In questo articolo:
- AI Act: divieti sui sistemi a rischio inaccettabile e obblighi per fornitori e sviluppatori
- Le tappe più rilevanti dell’applicazione dell’AI Act, dall’entrata in vigore al 2026
- I tre livelli di rischio a confronto: cosa cambia per ogni categoria
- Come Aptus aiuta ad adeguarsi all’AI Act
- Conclusione
- Domande frequenti sull’AI Act
Il 2 febbraio 2025 è stata una tappa fondamentale nel percorso di attuazione dell’AI Act, il primo regolamento al mondo sull’intelligenza artificiale, all’interno dell’Unione Europea. Da quella data sono entrati in vigore i divieti per i sistemi di IA a rischio inaccettabile e gli obblighi di alfabetizzazione per fornitori e sviluppatori di sistemi AI. Per le organizzazioni che sviluppano, distribuiscono o utilizzano sistemi di intelligenza artificiale, il tema dell’adeguamento all’AI Act non è più rinviabile.
Prima di analizzare quali divieti si applicano e quali obblighi sono scattati, è utile ripercorrere i contenuti principali del Regolamento UE 2024/1689 e capire perché rappresenta uno spartiacque normativo senza precedenti.
Come riportato sul sito ufficiale del Parlamento Europeo, l’AI Act esiste per “assicurare che i sistemi di intelligenza artificiale utilizzati nell’Unione Europea siano sicuri, trasparenti, tracciabili, non discriminatori e rispettosi dell’ambiente“. Il primo passo verso questo obiettivo è stato identificare tre livelli di rischio dei sistemi AI, a ciascuno dei quali corrispondono obblighi distinti.
AI Act: divieti sui sistemi a rischio inaccettabile e obblighi per fornitori e sviluppatori
Cosa vieta esattamente l’AI Act, e a chi si applicano gli obblighi entrati in vigore il 2 febbraio 2025? Il Regolamento UE 2024/1689 proibisce i sistemi di IA che presentano un rischio inaccettabile per i diritti fondamentali, la sicurezza e la dignità delle persone. Chi sviluppa, distribuisce o mette in uso questi sistemi sul mercato europeo è soggetto ai divieti e agli obblighi di alfabetizzazione previsti dal Capitolo I e dal Capitolo II del Regolamento.
Le pratiche di AI vietate rientrano in tre macro-categorie principali:
- Manipolazione comportamentale cognitiva di persone o gruppi vulnerabili, attraverso tecniche subliminali o che sfruttano debolezze psicologiche specifiche
- Classificazione sociale delle persone in base a comportamenti, caratteristiche personali o livello socio-economico, con effetti pregiudizievoli non giustificati
- Identificazione biometrica in tempo reale a distanza in spazi accessibili al pubblico, come i sistemi di riconoscimento facciale live
Il Regolamento prevede alcune eccezioni circoscritte: i sistemi di identificazione biometrica a distanza possono essere utilizzati, ad esempio, per perseguire reati gravi, ma solo con autorizzazione preventiva dell’autorità giudiziaria e nel rispetto di condizioni stringenti.
Il dato di contesto è rilevante: secondo il Thomson Reuters 2025 Generative AI in Professional Services Report, il tempo medio necessario per implementare un cambiamento normativo supera i 12 mesi. Con EBA, ESMA e BCE che accelerano costantemente il proprio output regolamentare, questo ritardo si traduce in una diretta esposizione alle sanzioni.
Le tappe più rilevanti dell’applicazione dell’AI Act, dall’entrata in vigore al 2026
Una norma complessa come l’AI Act non poteva entrare in vigore integralmente in un’unica soluzione. Le autorità europee hanno definito una timeline articolata, con milestone progressive a partire dall’entrata in vigore del 1° agosto 2024, secondo quanto stabilito dalla timeline ufficiale pubblicata dall’UE.
1° agosto 2024. Entrata in vigore del Regolamento UE 2024/1689 (AI Act). Inizia il periodo transitorio.
2 febbraio 2025. Prima milestone operativa. Si applicano il Capitolo I (disposizioni generali) e il Capitolo II (pratiche di AI vietate). Come chiarito nel Considerando 179 dell’AI Act, anticipare l’applicazione dei divieti è necessario “per tenere conto di rischi inaccettabili e per avere un effetto su altre procedure, come nel diritto civile”. Da questa data scattano anche gli obblighi di alfabetizzazione AI: fornitori e utilizzatori devono garantire, nella misura del possibile, un livello sufficiente di competenza in materia di intelligenza artificiale al personale che gestisce o utilizza sistemi AI per loro conto.
2 maggio 2025. Scadenza per la pubblicazione dei codici di buona pratica, strumenti di soft law che i fornitori possono adottare per dimostrare conformità in vista della seconda milestone.
2 agosto 2025. Seconda milestone. Entrano in vigore gli obblighi per i fornitori di modelli di IA per uso generale (General Purpose AI Models, GPAI), comprese le disposizioni sulle sanzioni. Diventano operative anche le disposizioni sugli organismi notificati e sulla struttura di governance.
2 agosto 2026. Piena applicazione del Regolamento, comprese le disposizioni sui sistemi ad alto rischio. L’infrastruttura di governance e il sistema di valutazione della conformità devono essere completamente operativi.
⚠️ Normativa in evoluzione: verificare la versione vigente del Regolamento UE 2024/1689 e i relativi atti delegati, in particolare per quanto riguarda i codici di buona pratica e le linee guida dell’AI Office.
I tre livelli di rischio a confronto: cosa cambia per ogni categoria
Come si distribuiscono gli obblighi tra le diverse categorie di sistemi AI? Il Regolamento UE 2024/1689 classifica i sistemi in tre fasce di rischio, a ciascuna delle quali corrispondono obblighi proporzionati. La distinzione è fondamentale per capire cosa si applica alla propria organizzazione.
| Livello di rischio | Esempi di sistemi | Obblighi principali | Sanzioni massime |
|---|---|---|---|
| Rischio inaccettabile | Manipolazione cognitiva, social scoring, riconoscimento facciale real-time | Divieto assoluto di immissione sul mercato | Fino a 35 milioni di euro o 7% del fatturato annuo globale |
| Rischio alto | AI in infrastrutture critiche, recruiting, istruzione, giustizia, biometria | Conformità obbligatoria, iscrizione nel database EU, valutazione della conformità | Fino a 15 milioni di euro o 3% del fatturato annuo globale |
| Rischio limitato | Chatbot, Generative AI (testi, immagini, audio, deepfake) | Requisiti minimi di trasparenza, obbligo di dichiarare l’origine AI | Fino a 7,5 milioni di euro o 1,5% del fatturato annuo globale |
Fonte: Regolamento UE 2024/1689 (AI Act), Articoli 5, 6, 13 e 99, disponibile su EUR-Lex.
I sistemi a rischio limitato e la Generative AI
La terza fascia di rischio include anche la Generative AI, sia testuale che visiva, audio e video (inclusi i deepfake). Le organizzazioni che offrono servizi di GenAI devono rispettare obblighi di trasparenza specifici: comunicare esplicitamente che il contenuto è generato dall’AI, progettare il modello in modo da impedire la generazione di contenuti illegali e pubblicare sintesi dei dati utilizzati per l’addestramento su cui gravano diritti d’autore.
Un dato significativo in questo contesto: secondo la ricerca di Stanford University “Hallucination-Free? Assessing the Reliability of Leading AI Legal Research Tools” (giugno 2024), i modelli AI generalisti producono risposte incomplete o non affidabili nel 60% dei casi quando applicati ad analisi normative e legali. In un contesto regolamentato, un output non verificabile può rendere inutilizzabile l’AI-generated compliance output agli occhi del regolatore.
Come Aptus aiuta ad adeguarsi all’AI Act
Adeguarsi all’AI Act richiede un monitoraggio normativo continuo, la capacità di identificare rapidamente gli impatti sulle proprie operazioni e la produzione di documentazione verificabile. Tre attività che, gestite con strumenti generalisti, espongono i team compliance a un carico di lavoro insostenibile e a un rischio concreto di lacune.
Secondo il PwC Global Compliance Survey 2025, il 28% dei professionisti compliance dichiara di temere di perdere aggiornamenti normativi critici a causa di metodi di monitoraggio manuali e obsoleti. Un rischio che, nel contesto dell’AI Act, si traduce direttamente in esposizione sanzionatoria.
Aptus.AI è una piattaforma di Regulatory Intelligence progettata per supportare i team legal e compliance nella gestione del cambiamento normativo. Applicata al percorso di adeguamento all’AI Act, offre quattro contributi concreti:
- Monitoraggio in tempo reale su 200+ fonti normative. La piattaforma aggrega quotidianamente gli aggiornamenti di oltre 200 autorità regolatorie in 9 Paesi, incluse le pubblicazioni dell’AI Office europeo. Nessun aggiornamento del Regolamento UE 2024/1689 o dei suoi atti delegati passa inosservato.
- Horizon Scanning strutturato. I team compliance ricevono alert filtrati per aree di interesse, con anticipazione sui documenti normativi in consultazione pubblica prima della pubblicazione ufficiale. Questo consente di pianificare le attività di adeguamento con settimane di anticipo rispetto alla scadenza.
- Gap Analysis e Risk Assessment automatizzati. La piattaforma identifica i disallineamenti tra le policy interne e i nuovi requisiti dell’AI Act, producendo una valutazione del rischio e una bozza di action plan strutturata. Le attività che richiederebbero settimane di revisione manuale vengono completate in ore.
- AI assistant per la compliance ancorato alla verità normativa. L’assistente AI di Aptus risponde a domande sul Regolamento UE 2024/1689 e sui suoi atti applicativi esclusivamente sulla base del database normativo proprietario, con fonti verificabili e ragionamento giuridico tracciabile. Supporta la produzione di compliance opinion, procedure interne e documentazione per i regolatori.
La decisione finale resta sempre al professionista. Aptus organizza, collega e analizza: il giudizio rimane in capo al team compliance o legale.
Conclusione
L’AI Act non è un adempimento da completare una volta sola. È un quadro normativo in evoluzione, con milestone operative distribuite fino al 2026 e oltre, e con un sistema sanzionatorio che rende l’esposizione ai rischi di non conformità concreta e quantificabile.
Le organizzazioni che trattano lo sviluppo o l’utilizzo di sistemi AI come un’attività operativa ordinaria devono dotarsi di un approccio altrettanto strutturato all’adeguamento normativo: monitoraggio continuativo, gap analysis rispetto ai requisiti del Regolamento UE 2024/1689, documentazione verificabile per i regolatori.
Il vantaggio competitivo nei prossimi anni non spetterà a chi reagisce alle scadenze, ma a chi le anticipa.
Prova Aptus gratuitamente e inizia a monitorare le normative che impattano la tua organizzazione. Se rappresenti un’organizzazione complessa e preferisci un confronto diretto con il nostro team, contattaci per una valutazione dedicata.
Le informazioni presenti in questo articolo non costituiscono consulenza legale. Per analisi specifiche, rivolgiti al tuo studio legale di riferimento. Consulta il testo completo del Regolamento UE 2024/1689 direttamente su EUR-Lex.
Domande frequenti sull’AI Act
Quando entra in vigore l’AI Act?
Il Regolamento UE 2024/1689 (AI Act) è entrato in vigore il 1° agosto 2024. L’applicazione è progressiva: i divieti sui sistemi a rischio inaccettabile e gli obblighi di alfabetizzazione AI si applicano dal 2 febbraio 2025; gli obblighi per i fornitori di modelli GPAI dal 2 agosto 2025; la piena applicazione per i sistemi ad alto rischio è prevista dal 2 agosto 2026.
Chi deve adeguarsi all’AI Act?
Il Regolamento si applica a fornitori, distributori, importatori e utilizzatori di sistemi di intelligenza artificiale che immettono sistemi sul mercato UE o li utilizzano nell’Unione, indipendentemente dalla loro sede legale. Gli obblighi variano in base al ruolo nella catena del valore e al livello di rischio del sistema AI utilizzato o sviluppato.
Come si monitora la conformità all’AI Act?
Il monitoraggio normativo dell’AI Act richiede il presidio delle pubblicazioni dell’AI Office europeo, degli atti delegati e dei codici di buona pratica previsti dal Regolamento. Le organizzazioni devono disporre di un sistema strutturato di Regulatory Change Management in grado di tradurre gli aggiornamenti normativi in impatti operativi concreti, aggiornare le policy interne e produrre documentazione per i regolatori.
Cosa rischia un’azienda non conforme all’AI Act?
Le sanzioni previste dall’AI Act variano in base alla violazione commessa. Il massimo edittale riguarda le violazioni dei divieti assoluti (Articolo 5): fino a 35 milioni di euro o il 7% del fatturato annuo globale, se superiore. Le violazioni relative ai sistemi ad alto rischio arrivano fino a 15 milioni di euro o il 3% del fatturato. Per le PMI e le startup si applicano massimali inferiori. Oltre alle sanzioni pecuniarie, le autorità possono imporre la sospensione o il ritiro dal mercato del sistema non conforme.
Quali strumenti supportano l’adeguamento all’AI Act?
L’adeguamento all’AI Act richiede strumenti in grado di garantire monitoraggio normativo continuo, gap analysis rispetto ai requisiti del Regolamento e produzione di documentazione verificabile. Le piattaforme di Regulatory Intelligence basate su AI, come Aptus.AI, supportano i team compliance nella gestione dell’intero ciclo di Regulatory Change Management, dalla rilevazione dell’aggiornamento normativo fino alla produzione di documentazione per i regolatori, su fonti certificate e tracciabili.
Le informazioni presenti potrebbero non riflettere gli sviluppi normativi più recenti: si consiglia di verificarne la vigenza. Le informazioni presenti non costituiscono consulenza legale.
