Il 9 dicembre 2023 è stato raggiunto un accordo politico (Artificial Intelligence Act) fra Parlamento europeo, Commissione Europea e Consiglio europeo per promuovere, regolare, limitare e disciplinare l'uso dell'AI da parte delle imprese o degli organismi pubblici gravitanti nell'Unione Europea (e solo a quelle, esclusa una valenza ultracomunitaria); si tratta di un primo ragguaglio comune delle istituzioni comunitarie cui seguiranno un testo definitivo, ulteriori addendi tecnici e la definitiva presa in vigore due anni dopo la pubblicazione.Di certo si tratta del primo tentativo al mondo di normare un settore ex se sfuggente perché sottoposto a continue evoluzioni e soluzioni di calcolo; l'obbiettivo dell'Unione Europea è di attrarre venti miliardi di euro di investimenti nel settore nel decennio fino al 2030 e l'utilizzo di un impegno finanziario di circa un miliardo di euro (costituendo poli-HUB per l'innovazione digitale, centri di partenariato pubblico e privato, c.d. PPP; creare addirittura una piattaforma comune che sia strumentario di risorse AI su richiesta di soggetti pubblici e privati che ne possano sperimentare il funzionamento). I sistemi di AI possono correre “rischi inaccettabili” (si tratta del livello più alto), in quanto tali non consentiti (si pensi al monitoraggio dei cittadini per saggiarne il “credito sociale” propedeutico a erogazioni pubbliche o private, c.d. social scoring; alla polizia predittiva sulla base di dati personali o sensibili, ammessa però l'identificazione biometrica a distanza, autorizzabile solo nei luoghi pubblici ex post ed entro ventiquattro ore nei casi di urgenza dall'autorità giudiziaria, da parte delle forze dell'ordine nei casi di gravi reati, o per prevenire atti di terrorismo o per la ricerca di vittime; ai sistemi di AI in grado di riconoscere le emozioni delle persone, c.d. di manipolazione cognitiva comportamentale; alla raccolta indiscriminata di dati per il riconoscimento facciale); “rischi alti” per la qualità dei diritti individuali in pericolo (si pensi ai sistemi di AI che intendano regolare le infrastrutture ad alta intensità di utilizzo umano come i trasporti, a quelli dedicati a costituire dei sistemi di sicurezza precauzionali per l'uomo, al controllo delle frontiere, all'amministrazione della giustizia, all'accesso al lavoro autonomo); “rischi limitati” (intesi a consentire a coloro che interagiscono con l'AI di prendere decisioni informate non vincolanti, si tratta delle c.d. AI generiche: gli utenti previamente informati devono poter sapere di scegliere se affidarsi o meno al loro utilizzo, si pensi alle conversazioni simulate con risponditori automatici o con ologrammi indistinguibili dal vero) e “rischi minimi” (filtri spam, giochi) inoffensive e sottratta a una regolamentazione di settore.Per le attività a “rischio alto”  (amministrazione della giustizia, ad esempio, si pensi ai casi di giustizia predittiva di qua a venire) i cittadini potranno presentare reclami sui sistemi di intelligenza artificiale e chiedere di conoscere i criteri utilizzati dai sistemi di intelligenza artificiale che hanno avuto un impatto sui loro diritti: è così garantita la trasparenza sui nodi decisionali determinanti un'attività provvedimentale cui dovrebbero dare atto, nella migliore fra le embrionali ipotesi in punto di giustizia predittiva, i medesimi giudici incaricati della risoluzione di una controversia; ancora nulla sulla modalità dell'iniziativa di reclamo (oggetto di successivo sviluppo regolamentare) che indagherebbe il funzionamento del c.d. modello fondativo del sistema (Large Language Model o linguaggio calcolante che elabora dati e fornisce un output) che costituisce la pancia metabolizzatrice/generatrice del sistema; l'AI Act ne distingue due generi: quella ad alto impatto e capacità di calcolo previamente da autorizzare dagli organi comunitari su ogni profilatura di raccolta dati (cfr. GDPR, compresi i dati tutelabili dal diritto d'autore), tecnica e di addestramento prima dell'immissione nel mercato (salvo i modelli destinati alla ricerca, che ne sono sottratti), e quella a minore impatto e comunque a minor rischio (v. la classificazione sopra) sottoposte al medesimo controllo solo successivamente alla commercializzazione.E' la sanzione a fare l'interesse; le sanzioni vengono fissate in percentuale al fatturato annuo globale della società nell'anno finanziario precedente o mediante predeterminato importo nella misura, rispettivamente, di 35 milioni di euro ovvero del 7% per le violazioni della normativa applicazioni IA vietate, 15 milioni di euro o 3% per violazioni degli obblighi della legge sull'IA; 7,5 milioni di euro ovvero 1,5% per la fornitura di informazioni errate; sarà l'ora di un mercato consulenziale parallelo altamente specializzato alla valutazione dei rischi per chi investirà in AI o intenderà aprire impresa (PMI); il rischio, su paventato, sta negli eccessi di scrupolo dei regolatori (e, a cascata, di chi fornisce consulenza sul punto) e nello svantaggio competitivo (più costi legali, minori impegni di ingegneria informatica) di cui soffrirebbero le imprese operanti solo nel mercato comunitario.