Vai al contenuto

Cos’è l’EU AI Act? La guida completa

L’EU AI Act (regolamento (UE) 2024/1689) è il primo quadro giuridico completo al mondo per l’intelligenza artificiale. Entrato in vigore il 1° agosto 2024, adotta un approccio basato sul rischio: maggiore è il rischio che il vostro sistema di IA comporta per la salute, la sicurezza o i diritti fondamentali, più rigorosi sono gli obblighi. Le disposizioni sull’IA ad alto rischio si applicano dal 2 agosto 2026. Le sanzioni possono raggiungere i 35 milioni di euro o il 7 % del fatturato annuo mondiale.

Aggiornato: Marzo 202615 min di lettura

In sintesi: L'EU AI Act (regolamento (UE) 2024/1689) è il primo quadro giuridico completo al mondo per l'intelligenza artificiale. Entrato in vigore il 1° agosto 2024, adotta un approccio basato sul rischio: maggiore è il rischio che il vostro sistema di IA comporta per la salute, la sicurezza o i diritti fondamentali, più rigorosi sono gli obblighi. Le disposizioni sull'IA ad alto rischio si applicano dal 2 agosto 2026. Le sanzioni possono raggiungere i 35 milioni di euro o il 7 % del fatturato annuo mondiale.

Cos'è l'EU AI Act?

L'EU AI Act è il regolamento di riferimento dell'Unione europea che disciplina lo sviluppo, l'immissione sul mercato e l'utilizzo dei sistemi di intelligenza artificiale. Pubblicato ufficialmente come regolamento (UE) 2024/1689, costituisce il primo quadro giuridico vincolante e orizzontale per l'IA al mondo.

A differenza delle linee guida volontarie, stabilisce obblighi esecutivi in tutti i settori. Si applica indipendentemente dal luogo di stabilimento del fornitore, purché il sistema di IA incida su persone all'interno dell'UE. Il regolamento è entrato in vigore il 1° agosto 2024, con le disposizioni sull'alto rischio applicabili dal 2 agosto 2026.

Perché è stato creato l'EU AI Act?

Quattro obiettivi fondamentali hanno motivato l'EU AI Act:

  • Tutela dei diritti fondamentali – I sistemi di IA prendono o influenzano sempre più decisioni in materia di credito, assunzioni, servizi pubblici e applicazione della legge. Il regolamento garantisce che tali decisioni rispettino la dignità umana, il principio di non discriminazione e il giusto processo.
  • Gestione dei rischi per la sicurezza – L'IA impiegata in infrastrutture critiche, dispositivi medici e sistemi di trasporto può comportare rischi diretti per la salute e la sicurezza. Il regolamento impone requisiti rigorosi a tali sistemi.
  • Certezza giuridica per le imprese – Invece di un mosaico di normative nazionali, le imprese beneficiano di un unico quadro armonizzato in tutti i 27 Stati membri dell'UE.
  • L'«effetto Bruxelles» – Come il GDPR prima di lui, l'EU AI Act è concepito per stabilire uno standard globale. Le imprese operanti a livello internazionale adotteranno probabilmente i suoi requisiti come parametro di riferimento minimo.

A chi si applica l'EU AI Act?

Il regolamento definisce diversi ruoli con obblighi distinti:

  • Fornitori (art. 3, paragrafo 3) – Coloro che sviluppano o immettono un sistema di IA sul mercato. I fornitori sono soggetti agli obblighi più gravosi, tra cui la valutazione di conformità (art. 43) e la documentazione tecnica (art. 11).
  • Deployer (art. 3, paragrafo 4) – Coloro che utilizzano un sistema di IA sotto la propria autorità. I deployer devono effettuare una valutazione dell'impatto sui diritti fondamentali (art. 27) e garantire il controllo umano (art. 14).
  • Importatori e distributori – I soggetti che introducono sistemi di IA nel mercato dell'UE o li mettono a disposizione hanno obblighi di verifica.

Ambito territoriale (art. 2): Il regolamento si applica alle imprese extra-UE se i risultati del loro sistema di IA sono utilizzati all'interno dell'UE. Questa portata extraterritoriale rispecchia l'approccio del GDPR.

Il quadro basato sul rischio

L'EU AI Act classifica i sistemi di IA in quattro livelli di rischio, ciascuno con requisiti normativi diversi:

Rischio inaccettabile (art. 5) – Vietato

Alcune pratiche di IA sono vietate in modo assoluto poiché costituiscono una minaccia inaccettabile per i diritti fondamentali:

  • Sistemi di punteggio sociale da parte delle autorità pubbliche
  • Tecniche di manipolazione subliminale o ingannevoli
  • Sfruttamento dei gruppi vulnerabili (età, disabilità, situazione sociale)
  • Identificazione biometrica remota in tempo reale negli spazi accessibili al pubblico (con limitate eccezioni per le forze dell'ordine)
  • Categorizzazione biometrica per attributi sensibili (razza, opinioni politiche, orientamento sessuale)
  • Raccolta non mirata di immagini facciali da Internet o da sistemi di videosorveglianza
  • Riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione

Questi divieti sono applicabili dal 2 febbraio 2025.

Alto rischio (art. 6) – Obblighi esaustivi

I sistemi di IA ad alto rischio sono soggetti ai requisiti più completi. Comprendono l'IA utilizzata nei seguenti ambiti:

  • Infrastrutture critiche (energia, trasporti, approvvigionamento idrico)
  • Istruzione e formazione professionale (ammissioni, valutazioni)
  • Occupazione (selezione del personale, promozioni, licenziamenti)
  • Servizi essenziali privati e pubblici (valutazione del merito creditizio, assicurazioni, prestazioni sociali)
  • Applicazione della legge (valutazioni dei rischi, polizia predittiva)
  • Migrazione e controllo delle frontiere (trattamento dei visti, domande di asilo)
  • Amministrazione della giustizia e processi democratici

Rischio limitato (art. 50) – Solo trasparenza

I sistemi di IA che interagiscono con le persone o generano contenuti devono soddisfare obblighi di trasparenza:

  • I chatbot devono indicare che l'utente sta interagendo con un sistema di IA
  • I deepfake e i contenuti generati dall'IA devono essere chiaramente etichettati
  • I sistemi di riconoscimento delle emozioni devono informarne la persona interessata

Rischio minimo – Nessun obbligo

La maggior parte dei sistemi di IA (filtri antispam, videogiochi basati sull'IA, gestione delle scorte) rientra in questa categoria e non è soggetta ad alcun requisito normativo. I fornitori possono volontariamente aderire a codici di condotta (art. 95).

Sistemi di IA ad alto rischio: ciò che serve

Se il vostro sistema di IA è classificato ad alto rischio, dovete rispettare un insieme completo di requisiti:

  1. Valutazione dell'impatto sui diritti fondamentali (FRIA) (art. 27) – Obbligo del deployer di valutare l'impatto sui diritti fondamentali delle persone interessate prima dell'impiego.
  2. Documentazione tecnica (art. 11 + Allegato IV) – Obbligo del fornitore di documentare in modo esaustivo la progettazione, lo sviluppo, i test e la validazione del sistema.
  3. Avviso di trasparenza (art. 13) – Istruzioni chiare per i deployer sul funzionamento del sistema, le sue capacità e i suoi limiti.
  4. Valutazione di conformità (art. 43) – Procedura formale per verificare che il sistema soddisfi tutti i requisiti applicabili prima dell'immissione sul mercato.
  5. Sistema di gestione dei rischi (art. 9) – Processo continuo e iterativo di identificazione, analisi e mitigazione dei rischi lungo l'intero ciclo di vita del sistema di IA.
  6. Governance dei dati (art. 10) – Requisiti per i set di dati di addestramento, validazione e test, comprese le misure per rilevare e correggere i bias.
  7. Registrazione automatica (art. 12) – Il sistema deve registrare automaticamente gli eventi per garantire la tracciabilità del suo funzionamento.
  8. Sorveglianza umana (art. 14) – Misure che consentano a persone fisiche di supervisionare efficacemente il sistema di IA e intervenire quando necessario.
  9. Accuratezza, robustezza e cibersicurezza (art. 15) – Il sistema deve raggiungere un livello adeguato di accuratezza, essere resiliente agli errori e protetto dalle minacce alla sicurezza.
  10. Registrazione nella banca dati dell'UE (art. 49) – I sistemi di IA ad alto rischio devono essere registrati nella banca dati pubblica dell'UE prima dell'immissione sul mercato.

Scadenze chiave

DataTraguardoCosa si applica
1° agosto 2024Entrata in vigoreRegolamento pubblicato e giuridicamente vincolante
2 febbraio 2025Divieti applicabiliPratiche di IA vietate (art. 5) esecutive
2 agosto 2025GPAI e competenze IARegole per l'IA di uso generale e obblighi di competenze IA
2 agosto 2026Obblighi alto rischioRequisiti completi per l'IA ad alto rischio applicabili – meno di 5 mesi
2 agosto 2027Prodotti Allegato ISistemi di IA integrati in prodotti regolamentati (macchinari, dispositivi medici, ecc.)

La scadenza del 2 agosto 2026 è la più critica per la maggior parte delle imprese, poiché attiva l'intera gamma degli obblighi relativi all'alto rischio, tra cui FRIA, documentazione tecnica e valutazioni di conformità.

Sanzioni per la non conformità

L'EU AI Act prevede tre livelli sanzionatori ai sensi dell'art. 99:

LivelloSanzione massima% del fatturatoSi applica a
Livello 135 milioni €7 %Pratiche di IA vietate (art. 5)
Livello 215 milioni €3 %Non conformità alto rischio (art. 8–15, 27, 43, 49)
Livello 37,5 milioni €1 %Informazioni fuorvianti alle autorità

Le autorità nazionali competenti applicano il regolamento in ciascuno Stato membro. A livello dell'UE, l'Ufficio europeo per l'IA supervisiona i modelli di IA di uso generale (art. 64–68).

Come iniziare

La conformità all'EU AI Act è un processo strutturato. Ecco i cinque passaggi fondamentali:

  1. Classificate il vostro sistema di IA – Utilizzate il nostro classificatore di rischio gratuito per determinare se il vostro sistema rientra nella categoria ad alto rischio. Bastano meno di 2 minuti.
  2. Identificate il vostro ruolo – Siete fornitore o deployer? I vostri obblighi differiscono significativamente in base al ruolo nella catena del valore dell'IA.
  3. Effettuate un'analisi delle lacune – Confrontate le vostre pratiche attuali con i requisiti degli art. 8–15 e dell'art. 27. Individuate le carenze in termini di documentazione, processi o misure tecniche.
  4. Preparate la documentazioneGenerate bozze di documenti di conformità comprensive di FRIA, Documentazione tecnica e Avvisi di trasparenza personalizzati per il vostro sistema specifico.
  5. Instaurate una conformità continua – L'EU AI Act richiede una gestione continua dei rischi (art. 9). Predisponete revisioni periodiche, monitoraggio e procedure di aggiornamento.

Domande frequenti

Quando entra in vigore l'EU AI Act?

L'EU AI Act è entrato in vigore il 1° agosto 2024 con un calendario scaglionato: divieti dal febbraio 2025, regole GPAI da agosto 2025, obblighi per l'alto rischio dal 2 agosto 2026 e regole per i prodotti dell'Allegato I da agosto 2027.

Si applica anche al di fuori dell'UE?

Sì. Ai sensi dell'art. 2, il regolamento ha portata extraterritoriale. Si applica a qualsiasi fornitore o deployer, indipendentemente dal luogo di stabilimento, se i risultati del sistema di IA sono utilizzati nell'UE.

Cos'è un sistema di IA ad alto rischio?

I sistemi di IA ad alto rischio sono definiti all'art. 6 ed elencati nell'Allegato III. Comprendono l'IA utilizzata nelle infrastrutture critiche, nell'istruzione, nell'occupazione, nei servizi essenziali, nelle forze dell'ordine, nella migrazione e nell'amministrazione della giustizia.

Quali documenti servono?

Per i sistemi di IA ad alto rischio servono generalmente una valutazione dell'impatto sui diritti fondamentali (FRIA), la documentazione tecnica, un avviso di trasparenza e una valutazione di conformità. I requisiti esatti dipendono dal vostro ruolo di fornitore o deployer.

Cosa succede in caso di non conformità?

Le sanzioni possono raggiungere i 35 milioni di euro o il 7 % del fatturato annuo mondiale per le pratiche vietate. Per le non conformità ad alto rischio, le sanzioni arrivano a 15 milioni di euro o al 3 %. Le autorità possono inoltre ordinare il ritiro dal mercato dei sistemi di IA non conformi.

Bozze di conformità

FRIA, Documentazione tecnica e Avviso di trasparenza – generati dall’IA per il vostro sistema. A partire da 149 €.

Genera le bozze
Verifica ora

Pronti per la conformità EU AI Act?

Bozze di documenti pronte per la revisione – generate dall’IA, adattate al vostro sistema. A partire da 149 €.

Genera le bozzeAnalisi del rischio gratuita
Cos’è l’EU AI Act? La guida completa (2026) | AIvunera