“I fornitori di sistemi AI ad alto rischio immessi sul mercato dell’Unione segnalano qualsiasi incidente grave alle autorità di vigilanza del mercato degli Stati membri in cui tali incidenti si sono verificati”.
Un obbligo di segnalazione
L’obbligo dell’AI Act (ex articolo 73 del Regolamento UE 2024/168) per gli incidenti cyber, riservato alle aziende UE ad alto rischio, presenta già una bozza delle linee guida e del modello di segnalazione. Il tutto, nonostante il Regolamento UE 2024/168 entrerà in vigore dal 2026. Entrambi questi documenti aiuteranno i fornitori a prepararsi.
La bozza delle linee guida chiarisce le definizioni, offre esempi pratici e spiega come le nuove norme si collegano ad altri obblighi legali. La prescrizione mira a migliorare l’individuazione precoce dei rischi, la responsabilità e la fiducia del pubblico nei sistemi AI.
Il modello di segnalazione per aiutare i fornitori a prepararsi include:
- definizioni chiare degli incidenti segnalabili (ad esempio, danni alla salute, interruzione di infrastrutture critiche, violazioni dei diritti).
- Struttura pratica per la presentazione (date, gravità, cause alla radice, azioni correttive).
- Sezioni relative all’analisi del fornitore, ai dettagli del sistema e all’indagine sulla causalità.
Le tempistiche della segnalazione
Ai sensi dell’articolo 73, paragrafo 2, in caso di incidenti cyber, esiste un preciso arco temporale in cui i soggetti di merito AI ad alto rischio devono inviare la segnalazione.
Nelle specifico, “immediatamente dopo che il fornitore ha stabilito un nesso causale tra il sistema di AI e l’incidente grave“. Oppure, “quando stabilisce la ragionevole probabilità di tale nesso e, in ogni caso, non oltre 15 giorni dopo che il fornitore“. O ancora, “se del caso, il deployer, è venuto a conoscenza dell’incidente grave“. In ogni caso, “il periodo per la segnalazione tiene conto della gravità dell’incidente grave“.
L’obbligo dell’articolo 73 mira a individuare tempestivamente i rischi, garantire la responsabilità, consentire un’azione rapida e rafforzare la fiducia del pubblico nelle tecnologie AI.
Quale approccio?
L’approccio dell’UE cerca anche di allinearsi con iniziative internazionali, come l’AI Incidents Monitor e il Common Reporting Framework dell’OCSE. In questi termini, la bozza delle linee guida chiarisce anche il rapporto con altri obblighi giuridici previsti dal diritto dell’Unione Europea e da quello nazionale.
La consultazione pubblica è aperta fino al 7 novembre 2025. Si ribadisce, inoltre l’invito, per le parti interessate, “a partecipare e a fornire un riscontro“.
In linea con l’articolo 73, questo elemento operativo sarà fondamentale della regolamentazione comunitaria dell’AI. Un elemento, che in tutto il mercato del settore garantirà:
- trasparenza.
- Coerenza normativa.
- Una migliore amministrazione dei rischi.
AI ACT come vettore geopolitico?
Tramite l’adozione dell’AI Act, l’Unione Europea ha voluto dotarsi di un quadro giuridico che governasse l’impiego e l’accesso all’intelligenza artificiale.
Il Regolamento (UE) 2024/168 è stato formalmente approvato il 13 marzo 2024 dal Parlamento europeo. Effettivo dal 2026, ha rappresentato il primo atto legislativo che, a livello globale, deliberava una disciplina dell’intelligenza artificiale in maniera orizzontale e autonoma.
Insieme agli aspetti normativi, l’AI Act è uno strumento geopolitico e geo-economico. In un’epoca di competizione strategica tra USA e Cina per la supremazia tecnologica, si moltiplicano infatti i rischi per la sicurezza dell’UE. A maggior ragione, con la pressione costante dei giganti digitali e l’assenza di un’architettura giuridica internazionalmente valida e riconosciuta.
Ed è qui che si inserisce un regolamento che fornisce agli operatori europei (nella fattispecie aziende e società in generale) chiare indicazioni. Indicazioni certe sul mercato servono infatti a favorire gli investimenti.
