- L'art. 95 promuove l'elaborazione di codici di condotta volontari per applicare ai sistemi di IA non ad alto rischio alcuni o tutti i requisiti previsti per i sistemi ad alto rischio.
- I codici possono riguardare anche aspetti trasversali: impatto ambientale e sostenibilità energetica dell'IA, alfabetizzazione, inclusività, accessibilità e tutela dei gruppi vulnerabili.
- Possono partecipare all'elaborazione fornitori, deployer, organizzazioni rappresentative, società civile e mondo accademico.
- L'Ufficio per l'IA e gli Stati membri incoraggiano la partecipazione delle PMI e start-up, tenendo conto delle loro specificità ed esigenze.
- I codici possono coprire uno o più sistemi di IA accomunati da finalità simile e devono prevedere meccanismi di governance e indicatori misurabili di performance.
Testo dell'articoloVigente
Art. 95 Reg. (UE) 2024/1689 — Codici di condotta per l’applicazione volontaria di requisiti specifici
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)
1. L'ufficio per l'IA e gli Stati membri incoraggiano e agevolano l'elaborazione di codici di condotta, compresi i relativi meccanismi di governance, intesi a promuovere l'applicazione volontaria ai sistemi di IA, diversi dai sistemi di IA ad alto rischio, di alcuni o di tutti i requisiti di cui al capo III, sezione 2, tenendo conto delle soluzioni tecniche disponibili e delle migliori pratiche del settore che consentono l'applicazione di tali requisiti.
2. L'ufficio per l'IA e gli Stati membri agevolano l'elaborazione di codici di condotta relativi all'applicazione volontaria, anche da parte dei deployer, di requisiti specifici a tutti i sistemi di IA, sulla base di obiettivi chiari e indicatori chiave di prestazione volti a misurare il conseguimento di tali obiettivi, compresi elementi quali, a titolo puramente esemplificativo:
a) gli elementi applicabili previsti negli orientamenti etici dell'Unione per un'IA affidabile;
b) la valutazione e la riduzione al minimo dell'impatto dei sistemi di IA sulla sostenibilità ambientale, anche per quanto riguarda la programmazione efficiente sotto il profilo energetico e le tecniche per la progettazione, l'addestramento e l'uso efficienti dell'IA;
c) la promozione dell'alfabetizzazione in materia di IA, in particolare quella delle persone che si occupano dello sviluppo, del funzionamento e dell'uso dell'IA;
d) la facilitazione di una progettazione inclusiva e diversificata dei sistemi di IA, anche attraverso la creazione di gruppi di sviluppo inclusivi e diversificati e la promozione della partecipazione dei portatori di interessi a tale processo;
e) la valutazione e la prevenzione dell'impatto negativo dei sistemi di IA sulle persone vulnerabili o sui gruppi di persone vulnerabili, anche per quanto riguarda l'accessibilità per le persone con disabilità, nonché sulla parità di genere.
3. I codici di condotta possono essere elaborati da singoli fornitori o deployer di sistemi di IA o da organizzazioni che li rappresentano o da entrambi, anche con la partecipazione di qualsiasi portatore di interessi e delle sue organizzazioni rappresentative, comprese le organizzazioni della società civile e il mondo accademico. I codici di condotta possono riguardare uno o più sistemi di IA tenendo conto della similarità della finalità prevista dei sistemi pertinenti.
4. Nell'incoraggiare e agevolare l'elaborazione dei codici di condotta, l'ufficio per l'IA e gli Stati membri tengono conto degli interessi e delle esigenze specifici delle PMI, comprese le start-up.
Stesso numero, altri codici
- Art. 95 Cod. Amb. — pianificazione del bilancio idrico
- Art. 95 D.Lgs. 159/2011 — Disposizioni relative ai contratti pubblici
- Art. 95 D.Lgs. 209/2005 — Imprese obbligate
- Art. 95 D.Lgs. 42/2004 — Espropriazione di beni culturali
- Art. 95 Codice Civile: Durata della pubblicazione
- Articolo 95 Codice della Crisi d'Impresa e dell’Insolvenza
Commento
La funzione dei codici di condotta nell'architettura normativa dell'AI Act
L'art. 95 del Regolamento (UE) 2024/1689 introduce uno strumento di autoregolazione guidata che si colloca al di fuori della fascia dell'alto rischio: i codici di condotta per i sistemi non ad alto rischio. La logica è quella della voluntary compliance: l'AI Act non può — e non vuole — estendere i suoi requisiti più onerosi a ogni sistema di IA; tuttavia, riconosce che esistono buone pratiche applicabili volontariamente anche a sistemi di rischio minore, con benefici per gli utenti, la fiducia del mercato e la coerenza del panorama regolatorio. I codici di condotta si affiancano — senza sostituire — al sistema obbligatorio: non esentano i sistemi ad alto rischio dai loro obblighi, ma offrono alle imprese che sviluppano o utilizzano sistemi a rischio inferiore un quadro di riferimento per la compliance volontaria.
Ambito di applicazione: sistemi non ad alto rischio e requisiti dell'alto rischio (par. 1)
Il par. 1 riguarda i codici che promuovono l'applicazione volontaria dei requisiti del Capo III, Sezione 2 — cioè i requisiti tecnici e procedurali pensati per i sistemi ad alto rischio: robustezza, accuratezza, trasparenza, supervisione umana, sicurezza informatica, gestione dei dati. Applicarli volontariamente a sistemi non ad alto rischio significa dotarsi degli stessi presidi di qualità senza esservi legalmente tenuti. Per un'impresa che sviluppa sistemi di IA per il mercato B2B, aderire a un codice di condotta riconosciuto può essere un fattore competitivo: segnala ai clienti un impegno di qualità superiore agli obblighi minimi. I codici devono tenere conto delle soluzioni tecniche disponibili e delle migliori pratiche del settore.
Codici trasversali su sostenibilità, alfabetizzazione e inclusività (par. 2)
Il par. 2 amplia il perimetro ai cosiddetti requisiti trasversali, applicabili a tutti i sistemi di IA indipendentemente dal livello di rischio. Le aree tematiche esemplificativamente indicate sono: (a) orientamenti etici UE per un'IA affidabile (Ethics Guidelines for Trustworthy AI dell'HLEG); (b) impatto ambientale e sostenibilità — efficienza energetica, riduzione dell'impronta carbonica dell'addestramento e dell'uso dei modelli; (c) alfabetizzazione in materia di IA per chi sviluppa, gestisce e usa sistemi di IA; (d) progettazione inclusiva e diversificata, con team di sviluppo eterogenei e partecipazione di portatori di interessi; (e) valutazione e prevenzione degli impatti negativi su persone vulnerabili, anche per quanto riguarda accessibilità e parità di genere. Questi temi riflettono agende politiche più ampie — Green Deal, Digital Compass, strategia UE per l'uguaglianza — e segnalano che l'AI Act non è uno strumento puramente tecnico-giuridico, ma parte di un progetto di trasformazione digitale responsabile.
I soggetti coinvolti nell'elaborazione (par. 3)
La caratteristica più significativa sul piano della governance è la pluralità dei soggetti che possono partecipare all'elaborazione dei codici: singoli fornitori o deployer, organizzazioni che li rappresentano, portatori di interessi diversi — organizzazioni della società civile, accademici, esperti tecnici. Questo modello multi-stakeholder è simile a quello già sperimentato con i codici di condotta GDPR (art. 40) e con i codici di buone pratiche per la disinformazione online. L'adesione è volontaria sia per l'elaborazione sia per il recepimento: un'impresa può scegliere di non aderire a un codice elaborato dal settore. I codici possono coprire uno o più sistemi di IA «tenendo conto della similarità della finalità prevista»: questo permette codici settoriali (es. IA per le risorse umane, IA per il marketing) che siano calibrati sulle specificità applicative.
Il ruolo delle PMI e delle start-up (par. 4)
Il par. 4 introduce una protezione specifica per le PMI e le start-up: nell'incoraggiare l'elaborazione dei codici, l'Ufficio per l'IA e gli Stati membri devono tenere conto degli interessi e delle esigenze specifici delle imprese di minore dimensione. Questo riconosce il rischio concreto che codici elaborati prevalentemente da grandi imprese producano requisiti di compliance sproporzionatamente onerosi per le realtà più piccole. Le PMI hanno interesse a partecipare attivamente all'elaborazione dei codici per evitare che gli standard siano definiti da attori con maggiori risorse e con interessi non necessariamente allineati ai propri.
I codici di condotta come strumento di compliance preventiva
Per le imprese, i codici di condotta hanno un duplice valore strategico. In primo luogo, offrono un quadro di riferimento per la compliance volontaria che può anticipare futuri obblighi normativi: il legislatore europeo ha mostrato la tendenza a formalizzare in obblighi ciò che prima era raccomandato (è accaduto con la portabilità dei dati, con la valutazione d'impatto, con la notifica dei data breach). Adeguarsi oggi ai codici può ridurre i costi di adeguamento futuri. In secondo luogo, l'adesione a codici approvati può avere valore in sede di enforcement: un'autorità di vigilanza che constati la conformità a un codice riconosciuto sarà più propensa a trattare con maggiore clemenza eventuali imperfezioni marginali. Monitorare l'elaborazione dei codici promossi dall'Ufficio per l'IA è quindi parte della due diligence di compliance per qualsiasi impresa attiva nel settore dell'IA nell'UE.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
L'adesione a un codice di condotta ex art. 95 esonera un sistema di IA dall'applicazione degli obblighi obbligatori del regolamento?
No. I codici di condotta ex art. 95 riguardano i sistemi non ad alto rischio e promuovono l'applicazione volontaria di requisiti aggiuntivi. Non possono derogare agli obblighi obbligatori previsti dal regolamento. Per i sistemi ad alto rischio, gli obblighi del Capo III restano integralmente applicabili indipendentemente da qualsiasi codice di condotta.
Chi elabora i codici di condotta ex art. 95 e quali garanzie di qualità vi sono?
I codici possono essere elaborati da singoli operatori o da organizzazioni di rappresentanza, con la partecipazione aperta a tutti i portatori di interessi. L'Ufficio per l'IA e gli Stati membri 'incoraggiano e agevolano' l'elaborazione, senza un'approvazione formale obbligatoria analoga a quella prevista per i codici di buone pratiche GPAI. La qualità dipende quindi dalla rappresentatività e dal processo di elaborazione. Codici elaborati con ampia partecipazione multi-stakeholder e indicatori misurabili hanno maggiore credibilità.
Un'impresa può elaborare un codice di condotta autonomamente per il proprio sistema di IA?
Sì, il par. 3 prevede espressamente che i codici 'possono essere elaborati da singoli fornitori o deployer'. Tuttavia, un codice elaborato unilateralmente senza coinvolgimento di altri portatori di interessi ha una credibilità reputazionale più limitata rispetto a codici settoriali multi-stakeholder. Per PMI con risorse limitate, può essere più efficace aderire a un codice settoriale già esistente.
L'adesione a un codice di condotta può essere valutata positivamente dalle autorità di vigilanza?
L'AI Act non prevede espressamente un effetto mitigante delle sanzioni per l'adesione a codici di condotta ex art. 95, a differenza di quanto il GDPR prevede per i codici di condotta art. 40. Tuttavia, la dimostrazione di un approccio proattivo e sistematico alla responsabilità dell'IA — inclusa l'adesione a codici riconosciuti — è rilevante nel contesto della valutazione della buona fede del soggetto.
I codici di condotta ex art. 95 si applicano anche ai deployer o solo ai fornitori?
Il par. 2 indica esplicitamente che i codici possono riguardare l'applicazione volontaria di requisiti 'anche da parte dei deployer'. Alcuni aspetti — come la valutazione dell'impatto su persone vulnerabili o la formazione del personale — sono particolarmente rilevanti per i deployer, che sono i soggetti in contatto diretto con gli utenti finali.
Vedi anche