Introduzione

Il Regolamento europeo sull'intelligenza artificiale, noto come AI Act, rappresenta il primo quadro normativo organico al mondo dedicato alla regolamentazione dei sistemi di intelligenza artificiale. Approvato in via definitiva dal Parlamento europeo nel marzo 2024 e pubblicato nella Gazzetta Ufficiale dell'UE nel luglio dello stesso anno, il regolamento segna un passaggio storico nella governance tecnologica globale.

Per le imprese italiane, l'AI Act non è semplicemente un nuovo adempimento burocratico: si tratta di un cambio di paradigma nel modo in cui l'intelligenza artificiale può essere sviluppata, commercializzata e utilizzata all'interno del mercato unico europeo. Con le prime disposizioni già operative dal febbraio 2025 e la piena applicabilita prevista per agosto 2026, il tempo per prepararsi si sta riducendo rapidamente.

Questa guida nasce con l'obiettivo di offrire a imprenditori, responsabili IT e professionisti un quadro chiaro e operativo di ciò che l'AI Act comporta. Analizzeremo la struttura del regolamento, il sistema di classificazione basato sul rischio, gli obblighi specifici per fornitori e utilizzatori, e soprattutto le implicazioni concrete per il tessuto imprenditoriale italiano, composto in larga parte da piccole e medie imprese.

Perché questa guida? Secondo un'indagine di Confindustria Digitale, oltre il 60% delle PMI italiane che utilizzano soluzioni basate sull'intelligenza artificiale non è ancora pienamente consapevole degli obblighi introdotti dall'AI Act. Questa guida vuole contribuire a colmare questo divario informativo.

Cos'è l'AI Act

L'AI Act (Regolamento UE 2024/1689) è il primo regolamento al mondo che disciplina in modo sistematico l'intelligenza artificiale. A differenza di altri approcci normativi — come quello statunitense, basato prevalentemente su linee guida settoriali e autoregolamentazione — l'Unione Europea ha scelto un modello legislativo vincolante, con applicazione diretta in tutti gli Stati membri senza necessita di recepimento nazionale.

L'approccio europeo si fonda su un principio chiave: la regolamentazione basata sul rischio. Non tutti i sistemi di intelligenza artificiale vengono trattati allo stesso modo. Il regolamento distingue tra diversi livelli di rischio e calibra gli obblighi di conseguenza, concentrando le prescrizioni più stringenti sui sistemi che presentano le maggiori potenzialita di danno per i diritti fondamentali delle persone.

Questo approccio proporzionale si differenzia nettamente dalle normative "a taglia unica" e mira a trovare un equilibrio tra la tutela dei cittadini e la promozione dell'innovazione. L'AI Act non vieta l'intelligenza artificiale: ne disciplina lo sviluppo e l'impiego, premiando le organizzazioni che adottano pratiche responsabili e trasparenti.

L'intelligenza artificiale dovrebbe essere uno strumento al servizio delle persone e contribuire al benessere umano, con lo scopo ultimo di migliorare il benessere umano.
— Considerando 6, Regolamento UE 2024/1689

Il regolamento si applica a tutti i soggetti che immettono sul mercato o mettono in servizio sistemi di IA nell'Unione Europea, indipendentemente dal fatto che il fornitore sia stabilito nell'UE o in un Paese terzo. Questo principio di extraterritorialita garantisce che qualsiasi sistema di IA utilizzato sul territorio europeo debba rispettare le stesse regole, creando condizioni di parita per tutti gli operatori economici.

Classificazione del rischio

Il cuore dell'AI Act risiede nel suo sistema di classificazione del rischio, una struttura a quattro livelli che determina quali obblighi si applicano a ciascun sistema di intelligenza artificiale. Comprendere questa classificazione è il primo passo fondamentale per qualsiasi impresa che utilizzi o intenda adottare soluzioni basate sull'IA.

Ogni sistema di intelligenza artificiale viene valutato in base al suo potenziale impatto sui diritti fondamentali, sulla sicurezza e sul benessere delle persone. Più alto è il rischio, più stringenti sono gli obblighi normativi. Questa struttura piramidale consente di evitare un eccesso di regolamentazione per le applicazioni a basso rischio, concentrando le risorse di compliance dove sono realmente necessarie.

Livello 1

Rischio Inaccettabile

Sistemi di IA vietati dall'AI Act in quanto considerati una minaccia diretta ai diritti fondamentali. Includono il social scoring governativo, la manipolazione subliminale del comportamento, lo sfruttamento di vulnerabilita specifiche e l'identificazione biometrica remota in tempo reale in spazi pubblici (con limitate eccezioni per le forze dell'ordine).

Esempio: un sistema che classifica i cittadini in base al loro "punteggio sociale" per determinare l'accesso ai servizi pubblici.
Livello 2

Rischio Alto

Sistemi soggetti a obblighi rigorosi prima dell'immissione sul mercato. Comprendono IA utilizzata in infrastrutture critiche, istruzione, occupazione, servizi essenziali, attivita di contrasto, gestione delle frontiere e amministrazione della giustizia. Richiedono conformity assessment, documentazione tecnica dettagliata e supervisione umana.

Esempio: un software di IA che seleziona automaticamente i curricula dei candidati per una posizione lavorativa.
Livello 3

Rischio Limitato

Sistemi soggetti a obblighi di trasparenza specifici. L'obbligo principale è informare gli utenti che stanno interagendo con un sistema di IA. Rientrano in questa categoria chatbot, sistemi di generazione di contenuti (testo, immagini, audio, video) e sistemi di riconoscimento delle emozioni o di categorizzazione biometrica.

Esempio: un chatbot di assistenza clienti sul sito web aziendale che deve dichiarare la propria natura artificiale.
Livello 4

Rischio Minimo

Sistemi di IA per i quali non sono previsti obblighi specifici dall'AI Act. La grande maggioranza delle applicazioni di IA attualmente in uso rientra in questa categoria. Include filtri antispam, sistemi di raccomandazione, videogiochi con IA e strumenti di ottimizzazione dei processi produttivi senza impatto diretto sui diritti delle persone.

Esempio: un algoritmo di raccomandazione prodotti in un e-commerce o un filtro antispam nella posta elettronica.

Attenzione alla classificazione. Un aspetto cruciale è che la classificazione non dipende dalla tecnologia in se, ma dal suo ambito di applicazione. Lo stesso modello di machine learning può ricadere nella categoria "rischio minimo" se usato per ottimizzare la logistica di magazzino, oppure nella categoria "rischio alto" se impiegato per valutare l'affidabilita creditizia di una persona fisica.

Obblighi per le imprese

L'AI Act distingue chiaramente tra due categorie di soggetti obbligati: i provider (fornitori), ciòè coloro che sviluppano o fanno sviluppare un sistema di IA e lo immettono sul mercato o lo mettono in servizio con il proprio nome o marchio; e i deployer (utilizzatori), ciòè coloro che utilizzano un sistema di IA sotto la propria autorita, escluso l'uso personale non professionale.

Per i sistemi ad alto rischio, i provider devono rispettare un insieme articolato di obblighi che coprono l'intero ciclo di vita del sistema. Si tratta di requisiti progettati per garantire che l'IA ad alto rischio sia sviluppata e mantenuta secondo standard elevati di qualita, sicurezza e rispetto dei diritti fondamentali.

Obblighi principali per i provider di sistemi ad alto rischio

Obblighi per i deployer di sistemi ad alto rischio

Sanzioni previste dall'AI Act. Le violazioni del regolamento possono comportare sanzioni amministrative significative:

Per le pratiche vietate (rischio inaccettabile): fino a 35 milioni di euro o al 7% del fatturato annuo mondiale, se superiore.

Per la violazione degli obblighi relativi ai sistemi ad alto rischio: fino a 15 milioni di euro o al 3% del fatturato annuo mondiale.

Per la fornitura di informazioni inesatte alle autorita: fino a 7,5 milioni di euro o all'1% del fatturato annuo mondiale.

Per le PMI e le startup, le sanzioni sono calcolate in misura proporzionale, tenendo conto della dimensione dell'impresa e della gravita della violazione.

Trasparenza e documentazione

La trasparenza rappresenta uno dei pilastri fondamentali dell'AI Act. Il regolamento parte dal presupposto che le persone abbiano il diritto di sapere quando interagiscono con un sistema di intelligenza artificiale e di comprendere come le decisioni che le riguardano vengono prese o influenzate da tali sistemi.

Gli obblighi di trasparenza si applicano trasversalmente a diverse categorie di rischio, ma con intensita differente. Per i sistemi a rischio limitato, è sufficiente informare l'utente della natura artificiale dell'interazione. Per i sistemi ad alto rischio, la trasparenza si traduce in un complesso sistema di documentazione tecnica, istruzioni d'uso e registrazione degli eventi che deve accompagnare il sistema per tutta la sua vita operativa.

Un aspetto particolarmente rilevante riguarda i sistemi di IA per finalita generali (GPAI), come i grandi modelli linguistici. Per questi sistemi, l'AI Act prevede obblighi specifici di trasparenza, tra cui la documentazione tecnica del modello, le politiche di rispetto del diritto d'autore e la pubblicazione di una sintesi dei dati di addestramento utilizzati.

Requisito

Documentazione tecnica

Descrizione dettagliata del sistema, della sua finalita prevista, delle prestazioni, dei limiti noti e delle misure di mitigazione dei rischi. Deve essere redatta prima dell'immissione sul mercato e mantenuta aggiornata.

Destinatari: autorita di vigilanza e organismi notificati.
Requisito

Istruzioni per l'uso

Informazioni chiare e accessibili destinate ai deployer, che includano le caratteristiche del sistema, le sue capacita e limitazioni, le misure di supervisione umana raccomandate e le istruzioni per la manutenzione.

Destinatari: deployer (utilizzatori professionali del sistema).
Requisito

Registrazione degli eventi (logging)

Meccanismi automatici di tracciamento che registrino le operazioni del sistema durante il suo funzionamento, consentendo verifiche ex post e audit di conformita. I log devono essere conservati per un periodo adeguato.

Destinatari: provider, deployer e autorita in caso di indagine.
Requisito

Informazione agli utenti finali

Obbligo di comunicare in modo chiaro e tempestivo che si sta interagendo con un sistema di IA. Per i contenuti generati (deepfake, testi, immagini), obbligo di etichettatura leggibile sia dall'uomo che dalle macchine.

Destinatari: utenti finali, cittadini e consumatori.

Contenuti generati da IA. L'AI Act impone che i contenuti di tipo deepfake — ciòè immagini, audio o video generati o manipolati artificialmente che ritraggono persone reali in situazioni mai avvenute — siano chiaramente etichettati come generati dall'intelligenza artificiale. Questo obbligo si applica anche ai testi generati da IA quando sono pubblicati con lo scopo di informare su questioni di interesse pubblico.

Implicazioni per le PMI italiane

L'Italia è un Paese in cui le piccole e medie imprese rappresentano oltre il 99% del tessuto produttivo e contribuiscono a circa il 70% del valore aggiunto nazionale. Per questo motivo, l'impatto dell'AI Act sulle PMI italiane merita un'analisi specifica e approfondita.

La buona notizia è che la stragrande maggioranza delle PMI italiane utilizza sistemi di IA che ricadono nella categoria a rischio minimo o a rischio limitato: chatbot per l'assistenza clienti, strumenti di analisi predittiva per la gestione del magazzino, sistemi di raccomandazione, automazione di processi documentali. Per queste applicazioni, gli obblighi sono contenuti e gestibili.

Tuttavia, alcune imprese italiane — in particolare nei settori del credito, delle risorse umane, della sanita e dei servizi pubblici — potrebbero trovarsi a gestire sistemi classificati come alto rischio. In questi casi, gli obblighi di conformita sono significativi e richiedono un investimento in competenze, processi e documentazione che non può essere sottovalutato.

Il legislatore europeo ha previsto alcune disposizioni specifiche per attenuare l'impatto sulle PMI. Tra queste, l'obbligo per gli Stati membri di istituire sandbox regolatori — ambienti controllati in cui le imprese possono testare sistemi di IA innovativi sotto la supervisione delle autorita, con oneri regolamentari ridotti — e la possibilita di accedere a procedure semplificate di conformita. L'Italia sta lavorando all'istituzione del proprio sandbox nazionale attraverso l'Agenzia per l'Italia Digitale (AgID).

Un'opportunita, non solo un obbligo. Per le PMI italiane che sapranno adeguarsi tempestivamente all'AI Act, la conformita può diventare un vantaggio competitivo. Certificare la propria IA come conforme al regolamento europeo rafforza la fiducia dei clienti, facilita l'accesso ai mercati internazionali e può rappresentare un elemento differenziante nelle gare d'appalto pubbliche e private.

Tempistiche di applicazione

L'AI Act non entra in vigore tutto in una volta. Il legislatore europeo ha previsto un'applicazione graduale, con scadenze differenziate a seconda della tipologia di disposizioni, per consentire agli operatori economici di adeguarsi progressivamente. Comprendere questa timeline è essenziale per pianificare correttamente il percorso di adeguamento.

Il regolamento è stato pubblicato nella Gazzetta Ufficiale dell'UE il 12 luglio 2024 ed è entrato formalmente in vigore il 1 agosto 2024. Da quella data, decorrono i termini per l'applicazione delle diverse parti del regolamento, secondo un calendario preciso.

Feb 2025

Divieti operativi
Entrano in vigore i divieti per i sistemi di IA a rischio inaccettabile: social scoring, manipolazione subliminale, sfruttamento di vulnerabilita e riconoscimento biometrico remoto in tempo reale (con eccezioni limitate).

Ago 2025

Regole GPAI
Si applicano gli obblighi per i modelli di IA per finalita generali (GPAI). I provider di modelli fondazionali devono garantire trasparenza, documentazione tecnica e rispetto del diritto d'autore. Obblighi rafforzati per i modelli con rischio sistemico.

Ago 2026

Piena applicazione
Entrano in vigore tutti gli obblighi per i sistemi ad alto rischio: conformity assessment, documentazione tecnica completa, sistema di gestione del rischio, supervisione umana, logging e registrazione nella banca dati UE.

Questo calendario rende evidente che il tempo per prepararsi è limitato. Le imprese che sviluppano o utilizzano sistemi di IA ad alto rischio hanno meno di un anno dalla data di pubblicazione di questa guida per completare il proprio percorso di adeguamento prima della piena applicabilita del regolamento nell'agosto 2026.

È importante sottolineare che gli obblighi relativi all'alfabetizzazione in materia di IA (articolo 4 del regolamento) si applicano già dal febbraio 2025. Cio significa che tutte le imprese che utilizzano sistemi di IA devono già oggi garantire che il proprio personale possieda un livello sufficiente di competenza in materia di intelligenza artificiale.

Come prepararsi

Prepararsi all'AI Act richiede un approccio sistematico che coinvolga l'intera organizzazione, non solo il reparto IT o l'ufficio legale. Si tratta di un percorso che parte dalla mappatura dei sistemi di IA attualmente in uso e arriva alla costruzione di un sistema di governance interno capace di gestire la conformita nel tempo.

Non esiste una soluzione universale: il percorso di adeguamento dipende dalla dimensione dell'impresa, dal settore di attivita, dalla tipologia e dal numero di sistemi di IA utilizzati. Tuttavia, è possibile individuare una serie di passaggi fondamentali comuni a tutte le organizzazioni.

Percorso di adeguamento in sei fasi

Un aspetto spesso sottovalutato riguarda i contratti con i fornitori di soluzioni di IA. Le imprese che utilizzano sistemi di IA sviluppati da terzi (la maggioranza delle PMI italiane) devono verificare che i contratti in essere includano clausole adeguate sulla conformita all'AI Act, sull'accesso alla documentazione tecnica e sulla cooperazione in caso di ispezioni da parte delle autorita.

Infine, è consigliabile valutare l'opportunita di partecipare ai sandbox regolatori che verranno istituiti a livello nazionale. Questi ambienti controllati offrono alle imprese la possibilita di testare soluzioni innovative con il supporto delle autorita competenti, riducendo i rischi e accelerando il percorso di adeguamento.

Risorse per approfondire

L'AI Act è un regolamento complesso e in continua evoluzione, con atti delegati, linee guida e standard tecnici che verranno pubblicati progressivamente nei prossimi mesi e anni. Per restare aggiornati e approfondire i temi trattati in questa guida, segnaliamo le principali risorse istituzionali e tecniche disponibili.

Raccomandiamo di consultare periodicamente queste fonti, in quanto il quadro normativo e interpretativo è in fase di definizione e nuovi documenti vengono pubblicati con regolarita.

Fonte ufficiale UE

Testo integrale dell'AI Act

Il Regolamento (UE) 2024/1689 nella versione pubblicata nella Gazzetta Ufficiale dell'Unione Europea, disponibile in tutte le lingue ufficiali dell'UE, incluso l'italiano.

Commissione europea

AI Office — European AI Office

L'ufficio della Commissione europea incaricato dell'attuazione dell'AI Act. Pubblica linee guida, FAQ, codici di condotta e materiali informativi per le imprese.

Italia

AgID — Agenzia per l'Italia Digitale

L'agenzia nazionale che coordina l'attuazione dell'AI Act in Italia, inclusa l'istituzione del sandbox regolatorio e la designazione dell'autorita nazionale di vigilanza.

Standard tecnici

CEN-CENELEC — Standard armonizzati

Gli organismi europei di normazione incaricati di sviluppare gli standard tecnici armonizzati che consentiranno di presumere la conformita ai requisiti dell'AI Act.

Imprese

Confindustria Digitale

Pubblica guide pratiche, webinar e documenti di posizione sull'impatto dell'AI Act sul tessuto imprenditoriale italiano, con focus specifico sulle PMI.

Ricerca

Consorzio Innovazione Digitale

Il nostro Centro Studi pubblica approfondimenti, analisi e guide operative sull'AI Act e sulla trasformazione digitale, con particolare attenzione al contesto toscano e italiano.

Glossario

Per facilitare la comprensione del regolamento e della terminologia tecnica utilizzata in questa guida, riportiamo di seguito le definizioni dei principali termini introdotti o utilizzati dall'AI Act.

AI Act
Nome comune del Regolamento (UE) 2024/1689, il primo quadro normativo organico al mondo dedicato alla regolamentazione dell'intelligenza artificiale. Stabilisce regole armonizzate per lo sviluppo, l'immissione sul mercato, la messa in servizio e l'uso dei sistemi di IA nell'Unione Europea, seguendo un approccio basato sul rischio.
Rischio Inaccettabile
Il livello più elevato nella classificazione del rischio dell'AI Act. I sistemi che rientrano in questa categoria sono vietati in quanto rappresentano una minaccia diretta e grave ai diritti fondamentali delle persone. Include pratiche come il social scoring, la manipolazione subliminale del comportamento e l'identificazione biometrica remota in tempo reale in spazi pubblici.
Rischio Alto
Categoria di rischio che comprende i sistemi di IA il cui utilizzo può avere un impatto significativo sui diritti fondamentali, sulla salute o sulla sicurezza delle persone. I sistemi ad alto rischio sono soggetti a un insieme rigoroso di obblighi, tra cui la valutazione di conformita, la documentazione tecnica, la gestione del rischio e la supervisione umana.
Rischio Limitato
Categoria intermedia che comprende i sistemi di IA soggetti principalmente a obblighi di trasparenza. Gli utenti devono essere informati che stanno interagendo con un sistema di IA (ad esempio, un chatbot) o che un contenuto è stato generato artificialmente (ad esempio, un deepfake). Non sono richieste valutazioni di conformita.
Rischio Minimo
Il livello più basso nella classificazione del rischio. I sistemi che rientrano in questa categoria non sono soggetti a obblighi specifici ai sensi dell'AI Act, sebbene i provider possano aderire volontariamente a codici di condotta. Comprende la grande maggioranza delle applicazioni di IA attualmente in uso, come filtri antispam, sistemi di raccomandazione e videogiochi.
Conformity Assessment
Procedura obbligatoria per i sistemi di IA ad alto rischio, finalizzata a verificare che il sistema soddisfi tutti i requisiti stabiliti dall'AI Act prima della sua immissione sul mercato o messa in servizio. Può essere svolta internamente dal provider (autovalutazione) o da un organismo notificato indipendente, a seconda della tipologia di sistema.
Provider
Persona fisica o giuridica, autorita pubblica, agenzia o altro organismo che sviluppa un sistema di IA o un modello di IA per finalita generali, oppure che fa sviluppare un sistema o modello di IA e lo immette sul mercato o lo mette in servizio con il proprio nome o marchio, a titolo oneroso o gratuito. Il provider è il principale soggetto responsabile della conformita del sistema.
Deployer
Persona fisica o giuridica, autorita pubblica, agenzia o altro organismo che utilizza un sistema di IA sotto la propria autorita, ad eccezione del caso in cui il sistema di IA sia utilizzato nel corso di un'attivita personale non professionale. Il deployer ha obblighi specifici di uso conforme, supervisione umana, monitoraggio e segnalazione degli incidenti.
GPAI (General-Purpose AI)
Modello di intelligenza artificiale per finalita generali, addestrato su grandi quantita di dati e capace di svolgere una vasta gamma di compiti distinti, indipendentemente dal modo in cui viene immesso sul mercato. Include i grandi modelli linguistici (LLM) e i modelli fondazionali. L'AI Act prevede obblighi specifici di trasparenza e, per i modelli con rischio sistemico, valutazioni e misure di mitigazione supplementari.
Sandbox Regolatorio
Ambiente controllato istituito da un'autorita competente che offre a provider e potenziali provider di sistemi di IA la possibilita di sviluppare, addestrare, validare e testare sistemi di IA innovativi, per un periodo di tempo limitato e sotto la supervisione regolatoria, prima della loro immissione sul mercato. L'AI Act obbliga ogni Stato membro a istituire almeno un sandbox regolatorio entro agosto 2026.