La Commissione europea, il Consiglio dell’Unione europea e il Parlamento europeo hanno raggiunto, in sede di trilogo, l'accordo sul testo dell'AI Act, la legge europea sull'intelligenza artificiale. L'accordo politico dovrà ricevere adesso l'approvazione formale del Parlamento europeo e del Consiglio. Si tratta del primo quadro normativo sui sistemi di IA nel mondo.

Le nuove regole, che saranno applicate direttamente e nello stesso modo in tutti gli Stati membri, sulla base di una definizione di IA adeguata alle esigenze future, seguono un approccio basato sul rischio: si va dal rischio minimo a quello inaccettabile; maggiore è il rischio, più severe sono le regole.

Rischio minimo: la grande maggioranza dei sistemi di IA rientra nella categoria di rischio minimo. Le applicazioni a rischio minimo, come i sistemi di raccomandazione o i filtri spam basati sull'IA, godranno di un "lasciapassare" e dunque saranno esenti da obblighi, in quanto presentano rischi minimi o nulli per i diritti o la sicurezza dei cittadini. Le imprese potranno tuttavia impegnarsi, a titolo volontario, ad adottare codici di condotta aggiuntivi per tali sistemi di IA.

Rischio alto: i sistemi di IA identificati come ad alto rischio dovranno rispettare requisiti rigorosi, tra cui sistemi di mitigazione del rischio, alta qualità dei set di dati, registrazione delle attività, documentazione dettagliata, informazioni chiare sugli utenti, supervisione umana e un alto livello di robustezza, accuratezza e sicurezza informatica. Tra gli esempi di sistemi di IA ad alto rischio figurano alcune infrastrutture critiche, ad esempio nei settori dell'acqua, del gas e dell'elettricità, dispositivi medici, sistemi utilizzati per determinare l'accesso agli istituti di istruzione o per le assunzioni o alcuni sistemi utilizzati nell'ambito delle attività di contrasto, del controllo delle frontiere, dell'amministrazione della giustizia e dei processi democratici. Anche i sistemi di identificazione biometrica, categorizzazione biometrica e riconoscimento delle emozioni sono considerati ad alto rischio. 

Rischio inaccettabile: i sistemi di IA considerati una chiara minaccia per i diritti fondamentali delle persone saranno vietati. In questa categoria rientrano i sistemi o le applicazioni di IA che manipolano il comportamento umano per aggirare il libero arbitrio degli utenti, come i giocattoli che utilizzano l'assistenza vocale per incoraggiare comportamenti pericolosi dei minori o i sistemi che consentono ai governi o alle aziende di attribuire un "punteggio sociale", oltre che determinate applicazioni di polizia predittiva. Saranno inoltre vietati alcuni usi dei sistemi biometrici, ad esempio i sistemi di riconoscimento delle emozioni utilizzati sul luogo di lavoro e alcuni sistemi di categorizzazione delle persone o di identificazione biometrica in tempo reale a fini di attività di contrasto in spazi accessibili al pubblico (con limitate eccezioni).

Vi è infine la categoria dei rischi specifici, quali le ormai famose chatbot. Se utilizzate, gli utenti dovrebbero essere consapevoli che stanno interagendo con una macchina. I deepfake e altri contenuti generati dall'IA dovranno essere etichettati come tali: inoltre sarà necessario informare gli utenti qualora venissero utilizzati sistemi di categorizzazione biometrica o di riconoscimento delle emozioni.