Glossario¶

Glossario AI-centric dell'ecosistema regolatorio digitale dell'Unione Europea. Raccoglie le definizioni del Regolamento (UE) 2024/1689 — AI Act, articolo 3, della Legge 23 settembre 2025, n. 132 e una selezione curatoriale di termini chiave attigui (FRIA, DPIA, GPAI, alfabetizzazione in materia di IA, ecc.) richiamati negli altri atti UE pubblicati su questo sito.

Per ogni termine il glossario fornisce: definizione legale integrale citata, fonte normativa puntuale, richiami negli altri atti UE rilevanti (cross-reference inter-atto), rinvii a termini correlati e — dove utile — un breve commento curatoriale.

Per il quadro completo dei rapporti fra atti normativi, vedi anche la pagina di cross-reference inter-atto.

Indice alfabetico¶

A — Alfabetizzazione in materia di IA · Anonimizzazione · Attività di contrasto · Autorità di contrasto · Autorità di notifica · Autorità di vigilanza del mercato · Autorità nazionale competente

C — Capacità di impatto elevato · Categorie particolari di dati personali · Codice di condotta · Componente di sicurezza · Consenso informato

D — Dati biometrici · Dati di addestramento · Dati di convalida · Dati di input · Dati di prova · Dati non personali · Dati operativi sensibili · Dati personali · Deep fake · Deployer · Distributore · DPIA — Valutazione d'impatto sulla protezione dei dati

F — Finalità prevista · Fornitore · Fornitore a valle · FRIA — Valutazione d'impatto sui diritti fondamentali

I — Identificazione biometrica · Immissione sul mercato · Importatore · Incidente grave · Infrastruttura critica · Infrazione diffusa · Interessato · Istruzioni per l'uso

M — Marcatura CE · Messa a disposizione sul mercato · Messa in servizio · Modello di IA per finalità generali · Modifica sostanziale · Motore di ricerca online di dimensioni molto grandi (VLOSE)

N — Norma armonizzata

O — Operatore · Operazione in virgola mobile · Organismo di valutazione della conformità · Organismo notificato

P — Piano dello spazio di sperimentazione · Piano di prova in condizioni reali · Piattaforma online di dimensioni molto grandi (VLOP) · Pratiche di IA vietate · Prestazioni di un sistema di IA · Profilazione · Prova in condizioni reali · Pseudonimizzazione

R — Rappresentante autorizzato · Responsabile del trattamento · Richiamo di un sistema di IA · Rischio · Rischio sistemico · Ritiro di un sistema di IA

S — Set di dati di convalida · Sistema di categorizzazione biometrica · Sistema di IA · Sistema di IA ad alto rischio · Sistema di IA per finalità generali · Sistema di identificazione biometrica remota · Sistema di identificazione biometrica remota a posteriori · Sistema di identificazione biometrica remota in tempo reale · Sistema di monitoraggio successivo all'immissione sul mercato · Sistema di riconoscimento delle emozioni · Soggetto · Spazio accessibile al pubblico · Spazio di sperimentazione normativa per l'IA · Specifiche comuni

T — Titolare del trattamento

U — Ufficio per l'IA · Uso improprio ragionevolmente prevedibile

V — Valutazione della conformità · Verifica biometrica

Questa pagina è aggiornata periodicamente. I contenuti possono essere oggetto di revisioni, ampliamenti e correzioni in funzione dell'evoluzione normativa, della giurisprudenza e dei riscontri ricevuti. Per segnalazioni o suggerimenti, aprire una issue su Codeberg.

A¶

Alfabetizzazione in materia di IA¶

Termine inglese ufficiale: AI literacy

«alfabetizzazione in materia di IA»: le competenze, le conoscenze e la comprensione che consentono ai fornitori, ai deployer e alle persone interessate, tenendo conto dei loro rispettivi diritti e obblighi nel contesto del presente regolamento, di procedere a una diffusione informata dei sistemi di IA, nonché di acquisire consapevolezza in merito alle opportunità e ai rischi dell'IA e ai possibili danni che essa può causare.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 56

Vedi anche¶

Fornitore · Deployer · Sistema di IA

Commento¶

L'alfabetizzazione in materia di IA è obbligo operativo a carico di fornitori e deployer ex art. 4 AI Act, in vigore dal 2 febbraio 2025 (anticipata rispetto alla maggior parte degli obblighi del regolamento). Non è limitata a competenze tecniche: include la comprensione dei rischi, dei diritti delle persone interessate e del quadro regolatorio. Concerne tutto il personale che si occupa del funzionamento e dell'uso dei sistemi di IA.

Anonimizzazione¶

Termine inglese ufficiale: anonymisation

Termine non definito formalmente nell'art. 4 del GDPR ma trattato al considerando 26: «I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca».

Fonte: Reg. (UE) 2016/679 — GDPR, considerando 26

Vedi anche¶

Dati personali · Dati non personali · Pseudonimizzazione · Interessato

Commento¶

L'anonimizzazione è il processo irreversibile che trasforma dati personali in dati non personali, escludendo definitivamente l'applicazione del GDPR alle informazioni risultanti. Si distingue dalla pseudonimizzazione (reversibile, dati pseudonimi rimangono dati personali). La valutazione dell'effettiva anonimità richiede un test di identificabilità ragionevolmente probabile: vanno considerati tutti i mezzi (tecnici, economici, temporali) che il titolare o un terzo possono ragionevolmente impiegare per re-identificare. Linee guida di riferimento: WP29 Opinion 05/2014 sulle tecniche di anonimizzazione; EDPB Guidelines 04/2024 (in adozione finale 2025) sull'anonimizzazione e tecniche di privacy-enhancing. La giurisprudenza CGUE (Breyer C-582/14, IAB Europe C-604/22, EDPS-SRB T-557/20) ha ulteriormente raffinato la nozione di identificabilità.

Attività di contrasto¶

Termine inglese ufficiale: law enforcement

«attività di contrasto»: le attività svolte dalle autorità di contrasto o per loro conto a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 46

Vedi anche¶

Autorità di contrasto · Dati operativi sensibili · Sistema di identificazione biometrica remota in tempo reale

Autorità di contrasto¶

Termine inglese ufficiale: law enforcement authority

«autorità di contrasto»:

a) qualsiasi autorità pubblica competente in materia di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse; oppure

b) qualsiasi altro organismo o entità incaricati dal diritto dello Stato membro di esercitare l'autorità pubblica e i poteri pubblici a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro le minacce alla sicurezza pubblica e la prevenzione delle stesse.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 45

Cross-reference inter-atto¶

Vedi anche¶

Attività di contrasto · Dati operativi sensibili

Commento¶

La nozione di autorità di contrasto è funzionale: comprende sia le autorità pubbliche tradizionali (forze di polizia, procure) sia organismi privati a cui il diritto nazionale conferisce poteri pubblici per fini di repressione penale. La distinzione è rilevante perché i sistemi di IA usati dalle autorità di contrasto rientrano nell'Allegato III, punto 6 (sistemi ad alto rischio) e sono soggetti a regimi specifici di trasparenza e supervisione.

Autorità di notifica¶

Termine inglese ufficiale: notifying authority

«autorità di notifica»: l'autorità nazionale responsabile dell'istituzione e dell'esecuzione delle procedure necessarie per la valutazione, la designazione e la notifica degli organismi di valutazione della conformità e per il loro monitoraggio.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 19

Vedi anche¶

Autorità nazionale competente · Organismo di valutazione della conformità · Organismo notificato · Valutazione della conformità

Autorità di vigilanza del mercato¶

Termine inglese ufficiale: market surveillance authority

«autorità di vigilanza del mercato»: l'autorità nazionale che svolge le attività e adotta le misure a norma del regolamento (UE) 2019/1020.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 26

Vedi anche¶

Autorità nazionale competente · Autorità di notifica · Sistema di monitoraggio successivo all'immissione sul mercato

Commento¶

Il rinvio è al Regolamento (UE) 2019/1020 sulla vigilanza del mercato e conformità dei prodotti. Le autorità di vigilanza del mercato per i sistemi di IA possono coincidere con le autorità nazionali competenti per l'AI Act (art. 70) o essere designate separatamente dagli Stati membri.

Autorità nazionale competente¶

Termine inglese ufficiale: national competent authority

«autorità nazionale competente»: un'autorità di notifica o un'autorità di vigilanza del mercato; per quanto riguarda i sistemi di IA messi in servizio o utilizzati da istituzioni, organi e organismi dell'Unione, i riferimenti alle autorità nazionali competenti o alle autorità di vigilanza del mercato contenuti nel presente regolamento si intendono fatti al Garante europeo della protezione dei dati.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 48

Vedi anche¶

Autorità di notifica · Autorità di vigilanza del mercato · Ufficio per l'IA

Commento¶

In Italia, ai sensi della Legge 132/2025, sono designate come autorità nazionali competenti per l'AI Act l'AgID (Agenzia per l'Italia Digitale) e l'ACN (Agenzia per la Cybersicurezza Nazionale), con il Garante per la protezione dei dati personali che mantiene competenze sui profili di trattamento dei dati personali nei sistemi di IA.

C¶

Capacità di impatto elevato¶

Termine inglese ufficiale: high-impact capabilities

«capacità di impatto elevato»: capacità che corrispondono o superano le capacità registrate nei modelli di IA per finalità generali più avanzati.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 64

Vedi anche¶

Modello di IA per finalità generali · Rischio sistemico · Sistema di IA per finalità generali

Commento¶

La nozione è comparativa e dinamica: non fissa una soglia tecnica statica ma si aggiorna automaticamente con l'evoluzione dello stato dell'arte. L'AI Act introduce all'art. 51 una presunzione operativa: un modello di IA per finalità generali si presume avere capacità di impatto elevato quando il calcolo cumulativo per il suo addestramento, misurato in operazioni in virgola mobile, è superiore a 10²⁵ FLOP. La Commissione può adattare la soglia con atto delegato.

Categorie particolari di dati personali¶

Termine inglese ufficiale: special categories of personal data

«categorie particolari di dati personali»: le categorie di dati personali di cui all'articolo 9, paragrafo 1, del regolamento (UE) 2016/679, all'articolo 10 della direttiva (UE) 2016/680 e all'articolo 10, paragrafo 1, del regolamento (UE) 2018/1725.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 37

Cross-reference inter-atto¶

Vedi anche¶

Dati personali · Dati biometrici · Profilazione

Commento¶

L'AI Act richiama tre fonti UE in materia di categorie particolari: oltre al GDPR per il settore privato e pubblico generale, la direttiva LED 2016/680 per le attività di contrasto e il regolamento (UE) 2018/1725 per istituzioni e organismi UE. Il trattamento di queste categorie nei sistemi di IA ad alto rischio è disciplinato dall'art. 10, par. 5 AI Act, che ne autorizza l'uso per il bias monitoring a condizioni stringenti.

Codice di condotta¶

Termine inglese ufficiale: code of conduct / code of practice

Termine non definito formalmente nell'art. 3 dell'AI Act. Disciplinato come strumento di soft law in due varianti distinte:

Codice di buone pratiche (code of practice): art. 56 AI Act — strumento per i fornitori di modelli di IA per finalità generali, anche con rischio sistemico, finalizzato a dimostrare il rispetto degli obblighi degli artt. 53-55 in attesa o in alternativa alle norme armonizzate.

Codice di condotta (code of conduct): art. 95 AI Act — strumento di adesione volontaria per fornitori e deployer di sistemi di IA non ad alto rischio, finalizzato all'applicazione volontaria di alcuni o tutti i requisiti dei sistemi ad alto rischio (capo III, sezione 2) o di obiettivi ulteriori (sostenibilità ambientale, alfabetizzazione di IA, accessibilità, partecipazione delle parti interessate, diversità nello sviluppo).

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 56 (codice di buone pratiche) e art. 95 (codice di condotta)

Cross-reference inter-atto¶

Vedi anche¶

Modello di IA per finalità generali · Rischio sistemico · Norma armonizzata · Specifiche comuni

Commento¶

Il codice di buone pratiche per modelli di IA per finalità generali (General-Purpose AI Code of Practice) è stato pubblicato dalla Commissione il 10 luglio 2025 ed è frutto del lavoro di quattro gruppi di esperti convocati dall'Ufficio per l'IA con la partecipazione di fornitori, esperti, società civile e Stati membri. Il codice copre tre aree: trasparenza (templates per la sintesi pubblica dei dati di addestramento), policy sul diritto d'autore, sicurezza e mitigazione di rischi sistemici. L'adesione è volontaria ma offre presunzione di conformità rebus sic stantibus. Un soggetto può aderire integralmente, parzialmente o non aderire affatto, motivando però la scelta.

Componente di sicurezza¶

Termine inglese ufficiale: safety component

«componente di sicurezza»: un componente di un prodotto o di un sistema di IA che svolge una funzione di sicurezza per tale prodotto o sistema di IA o il cui guasto o malfunzionamento mette in pericolo la salute e la sicurezza di persone o beni.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 14

Vedi anche¶

Sistema di IA · Modifica sostanziale · Incidente grave

Commento¶

La qualificazione di un sistema di IA come componente di sicurezza è uno dei due criteri-cardine per la classificazione alto rischio ai sensi dell'art. 6, par. 1 AI Act: se il sistema di IA è componente di sicurezza di un prodotto coperto dalla normativa di armonizzazione UE elencata nell'Allegato I, ricade automaticamente nel regime alto rischio.

Consenso informato¶

Termine inglese ufficiale: informed consent

«consenso informato»: l'espressione libera, specifica, inequivocabile e volontaria di un soggetto della propria disponibilità a partecipare a una determinata prova in condizioni reali, dopo essere stato informato di tutti gli aspetti della prova rilevanti per la sua decisione di partecipare.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 59

Cross-reference inter-atto¶

Vedi anche¶

Prova in condizioni reali · Soggetto · Spazio di sperimentazione normativa per l'IA

Commento¶

Il consenso informato AI Act è specifico delle prove di sistemi di IA in condizioni reali al di fuori di sandbox (art. 60). Le quattro caratteristiche (libero, specifico, inequivocabile, volontario) richiamano la formulazione GDPR ma il regime è autonomo: la persona ha diritto di ritirare il consenso senza motivazione e con effetto immediato, e ottiene la cancellazione dei propri dati personali coinvolti.

D¶

Dati biometrici¶

Termine inglese ufficiale: biometric data

«dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica, quali le immagini facciali o i dati dattiloscopici.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 34

Cross-reference inter-atto¶

Vedi anche¶

Dati personali · Categorie particolari di dati personali · Identificazione biometrica · Verifica biometrica · Sistema di categorizzazione biometrica

Commento¶

I dati biometrici nell'AI Act sono il fulcro dei sistemi disciplinati come ad alto rischio (Allegato III, punto 1) o vietati (art. 5: identificazione biometrica remota in tempo reale, scraping non mirato di immagini facciali, categorizzazione biometrica per dedurre razza, opinioni politiche, orientamento sessuale, ecc.). La nozione include sia caratteristiche fisiche/fisiologiche (volto, impronte, iride) sia comportamentali (firma, andatura, dinamiche di battitura).

Dati di addestramento¶

Termine inglese ufficiale: training data

«dati di addestramento»: i dati utilizzati per addestrare un sistema di IA adattandone i parametri che può apprendere.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 29

Vedi anche¶

Dati di convalida · Dati di prova · Dati di input · Set di dati di convalida

Commento¶

I dati di addestramento sono disciplinati dall'art. 10 AI Act ("Dati e governance dei dati") per i sistemi ad alto rischio: devono essere pertinenti, sufficientemente rappresentativi, privi di errori e completi rispetto alla finalità prevista. Quando comprendono dati personali, si applica cumulativamente il GDPR, con possibile attivazione del regime eccezionale art. 10, par. 5 per il bias monitoring.

Dati di convalida¶

Termine inglese ufficiale: validation data

«dati di convalida»: i dati utilizzati per fornire una valutazione del sistema di IA addestrato e per metterne a punto, tra l'altro, i parametri che non può apprendere e il processo di apprendimento, al fine tra l'altro di evitare lo scarso (underfitting) o l'eccessivo (overfitting) adattamento ai dati di addestramento.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 30

Vedi anche¶

Dati di addestramento · Dati di prova · Set di dati di convalida

Dati di input¶

Termine inglese ufficiale: input data

«dati di input»: i dati forniti a un sistema di IA o direttamente acquisiti dallo stesso, in base ai quali il sistema produce un output.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 33

Vedi anche¶

Sistema di IA · Dati di addestramento · Prestazioni di un sistema di IA

Dati di prova¶

Termine inglese ufficiale: testing data

«dati di prova»: i dati utilizzati per fornire una valutazione indipendente del sistema di IA al fine di confermarne le prestazioni attese prima della sua immissione sul mercato o messa in servizio.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 32

Vedi anche¶

Dati di addestramento · Dati di convalida · Immissione sul mercato · Messa in servizio

Commento¶

I dati di prova sono distinti dai dati di addestramento e di convalida e devono garantire una valutazione indipendente del sistema. Per i sistemi ad alto rischio, l'art. 10, par. 3 AI Act richiede che siano pertinenti, sufficientemente rappresentativi e completi rispetto alle finalità di prova.

Dati non personali¶

Termine inglese ufficiale: non-personal data

«dati non personali»: dati diversi dai dati personali di cui all'articolo 4, punto 1), del regolamento (UE) 2016/679.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 51

Cross-reference inter-atto¶

Vedi anche¶

Dati personali · Dati di addestramento

Commento¶

La nozione è residuale: tutto ciò che non è dato personale ai sensi del GDPR è dato non personale. La distinzione è pratica ma non sempre netta: in molti dataset reali (es. log industriali, sensori IoT) la classificazione richiede valutazione caso per caso. La trasformazione di dati personali in dati non personali tramite anonimizzazione è disciplinata dal GDPR (considerando 26) e produce dati che escono definitivamente dal perimetro GDPR.

Dati operativi sensibili¶

Termine inglese ufficiale: sensitive operational data

«dati operativi sensibili»: dati operativi relativi ad attività di prevenzione, accertamento, indagine o perseguimento di reati, la cui divulgazione potrebbe compromettere l'integrità dei procedimenti penali.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 38

Vedi anche¶

Attività di contrasto · Autorità di contrasto · Dati personali

Commento¶

I dati operativi sensibili sono nozione autonoma dell'AI Act, distinta sia dai dati personali sia dalle categorie particolari. La loro tutela non è basata sulla natura del soggetto (interessato) ma sull'integrità dei procedimenti penali: la divulgazione potrebbe pregiudicare indagini in corso o successive. La nozione è rilevante per i regimi di trasparenza e logging dei sistemi di IA usati dalle autorità di contrasto.

Dati personali¶

Termine inglese ufficiale: personal data

«dati personali»: i dati personali quali definiti all'articolo 4, punto 1), del regolamento (UE) 2016/679.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 50

Cross-reference inter-atto¶

Vedi anche¶

Dati non personali · Categorie particolari di dati personali · Dati biometrici · Profilazione

Commento¶

«Dati personali» è la definizione-pivot dell'intero ecosistema regolatorio digitale UE. Tutti gli atti UE che incrociano il trattamento di dati la riprendono per rinvio. La nozione è funzionale, non statica: lo stesso dato può essere personale in un contesto e non personale in un altro, a seconda della identificabilità ragionevolmente probabile della persona fisica. La giurisprudenza CGUE (Breyer C-582/14, IAB Europe C-604/22, EDPS-SRB T-557/20) ha consolidato un'interpretazione ampia ma contestuale.

Deep fake¶

Termine inglese ufficiale: deep fake

«deep fake»: un'immagine o un contenuto audio o video generato o manipolato dall'IA che assomiglia a persone, oggetti, luoghi, entità o eventi esistenti e che apparirebbe falsamente autentico o veritiero a una persona.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 60

Cross-reference inter-atto¶

Vedi anche¶

Sistema di IA · Modello di IA per finalità generali · Sistema di riconoscimento delle emozioni

Commento¶

I deep fake sono soggetti a obbligo di trasparenza ex art. 50, par. 4 AI Act: chi diffonde un deep fake deve indicare che il contenuto è stato generato o manipolato artificialmente. Eccezioni per uso a fini artistici, satirici, di ricerca o di sicurezza. La definizione è tecnicamente neutra: non richiede una specifica tecnica generativa (GAN, diffusion model, transformer multimodale), ma valuta l'effetto percettivo sull'osservatore.

Deployer¶

Termine inglese ufficiale: deployer

«deployer»: una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che utilizza un sistema di IA sotto la propria autorità, tranne nel caso in cui il sistema di IA sia utilizzato nel corso di un'attività personale non professionale.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 4

Cross-reference inter-atto¶

Vedi anche¶

Fornitore · Fornitore a valle · Operatore · Importatore · Distributore

Commento¶

«Deployer» è uno dei termini più rilevanti dell'AI Act: indica chi usa concretamente il sistema di IA nella propria attività professionale o istituzionale. Nelle proposte iniziali del regolamento il termine era user (utilizzatore), poi sostituito per evitare confusione con l'utente finale del prodotto. Sui deployer di sistemi ad alto rischio gravano obblighi specifici (artt. 26-27 AI Act): supervisione umana, monitoraggio, conservazione dei log, valutazione d'impatto sui diritti fondamentali (FRIA per soggetti pubblici e privati che erogano servizi pubblici).

Distributore¶

Termine inglese ufficiale: distributor

«distributore»: una persona fisica o giuridica nella catena di approvvigionamento, diversa dal fornitore o dall'importatore, che mette a disposizione un sistema di IA sul mercato dell'Unione.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 7

Vedi anche¶

Fornitore · Importatore · Operatore · Messa a disposizione sul mercato

Commento¶

Il distributore opera a valle del fornitore o dell'importatore nella catena di approvvigionamento. Sui distributori di sistemi di IA ad alto rischio grava l'obbligo di verifica di conformità a campione (art. 24 AI Act): marcatura CE, dichiarazione di conformità UE, presenza delle istruzioni per l'uso. In caso di sospetta non conformità, devono astenersi dal mettere il sistema a disposizione e cooperare con le autorità di vigilanza del mercato.

DPIA — Valutazione d'impatto sulla protezione dei dati¶

Termine inglese ufficiale: Data Protection Impact Assessment (DPIA)

«valutazione d'impatto sulla protezione dei dati»: termine non definito formalmente nell'art. 4 del GDPR ma disciplinato all'art. 35, par. 1: «Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali».

Fonte: Reg. (UE) 2016/679 — GDPR, art. 35

Cross-reference inter-atto¶

Vedi anche¶

FRIA — Valutazione d'impatto sui diritti fondamentali · Titolare del trattamento · Dati personali · Profilazione · Categorie particolari di dati personali

Commento¶

La DPIA è obbligo del titolare del trattamento quando il trattamento può presentare un rischio elevato per diritti e libertà degli interessati. L'art. 35, par. 3 elenca tre ipotesi tassative in cui la DPIA è necessaria: (a) valutazione sistematica e globale di aspetti personali tramite trattamento automatizzato (incl. profilazione) con effetti giuridici significativi; (b) trattamento su larga scala di categorie particolari (art. 9) o di dati di reati (art. 10); (c) sorveglianza sistematica su larga scala di una zona accessibile al pubblico. Le autorità di controllo nazionali pubblicano elenchi di trattamenti che richiedono DPIA. Quando un sistema di IA ad alto rischio tratta dati personali, DPIA e FRIA operano in continuum: la FRIA può integrare la DPIA esistente senza duplicazione (art. 27, par. 4 AI Act).

F¶

Finalità prevista¶

Termine inglese ufficiale: intended purpose

«finalità prevista»: l'uso di un sistema di IA previsto dal fornitore, compresi il contesto e le condizioni d'uso specifici, come dettagliati nelle informazioni comunicate dal fornitore nelle istruzioni per l'uso, nel materiale promozionale o di vendita e nelle dichiarazioni, nonché nella documentazione tecnica.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 12

Vedi anche¶

Fornitore · Istruzioni per l'uso · Uso improprio ragionevolmente prevedibile · Modifica sostanziale

Commento¶

La finalità prevista è il perimetro di valutazione del sistema di IA: è rispetto a essa che si misurano la conformità ai requisiti dell'AI Act, le prestazioni attese, i rischi e le misure di mitigazione. La modifica della finalità prevista dopo l'immissione sul mercato configura una modifica sostanziale (art. 3, punto 23) e attiva una nuova valutazione di conformità.

Fornitore¶

Termine inglese ufficiale: provider

«fornitore»: una persona fisica o giuridica, un'autorità pubblica, un'agenzia o un altro organismo che sviluppa un sistema di IA o un modello di IA per finalità generali o che fa sviluppare un sistema di IA o un modello di IA per finalità generali e immette tale sistema o modello sul mercato o mette in servizio il sistema di IA con il proprio nome o marchio, a titolo oneroso o gratuito.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 3

Cross-reference inter-atto¶

Vedi anche¶

Deployer · Fornitore a valle · Operatore · Importatore · Distributore · Rappresentante autorizzato

Commento¶

«Fornitore» è la figura cardine dell'AI Act: su di essa gravano la quasi totalità degli obblighi sostanziali del regolamento (sistema di gestione del rischio, governance dei dati, trasparenza, supervisione umana, accuratezza, robustezza, cybersecurity, valutazione di conformità, marcatura CE, registrazione nella banca dati UE, monitoraggio post-mercato). La definizione include sia chi sviluppa direttamente il sistema sia chi lo fa sviluppare e lo immette sul mercato con il proprio nome — nozione ampia che cattura anche modelli di white-labelling. Importante: il fornitore opera anche a titolo gratuito (es. modelli open-source distribuiti senza corrispettivo).

Fornitore a valle¶

Termine inglese ufficiale: downstream provider

«fornitore a valle»: un fornitore di un sistema di IA, compreso un sistema di IA per finalità generali, che integra un modello di IA, indipendentemente dal fatto che il modello di IA sia fornito dallo stesso e integrato verticalmente o fornito da un'altra entità sulla base di relazioni contrattuali.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 68

Vedi anche¶

Fornitore · Modello di IA per finalità generali · Sistema di IA per finalità generali

Commento¶

La nozione di fornitore a valle è funzionale a disciplinare la catena di valore dell'IA: chi prende un modello di IA (proprio o altrui) e lo integra in un sistema di IA destinato al mercato è fornitore a valle. La distinzione è centrale per gli obblighi di cooperazione lungo la filiera: i fornitori di modelli di IA per finalità generali (anche con rischio sistemico) devono fornire ai fornitori a valle informazioni tecniche e contrattuali sufficienti per consentirne la conformità (artt. 53-55 AI Act).

FRIA — Valutazione d'impatto sui diritti fondamentali¶

Termine inglese ufficiale: Fundamental Rights Impact Assessment (FRIA)

Termine non definito formalmente nell'art. 3 dell'AI Act ma disciplinato all'art. 27. La FRIA è la valutazione che alcuni deployer di sistemi di IA ad alto rischio devono svolgere prima del primo uso del sistema, descrivendo i processi del deployer in cui sarà usato, il periodo e la frequenza di uso, le categorie di persone fisiche interessate, i rischi specifici per i diritti fondamentali, le misure di supervisione umana e di mitigazione dei rischi.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 27

Cross-reference inter-atto¶

Vedi anche¶

Sistema di IA ad alto rischio · Deployer · Rischio · Sistema di monitoraggio successivo all'immissione sul mercato

Commento¶

La FRIA è obbligo del deployer (non del fornitore) per due categorie tassative: (a) organismi di diritto pubblico o entità private che erogano servizi pubblici (Allegato III escluse certe ipotesi); (b) deployer di sistemi ad alto rischio per la valutazione del merito creditizio (Allegato III, punto 5, lett. b) e dell'eligibilità per servizi privati essenziali, e per i premi assicurativi vita e salute. La FRIA va notificata all'autorità di vigilanza del mercato prima del primo uso. Il template è fornito dall'Ufficio per l'IA. La nozione di FRIA opera in continuum con la DPIA del GDPR: ove esista una DPIA preesistente, la FRIA la integra senza duplicarla.

I¶

Identificazione biometrica¶

Termine inglese ufficiale: biometric identification

«identificazione biometrica»: il riconoscimento automatizzato delle caratteristiche umane fisiche, fisiologiche, comportamentali o psicologiche allo scopo di determinare l'identità di una persona fisica confrontando i suoi dati biometrici con quelli di individui memorizzati in una banca dati.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 35

Vedi anche¶

Dati biometrici · Verifica biometrica · Sistema di identificazione biometrica remota · Sistema di identificazione biometrica remota in tempo reale · Sistema di identificazione biometrica remota a posteriori · Sistema di categorizzazione biometrica

Commento¶

L'identificazione biometrica è uno-a-molti: confronto del dato biometrico di una persona con un database di individui per determinarne l'identità. Si distingue dalla verifica biometrica (uno-a-uno, autenticazione). Quando l'identificazione avviene a distanza senza coinvolgimento attivo della persona (sistema di identificazione biometrica remota), si applica un regime restrittivo dell'AI Act, fino al divieto in tempo reale negli spazi accessibili al pubblico per attività di contrasto (art. 5, par. 1, lett. h, salvo eccezioni tassative).

Immissione sul mercato¶

Termine inglese ufficiale: placing on the market

«immissione sul mercato»: la prima messa a disposizione di un sistema di IA o di un modello di IA per finalità generali sul mercato dell'Unione.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 9

Vedi anche¶

Messa a disposizione sul mercato · Messa in servizio · Fornitore · Importatore · Distributore

Commento¶

L'immissione sul mercato è evento puntuale e unico per ciascun sistema o modello: la prima volta che è reso disponibile sul mercato dell'Unione. È il momento da cui decorrono molti obblighi del fornitore (post-market monitoring, registrazione, segnalazione incidenti gravi). Si distingue dalla messa a disposizione sul mercato (atto continuativo successivo) e dalla messa in servizio (fornitura diretta al deployer per il primo uso).

Importatore¶

Termine inglese ufficiale: importer

«importatore»: una persona fisica o giuridica ubicata o stabilita nell'Unione che immette sul mercato un sistema di IA recante il nome o il marchio di una persona fisica o giuridica stabilita in un paese terzo.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 6

Vedi anche¶

Fornitore · Distributore · Operatore · Rappresentante autorizzato · Immissione sul mercato

Commento¶

L'importatore è la figura-ponte tra l'extra-UE e il mercato unico: è chi materialmente immette sul mercato UE un sistema di IA fabbricato in un paese terzo che mantiene il nome/marchio del produttore originario. Sui sistemi ad alto rischio, l'importatore deve verificare prima dell'immissione che il fornitore extra-UE abbia svolto la valutazione di conformità, redatto la documentazione tecnica e apposto la marcatura CE; deve indicare i propri dati identificativi e cooperare con le autorità (art. 23 AI Act).

Incidente grave¶

Termine inglese ufficiale: serious incident

«incidente grave»: un incidente o malfunzionamento di un sistema di IA che, direttamente o indirettamente, causa una delle conseguenze seguenti:

a) il decesso di una persona o gravi danni alla salute di una persona;

b) una perturbazione grave e irreversibile della gestione o del funzionamento delle infrastrutture critiche;

c) la violazione degli obblighi a norma del diritto dell'Unione intesi a proteggere i diritti fondamentali;

d) gravi danni alle cose o all'ambiente.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 49

Cross-reference inter-atto¶

Vedi anche¶

Sistema di IA · Infrastruttura critica · Sistema di monitoraggio successivo all'immissione sul mercato · Componente di sicurezza

Commento¶

L'incidente grave attiva un obbligo di notifica in capo al fornitore alle autorità di vigilanza del mercato (art. 73 AI Act): entro 15 giorni in via ordinaria, ridotti a 2 giorni per perturbazione di infrastrutture critiche e a 10 giorni per decesso. La definizione è funzionale (basata sulla conseguenza, non sulla causa tecnica del malfunzionamento) e cattura sia i danni fisici sia le violazioni dei diritti fondamentali — cosa che la rende più ampia delle nozioni di incidente in altri regimi di prodotto.

Infrastruttura critica¶

Termine inglese ufficiale: critical infrastructure

«infrastruttura critica»: infrastruttura critica quale definita all'articolo 2, punto 4), della direttiva (UE) 2022/2557.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 62

Cross-reference inter-atto¶

Vedi anche¶

Incidente grave · Sistema di IA

Commento¶

L'AI Act richiama la Direttiva CER 2022/2557 (Critical Entities Resilience) per la definizione di infrastruttura critica. Le categorie di infrastrutture critiche includono undici settori: energia, trasporti, banche, infrastrutture dei mercati finanziari, sanità, acqua potabile, acque reflue, infrastrutture digitali, pubblica amministrazione, spazio, produzione/trasformazione/distribuzione di alimenti. I sistemi di IA usati in queste infrastrutture rientrano tipicamente nell'Allegato III, punto 2 (alto rischio).

Infrazione diffusa¶

Termine inglese ufficiale: widespread infringement

«infrazione diffusa»: qualsiasi azione od omissione contraria al diritto dell'Unione che tutela gli interessi delle persone:

a) che abbia arrecato o possa arrecare un danno agli interessi collettivi di persone che risiedono in almeno due Stati membri diversi dallo Stato membro in cui:

i) ha avuto origine o si è verificato l'azione o l'omissione in questione;

ii) è ubicato o stabilito il fornitore interessato o, se del caso, il suo rappresentante autorizzato; oppure

iii) è stabilito il deployer, quando la violazione è commessa dal deployer;

b) che abbia arrecato, arrechi o possa arrecare un danno agli interessi collettivi di persone e che presenti caratteristiche comuni, compresa la stessa pratica illecita e lo stesso interesse leso e che si verifichi simultaneamente, commessa dal medesimo operatore, in almeno tre Stati membri.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 61

Vedi anche¶

Operatore · Fornitore · Deployer · Rappresentante autorizzato

Commento¶

La nozione è mutuata dal Reg. (UE) 2017/2394 sulla cooperazione tra autorità nazionali per la tutela dei consumatori. Attiva meccanismi di cooperazione transfrontaliera tra autorità di vigilanza del mercato dei diversi Stati membri quando un'infrazione AI Act coinvolge più giurisdizioni — situazione tipica per i sistemi di IA distribuiti via internet.

Interessato¶

Termine inglese ufficiale: data subject

Termine ricavato per definizione speculare dall'art. 4, punto 1, del GDPR: «"dato personale": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato")».

Fonte: Reg. (UE) 2016/679 — GDPR, art. 4, punto 1

Vedi anche¶

Dati personali · Titolare del trattamento · Responsabile del trattamento · Profilazione · Categorie particolari di dati personali

Commento¶

L'interessato è la persona fisica cui i dati personali si riferiscono. Non si confonde con: il soggetto dell'art. 3, punto 58 AI Act (chi partecipa a prove in condizioni reali); la persona interessata dell'AI Act (es. art. 26, par. 11: chi è oggetto di una decisione presa con il sistema di IA). Il GDPR conferisce all'interessato un set di diritti azionabili verso il titolare del trattamento (artt. 12-22): informazione, accesso, rettifica, cancellazione («diritto all'oblio»), limitazione, portabilità, opposizione, non assoggettamento a decisioni automatizzate.

Istruzioni per l'uso¶

Termine inglese ufficiale: instructions for use

«istruzioni per l'uso»: le informazioni comunicate dal fornitore per informare il deployer in particolare della finalità prevista e dell'uso corretto di un sistema di IA.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 15

Vedi anche¶

Fornitore · Deployer · Finalità prevista · Uso improprio ragionevolmente prevedibile

Commento¶

Le istruzioni per l'uso sono il veicolo informativo principale tra fornitore e deployer dei sistemi di IA ad alto rischio. L'art. 13 AI Act ne prescrive il contenuto minimo: identità del fornitore, caratteristiche/capacità/limitazioni del sistema, modifiche apportate, prestazioni in relazione a persone o gruppi, dati di addestramento (descrizione generale), risorse computazionali e hardware necessari, durata prevista e misure di manutenzione. Sono obbligatorie e devono essere chiare, complete, comprensibili e rilevanti.

M¶

Marcatura CE¶

Termine inglese ufficiale: CE marking

«marcatura CE»: una marcatura mediante la quale un fornitore indica che un sistema di IA è conforme ai requisiti stabiliti al capo III, sezione 2, e in altre normative di armonizzazione dell'Unione applicabili e che ne prevedono l'apposizione.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 24

Cross-reference inter-atto¶

Vedi anche¶

Fornitore · Valutazione della conformità · Norma armonizzata · Specifiche comuni

Commento¶

La marcatura CE è il simbolo visibile della conformità di un sistema di IA ad alto rischio ai requisiti dell'AI Act. È apposta dal fornitore sotto la propria responsabilità, dopo aver completato la valutazione di conformità (artt. 43, 48 AI Act). Per i sistemi di IA, la marcatura CE può essere fisica (sul prodotto o sull'imballaggio) o digitale, a seconda della natura del sistema. È prerequisito per l'immissione sul mercato UE e la messa in servizio.

Messa a disposizione sul mercato¶

Termine inglese ufficiale: making available on the market

«messa a disposizione sul mercato»: la fornitura di un sistema di IA o di un modello di IA per finalità generali per la distribuzione o l'uso sul mercato dell'Unione nel corso di un'attività commerciale, a titolo oneroso o gratuito.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 10

Vedi anche¶

Immissione sul mercato · Messa in servizio · Fornitore · Distributore · Importatore

Commento¶

La messa a disposizione sul mercato è atto continuativo: ogni successiva fornitura del sistema di IA dopo la prima immissione sul mercato. La distinzione fra immissione sul mercato (evento puntuale, prima volta) e messa a disposizione sul mercato (atto ripetibile) è importante per identificare gli obblighi specifici del distributore. Anche la fornitura gratuita rientra nella definizione, purché avvenga in un contesto di attività commerciale.

Messa in servizio¶

Termine inglese ufficiale: putting into service

«messa in servizio»: la fornitura di un sistema di IA direttamente al deployer per il primo uso o per uso proprio nell'Unione per la finalità prevista.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 11

Vedi anche¶

Immissione sul mercato · Messa a disposizione sul mercato · Deployer · Fornitore · Finalità prevista

Commento¶

La messa in servizio è la modalità alternativa all'immissione sul mercato per attivare gli obblighi sostanziali dell'AI Act sul sistema di IA. È particolarmente rilevante quando il fornitore sviluppa il sistema per uso interno (proprio o di un cliente specifico) senza distribuirlo sul mercato: anche in questo caso il regime ad alto rischio si applica integralmente. Tipico nei sistemi di IA pubblici sviluppati su misura per amministrazioni.

Modello di IA per finalità generali¶

Termine inglese ufficiale: general-purpose AI model

«modello di IA per finalità generali»: un modello di IA, anche laddove tale modello di IA sia addestrato con grandi quantità di dati utilizzando l'autosupervisione su larga scala, che sia caratterizzato una generalità significativa e sia in grado di svolgere con competenza un'ampia gamma di compiti distinti, indipendentemente dalle modalità con cui il modello è immesso sul mercato, e che può essere integrato in una varietà di sistemi o applicazioni a valle, ad eccezione dei modelli di IA utilizzati per attività di ricerca, sviluppo o prototipazione prima di essere immessi sul mercato.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 63

Cross-reference inter-atto¶

Vedi anche¶

Sistema di IA per finalità generali · Sistema di IA · Capacità di impatto elevato · Rischio sistemico · Fornitore a valle · Operazione in virgola mobile

Commento¶

Categoria-cardine introdotta nel testo finale dell'AI Act dopo l'esplosione dei modelli generativi (GPT, Claude, Gemini, Mistral, ecc.). Tre elementi qualificanti: generalità significativa, competenza su ampia gamma di compiti distinti, integrabilità in sistemi a valle. Esclusione importante: i modelli usati per ricerca, sviluppo o prototipazione non rientrano fino all'immissione sul mercato. La disciplina specifica è agli artt. 51-55 AI Act: obblighi base per tutti i fornitori (documentazione tecnica, policy di rispetto del diritto d'autore, sintesi pubblica dei dati di addestramento), obblighi rafforzati per i modelli con rischio sistemico (presunzione attiva oltre 10²⁵ FLOP cumulativi). I modelli open-source beneficiano di esenzioni parziali, salvo quelli con rischio sistemico.

Modifica sostanziale¶

Termine inglese ufficiale: substantial modification

«modifica sostanziale»: una modifica di un sistema di IA a seguito della sua immissione sul mercato o messa in servizio che non è prevista o programmata nella valutazione iniziale della conformità effettuata dal fornitore e che ha l'effetto di incidere sulla conformità del sistema di IA ai requisiti di cui al capo III, sezione 2, o comporta una modifica della finalità prevista per la quale il sistema di IA è stato valutato.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 23

Vedi anche¶

Sistema di IA · Finalità prevista · Valutazione della conformità · Fornitore · Deployer

Commento¶

La modifica sostanziale è il trigger che attiva una nuova valutazione di conformità su un sistema di IA già immesso sul mercato. Due scenari alternativi: (a) la modifica incide sulla conformità ai requisiti del capo III sezione 2 (governance dei dati, robustezza, accuratezza, ecc.); (b) la modifica cambia la finalità prevista. L'art. 25, par. 1 AI Act prevede inoltre che chi (deployer, distributore, importatore o terzo) apporta una modifica sostanziale a un sistema ad alto rischio diventa esso stesso fornitore con tutti i relativi obblighi. La nozione è centrale per la catena di responsabilità lungo il ciclo di vita del sistema.

Motore di ricerca online di dimensioni molto grandi (VLOSE)¶

Termine inglese ufficiale: Very Large Online Search Engine (VLOSE)

Termine non definito autonomamente nel DSA. La qualificazione di VLOSE è disciplinata dall'art. 33 DSA: un motore di ricerca online qualificato come piattaforma online molto grande ai sensi dell'art. 3, lett. j, che ha un numero medio mensile di destinatari attivi del servizio nell'Unione pari o superiore a 45 milioni, è designato dalla Commissione come «motore di ricerca online di dimensioni molto grandi».

Fonte: Reg. (UE) 2022/2065 — DSA, art. 33

Cross-reference inter-atto¶

Vedi anche¶

Piattaforma online di dimensioni molto grandi (VLOP) · Rischio sistemico · Modello di IA per finalità generali · Profilazione

Commento¶

I VLOSE sono designati con decisione della Commissione previo riscontro della soglia. Sono attualmente designati come VLOSE Bing e Google Search. Sono soggetti agli stessi obblighi rinforzati delle VLOPs (DSA, capo III, sezione 5): valutazione annuale dei rischi sistemici ex art. 34, misure di mitigazione ex art. 35, audit annuale indipendente, responsabile della conformità, accesso ai dati per ricercatori e supervisione della Commissione.

N¶

Norma armonizzata¶

Termine inglese ufficiale: harmonised standard

«norma armonizzata»: la norma armonizzata di cui all'articolo 2, punto 1), lettera c), del regolamento (UE) n. 1025/2012.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 27

Cross-reference inter-atto¶

Vedi anche¶

Specifiche comuni · Valutazione della conformità · Marcatura CE · Organismo notificato

Commento¶

L'AI Act richiama il Reg. 1025/2012 sulla normazione europea per la definizione di norma armonizzata. La conformità a una norma armonizzata pubblicata in GUUE conferisce al fornitore la presunzione di conformità ai requisiti dell'AI Act capo III sezione 2 (art. 40 AI Act). Le norme armonizzate per l'AI Act sono in fase di sviluppo da parte di CEN-CENELEC JTC 21 sulla base del mandato di standardizzazione M/593 della Commissione (richiesta del 22 maggio 2023, ampliata nel 2024).

O¶

Operatore¶

Termine inglese ufficiale: operator

«operatore»: un fornitore, un fabbricante del prodotto, un deployer, un rappresentante autorizzato, un importatore o un distributore.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 8

Vedi anche¶

Fornitore · Deployer · Importatore · Distributore · Rappresentante autorizzato · Fornitore a valle

Commento¶

«Operatore» è la categoria-ombrello che raccoglie tutti i soggetti della filiera AI Act soggetti a obblighi sostanziali. È usata nel testo del regolamento quando una disposizione si applica indistintamente a fornitori, deployer, importatori, distributori, rappresentanti autorizzati e fabbricanti del prodotto — tipicamente in materia di cooperazione con le autorità, sanzioni e segnalazione di non conformità. Non si confonde con il «titolare del trattamento» o «responsabile» del GDPR, né con i «fabbricanti» PLD: la qualifica di operatore AI Act è autonoma e specifica.

Operazione in virgola mobile¶

Termine inglese ufficiale: floating-point operation

«operazione in virgola mobile»: qualsiasi operazione o assegnazione matematica che comporta numeri in virgola mobile, un sottoinsieme dei numeri reali generalmente rappresentati sui computer mediante un numero intero con precisione fissa avente come fattore di scala un esponente intero di una base fissa.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 67

Vedi anche¶

Modello di IA per finalità generali · Capacità di impatto elevato · Rischio sistemico

Commento¶

L'operazione in virgola mobile (FLOP, floating-point operation) è l'unità di misura del calcolo cumulativo per l'addestramento di un modello di IA. È nozione tecnica ma con valore giuridico diretto: l'art. 51, par. 2 AI Act stabilisce la presunzione che un modello di IA per finalità generali abbia capacità di impatto elevato — e quindi rischio sistemico — quando il calcolo cumulativo per l'addestramento, misurato in FLOP, è superiore a 10²⁵. La soglia è adattabile tramite atto delegato della Commissione.

Organismo di valutazione della conformità¶

Termine inglese ufficiale: conformity assessment body

«organismo di valutazione della conformità»: un organismo che svolge per conto di terzi attività di valutazione della conformità, incluse prove, certificazioni e ispezioni.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 21

Vedi anche¶

Organismo notificato · Autorità di notifica · Valutazione della conformità · Norma armonizzata

Commento¶

L'organismo di valutazione della conformità è il soggetto terzo indipendente che svolge prove, certificazioni e ispezioni sui sistemi di IA per conto del fornitore. Quando notificato dall'autorità di notifica nazionale ai sensi del capo III, sezione 4 AI Act, diventa organismo notificato ed è autorizzato a svolgere la valutazione di conformità per i sistemi di IA ad alto rischio che richiedono il coinvolgimento di un terzo (sistemi di identificazione biometrica remota, categorizzazione biometrica, riconoscimento delle emozioni: Allegato VII).

Organismo notificato¶

Termine inglese ufficiale: notified body

«organismo notificato»: un organismo di valutazione della conformità notificato in conformità del presente regolamento e di altre pertinenti normative di armonizzazione dell'Unione.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 22

Vedi anche¶

Organismo di valutazione della conformità · Autorità di notifica · Valutazione della conformità · Marcatura CE

Commento¶

L'organismo notificato è l'organismo di valutazione della conformità accreditato e notificato alla Commissione dall'autorità di notifica nazionale. Riceve un numero identificativo che compare a fianco della marcatura CE quando interviene nella valutazione di conformità (es. CE 0123). Il regime di notificazione, designazione, monitoraggio e sospensione/revoca è disciplinato dagli artt. 28-39 AI Act. È figura mutuata dal sistema generale del nuovo quadro legislativo UE (NLF — New Legislative Framework, Reg. 765/2008 + Decisione 768/2008/CE).

P¶

Piano dello spazio di sperimentazione¶

Termine inglese ufficiale: sandbox plan

«piano dello spazio di sperimentazione»: un documento concordato tra il fornitore partecipante e l'autorità competente in cui sono descritti gli obiettivi, le condizioni, il calendario, la metodologia e i requisiti relativamente alle attività svolte all'interno dello spazio di sperimentazione.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 54

Vedi anche¶

Spazio di sperimentazione normativa per l'IA · Piano di prova in condizioni reali · Fornitore · Autorità nazionale competente

Piano di prova in condizioni reali¶

Termine inglese ufficiale: real-world testing plan

«piano di prova in condizioni reali»: un documento che descrive gli obiettivi, la metodologia, l'ambito geografico, della popolazione e temporale, il monitoraggio, l'organizzazione e lo svolgimento della prova in condizioni reali.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 53

Vedi anche¶

Prova in condizioni reali · Soggetto · Consenso informato · Spazio di sperimentazione normativa per l'IA

Piattaforma online di dimensioni molto grandi (VLOP)¶

Termine inglese ufficiale: Very Large Online Platform (VLOP)

Termine non definito autonomamente nel DSA. La qualificazione di VLOP è disciplinata dall'art. 33 DSA: una piattaforma online che ha un numero medio mensile di destinatari attivi del servizio nell'Unione pari o superiore a 45 milioni è designata dalla Commissione come «piattaforma online di dimensioni molto grandi».

Fonte: Reg. (UE) 2022/2065 — DSA, art. 33

Cross-reference inter-atto¶

Vedi anche¶

Motore di ricerca online di dimensioni molto grandi (VLOSE) · Rischio sistemico · Deep fake · Modello di IA per finalità generali · Profilazione

Commento¶

I VLOPs sono designati con decisione della Commissione previo riscontro della soglia dei 45 milioni di destinatari attivi mensili. Le designazioni vigenti includono — tra le altre — Facebook, Instagram, LinkedIn, X, YouTube, TikTok, Snapchat, Pinterest, Amazon Store, Google Play, Google Maps, Google Shopping, Booking.com, AliExpress, Wikipedia, Zalando, Temu, Shein. Le VLOPs sono soggette al regime rinforzato del DSA (capo III, sezione 5): valutazione annuale dei rischi sistemici (art. 34), misure di mitigazione (art. 35), audit annuale indipendente (art. 37), responsabile della conformità (art. 41), accesso ai dati per ricercatori (art. 40), supervisione diretta della Commissione (art. 56).

Pratiche di IA vietate¶

Termine inglese ufficiale: prohibited AI practices

Termine non definito formalmente nell'art. 3 dell'AI Act. L'art. 5 elenca tassativamente le pratiche di IA vietate sul mercato dell'Unione, articolate in otto fattispecie: (a) tecniche subliminali, manipolative o ingannevoli; (b) sfruttamento di vulnerabilità (età, disabilità, situazione socioeconomica); (c) social scoring per uso generale da parte di soggetti pubblici o privati; (d) valutazione predittiva del rischio individuale di reato basata esclusivamente sulla profilazione o su tratti della personalità; (e) creazione o ampliamento di banche dati di riconoscimento facciale tramite scraping non mirato di internet o riprese TVCC; (f) inferenza di emozioni nei luoghi di lavoro o nell'istruzione (con eccezioni mediche/sicurezza); (g) categorizzazione biometrica per dedurre razza, opinioni politiche, appartenenza sindacale, convinzioni religiose/filosofiche, vita sessuale o orientamento sessuale; (h) identificazione biometrica remota in tempo reale in spazi accessibili al pubblico per attività di contrasto (con eccezioni tassative).

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 5

Vedi anche¶

Sistema di IA · Sistema di identificazione biometrica remota in tempo reale · Sistema di categorizzazione biometrica · Sistema di riconoscimento delle emozioni · Spazio accessibile al pubblico · Attività di contrasto · Categorie particolari di dati personali

Commento¶

Le pratiche di IA vietate sono il livello più alto dell'approccio basato sul rischio dell'AI Act: rischio inaccettabile, divieto assoluto. In vigore dal 2 febbraio 2025, prima di tutte le altre disposizioni sostanziali. La violazione del divieto è sanzionata con la massima pena: fino a 35 milioni di euro o il 7% del fatturato annuo mondiale, se superiore (art. 99, par. 3 AI Act). Eccezioni e deroghe rilevanti per le pratiche biometriche di sicurezza pubblica sono concentrate in art. 5, parr. 2-7. Le linee guida della Commissione del 4 febbraio 2025 (C(2025) 884 final) chiariscono il perimetro applicativo di ogni fattispecie.

Prestazioni di un sistema di IA¶

Termine inglese ufficiale: performance of an AI system

«prestazioni di un sistema di IA»: la capacità di un sistema di IA di conseguire la finalità prevista.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 18

Vedi anche¶

Sistema di IA · Finalità prevista · Dati di prova · Sistema di monitoraggio successivo all'immissione sul mercato

Commento¶

La definizione AI Act delle prestazioni è finalistica: si misura la capacità del sistema di realizzare la finalità prevista dal fornitore, non un'astratta nozione di «accuratezza» tecnica. Per i sistemi ad alto rischio, l'art. 15 AI Act richiede livelli adeguati di accuratezza, robustezza e cybersicurezza, dichiarati nelle istruzioni per l'uso. Le prestazioni effettive sono oggetto di monitoraggio post-mercato (art. 72 AI Act).

Profilazione¶

Termine inglese ufficiale: profiling

«profilazione»: la profilazione quale definita all'articolo 4, punto 4), del regolamento (UE) 2016/679.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 52

Cross-reference inter-atto¶

Vedi anche¶

Dati personali · Categorie particolari di dati personali

Commento¶

«Profilazione» è la definizione-pivot del trattamento automatizzato di dati personali. La definizione GDPR è ampia: copre qualsiasi valutazione di aspetti personali tramite trattamento automatizzato. La profilazione che produce decisioni con effetti giuridici significativi (artt. 22 GDPR, 11 LED) è soggetta a regime restrittivo: regola generale di divieto, eccezioni tassative, diritto all'intervento umano. Quando la profilazione è effettuata da un sistema di IA, si attiva il cumulo AI Act + GDPR, con possibile classificazione del sistema come ad alto rischio (Allegato III).

Prova in condizioni reali¶

Termine inglese ufficiale: testing in real-world conditions

«prova in condizioni reali»: la prova temporanea di un sistema di IA per la sua finalità prevista in condizioni reali al di fuori di un laboratorio o di un ambiente altrimenti simulato al fine di raccogliere dati affidabili e solidi e di valutare e verificare la conformità del sistema di IA ai requisiti del presente regolamento e che non è considerata immissione sul mercato o messa in servizio del sistema di IA ai sensi del presente regolamento, purché siano soddisfatte tutte le condizioni di cui all'articolo 57 o 60.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 57

Vedi anche¶

Piano di prova in condizioni reali · Soggetto · Consenso informato · Spazio di sperimentazione normativa per l'IA · Immissione sul mercato · Messa in servizio

Commento¶

La prova in condizioni reali è fattispecie tipizzata dell'AI Act che permette di testare un sistema di IA fuori da laboratori e ambienti simulati senza che ciò costituisca immissione sul mercato o messa in servizio — purché siano rispettate condizioni rigorose (artt. 57-60 AI Act): autorizzazione, piano di prova depositato, consenso informato dei soggetti, durata limitata, monitoraggio. Si distingue dallo spazio di sperimentazione normativa: il sandbox è un quadro autorizzato e supervisionato, la prova in condizioni reali è uno strumento operativo che può svolgersi anche all'esterno del sandbox.

Pseudonimizzazione¶

Termine inglese ufficiale: pseudonymisation

«pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Fonte: Reg. (UE) 2016/679 — GDPR, art. 4, punto 5

Vedi anche¶

Anonimizzazione · Dati personali · Categorie particolari di dati personali · Interessato

Commento¶

La pseudonimizzazione è una misura tecnica e organizzativa di sicurezza (GDPR art. 32) e un principio operativo della protezione dei dati fin dalla progettazione (art. 25). I dati pseudonimizzati rimangono dati personali: la re-identificazione è possibile tramite informazioni aggiuntive separate. Si distingue dall'anonimizzazione (irreversibile, dati anonimi escono dal GDPR). La pseudonimizzazione riduce il rischio ma non elimina l'applicabilità del GDPR. Nella governance dei dati per i sistemi di IA ad alto rischio (AI Act art. 10), la pseudonimizzazione è esplicitamente prevista come misura di mitigazione, in particolare per i dataset di addestramento e per le finalità di bias monitoring (art. 10, par. 5).

R¶

Rappresentante autorizzato¶

Termine inglese ufficiale: authorised representative

«rappresentante autorizzato»: una persona fisica o giuridica ubicata o stabilita nell'Unione che ha ricevuto e accettato un mandato scritto da un fornitore di un sistema di IA o di un modello di IA per finalità generali al fine, rispettivamente, di adempiere ed eseguire per suo conto gli obblighi e le procedure stabiliti dal presente regolamento.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 5

Cross-reference inter-atto¶

Vedi anche¶

Fornitore · Importatore · Operatore · Deployer

Commento¶

Il rappresentante autorizzato è la figura-ponte istituzionale per i fornitori extra-UE: ricevuto un mandato scritto, agisce nell'Unione per conto del fornitore con riguardo agli obblighi AI Act. Per i sistemi ad alto rischio e i modelli di IA per finalità generali, l'art. 22 AI Act rende obbligatoria la nomina di un rappresentante autorizzato stabilito nell'Unione prima dell'immissione sul mercato. Detiene la documentazione tecnica per tutta la durata di vita del sistema (10 anni), coopera con le autorità, può recedere dal mandato in caso di non conformità del fornitore.

Responsabile del trattamento¶

Termine inglese ufficiale: processor

«responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Fonte: Reg. (UE) 2016/679 — GDPR, art. 4, punto 8

Vedi anche¶

Titolare del trattamento · Interessato · Dati personali · Deployer · Fornitore

Commento¶

Il responsabile del trattamento è il soggetto che esegue operazioni di trattamento per conto del titolare. Il rapporto deve essere disciplinato da contratto o atto giuridico vincolante (GDPR art. 28). La distinzione titolare/responsabile è funzionale: chi decide finalità e mezzi del trattamento è titolare; chi opera secondo istruzioni del titolare è responsabile. Nella catena di valore dell'IA: il fornitore AI Act non è di per sé responsabile del trattamento (non tratta dati personali per conto altrui nello sviluppo del sistema); il deployer AI Act è frequentemente titolare ma può essere anche responsabile, a seconda del rapporto sottostante. La qualificazione richiede valutazione concreta caso per caso (EDPB Guidelines 07/2020).

Richiamo di un sistema di IA¶

Termine inglese ufficiale: recall of an AI system

«richiamo di un sistema di IA»: qualsiasi misura volta a ottenere la restituzione al fornitore, la messa fuori servizio o la disabilitazione dell'uso di un sistema di IA messo a disposizione dei deployer.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 16

Vedi anche¶

Ritiro di un sistema di IA · Fornitore · Deployer · Incidente grave · Sistema di monitoraggio successivo all'immissione sul mercato

Commento¶

Il richiamo è misura correttiva a valle: agisce sui sistemi di IA già messi a disposizione dei deployer e mira a recuperarli (restituzione al fornitore), spegnerli (messa fuori servizio) o disattivarli (disabilitazione). Si distingue dal ritiro (art. 3, punto 17), che opera a monte sulla catena di approvvigionamento per impedire ulteriori messe a disposizione. Entrambe le misure sono attivate dal fornitore in caso di non conformità (art. 20 AI Act) o imposte dalle autorità di vigilanza del mercato.

Rischio¶

Termine inglese ufficiale: risk

«rischio»: la combinazione della probabilità del verificarsi di un danno e la gravità del danno stesso.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 2

Cross-reference inter-atto¶

Vedi anche¶

Rischio sistemico · Sistema di IA · Incidente grave

Commento¶

La definizione AI Act è conforme allo standard ISO 31000 e alla letteratura internazionale di risk management. La nozione è centrale per l'approccio basato sul rischio che caratterizza l'intero AI Act: le pratiche di IA si distribuiscono lungo un continuum (rischio inaccettabile → vietate ex art. 5; rischio alto → soggette a requisiti rinforzati capi III; rischio limitato → obblighi di trasparenza art. 50; rischio minimo → libere). Il sistema di gestione del rischio è obbligo continuativo del fornitore di sistemi ad alto rischio (art. 9 AI Act).

Rischio sistemico¶

Termine inglese ufficiale: systemic risk

«rischio sistemico»: un rischio specifico per le capacità di impatto elevato dei modelli di IA per finalità generali, avente un impatto significativo sul mercato dell'Unione a causa della sua portata o di effetti negativi effettivi o ragionevolmente prevedibili sulla salute pubblica, la sicurezza, i diritti fondamentali o la società nel suo complesso, che può propagarsi su larga scala lungo l'intera catena del valore.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 65

Cross-reference inter-atto¶

Vedi anche¶

Modello di IA per finalità generali · Capacità di impatto elevato · Operazione in virgola mobile · Rischio

Commento¶

Il rischio sistemico è categoria specifica introdotta per i modelli di IA per finalità generali con capacità di impatto elevato. È governato dagli artt. 51-55 AI Act: presunzione di sussistenza per modelli con calcolo cumulativo > 10²⁵ FLOP; designazione discrezionale della Commissione su altri criteri (numero parametri, qualità dei dati, autonomia, rilevanza del modello sul mercato). I fornitori di modelli con rischio sistemico hanno obblighi rinforzati: valutazione del modello con metodologie standardizzate (red-teaming inclusi), valutazione e mitigazione di rischi sistemici a livello UE, segnalazione di incidenti gravi all'Ufficio per l'IA, livelli adeguati di cibersicurezza.

Ritiro di un sistema di IA¶

Termine inglese ufficiale: withdrawal of an AI system

«ritiro di un sistema di IA»: qualsiasi misura volta a impedire che un sistema di IA nella catena di approvvigionamento sia messo a disposizione sul mercato.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 17

Vedi anche¶

Richiamo di un sistema di IA · Fornitore · Distributore · Importatore · Messa a disposizione sul mercato

Commento¶

Il ritiro opera a monte della catena di approvvigionamento: blocca ulteriori messe a disposizione di un sistema di IA che è già stato immesso sul mercato ma che non è ancora arrivato ai deployer finali. Si differenzia dal richiamo (art. 3, punto 16), che invece interviene a valle sui sistemi già consegnati ai deployer. Le misure sono spesso usate in combinazione: ritiro per fermare la diffusione + richiamo per recuperare quanto già distribuito.

S¶

Set di dati di convalida¶

Termine inglese ufficiale: validation data set

«set di dati di convalida»: un set di dati distinto o costituito da una partizione fissa o variabile del set di dati di addestramento.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 31

Vedi anche¶

Dati di convalida · Dati di addestramento · Dati di prova

Sistema di categorizzazione biometrica¶

Termine inglese ufficiale: biometric categorisation system

«sistema di categorizzazione biometrica»: un sistema di IA che utilizza i dati biometrici di persone fisiche al fine di assegnarle a categorie specifiche, a meno che non sia accessorio a un altro servizio commerciale e strettamente necessario per ragioni tecniche oggettive.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 40

Vedi anche¶

Dati biometrici · Identificazione biometrica · Verifica biometrica · Sistema di riconoscimento delle emozioni

Commento¶

I sistemi di categorizzazione biometrica sono soggetti a regimi differenziati: la categorizzazione per dedurre o inferire razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o filosofiche, vita sessuale o orientamento sessuale è VIETATA (art. 5, par. 1, lett. g AI Act); altre forme di categorizzazione biometrica rientrano nei sistemi ad alto rischio (Allegato III, punto 1, lett. b). Eccezione di scope: i sistemi accessori a un altro servizio commerciale e strettamente necessari per ragioni tecniche oggettive (es. filtri facciali in app di videoconferenza) non rientrano nella definizione.

Sistema di IA¶

Termine inglese ufficiale: AI system

«sistema di IA»: un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall'input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 1

Cross-reference inter-atto¶

Vedi anche¶

Fornitore · Deployer · Sistema di IA per finalità generali · Sistema di IA ad alto rischio

Commento¶

La definizione AI Act è allineata alla definizione OECD aggiornata nel 2023 ed è funzionalmente neutra rispetto alla tecnologia sottostante (machine learning, sistemi simbolici, sistemi ibridi). I tre elementi qualificanti sono autonomia variabile, possibile adattabilità post-rilascio e deduzione di output da input. La sola automazione deterministica priva di capacità inferenziale non rientra nel perimetro.

Sistema di IA ad alto rischio¶

Termine inglese ufficiale: high-risk AI system

Termine non definito formalmente nell'art. 3 dell'AI Act. La qualificazione è disciplinata dall'art. 6 e dagli Allegati I e III. Un sistema di IA è qualificato come ad alto rischio in due ipotesi:

a) Componente di sicurezza di prodotto coperto da normativa di armonizzazione UE (art. 6, par. 1): il sistema di IA è componente di sicurezza, o esso stesso prodotto, coperto dalla normativa di armonizzazione UE elencata nell'Allegato I (es. macchine, dispositivi medici, dispositivi di protezione individuale, ascensori, attrezzature radio, giocattoli, attrezzature in atmosfera potenzialmente esplosiva, mezzi di trasporto, ecc.) e la normativa applicabile richiede valutazione di conformità con coinvolgimento di terzi.

b) Settori dell'Allegato III (art. 6, par. 2): sistema di IA usato in uno dei seguenti otto settori: identificazione biometrica e categorizzazione, infrastrutture critiche, istruzione e formazione professionale, occupazione e gestione dei lavoratori, accesso a servizi essenziali pubblici e privati, attività di contrasto, gestione delle migrazioni e controllo delle frontiere, amministrazione della giustizia e processi democratici. Eccezione (art. 6, par. 3): un sistema di IA non è ad alto rischio se non pone rischi significativi per i diritti fondamentali.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 6 e Allegati I e III

Vedi anche¶

Sistema di IA · Componente di sicurezza · Valutazione della conformità · Marcatura CE · FRIA — Valutazione d'impatto sui diritti fondamentali · Modifica sostanziale · Sistema di monitoraggio successivo all'immissione sul mercato · Pratiche di IA vietate

Commento¶

I sistemi di IA ad alto rischio sono soggetti a un regime denso di obblighi sostanziali (capo III AI Act): sistema di gestione del rischio (art. 9), governance dei dati (art. 10), documentazione tecnica (art. 11), conservazione dei log (art. 12), trasparenza verso il deployer (art. 13), supervisione umana (art. 14), accuratezza/robustezza/cybersicurezza (art. 15), valutazione di conformità con marcatura CE (artt. 43-48), registrazione nella banca dati UE (art. 49), monitoraggio post-mercato (art. 72), notifica di incidenti gravi (art. 73). La maggior parte degli obblighi entra in vigore il 2 agosto 2026. Per i sistemi di IA componenti di sicurezza in prodotti dell'Allegato I, il termine è prorogato al 2 agosto 2027.

Sistema di IA per finalità generali¶

Termine inglese ufficiale: general-purpose AI system

«sistema di IA per finalità generali»: un sistema di IA basato su un modello di IA per finalità generali e che ha la capacità di perseguire varie finalità, sia per uso diretto che per integrazione in altri sistemi di IA.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 66

Vedi anche¶

Modello di IA per finalità generali · Sistema di IA · Capacità di impatto elevato · Rischio sistemico · Fornitore a valle

Commento¶

Il sistema di IA per finalità generali (GPAI system) è distinto dal modello di IA per finalità generali (GPAI model): il modello è il «motore» (i pesi addestrati), il sistema è l'applicazione che lo integra e lo rende fruibile (chatbot, API, prodotti consumer). Quando un sistema di IA per finalità generali è usato direttamente in casi rientranti nell'Allegato III, può ricadere nel regime alto rischio. La distinzione modello/sistema è cruciale per la catena di responsabilità AI Act: chi sviluppa il modello ha obblighi ex artt. 51-55; chi integra il modello in un sistema è fornitore (o fornitore a valle) e risponde della conformità del sistema.

Sistema di identificazione biometrica remota¶

Termine inglese ufficiale: remote biometric identification system

«sistema di identificazione biometrica remota»: un sistema di IA finalizzato all'identificazione di persone fisiche, senza il loro coinvolgimento attivo, tipicamente a distanza mediante il confronto dei dati biometrici di una persona con i dati biometrici contenuti in una banca dati di riferimento.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 41

Vedi anche¶

Identificazione biometrica · Verifica biometrica · Sistema di identificazione biometrica remota in tempo reale · Sistema di identificazione biometrica remota a posteriori · Spazio accessibile al pubblico · Attività di contrasto

Commento¶

I sistemi di identificazione biometrica remota (RBI) sono la categoria-cardine della disciplina biometrica AI Act, sottoposti a regimi differenziati a seconda della latenza (in tempo reale vs a posteriori) e del contesto (spazio accessibile al pubblico vs spazio chiuso) e della finalità (attività di contrasto vs altri usi). Tre elementi qualificanti distinguono l'RBI dalla mera identificazione biometrica: assenza di coinvolgimento attivo della persona, distanza tipica, confronto con banca dati. La verifica biometrica (autenticazione uno-a-uno con coinvolgimento attivo) è esplicitamente esclusa.

Sistema di identificazione biometrica remota a posteriori¶

Termine inglese ufficiale: post-remote biometric identification system

«sistema di identificazione biometrica remota a posteriori»: un sistema di identificazione biometrica remota diverso da un sistema di identificazione biometrica remota «in tempo reale».

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 43

Vedi anche¶

Sistema di identificazione biometrica remota · Sistema di identificazione biometrica remota in tempo reale · Identificazione biometrica · Attività di contrasto

Commento¶

L'identificazione biometrica remota a posteriori opera con dataset preesistenti (es. registrazioni di videosorveglianza analizzate in seguito) e non in tempo reale. È classificata ad alto rischio (Allegato III, punto 1, lett. a) e non vietata. Quando usata dalle autorità di contrasto, è subordinata ad autorizzazione dell'autorità giudiziaria o di un'autorità amministrativa indipendente e a requisiti aggiuntivi (art. 26 AI Act). La definizione negativa (per esclusione del tempo reale) significa che ogni RBI con ritardi non «brevi e limitati» rientra qui.

Sistema di identificazione biometrica remota in tempo reale¶

Termine inglese ufficiale: real-time remote biometric identification system

«sistema di identificazione biometrica remota in tempo reale»: un sistema di identificazione biometrica remota in cui il rilevamento dei dati biometrici, il confronto e l'identificazione avvengono senza ritardi significativi, il quale comprende non solo le identificazioni istantanee, ma anche quelle che avvengono con brevi ritardi limitati al fine di evitare l'elusione.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 42

Vedi anche¶

Sistema di identificazione biometrica remota · Sistema di identificazione biometrica remota a posteriori · Spazio accessibile al pubblico · Attività di contrasto

Commento¶

L'identificazione biometrica remota in tempo reale in spazi accessibili al pubblico per attività di contrasto è in linea generale VIETATA dall'art. 5, par. 1, lett. h AI Act. Le eccezioni tassative sono tre: (a) ricerca mirata di vittime specifiche di sequestro, tratta o sfruttamento sessuale, e di persone scomparse; (b) prevenzione di una minaccia specifica, sostanziale e imminente per la vita o l'incolumità fisica delle persone, o di una minaccia reale e attuale o reale e prevedibile di un attacco terroristico; (c) localizzazione/identificazione di persone sospettate di reati gravi indicati nell'Allegato II, sanzionati con pene non inferiori a 4 anni. L'uso richiede autorizzazione preventiva dell'autorità giudiziaria o amministrativa indipendente (eccezione: urgenza con autorizzazione successiva entro 24h) e una valutazione d'impatto sui diritti fondamentali. La nozione di «in tempo reale» include le identificazioni con brevi ritardi limitati per evitare elusione (es. ritardo tecnico per copertura territoriale).

Sistema di monitoraggio successivo all'immissione sul mercato¶

Termine inglese ufficiale: post-market monitoring system

«sistema di monitoraggio successivo all'immissione sul mercato»: tutte le attività svolte dai fornitori di sistemi di IA al fine di raccogliere e analizzare l'esperienza maturata tramite l'uso dei sistemi di IA che immettono sul mercato o che mettono in servizio, al fine di individuare eventuali necessità di immediate azioni correttive o preventive.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 25

Vedi anche¶

Fornitore · Immissione sul mercato · Messa in servizio · Incidente grave · Richiamo di un sistema di IA · Ritiro di un sistema di IA · Prestazioni di un sistema di IA

Commento¶

Il sistema di monitoraggio successivo all'immissione sul mercato (PMM, post-market monitoring) è obbligo continuativo del fornitore disciplinato dall'art. 72 AI Act. Per i sistemi di IA ad alto rischio, il fornitore deve documentare il piano di monitoraggio e raccogliere sistematicamente dati sulle prestazioni nel corso del ciclo di vita. Il PMM alimenta tre flussi: (a) segnalazione di incidenti gravi (art. 73), (b) attivazione di misure correttive come richiamo o ritiro (art. 20), (c) revisione del sistema di gestione del rischio (art. 9). La Commissione adotta atti di esecuzione per stabilire un modello dettagliato di piano (art. 72, par. 3).

Sistema di riconoscimento delle emozioni¶

Termine inglese ufficiale: emotion recognition system

«sistema di riconoscimento delle emozioni»: un sistema di IA finalizzato all'identificazione o all'inferenza di emozioni o intenzioni di persone fisiche sulla base dei loro dati biometrici.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 39

Vedi anche¶

Dati biometrici · Sistema di categorizzazione biometrica · Identificazione biometrica

Commento¶

I sistemi di riconoscimento delle emozioni sono soggetti a regimi differenziati: (a) VIETATI quando usati nei luoghi di lavoro o in ambito di istruzione (art. 5, par. 1, lett. f AI Act), salvo eccezioni mediche o di sicurezza; (b) alto rischio quando usati per attività di contrasto, gestione delle frontiere, accesso a servizi pubblici essenziali (Allegato III); (c) trasparenza obbligatoria ex art. 50, par. 3 in tutti gli altri casi: il deployer deve informare le persone fisiche esposte al sistema. La nozione è ampia e contestata: la scienza del riconoscimento delle emozioni dai segnali biometrici è epistemologicamente fragile e soggetta a critica metodologica (Barrett et al., Psychological Science in the Public Interest, 2019).

Soggetto¶

Termine inglese ufficiale: subject

«soggetto»: ai fini della prova in condizioni reali, una persona fisica che partecipa a prove in condizioni reali.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 58

Vedi anche¶

Prova in condizioni reali · Consenso informato · Piano di prova in condizioni reali · Spazio di sperimentazione normativa per l'IA

Commento¶

«Soggetto» è nozione specifica e contestuale: vale solo ai fini della prova in condizioni reali ai sensi dell'art. 60 AI Act. Non si confonde con l'«interessato» del GDPR (art. 4, punto 1) né con la «persona interessata» dell'AI Act (es. art. 26, par. 11). Il soggetto della prova ha diritti specifici: consenso informato preventivo, possibilità di ritirare il consenso senza motivazione e con effetto immediato, cancellazione dei dati personali coinvolti, indennizzo in caso di danno.

Spazio accessibile al pubblico¶

Termine inglese ufficiale: publicly accessible space

«spazio accessibile al pubblico»: qualsiasi luogo fisico di proprietà pubblica o privata accessibile a un numero indeterminato di persone fisiche, indipendentemente dal fatto che possano applicarsi determinate condizioni di accesso e indipendentemente dalle potenziali restrizioni di capacità.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 44

Vedi anche¶

Sistema di identificazione biometrica remota in tempo reale · Sistema di identificazione biometrica remota · Attività di contrasto

Commento¶

La nozione di spazio accessibile al pubblico è ampia e funzionale: include sia luoghi pubblici (strade, piazze, stazioni) sia luoghi privati con accesso indeterminato (centri commerciali, stadi, sale d'attesa di aeroporti). Le condizioni di accesso (biglietto, prenotazione, controllo all'ingresso) e le restrizioni di capacità (numero massimo di persone) non escludono la qualifica di spazio accessibile al pubblico. La nozione è cruciale per il divieto di RBI in tempo reale (art. 5, par. 1, lett. h): il divieto si applica solo in spazi accessibili al pubblico, non in spazi chiusi (uffici, abitazioni, aree riservate) o sistemi montati su veicoli privati.

Spazio di sperimentazione normativa per l'IA¶

Termine inglese ufficiale: AI regulatory sandbox

«spazio di sperimentazione normativa per l'IA»: un quadro controllato istituito da un'autorità competente che offre ai fornitori o potenziali fornitori di sistemi di IA la possibilità di sviluppare, addestrare, convalidare e provare, se del caso in condizioni reali, un sistema di IA innovativo, conformemente a un piano dello spazio di sperimentazione per un periodo di tempo limitato sotto supervisione regolamentare.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 55

Vedi anche¶

Piano dello spazio di sperimentazione · Prova in condizioni reali · Piano di prova in condizioni reali · Fornitore · Autorità nazionale competente

Commento¶

Lo spazio di sperimentazione normativa (regulatory sandbox) è strumento di policy introdotto dall'AI Act per favorire l'innovazione e l'apprendimento regolatorio. Obbligo per gli Stati membri (art. 57): ciascuno Stato membro deve istituire almeno uno spazio di sperimentazione operativo entro il 2 agosto 2026. Funziona da quadro controllato e supervisionato che permette ai fornitori (anche PMI e startup) di sviluppare, addestrare, validare e testare sistemi di IA innovativi sotto la guida dell'autorità competente, con possibili esenzioni temporanee da specifici obblighi del regolamento. Il sandbox si distingue dalla prova in condizioni reali al di fuori del sandbox (art. 60), che ha regime autonomo e più restrittivo.

Specifiche comuni¶

Termine inglese ufficiale: common specification

«specifiche comuni»: un insieme di specifiche tecniche quali definite all'articolo 2, punto 4), del regolamento (UE) n. 1025/2012, che forniscono i mezzi per soddisfare determinati requisiti stabiliti a norma del presente regolamento.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 28

Cross-reference inter-atto¶

Vedi anche¶

Norma armonizzata · Valutazione della conformità · Marcatura CE

Commento¶

Le specifiche comuni sono strumento residuale: la Commissione può adottarle con atti di esecuzione (art. 41 AI Act) quando le norme armonizzate non esistono, sono insufficienti, o non rispettano le richieste. La conformità a specifiche comuni conferisce presunzione di conformità ai requisiti AI Act, allo stesso titolo delle norme armonizzate. Sono quindi una via alternativa alla valutazione di conformità senza dipendere dal lavoro degli organismi di standardizzazione (CEN-CENELEC).

T¶

Titolare del trattamento¶

Termine inglese ufficiale: controller

«titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri.

Fonte: Reg. (UE) 2016/679 — GDPR, art. 4, punto 7

Vedi anche¶

Responsabile del trattamento · Interessato · Dati personali · Deployer · Fornitore · DPIA — Valutazione d'impatto sulla protezione dei dati

Commento¶

Il titolare del trattamento è il soggetto-cardine del GDPR: su di esso gravano la quasi totalità degli obblighi sostanziali del regolamento (basi giuridiche, principi di trattamento, sicurezza, valutazione d'impatto, registro dei trattamenti, accountability). La qualificazione è funzionale: si è titolare se si determinano finalità e mezzi del trattamento, indipendentemente dalla qualifica formale. Possibili co-titolarità (art. 26 GDPR) quando più soggetti determinano congiuntamente finalità e mezzi. Nella catena di valore dell'IA, il deployer AI Act è frequentemente titolare del trattamento dei dati personali processati dal sistema di IA. Il fornitore AI Act è normalmente titolare del trattamento dei dati di addestramento, ma non lo è del trattamento operato dal deployer.

U¶

Ufficio per l'IA¶

Termine inglese ufficiale: AI Office

«ufficio per l'IA»: la funzione della Commissione volta a contribuire all'attuazione, al monitoraggio e alla supervisione dei sistemi di IA e dei modelli di IA per finalità generali, e della governance dell'IA prevista dalla decisione della Commissione del 24 gennaio 2024. I riferimenti all'ufficio per l'IA contenuti nel presente regolamento si intendono fatti alla Commissione.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 47

Vedi anche¶

Modello di IA per finalità generali · Sistema di IA per finalità generali · Rischio sistemico · Autorità nazionale competente

Commento¶

L'Ufficio per l'IA è la struttura della Commissione europea istituita con Decisione C(2024) 390 del 24 gennaio 2024, parte della DG CNECT. Ha competenze esclusive sulla supervisione dei modelli di IA per finalità generali, in particolare quelli con rischio sistemico (artt. 88-94 AI Act): può richiedere informazioni, condurre valutazioni, imporre misure correttive, infliggere sanzioni. Coordina inoltre la cooperazione con le autorità nazionali competenti tramite il Comitato europeo per l'intelligenza artificiale (art. 65 AI Act) e ospita il segretariato del Forum consultivo (art. 67) e del gruppo scientifico di esperti indipendenti (art. 68).

Uso improprio ragionevolmente prevedibile¶

Termine inglese ufficiale: reasonably foreseeable misuse

«uso improprio ragionevolmente prevedibile»: l'uso di un sistema di IA in un modo non conforme alla sua finalità prevista, ma che può derivare da un comportamento umano o da un'interazione con altri sistemi, ivi compresi altri sistemi di IA, ragionevolmente prevedibile.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 13

Vedi anche¶

Finalità prevista · Sistema di IA · Istruzioni per l'uso · Rischio · Modifica sostanziale

Commento¶

L'uso improprio ragionevolmente prevedibile è estensione del perimetro di valutazione del sistema di IA al di là della stretta finalità prevista. Per i sistemi ad alto rischio, il fornitore deve considerarlo nella valutazione e mitigazione dei rischi (art. 9 AI Act): non basta progettare per il caso d'uso «pulito», occorre anticipare deviazioni umane plausibili (errori, scorciatoie operative, usi creativi del sistema) e interazioni con altri sistemi. La nozione introduce una soglia di prevedibilità ragionevole: usi del tutto inattesi o malevoli straordinari (es. attacchi sofisticati di adversarial machine learning fuori dallo stato dell'arte conosciuto al momento dell'immissione sul mercato) restano fuori. La presenza di uso improprio ragionevolmente prevedibile non sposta la qualifica di «modifica sostanziale» (art. 3, punto 23).

V¶

Valutazione della conformità¶

Termine inglese ufficiale: conformity assessment

«valutazione della conformità»: la procedura atta a dimostrare se i requisiti di cui al capo III, sezione 2, relativi a un sistema di IA ad alto rischio sono stati soddisfatti.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 20

Vedi anche¶

Marcatura CE · Organismo di valutazione della conformità · Organismo notificato · Norma armonizzata · Specifiche comuni · Modifica sostanziale

Commento¶

La valutazione della conformità è prerequisito per l'immissione sul mercato e la messa in servizio di sistemi di IA ad alto rischio. L'art. 43 AI Act prevede due modalità: (a) autovalutazione del fornitore basata sul controllo interno (Allegato VI) — disponibile per la maggior parte dei sistemi alto rischio dell'Allegato III; (b) valutazione con coinvolgimento di un organismo notificato (Allegato VII) — richiesta per alcuni sistemi biometrici (RBI, riconoscimento delle emozioni, categorizzazione biometrica) e per sistemi alto rischio coperti dalla normativa di prodotto dell'Allegato I. La conformità a norme armonizzate o specifiche comuni conferisce presunzione di conformità ai requisiti capo III sezione 2.

Verifica biometrica¶

Termine inglese ufficiale: biometric verification

«verifica biometrica»: la verifica automatizzata e uno a uno, inclusa l'autenticazione, dell'identità di persone fisiche mediante il confronto dei loro dati biometrici con i dati biometrici forniti in precedenza.

Fonte: Reg. (UE) 2024/1689 — AI Act, art. 3, punto 36

Vedi anche¶

Dati biometrici · Identificazione biometrica · Sistema di categorizzazione biometrica · Sistema di identificazione biometrica remota

Commento¶

La verifica biometrica è uno-a-uno: confronto del dato biometrico di una persona con i dati biometrici della stessa persona forniti in precedenza, per autenticarne l'identità (es. sblocco smartphone con riconoscimento facciale o impronta, controllo accessi aziendali). Si distingue dall'identificazione biometrica (uno-a-molti). I sistemi di sola verifica biometrica sono espressamente esclusi dal regime AI Act dei sistemi biometrici ad alto rischio (Allegato III, punto 1, lett. c), purché lo scopo unico sia confermare che la persona è chi afferma di essere. Tuttavia, se la verifica biometrica tratta dati personali, si applica integralmente il GDPR (categorie particolari ex art. 9, par. 1).