Conformità AI Act
Il Regolamento (UE) 2024/1689 sull'intelligenza artificiale introduce un framework normativo basato sul rischio. Lo studio offre assistenza legale in materia di classificazione del rischio, compliance e documentazione tecnica, erogabile in videochiamata su tutto il territorio nazionale.
Il Nuovo Framework Europeo sull'AI
Cos'è l'AI Act? L'AI Act (Regolamento UE 2024/1689) è il primo quadro giuridico completo al mondo sull'Intelligenza Artificiale, entrato in vigore il 1° agosto 2024. Il suo obiettivo è garantire che i sistemi di intelligenza artificiale immessi sul mercato europeo siano sicuri e rispettino i diritti fondamentali. La normativa adotta un approccio basato sul rischio, dividendo i sistemi IA in quattro categorie: rischio inaccettabile (vietati, es. social scoring), rischio alto (soggetti a stretti obblighi di compliance tecnica e DPO), rischio limitato (obblighi di trasparenza) e rischio minimo. L'adeguamento richiede una classificazione accurata e la redazione di documentazione tecnica obbligatoria.
Febbraio 2025
Divieto dei sistemi AI a rischio inaccettabile
Agosto 2025
Requisiti per modelli AI general-purpose
Agosto 2026
Piena applicazione per sistemi ad alto rischio
A Chi Si Applica?
- Fornitori di sistemi AI immessi sul mercato UE
- Deployer (utilizzatori) di sistemi AI nell'UE
- Importatori e distributori di sistemi AI
- Produttori che integrano AI nei propri prodotti
- Rappresentanti autorizzati di fornitori extra-UE
Approccio Basato sul Rischio
L'AI Act classifica i sistemi AI in base al livello di rischio per i diritti fondamentali e la sicurezza, applicando requisiti proporzionati.
Rischio Inaccettabile
Sistemi vietati: manipolazione subliminale, social scoring governativo, identificazione biometrica remota in tempo reale (con eccezioni).
Rischio Alto
Sistemi soggetti a requisiti stringenti: valutazione conformità, gestione rischi, trasparenza, supervisione umana.
Rischio Limitato
Sistemi con obblighi di trasparenza: informare gli utenti che interagiscono con un sistema AI.
Rischio Minimo
Sistemi liberamente utilizzabili, eventualmente con codici di condotta volontari.
Livelli di Rischio AI Act: Obblighi e Sanzioni
Riepilogo degli obblighi e delle sanzioni previste dal Regolamento (UE) 2024/1689 per ciascun livello di rischio.
| Livello di Rischio | Obblighi Principali | Sanzione Massima | Scadenza |
|---|---|---|---|
| Inaccettabile | Divieto assoluto di immissione sul mercato e utilizzo | Fino a 35 mln € o 7% del fatturato mondiale | Febbraio 2025 |
| Alto | Valutazione conformità, gestione rischi, documentazione tecnica, supervisione umana, trasparenza | Fino a 15 mln € o 3% del fatturato mondiale | Agosto 2026 |
| Limitato | Obblighi di trasparenza: informare gli utenti dell'interazione con AI | Fino a 15 mln € o 3% del fatturato mondiale | Agosto 2026 |
| Minimo | Nessun obbligo specifico, codici di condotta volontari | Nessuna sanzione specifica | N/A |
Ambiti di Assistenza
Le attività di consulenza comprendono i seguenti ambiti, dalla fase di assessment alla predisposizione della documentazione richiesta dal Regolamento.
Classificazione del Rischio
Analisi dei sistemi AI in uso o in fase di sviluppo per determinare la classe di rischio e gli obblighi applicabili.
Gap Analysis
Valutazione dello stato attuale rispetto ai requisiti dell'AI Act, identificazione delle aree di intervento.
Sistema di Gestione Rischi
Supporto per l'implementazione del sistema di gestione dei rischi richiesto per i sistemi ad alto rischio.
Documentazione Tecnica
Redazione della documentazione tecnica obbligatoria: descrizione sistema, dati training, testing, monitoraggio.
Governance AI
Definizione della governance interna: ruoli, responsabilità, procedure per lo sviluppo e l'utilizzo di sistemi AI.
Formazione
Sessioni formative per management, sviluppatori e utilizzatori sui requisiti dell'AI Act e le best practice.
Le Voci delle Istituzioni Europee
Cosa hanno dichiarato i protagonisti dell'AI Act al momento della sua approvazione.
“We finally have the world's first binding law on artificial intelligence, to reduce risks, create opportunities, combat discrimination, and bring transparency.”
“L'Italia sostiene una via europea all'intelligenza artificiale, che si distacca dall'esasperato liberismo americano come dal sovranismo autarchico. La nostra è una via mediana, per la libertà, la democrazia e la dignità umana in Europa.”
Stato dell'Implementazione in Italia (aggiornato a marzo 2026)
- Legge n. 132/2025 — L'Italia è il primo Stato membro ad aver adottato una legge nazionale sull'IA (23 settembre 2025)
- ACN (Agenzia per la Cybersicurezza Nazionale) designata come autorità di vigilanza con poteri ispettivi e sanzionatori
- AgID (Agenzia per l'Italia Digitale) designata come autorità di notifica per i sistemi AI
- Gennaio 2026: l'EU AI Office ha avviato le prime richieste formali di informazioni verso fornitori di modelli general-purpose, tra cui X (Grok) e Meta
Approfondimenti sull'AI Act
Domande Frequenti
- Quando entra in vigore l'AI Act e quali sono le scadenze chiave?
- Il Regolamento UE 2024/1689 (AI Act) è entrato in vigore il 1° agosto 2024 con applicazione scaglionata. Dal 2 febbraio 2025 sono applicabili i divieti su pratiche di IA inaccettabili (es. social scoring, manipolazione comportamentale). Dal 2 agosto 2025 sono in vigore gli obblighi per i modelli GPAI (General Purpose AI). Dal 2 agosto 2026 si applicano gli obblighi completi per sistemi ad alto rischio. Dal 2 agosto 2027 entrano in vigore le regole per sistemi ad alto rischio integrati in prodotti già regolati.
- La mia azienda usa ChatGPT o un software con IA: devo essere conforme all'AI Act?
- Sì, anche l'uso di modelli IA di terzi (ChatGPT, Claude, Gemini) genera obblighi di conformità. Il tuo ruolo nell'AI Act dipende dall'uso: sei deployer (utilizzatore professionale) e devi garantire trasparenza verso gli utenti finali, supervisione umana sui processi automatizzati, e DPIA per trattamenti GDPR collegati. Se integri il modello in un tuo sistema venduto a terzi, diventi provider con obblighi più estesi (documentazione tecnica, marcatura CE, registrazione database UE).
- Quali sistemi di IA sono considerati "ad alto rischio" nell'AI Act?
- L'Allegato III dell'AI Act elenca 8 categorie di sistemi ad alto rischio: identificazione biometrica, infrastrutture critiche, istruzione e valutazione, occupazione e gestione lavoratori (HR tech, screening CV), accesso a servizi essenziali pubblici/privati (credit scoring, assicurazioni), giustizia e democrazia, controlli alle frontiere, applicazione della legge. Per questi sistemi sono obbligatori: gestione del rischio, governance dei dati, documentazione tecnica, tracciabilità, supervisione umana, robustezza e cybersecurity.
- Quali sono le sanzioni per violazione dell'AI Act?
- L'AI Act prevede tre fasce sanzionatorie: fino a €35 milioni o 7% del fatturato annuo mondiale per pratiche IA vietate (Art. 5); fino a €15 milioni o 3% del fatturato per violazioni degli obblighi sui sistemi ad alto rischio e GPAI; fino a €7,5 milioni o 1% del fatturato per fornitura di informazioni inesatte alle autorità. Le PMI e startup pagano sanzioni proporzionalmente ridotte. In Italia, l'autorità competente è AGID (Agenzia per l'Italia Digitale) coordinata con il Garante Privacy.
- Cos'è una valutazione FRIA (Fundamental Rights Impact Assessment) e quando è obbligatoria?
- La FRIA è la valutazione d'impatto sui diritti fondamentali introdotta dall'Art. 27 dell'AI Act. È obbligatoria per deployer pubblici (PA, enti pubblici) che utilizzano sistemi ad alto rischio, e per deployer privati di sistemi nelle aree credito, assicurazioni e identificazione biometrica. Deve analizzare: categorie di persone interessate, rischi per i diritti fondamentali, misure di mitigazione, sistema di supervisione umana. È documento separato dalla DPIA GDPR ma può essere integrata.
- Quanto costa l'adeguamento all'AI Act per una PMI italiana?
- I costi variano in base alla classificazione di rischio dei sistemi IA utilizzati. Per una PMI con uso di modelli GPAI di terzi (deployer), il costo tipico di compliance è €3.000-€8.000 (gap analysis, integrazione DPIA-FRIA, aggiornamento contratti e privacy policy). Per provider di sistemi ad alto rischio i costi salgono a €15.000-€50.000 per la prima certificazione (documentazione tecnica, audit interno, registrazione UE). L'adeguamento consente di operare entro il quadro normativo previsto dal Reg. UE 2024/1689, riducendo l'esposizione a sanzioni (fino a €15M+) e favorendo il posizionamento commerciale.