Di cosa parleremo..
Cos’è l’AI Act europeo, come funziona e come essere compliant
L’Europa ha deciso di regolamentare l’intelligenza artificiale. Non con un libretto di buone intenzioni, ma con una legge che prevede multe fino a 35 milioni di euro. L’AI Act è già in vigore in parte dal febbraio 2025 e la maggior parte degli obblighi scatta da agosto 2026. Se usi l’IA nel tuo lavoro o nella tua azienda, questo ti riguarda.
Che cos’è l’AI Act
L’AI Act (Artificial Intelligence Act) è il regolamento UE 2024/1689, entrato in vigore il 1° agosto 2024. È la prima legge al mondo che regolamenta l’intelligenza artificiale con un approccio basato sul rischio: più un sistema IA è pericoloso, più regole deve rispettare. Meno è rischioso, meno burocrazia.
Il principio è semplice: se usi l’IA per filtrare spam, nessuno ti chiede nulla. Se la usi per decidere chi assumere o per valutare l’affidabilità creditizia di una persona, le cose cambiano.
L’AI Act non si applica solo alle aziende europee. Se sviluppi o usi sistemi IA i cui output vengono utilizzati nell’Unione Europea, sei dentro. Questo include anche le API di OpenAI, Anthropic, Google, Meta e tutti i modelli di IA general-purpose.
L’approccio basato sul rischio: quattro categorie
L’AI Act classifica i sistemi IA in quattro livelli di rischio. Ogni livello ha obblighi diversi.
Rischio minimo: nessun obbligo
Qui finisce la maggior parte dell’IA che usiamo ogni giorno. Filtri antispam, motori di raccomandazione (Netflix, Spotify), correttori grammaticali, autocomplete, sistemi di inventory management, videogiochi con IA. Nessun obbligo specifico dall’AI Act, ma restano valide le leggi esistenti come il GDPR.
Rischio limitato: solo trasparenza
Chatbot, assistenti virtuali, deepfake, voice cloning, filtri face swap. Niente obblighi complessi, ma devi informare le persone che stanno interagendo con un sistema IA. Se generi contenuti sintetici (video, audio, immagini), devi marcatori in modo che siano riconoscibili come artificiali. Le etichette di trasparenza per i contenuti IA generati prima del 2 agosto 2026 hanno tempo fino al 2 dicembre 2026 per adeguarsi.
Dal 2 dicembre 2026 scatta anche il divieto per le app “nudifier”, i sistemi che generano contenuti sessualmente espliciti non consensuali o materiale di abuso minorile.
Rischio alto: obblighi pesanti
Qui si entra nel territorio serio: sistemi IA usati in istruzione (valutazione studenti, ammissioni), lavoro (screening CV, valutazione performance), credito (scoring finanziario), accesso a servizi essenziali (benefici sociali, immigrazione), infrastrutture critiche (trasporti, energia), giustizia (valutazione prove, rischio recidiva) e forze dell’ordine.
Per questi sistemi servono:
- Un sistema di gestione del rischio per tutto il ciclo di vita dell’IA
- Documentazione tecnica dettagliata
- Data governance rigorosa: dataset rappresentativi, privi di errori e bias
- Registrazione automatica delle attività (logging)
- Supervisione umana progettata nel sistema
- Accuratezza, robustezza e cybersicurezza adeguate
- Dichiarazione di conformità UE e marcatura CE
- Registrazione in un database UE o nazionale
Chi utilizza (deployer) questi sistemi deve: usarli secondo le istruzioni del produttore, assegnare persone formate alla supervisione, monitorare le performance e segnalare anomalie.
Attenzione alle scadenze aggiornate: il Parlamento Europeo ha approvato a giugno 2026 una proroga per i sistemi ad alto rischio. Quelli autonomi (istruzione, lavoro, giustizia) devono essere compliant entro il 2 dicembre 2027. Quelli incorporati in prodotti regolamentati (dispositivi medici, macchinari) entro il 2 agosto 2028. Non sono proroghe per rilassarsi: sono tempo in più per adeguarsi.
Rischio inaccettabile: vietati
Questi sistemi sono proibiti dall’AI Act dal 2 febbraio 2025. Nessuna possibilità di compliance.
- Social scoring governativo
- Manipolazione subliminale che altera il comportamento umano causando danno
- Sfruttamento delle vulnerabilità (età, disabilità, situazione socioeconomica)
- Raccolta indiscriminata di immagini facciali da internet o CCTV per creare database biometrici
- Riconoscimento emotivo sul lavoro e a scuola
- Categorizzazione biometrica basata su caratteristiche sensibili (razza, opinioni politiche, religione, orientamento sessuale)
- Polizia predittiva basata esclusivamente su profilazione
- Identificazione biometrica remota in tempo reale in spazi pubblici (con eccezioni molto limitate per le forze dell’ordine)
La timeline: cosa scade quando
L’AI Act ha un calendario a fasi, non tutto in una volta.
| Cosa | Quando |
|---|---|
| Pratiche vietate (rischio inaccettabile) | 2 febbraio 2025 ✅ già in vigore |
| AI literacy obbligatoria per il personale | 2 febbraio 2025 ✅ |
| Modelli GPAI (IA general-purpose) obblighi trasparenza | 2 agosto 2025 ✅ |
| Autorità nazionali designate e sanzioni nazionali | 2 agosto 2025 ✅ |
| Obblighi trasparenza (chatbot, deepfake, etichettatura) | 2 agosto 2026 |
| Sistemi ad alto rischio autonomi (lavoro, istruzione, giustizia) | 2 dicembre 2027 |
| Sistemi ad alto rischio in prodotti (dispositivi medici, macchinari) | 2 agosto 2028 |
| Watermarking contenuti generati pre-2 agosto 2026 | 2 dicembre 2026 |
| Divieto app “nudifier” | 2 dicembre 2026 |
Come essere compliant: guida pratica
Se sei un’azienda, un professionista o uno sviluppatore che usa IA, ecco cosa fare, in ordine di priorità.
1. Fai un inventario dei tuoi sistemi IA
Non puoi essere compliant se non sai cosa stai usando. Elenca tutti i sistemi IA che usi o sviluppi: modelli linguistici, chatbot, sistemi di raccomandazione, strumenti di automazione, software di CV screening, analisi predittive. Per ognuno, chiediti cosa fa e quali decisioni influenza.
2. Classifica ogni sistema per livello di rischio
Usa la griglia sopra. La maggior parte dei sistemi sarà a rischio minimo e non avrà obblighi aggiuntivi. Ma se usi IA per valutare persone (candidati, dipendenti, clienti), probabilmente sei in fascia alta.
3. Verifica le pratiche vietate
Sembra scontato, ma controlla che nessuno dei tuoi sistemi rientri in ciò che è proibito. Il riconoscimento emotivo dei dipendenti, la profilazione predatoria, la categorizzazione biometrica: se lo fai, devi smettere.
4. Forma il personale (AI literacy)
Dal 2 febbraio 2025 è obbligatorio che chiunque usi o supervisioni sistemi IA abbia un livello sufficiente di alfabetizzazione sull’IA. Non serve un master, ma serve capire cosa fa lo strumento, quali sono i suoi limiti, come riconoscere errori o allucinazioni. Se fai usare ChatGPT ai tuoi dipendenti, devi formarli su come usarlo correttamente.
5. Predisponi la documentazione
Anche se sei in fascia di rischio minimo, avere documentazione tecnica minima è una buona pratica. Descrizione del sistema, valutazione dei rischi, misure di supervisione umana. La Commissione Europea sta sviluppando modelli semplificati per PMI.
6. Due diligence sui fornitori
Se usi API di terze parti (OpenAI, Anthropic, Google, Mistral), verifica che i tuoi fornitori siano compliant. Se il modello è GPAI (general-purpose AI), loro devono rispettare obblighi di trasparenza e data governance dal 2 agosto 2025. Se loro non sono compliant, tu potresti comunque avere problemi come deployer.
7. Prepara la supervisione umana
Per i sistemi ad alto rischio, non basta avere un tasto “annulla”. La supervisione umana va progettata nel sistema: chi supervisiona, quando interviene, come vengono registrate le decisioni automatiche.
8. Monitora le linee guida
L’AI Act è ancora in evoluzione. La Commissione Europea pubblica linee guida, standard tecnici e codici di condotta. Segui l’AI Pact e l’AI Act Service Desk per restare aggiornato.
Le sanzioni (e perché non ignorare la legge)
Le multe sono salate. Significativamente più alte del GDPR.
| Violazione | Massimo |
|---|---|
| Pratiche vietate | 35 milioni o 7% del fatturato annuo globale |
| Obblighi sistemi ad alto rischio | 15 milioni o 3% del fatturato annuo globale |
| Informazioni errate alle autorità | 7,5 milioni o 1-1,5% del fatturato annuo globale |
Per le PMI, le sanzioni sono proporzionali: si applica l’importo minore tra il tetto fisso e la percentuale del fatturato. Ma non è un lasciapassare.
Chi controlla
Ogni Stato membro deve designare un’autorità nazionale competente per l’AI Act. A livello europeo, l’AI Office della Commissione Europea coordina l’applicazione, in particolare per i modelli GPAI. Dall’estate 2026, i poteri dell’AI Office vengono rafforzati per centralizzare la supervisione.
FAQ
L’AI Act si applica anche se la mia azienda è fuori dall’UE?
Sì. Se i sistemi IA che sviluppi o usi producono output che vengono utilizzati nell’Unione Europea, sei soggetto all’AI Act. Questo vale per qualsiasi azienda nel mondo.
Usare ChatGPT in azienda mi rende non compliant?
No, se lo usi per attività a rischio minimo (scrivere email, fare riassunti, generare bozze) sei in fascia di rischio limitato o minimo. Devi però garantire la trasparenza (far sapere che stai usando IA) e formare il personale (AI literacy). Se invece lo usi per valutare candidati o clienti in modo automatico, potresti finire in fascia alta.
Cosa significa “AI literacy” in pratica?
Significa che le persone che usano l’IA nel loro lavoro devono capirne funzionamento, limiti e rischi. Non serve saper programmare, ma serve sapere che un modello linguistico può allucinare, che un sistema di raccomandazione può creare bolle informative, che un algoritmo di screening può essere biased. La formazione va documentata.
I modelli open source sono esenti?
No. L’AI Act fa distinzioni per i modelli rilasciati con licenza open source, ma non sono esenti. Devono comunque rispettare gli obblighi di trasparenza e, se ad alto rischio, tutti i requisiti previsti.
Se uso solo API di provider americani, chi è responsabile?
Entrambi. Il provider (es. OpenAI) ha obblighi come fornitore di modello GPAI. Tu come deployer hai obblighi per come usi il sistema. La compliance non si delega.
Cosa cambia rispetto al GDPR?
L’AI Act si aggiunge al GDPR, non lo sostituisce. Se il tuo sistema IA tratta dati personali, devi rispettare entrambi. Le sanzioni si cumulano.
Ho tempo fino al 2027 per i sistemi ad alto rischio, posso aspettare?
Ufficialmente sì, ma è un errore strategico. La compliance non si fa in un giorno: serve tempo per valutare i sistemi, adeguare i processi, formare il personale. Chi inizia ora arriva preparato. Chi aspetta la scadenza rischia multe e caos organizzativo. Le proroghe sono un favore, non una scusa per non muoversi.
