilizzati per attività di ricerca, sviluppo o prototipazione prima di essere immessi sul mercato.

 
 

 

 

Un sistema di IA basato su un modello di IA per finalità generali e che ha la capacità di perseguire varie finalità, sia per uso diretto che per integrazione in altri sistemi di IA.

Un sistema di IA finalizzato all’identificazione o all’inferenza di emozioni o intenzioni di persone fisiche sulla base dei loro dati biometrici.

Un sistema di IA che utilizza i dati biometrici di persone fisiche al fine di assegnarle a categorie specifiche, a meno che non sia accessorio a un altro servizio commerciale e strettamente necessario per ragioni tecniche oggettive.

Un sistema di IA finalizzato all’identificazione di persone fisiche, senza il loro coinvolgimento attivo, tipicamente a distanza mediante il confronto dei dati biometrici di una persona con i dati biometrici contenuti in una banca dati di riferimento.

Un sistema di identificazione biometrica remota in cui il rilevamento dei dati biometrici, il confronto e l’identificazione avvengono senza ritardi significativi, il quale comprende non solo le identificazioni istantanee, ma anche quelle che avvengono con brevi ritardi limitati al fine di evitare l’elusione.

Un sistema di identificazione biometrica remota diverso da un sistema di identificazione biometrica remota «in tempo reale.

Qualsiasi luogo fisico di proprietà pubblica o privata accessibile a un numero indeterminato di persone fisiche, indipendentemente dal fatto che possano applicarsi determinate condizioni di accesso e indipendentemente dalle potenziali restrizioni di capacità.

Un’immagine o un contenuto audio o video generato o manipolato dall’IA che assomiglia a persone, oggetti, luoghi, entità o eventi esistenti e che apparirebbe falsamente autentico o veritiero a una persona.

DATI E PRIVACY

I dati utilizzati per addestrare un sistema di IA adattandone i parametri che può apprendere.

I dati utilizzati per fornire una valutazione del sistema di IA addestrato e per metterne a punto, tra l’altro, i parametri che non può apprendere e il processo di apprendimento, al fine tra l’altro di evitare lo scarso (underfitting) o l’eccessivo (overfitting) adattamento ai dati di addestramento.

Un set di dati distinto o costituito da una partizione fissa o variabile del set di dati di addestramento.

I dati utilizzati per fornire una valutazione indipendente del sistema di IA al fine di confermarne le prestazioni attese prima della sua immissione sul mercato o messa in servizio.

I dati forniti a un sistema di IA o direttamente acquisiti dallo stesso, in base ai quali il sistema produce un output.

I dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, quali le immagini facciali o i dati dattiloscopici.

Il riconoscimento automatizzato delle caratteristiche umane fisiche, fisiologiche, comportamentali o psicologiche allo scopo di determinare l’identità di una persona fisica confrontando i suoi dati biometrici con quelli di individui memorizzati in una banca dati.

La verifica automatizzata e uno a uno, inclusa l’autenticazione, dell’identità di persone fisiche mediante il confronto dei loro dati biometrici con i dati biometrici forniti in precedenza.

Le categorie di dati personali di cui all’articolo 9, paragrafo 1, del regolamento (UE) 2016/679, all’articolo 10 della direttiva (UE) 2016/680 e all’articolo 10, paragrafo 1, del regolamento (UE) 2018/1725

Dati operativi relativi ad attività di prevenzione, accertamento, indagine o perseguimento di reati, la cui divulgazione potrebbe compromettere l’integrità dei procedimenti penali.

I dati personali quali definiti all’articolo 4, punto 1), del regolamento (UE) 2016/679

Dati diversi dai dati personali di cui all’articolo 4, punto 1), del regolamento (UE) 2016/679

 
 

 

 

MONITORAGGIO E SICUREZZA

Tutte le attività svolte dai fornitori di sistemi di IA al fine di raccogliere e analizzare l’esperienza maturata tramite l’uso dei sistemi di IA che immettono sul mercato o che mettono in servizio, al fine di individuare eventuali necessità di immediate azioni correttive o preventive.

Qualsiasi misura volta a ottenere la restituzione al fornitore, la messa fuori servizio o la disabilitazione dell’uso di un sistema di IA messo a disposizione dei deployer.

Qualsiasi misura volta a impedire che un sistema di IA nella catena di approvvigionamento sia messo a disposizione sul mercato.

Un componente di un prodotto o di un sistema di AI che svolge una funzione di sicurezza per tale prodotto o sistema di IA o il cui guasto o malfunzionamento mette in pericolo la salute e la sicurezza di persone o beni.

Un incidente o malfunzionamento di un sistema di IA che, direttamente o indirettamente, causa una delle conseguenze seguenti:

  1. il decesso di una persona o gravi danni alla salute di una persona;
  2. una perturbazione grave e irreversibile della gestione o del funzionamento delle infrastrutture critiche;
  3. la violazione degli obblighi a norma del diritto dell’Unione intesi a proteggere i diritti fondamentali;
  4. gravi danni alle cose o all’ambiente.
 
 

 

 

Qualsiasi azione od omissione contraria al diritto dell’Unione che tutela gli interessi delle persone:

  1. che abbia arrecato o possa arrecare un danno agli interessi collettivi di persone che risiedono in almeno due Stati membri diversi dallo Stato membro in cui:
      1. ha avuto origine o si è verificato l’azione o l’omissione in questione;
      2. è ubicato o stabilito il fornitore interessato o, se del caso, il suo rappresentante autorizzato; oppure
      3. è stabilito il deployer, quando la violazione è commessa dal deployer;
  2. che abbia arrecato, arrechi o possa arrecare un danno agli interessi collettivi di persone e che presenti caratteristiche comuni, compresa la stessa pratica illecita e lo stesso interesse leso e che si verifichi simultaneamente, commessa dal medesimo operatore, in almeno tre Stati membri
 
 

 

 

Infrastruttura critica quale definita all’articolo 2, punto 4), della direttiva (UE) 2022/2557

 
 

 

 

PROCESSI DI MERCATO E REGOLAMENTAZIONE

La prima messa a disposizione di un sistema di IA o di un modello di IA per finalità generali sul mercato dell’Unione.

La fornitura di un sistema di IA o di un modello di IA per finalità generali per la distribuzione o l’uso sul mercato dell’Unione nel corso di un’attività commerciale, a titolo oneroso o gratuito.

La fornitura di un sistema di IA direttamente al deployer per il primo uso o per uso proprio nell’Unione per la finalità prevista.

La procedura atta a dimostrare se i requisiti di cui al capo III, sezione 2, relativi a un sistema di IA ad alto rischio sono stati soddisfatti.

Un organismo che svolge per conto di terzi attività di valutazione della conformità, incluse prove, certificazioni e ispezioni.

Un organismo di valutazione della conformità notificato in conformità del presente regolamento e di altre pertinenti normative di armonizzazione dell’Unione.

Una modifica di un sistema di IA a seguito della sua immissione sul mercato o messa in servizio che non è prevista o programmata nella valutazione iniziale della conformità effettuata dal fornitore e che ha l’effetto di incidere sulla conformità del sistema di IA ai requisiti di cui al capo III, sezione 2, o comporta una modifica della finalità prevista per la quale il sistema di IA è stato valutato.

Una marcatura mediante la quale un fornitore indica che un sistema di IA è conforme ai requisiti stabiliti al capo III, sezione 2, e in altre normative di armonizzazione dell’Unione applicabili e che ne prevedono l’apposizione.

La norma armonizzata di cui all’articolo 2, punto 1), lettera c), del regolamento (UE) n, 1025/2012

Un insieme di specifiche tecniche quali definite all’articolo 2, punto 4), del regolamento (UE) n, 1025/2012, che forniscono i mezzi per soddisfare determinati requisiti stabiliti a norma del presente regolamento.

ATTORI COINVOLTI E RESPONSABILITÀ

Una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che sviluppa un sistema di IA o un modello di IA per finalità generali o che fa sviluppare un sistema di IA o un modello di IA per finalità generali e immette tale sistema o modello sul mercato o mette in servizio il sistema di IA con il proprio nome o marchio, a titolo oneroso o gratuito.

Una persona fisica o giuridica, un’autorità pubblica, un’agenzia o un altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un’attività personale non professionale.

Un fornitore di un sistema di IA, compreso un sistema di IA per finalità generali, che integra un modello di IA, indipendentemente dal fatto che il modello di IA sia fornito dallo stesso e integrato verticalmente o fornito da un’altra entità sulla base di relazioni contrattuali.

Una persona fisica o giuridica ubicata o stabilita nell’Unione che ha ricevuto e accettato un mandato scritto da un fornitore di un sistema di IA o di un modello di IA per finalità generali al fine, rispettivamente, di adempiere ed eseguire per suo conto gli obblighi e le procedure stabiliti dal presente regolamento.

Una persona fisica o giuridica ubicata o stabilita nell’Unione che immette sul mercato un sistema di IA recante il nome o il marchio di una persona fisica o giuridica stabilita in un paese terzo.

Una persona fisica o giuridica nella catena di approvvigionamento, diversa dal fornitore o dall’importatore, che mette a disposizione un sistema di IA sul mercato dell’Unione.

Un fornitore, un fabbricante del prodotto, un deployer, un rappresentante autorizzato, un importatore o un distributore.

  1. qualsiasi autorità pubblica competente in materia di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse; oppure
  2. qualsiasi altro organismo o entità incaricati dal diritto dello Stato membro di esercitare l’autorità pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse.

Un’autorità di notifica o un’autorità di vigilanza del mercato; per quanto riguarda i sistemi di IA messi in servizio o utilizzati da istituzioni, organi e organismi dell’Unione, i riferimenti alle autorità nazionali competenti o alle autorità di vigilanza del mercato contenuti nel presente regolamento si intendono fatti al Garante europeo della protezione dei dati.

L’autorità nazionale che svolge le attività e adotta le misure a norma del regolamento (UE) 2019/1020.

L’autorità nazionale responsabile dell’istituzione e dell’esecuzione delle procedure necessarie per la valutazione, la designazione e la notifica degli organismi di valutazione della conformità e per il loro monitoraggio.

Le attività svolte dalle autorità di contrasto o per loro conto a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse.

La funzione della Commissione volta a contribuire all’attuazione, al monitoraggio e alla supervisione dei sistemi di IA e dei modelli di IA per finalità generali, e della governance dell’IA prevista dalla decisione della Commissione del 24 gennaio 2024. I riferimenti all’ufficio per l’IA contenuti nel presente regolamento si intendono fatti alla Commissione.

TERMINOLOGIA GENERALE SUI SISTEMI DI AI

Un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.​

La combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso.

L’uso di un sistema di IA previsto dal fornitore, compresi il contesto e le condizioni d’uso specifici, come dettagliati nelle informazioni comunicate dal fornitore nelle istruzioni per l’uso, nel materiale promozionale o di vendita e nelle dichiarazioni, nonché nella documentazione tecnica.

L’uso di un sistema di IA in un modo non conforme alla sua finalità prevista, ma che può derivare da un comportamento umano o da un’interazione con altri sistemi, ivi compresi altri sistemi di IA, ragionevolmente prevedibile.

La capacità di un sistema di IA di conseguire la finalità prevista.

Un rischio specifico per le capacità di impatto elevato dei modelli di IA per finalità generali, avente un impatto significativo sul mercato dell’Unione a causa della sua portata o di effetti negativi effettivi o ragionevolmente prevedibili sulla salute pubblica, la sicurezza, i diritti fondamentali o la società nel suo complesso, che può propagarsi su larga scala lungo l’intera catena del valore.

Capacità che corrispondono o superano le capacità registrate nei modelli di IA per finalità generali più avanzati.