Parlamento e Consiglio trovano l’accordo sulla modifica all’AI Act: finalizzato il divieto dei deepfake sessuali

Bruxelles – Dopo più di un mese di negoziati – e una breve sospensione a causa di divergenze di vedute – nelle prime ore di questa mattina (7 maggio) il Parlamento europeo e il Consiglio dell’Unione europea hanno infine annunciato di aver trovato un accordo provvisorio sulla proposta di modifica dell’Artificial Intelligence Act (AI Act o AIA). Si tratta del regolamento dell’Unione europea che dal 2024 disciplina l’utilizzo dell’IA e la sua revisione si inserisce nel più ampio quadro del cosiddetto Digital Omnibus, il pacchetto legislativo lanciato dalla Commissione UE nello scorso novembre per semplificare una serie di norme comunitarie in materia digitale.

I punti centrali del compromesso raggiunto oggi sono due. Da un lato rinviare – o in alcuni casi semplificare – diverse norme dell’AIA per concedere alle imprese che utilizzano sistemi IA più tempo per adeguarsi. Dall’altro lato, utilizzare un approccio più rigoroso nei confronti di tutte quelle aziende che producono le cosiddette nudifier app, capaci di modificare immagini di persone reali senza il loro consenso e di ritrarle in versione nuda o sessualmente esplicita.

La messa al bando delle nudifier app

L’accordo raggiunto con gli Stati membri accoglie pienamente la proposta di completa messa al bando delle nudifier app approvata dall’Eurocamera durante la plenaria di Strasburgo del 26 marzo scorso. Il divieto colpirà tanto gli utenti che fruiscono di questi sistemi – che spesso li utilizzano anche per generare scene di abusi sessuali sui minori – quanto le compagnie che li mettono a disposizione. In particolare, in caso di violazione le aziende saranno ritenute responsabili sia qualora mettano sul mercato app intenzionalmente realizzate per questo scopo, sia quando hanno semplicemente applicato misure di prevenzione e sicurezza insufficienti.

Il ban concordato oggi sarà applicato a partire dal prossimo 2 dicembre e – sebbene non si menzionino nel testo app specifiche verso cui è rivolto – sembra evidente che ad aver spinto l’UE ad agire sia stato il caso che ha coinvolto Grok (l’assistenza IA del social network X) lo scorso gennaio. A chiarirlo è stata l’eurodeputata svedese e co-relatrice del provvedimento, Arba Kokalari (PPE), spiegando in conferenza stampa che “non abbiamo un elenco delle nudifier app, ma sappiamo tutti quello che Grok e X hanno fatto qualche mese fa e vogliamo far passare il messaggio che in Europa tutto ciò è vietato“.

Se, in linea teorica, la messa al bando appare di facile realizzazione, restano alcune questioni pratiche da risolvere. Ad esempio, su quale definizione di contenuto intimo basare il divieto. In tal senso l’altro co-relatore del testo, l’irlandese Michael McNamara, ha sottolineato che “abbiamo stilato un elenco delle parti del corpo che dovrebbero essere considerate intime, ma si trova nelle premesse” e dunque non fa parte del testo normativo vero e proprio.

Semplificazione normativa: passa (in parte) la linea tedesca

È proprio sulle modalità con cui semplificare le originali norme europee sull’IA che il negoziato tra eurodeputati e Stati membri si era arenato lo scorso 29 aprile. Secondo quanto riportato da diverse testate, le due parti non riuscivano a trovare un accordo sulla questione della cosiddetta ‘doppia regolamentazione’: per alcuni settori (dispositivi medici, giocattoli, imbarcazioni, macchinari) esistevano già specifici atti normativi UE che stabiliscono le regole sull’IA e questi si andavano a ‘sommare’ alle nuove norme stabilite dall’AIA. La maggioranza di centro-destra all’Eurocamera – insieme alla Germania in Consiglio – chiedeva una sorta di esenzione di massa per tutti questi settori dall’applicazione dell’AIA, per snellire il quadro legale ed evitare così la necessità di una doppia conformità normativa. Gli eurodeputati di centro-sinistra e diversi Stati membri, però, si opponevano nel timore che adeguate garanzie di sicurezza fossero sacrificate sull’altare della semplificazione.

Il compromesso annunciato oggi accontenta un po’ tutti: solo il regolamento sui macchinari sarà esentato dalla direttiva, lasciando peraltro alla Commissione il potere di adottare atti delegati per aggiungere requisiti di sicurezza per macchine che usino sistemi IA ad alto rischio. Che il negoziato su questo punto abbia però lasciato qualche strascico lo ha confermato la stessa Kokalari. “Il Parlamento voleva estendere l’esenzione dall’AIA a dodici settori per rispondere ala confusione lamentata da moltissime aziende europee” , ha spiegato. “Tuttavia con il Consiglio siamo riusciti a trovare un accordo solo sul settore dei macchinari”, ha aggiunto, per poi dirsi “dispiaciuta che gli Stati membri non abbiano avuto le nostre stesse ambizioni”.

Il resto delle misure di semplificazione proposte dal Parlamento a marzo sono state invece accettate in toto dal Consiglio.

In particolare, è stato concordato di posticipare l’entrata in vigore delle norme che fissano nuovi standard di sicurezza per i sistemi IA considerati ‘ad alto rischio’ (gli apparecchi biometrici o i macchinari impiegati in settori critici come le infrastrutture e la sanità). L’attuale versione dell’AIA prevede che le aziende si adeguino entro il 2 agosto di quest’anno, mentre l’accordo annunciato oggi proroga la scadenza al 2 dicembre 2027 per i sistemi ad alto rischio esplicitamente indicati nel provvedimento (come biometria, infrastrutture critiche, istruzione e controllo delle frontiere) e al 2 agosto 2028 per quelli utilizzati come “componenti per la sicurezza” di alcuni prodotti industriali e già soggetti ad altre normative UE sulla sicurezza e la sorveglianza di mercato. Su questo punto, la proposta di Parlamento e Consiglio restringe anche la definizione di “componenti per la sicurezza” in modo da limitare il perimetro dei sistemi IA considerati ad alto rischio e quindi regolati in maniera più severa. “Stiamo tutti aspettando che la Commissione pubblichi le linee guida necessarie per determinare quali sistemi saranno considerati ad alto rischio e quali no“, ha messo pressione Kokalari.

Tra gli altri emendamenti concordati, anche quelli che prorogano al 2 dicembre 2026 l’entrata in vigore degli obblighi sul watermarking (i certificati che indicano quando un contenuto è generato tramite IA) e che permettono alle aziende di utilizzare i dati personali per correggere distorsioni o bias nel sistemi IA, “solo quando strettamente necessario”.

Infine, sono previste deroghe ad alcuni obblighi stabiliti dall’AIA per le piccole e medie imprese e si punta a centralizzare la gestione il controllo sui modelli di IA ad uso generale (ad esempio quelli utilizzati per scrivere testi o rispondere a domande) in capo all’Ufficio europeo per l’IA.

Soddifatta la presidenza cipriota del Consiglio dell’UE: “L‘accordo sostiene in modo significativo le nostre imprese, riduce i costi amministrativi, garantisce certezza del diritto e un’attuazione delle norme più armonizzata in tutta l’UE, e rafforza la sovranità digitale e la competitività europea”, ha sintetizzato la vice-ministra per gli Affari Europei di Nicosia, Marilena Raouna. “Allo stesso tempo, “rafforziamo la protezione dei minori, affrontando i rischi legati ai sistemi di intelligenza artificiale”, ha aggiunto.

Da Palazzo Berlaymont, infine, è arrivato anche il commento della presidente della Commissione UE, Ursula von der Leyen. “L’accordo crea un contesto semplice e favorevole all’innovazione, consentendo all’ecosistema europeo dell’IA di crescere, rafforzando al contempo la protezione nei confronti dei nostri cittadini”, ha scritto su X.

L’accordo odierno – è opportuno ribadirlo – ha natura provvisoria: dovrà essere formalmente adottato dal Parlamento e dal Consiglio affinchè entri a tutti gli effetti in vigore. Il comunicato dell’Eurocamera fissa l’obiettivo di completare l’iter entro il 2 agosto 2026, la prima delle nuove scadenze fissate dalla proposta per l’entrata in vigore delle regole dell’AIA.