%253A%2520cos'%25C3%25A8%2520e%2520come%2520funziona%26category%3DAI%26type%3Dkb&w=3840&q=75&dpl=dpl_HsQZGYmMGCrZSd9Qrkeyoz1AiP1h)
Quick Answer
L' AI Act (in italiano Regolamento IA , formalmente Regolamento (UE) 2024/1689 ) è la prima legge organica al mondo sull'intelligenza artificiale. È entrato in vigore il 1° agosto 2024 e si applica per fasi successive. Classifica i sistemi di AI in base al rischio, vieta gli usi inaccettabili, impone obblighi rigorosi ai sistemi ad alto rischio e prevede sanzioni fino a 35 milioni di euro o al 7% del fatturato annuo mondiale. Questa è un'informazione generale e non costituisce consulenza legale. Che cos'è l'AI Act (Regolamento IA)? L'AI Act è il quadro normativo europeo che disciplina lo sviluppo, l'immissione sul mercato e l'uso dei sistemi di intelligenza artificiale nell'Unione Europea. L'obiettivo dichiarato è duplice: promuovere un'AI affidabile e incentrata sull'essere umano e, allo stesso tempo, tutelare salute, sicurezza e diritti fondamentali. Si tratta di un regolamento, quindi è direttamente applicabile in tutti gli Stati membri senza necessità di recepimento nazionale.
L'AI Act (in italiano Regolamento IA, formalmente Regolamento (UE) 2024/1689) è la prima legge organica al mondo sull'intelligenza artificiale. È entrato in vigore il 1° agosto 2024 e si applica per fasi successive. Classifica i sistemi di AI in base al rischio, vieta gli usi inaccettabili, impone obblighi rigorosi ai sistemi ad alto rischio e prevede sanzioni fino a 35 milioni di euro o al 7% del fatturato annuo mondiale. Questa è un'informazione generale e non costituisce consulenza legale.
Che cos'è l'AI Act (Regolamento IA)?
L'AI Act è il quadro normativo europeo che disciplina lo sviluppo, l'immissione sul mercato e l'uso dei sistemi di intelligenza artificiale nell'Unione Europea. L'obiettivo dichiarato è duplice: promuovere un'AI affidabile e incentrata sull'essere umano e, allo stesso tempo, tutelare salute, sicurezza e diritti fondamentali. Si tratta di un regolamento, quindi è direttamente applicabile in tutti gli Stati membri senza necessità di recepimento nazionale.
L'impianto è basato sul rischio: più un sistema può incidere su persone e diritti, più stringenti sono gli obblighi. Accanto alle regole sui singoli sistemi, l'AI Act introduce un capitolo dedicato all'AI per finalità generali (GPAI), ossia i grandi modelli fondativi utilizzabili per molteplici scopi. La supervisione a livello UE è affidata all'Ufficio europeo per l'AI, affiancato dalle autorità nazionali di vigilanza.
Quali sono i 4 livelli di rischio?
Come si classifica il rischio di un sistema di AI?
Il Regolamento IA adotta un approccio piramidale articolato in quattro categorie:
| Livello di rischio | Esempi | Conseguenza |
|---|---|---|
| Inaccettabile (vietato) | Social scoring da parte delle autorità, manipolazione subliminale dannosa, scraping non mirato di volti per banche dati di riconoscimento facciale, riconoscimento delle emozioni sul lavoro e a scuola | Pratiche proibite |
| Alto rischio | AI in dispositivi medici, selezione del personale, scoring creditizio, infrastrutture critiche, istruzione, biometria, gestione di migrazione e frontiere | Obblighi rigorosi e valutazione di conformità |
| Rischio limitato (trasparenza) | Chatbot, deepfake e contenuti generati o manipolati dall'AI | Obblighi di trasparenza verso gli utenti |
| Rischio minimo | Filtri antispam, videogiochi, sistemi di raccomandazione di base | Nessun obbligo specifico |
Le pratiche a rischio inaccettabile sono vietate e si applicano già dal 2 febbraio 2025. I sistemi ad alto rischio sono il cuore degli adempimenti: richiedono gestione del rischio, qualità dei dati, documentazione tecnica, sorveglianza umana, robustezza e cybersicurezza. Per i sistemi a rischio limitato l'obbligo principale è la trasparenza: l'utente deve sapere di interagire con un'AI o che un contenuto è stato generato artificialmente. I sistemi a rischio minimo non sono soggetti a obblighi vincolanti.
Hai bisogno di aiuto con cloud?
Prenota un incontro gratuito di 30 minuti con uno dei nostri specialisti in cloud. Analizziamo le tue esigenze e forniamo raccomandazioni concrete — nessun obbligo.
A chi si applica l'AI Act?
L'AI Act si rivolge a diversi soggetti della catena del valore: fornitori (chi sviluppa o fa sviluppare un sistema e lo immette sul mercato con il proprio nome o marchio), deployer (chi utilizza il sistema nell'ambito di un'attività professionale), importatori, distributori e fabbricanti di prodotti che integrano l'AI. La maggior parte degli obblighi grava sui fornitori, ma anche i deployer hanno responsabilità precise, soprattutto per i sistemi ad alto rischio.
L'AI Act si applica anche alle aziende extra-UE?
Sì. Il Regolamento IA ha una portata extraterritoriale. Si applica ai fornitori che immettono sistemi di AI sul mercato dell'Unione indipendentemente dal luogo in cui sono stabiliti, e anche a fornitori e deployer situati al di fuori dell'UE quando l'output prodotto dal sistema è utilizzato nell'Unione. In pratica, un'azienda con sede negli Stati Uniti, nel Regno Unito o in Asia che offre servizi di AI a clienti europei o i cui risultati vengono usati in Europa ricade nell'ambito di applicazione. I fornitori extra-UE di sistemi ad alto rischio devono inoltre designare un rappresentante autorizzato all'interno dell'Unione.
Qual è il calendario di applicazione per fasi?
L'AI Act non si applica tutto in una volta: le sue disposizioni entrano in vigore in modo scaglionato.
- 1° agosto 2024 — entrata in vigore del Regolamento.
- 2 febbraio 2025 — applicazione dei divieti sulle pratiche a rischio inaccettabile e degli obblighi di alfabetizzazione all'AI.
- 2 agosto 2025 — applicazione degli obblighi per l'AI per finalità generali (GPAI) e attivazione del sistema di governance.
- Obblighi per l'alto rischio — originariamente previsti per il 2 agosto 2026 (sistemi dell'Allegato III) e il 2 agosto 2027 (sistemi integrati in prodotti regolamentati dell'Allegato I).
Aggiornamento (giugno 2026): il calendario dell'alto rischio è oggetto di revisione. Nell'ambito del pacchetto di semplificazione noto come Digital Omnibus, il 7 maggio 2026 le istituzioni europee hanno raggiunto un accordo politico provvisorio per posticipare l'applicazione degli obblighi sull'alto rischio: i sistemi dell'Allegato III slitterebbero al 2 dicembre 2027 e quelli dell'Allegato I al 2 agosto 2028. Al momento il testo non è ancora formalmente adottato e l'adozione definitiva è attesa prima del 2 agosto 2026. Le date indicate vanno quindi trattate come non definitive: è essenziale verificare lo stato di avanzamento sulle fonti ufficiali prima di pianificare la conformità.
Quali obblighi valgono per l'AI per finalità generali (GPAI)?
I modelli di AI per finalità generali, come i grandi modelli linguistici, sono soggetti a un regime dedicato applicabile dal 2 agosto 2025. I fornitori di GPAI devono mantenere una documentazione tecnica aggiornata, fornire informazioni a chi integra il modello a valle, rispettare il diritto d'autore dell'Unione e pubblicare un riepilogo sufficientemente dettagliato dei contenuti usati per l'addestramento.
Per i modelli che presentano un rischio sistemico, individuati anche in base alla potenza di calcolo impiegata per l'addestramento, si aggiungono obblighi rafforzati: valutazione e mitigazione dei rischi, test avversariali, segnalazione degli incidenti gravi e adeguate misure di cybersicurezza. I fornitori di modelli già presenti sul mercato prima del 2 agosto 2025 hanno tempo fino al 2 agosto 2027 per adeguarsi.
Quali sono le sanzioni previste?
Il Regolamento IA prevede un sistema sanzionatorio severo e proporzionato alla gravità della violazione. I massimali principali sono:
- Fino a 35 milioni di euro o il 7% del fatturato annuo mondiale (si applica l'importo più elevato) per l'uso di pratiche di AI vietate.
- Fino a 15 milioni di euro o il 3% del fatturato per la violazione di altri obblighi, ad esempio quelli relativi ai sistemi ad alto rischio o alla trasparenza.
- Fino a 7,5 milioni di euro o l'1% del fatturato per la comunicazione di informazioni inesatte, incomplete o fuorvianti alle autorità.
Per le PMI e le start-up i massimali sono calibrati in modo da risultare meno gravosi. Le sanzioni si affiancano agli altri rischi legali e reputazionali legati a un uso non conforme dell'AI.
Che rapporto c'è tra AI Act e GDPR?
L'AI Act sostituisce il GDPR?
No. L'AI Act e il GDPR sono complementari e si applicano in parallelo. Il GDPR disciplina il trattamento dei dati personali, mentre l'AI Act regola la sicurezza e l'affidabilità dei sistemi di AI in quanto tali. Quando un sistema di AI tratta dati personali, l'azienda deve rispettare entrambi i quadri normativi: base giuridica, minimizzazione e diritti degli interessati secondo il GDPR; gestione del rischio, documentazione e sorveglianza umana secondo l'AI Act. In molti casi una valutazione d'impatto sulla protezione dei dati (DPIA) si integra con la valutazione di conformità richiesta per i sistemi ad alto rischio. Affrontare i due regimi in modo coordinato evita duplicazioni e riduce il rischio di non conformità.
Domande frequenti
Quando si applica l'AI Act?
L'AI Act è in vigore dal 1° agosto 2024 e si applica per fasi. I divieti valgono dal 2 febbraio 2025, gli obblighi GPAI dal 2 agosto 2025. Gli obblighi per l'alto rischio erano fissati al 2 agosto 2026, ma il pacchetto Digital Omnibus 2026 ne propone il rinvio: verifica le fonti ufficiali per le date aggiornate.
L'AI Act si applica alla mia azienda, anche se ha sede fuori dall'UE?
Probabilmente sì, se i tuoi sistemi di AI sono immessi sul mercato dell'Unione o se i loro output sono usati nell'UE. La portata extraterritoriale fa rientrare nell'ambito anche i fornitori e i deployer extra-UE; quelli ad alto rischio devono inoltre nominare un rappresentante autorizzato nell'Unione.
AI Act e GDPR: qual è la differenza?
Il GDPR tutela i dati personali; l'AI Act regola la sicurezza e l'affidabilità dei sistemi di AI. Sono complementari: se la tua AI tratta dati personali devi rispettare entrambi, integrando DPIA e valutazione di conformità.
Quanto sono elevate le sanzioni dell'AI Act?
Fino a 35 milioni di euro o al 7% del fatturato annuo mondiale (l'importo più alto) per le pratiche vietate, con massimali inferiori per le altre violazioni. Per le PMI gli importi sono ridotti.
Come adeguarsi con il supporto giusto
Capire dove ricade la tua AI nella piramide del rischio è il primo passo verso la conformità. Per passare alla pratica, consulta la nostra checklist di conformità all'AI Act. Opsio, azienda nordica cloud e AI certificata ISO 27001, affianca le organizzazioni con servizi di supporto AI gestito e di consulenza AI per costruire soluzioni affidabili e allineate al Regolamento IA. Questo contenuto ha finalità informative e non sostituisce una consulenza legale qualificata.
Written By
Country Manager, India
Praveena guida le operazioni di Opsio in India, portando oltre 17 anni di esperienza trasversale in IA, manifattura, DevOps e managed services.
Editorial standards: Questo articolo è stato scritto da professionisti cloud e revisionato dal nostro team di ingegneria. Aggiorniamo i contenuti trimestralmente per garantirne l'accuratezza tecnica. Opsio mantiene l'indipendenza editoriale.