EU AI Act:
guida completa
2026
Il Regolamento UE 2024/1689 — l'AI Act — è entrato in vigore il 1° agosto 2024 e cambierà il modo in cui le aziende italiane sviluppano e usano l'intelligenza artificiale. Questa guida spiega tutto quello che devi sapere: cos'è, chi coinvolge, cosa obbliga a fare e quando.
1. Cos'è l'AI Act e perché è stato creato
Il Regolamento UE 2024/1689, ufficialmente noto come EU AI Act, è il primo quadro giuridico al mondo che disciplina i sistemi di intelligenza artificiale in modo organico. Approvato dal Parlamento Europeo il 13 marzo 2024 e pubblicato in Gazzetta Ufficiale UE il 12 luglio 2024, è entrato in vigore il 1° agosto 2024.
La Commissione Europea ha sviluppato questa normativa partendo da una constatazione semplice: l'intelligenza artificiale produce impatti concreti sulle persone — può negare un prestito, influenzare una diagnosi medica, determinare se un candidato viene convocato a un colloquio. Senza regole, questi impatti avvengono senza trasparenza, senza responsabilità e senza possibilità di ricorso.
L'AI Act non vieta l'AI. Non frena l'innovazione per principio. Introduce invece un approccio basato sul rischio: più un sistema AI può danneggiare le persone, più stringenti sono le regole che lo governano. Un filtro antispam e un sistema di credit scoring non possono essere trattati allo stesso modo.
L'AI Act non si applica solo a chi costruisce algoritmi. Si applica a chiunque usi sistemi AI in modo professionale nel mercato europeo — incluse le aziende che acquistano software da terzi e lo usano nelle proprie operazioni. Se usi un CRM con scoring, un ATS con AI, un software di diagnostica o uno strumento di pricing algoritmico, sei soggetto alla normativa.
Il principio fondante: proporzionalità al rischio
La filosofia alla base dell'AI Act è semplice: gli obblighi devono essere proporzionali al potenziale danno. Un sistema AI che suggerisce playlist musicali non richiede le stesse cautele di un sistema che valuta la solvibilità finanziaria di una persona o supporta una diagnosi medica.
Questo approccio ha conseguenze pratiche importanti per le aziende: prima di sapere cosa devi fare, devi sapere quali sistemi AI usi e in quale categoria di rischio ricadono. L'inventory è il primo passo obbligato.
2. A chi si applica: provider, deployer
e il confine tra i due
L'AI Act distingue ruoli diversi con obblighi molto diversi. Capire in quale ruolo si trova la tua azienda è il secondo passo — dopo l'inventory — di qualsiasi percorso di compliance.
| Ruolo | Definizione | Esempi | Obblighi |
|---|---|---|---|
| Provider | Sviluppa e/o commercializza un sistema AI | Startup che vende un motore di credit scoring; software house che integra AI nei propri prodotti | 🔴 Molto elevati |
| Deployer | Usa un sistema AI di terzi nella propria attività professionale | Banca che usa un software di scoring acquistato; azienda HR che usa un ATS con AI | 🟠 Elevati |
| Distributore | Distribuisce sistemi AI senza modificarli | Rivenditori, marketplace di software | 🟡 Limitati |
| Importatore | Immette sul mercato UE sistemi AI sviluppati fuori dall'UE | Azienda italiana che rivende software AI americano | 🟠 Elevati |
Quando il deployer diventa provider
Questa è la trappola più comune. Molte aziende si considerano semplici utilizzatori di software, ma vengono riqualificate come provider — con tutti gli obblighi più pesanti — in tre situazioni:
- Modifica sostanziale: se fai fine-tuning su un modello di terzi, modifichi i pesi, aggiungi logiche decisionali significative o usi il sistema per finalità diverse da quelle previste dal fornitore originale.
- White labeling: se metti il tuo marchio su un sistema AI di terzi e lo commercializzi come tuo.
- Sviluppo interno: se costruisci internamente un sistema AI per uso proprio (anche non commerciale), sei provider per quel sistema.
Un'azienda acquista un LLM da OpenAI o Anthropic e lo integra in un prodotto che vende ai propri clienti. Non è solo deployer dell'LLM — è provider del sistema AI complessivo che ha costruito sopra. Gli obblighi del provider si applicano al sistema finale, non solo al modello di base.
L'AI Act si applica anche fuori dall'UE?
Sì, con effetto extraterritoriale. L'AI Act si applica a chiunque:
- Immetta sul mercato europeo un sistema AI, indipendentemente da dove ha sede
- Metta in servizio un sistema AI nell'UE
- Il cui sistema AI produca effetti su persone fisiche nell'UE, anche se il provider è fuori dall'Europa
In pratica: usare AWS, Azure o Google Cloud come infrastruttura, o comprare modelli da provider americani, non esonera dalla compliance. È il punto di utilizzo — e l'impatto sulle persone — a determinare l'applicabilità.
3. I quattro livelli di rischio
con esempi concreti
Il cuore dell'AI Act è la classificazione a quattro livelli. Ogni sistema AI rientra in una categoria, e dalla categoria dipendono gli obblighi. La classificazione non è automatica: richiede una valutazione caso per caso, anche se l'Allegato III del Regolamento fornisce liste esplicite per l'alto rischio.
Pratiche proibite
Sistemi che violano diritti fondamentali o manipolano persone in modo non consapevole. Vietati dal 2 febbraio 2025.
Sistemi ad alto rischio
Sistemi con impatto significativo su salute, sicurezza o diritti fondamentali. Allegato III + prodotti regolamentati.
Obblighi di trasparenza
Sistemi che interagiscono con persone o generano contenuti. Solo obbligo di dichiarare che si tratta di AI.
Nessun obbligo specifico
La grande maggioranza dei sistemi AI rientra qui. Nessun obbligo aggiuntivo oltre a quelli già esistenti.
Chi decide la categoria di rischio?
Per i sistemi ad alto rischio, l'Allegato III del Regolamento fornisce un elenco esplicito per settore. Per gli altri, è il provider o il deployer a dover valutare e documentare la classificazione. Non esiste un'autorità che certifica preventivamente la categoria: la responsabilità è dell'azienda, e sarà verificata ex post dalle autorità di vigilanza nazionali (in Italia, l'Agenzia per l'Italia Digitale — AgID).
Finanza: credit scoring, valutazione solvibilità, risk scoring assicurativo.
Sanità: diagnostica AI, supporto decisionale clinico, triage automatizzato.
HR: selezione candidati, valutazione performance, licenziamenti automatizzati.
PA: accesso a servizi essenziali, valutazione rischio recidiva, controllo immigrazione.
Istruzione: ammissioni automatizzate, valutazione studenti.
Infrastrutture critiche: energia, acqua, trasporti, telecomunicazioni.
I modelli GPAI: una categoria speciale
I modelli General Purpose AI (GPAI) — come GPT-4, Claude, Gemini — hanno una regolamentazione separata. Dal 2 agosto 2025 i loro provider devono rispettare obblighi di trasparenza, documentazione tecnica e rispetto del copyright. I modelli con capacità sistemiche eccezionali (oltre 10²⁵ FLOP di training) hanno obblighi aggiuntivi: valutazione avversariale, gestione dei rischi sistemici, segnalazione incidenti.
4. Timeline: le scadenze
da non perdere
L'AI Act non è entrato in vigore tutto in una volta. Le scadenze sono scaglionate per dare alle aziende il tempo di adeguarsi — ma alcune sono già passate.
2024
✅ Entrata in vigore del Regolamento
Il Reg. UE 2024/1689 entra ufficialmente in vigore. Inizia il conto alla rovescia per tutte le scadenze successive. Le istituzioni europee avviano il lavoro di governance: AI Office, codici di condotta, standard tecnici.
2025
✅ Pratiche vietate e AI Literacy — già in vigore
Stop definitivo alle pratiche vietate (manipolazione, social scoring, biometria real-time). Obbligo di AI Literacy per tutto il personale che usa sistemi AI — già in vigore, già sanzionabile. Se non hai ancora un programma di formazione, sei già fuori compliance.
2025
✅ Obblighi GPAI — già in vigore
Obblighi di trasparenza, documentazione tecnica e rispetto del copyright per i fornitori di modelli general purpose. Regime di governance EU operativo. Sanzioni attive per i provider GPAI. Per i deployer che usano questi modelli: verificare che i fornitori siano conformi.
2026
⏳ Sistemi ad alto rischio — la scadenza critica
Piena applicazione per finanza, sanità, HR, PA, istruzione e infrastrutture critiche. Risk management, documentazione tecnica, supervisione umana, audit trail, registrazione EU database: tutti obbligatori. È la scadenza che riguarda la maggior parte delle aziende italiane.
2027
⏳ Legacy systems e prodotti regolamentati
Sistemi AI già sul mercato prima di agosto 2025 e AI integrata in prodotti regolamentati (dispositivi medici, automotive, macchine industriali). Adeguamento completo richiesto entro questa data.
5. Gli obblighi concreti
per le aziende
Gli obblighi variano significativamente in base al ruolo (provider o deployer) e al livello di rischio del sistema. Ecco una panoramica strutturata.
Obblighi per tutti — già in vigore
AI Literacy (Art. 4): ogni organizzazione deve garantire che il personale che usa sistemi AI abbia un livello adeguato di comprensione di capacità, limiti e rischi di quei sistemi. Non si tratta di formare tutti come data scientist: è consapevolezza operativa calibrata per ruolo. Il responsabile acquisti che usa un tool di scoring deve capire cosa fa quel tool e quali sono i suoi limiti. Il CEO deve capire le implicazioni strategiche e normative.
Obblighi per i deployer di sistemi ad alto rischio (agosto 2026)
Lista obblighi deployer
Uso conforme: usare il sistema AI esattamente come previsto dal provider, documentando qualsiasi deviazione.
Supervisione umana effettiva: non basta avere un umano nel processo — deve poter comprendere, monitorare e intervenire sugli output del sistema in modo informato.
Qualità dei dati in input: i dati forniti al sistema devono essere pertinenti, accurati e non discriminatori.
Conservazione dei log: log generati automaticamente conservati per almeno 6 mesi (più a lungo in alcuni settori regolamentati).
Informativa agli interessati: le persone su cui il sistema AI prende o supporta decisioni devono essere informate.
FRIA (Fundamental Rights Impact Assessment): obbligatorio per PA, istituti finanziari e assicurazioni. Valutazione dell'impatto sui diritti fondamentali prima dell'uso.
Segnalazione incidenti gravi: notifica alle autorità competenti di qualsiasi incidente grave che coinvolge il sistema AI.
Obblighi per i provider di sistemi ad alto rischio (agosto 2026)
| Obbligo | Cosa significa in pratica | Riferimento normativo |
|---|---|---|
| Risk management system | Processo continuo — non documento statico — per identificare, stimare e mitigare rischi lungo tutto il ciclo di vita del sistema | Art. 9 |
| Documentazione tecnica | Architettura, dati di training, metriche performance, limitazioni, use case previsti e non previsti. Struttura definita dall'Allegato IV. | Art. 11, All. IV |
| Data governance | Dataset documentati, rappresentativi, bias assessment, qualità verificata. Nessun dato sensibile non autorizzato. | Art. 10 |
| Trasparenza e istruzioni d'uso | Documentazione chiara per i deployer su come usare il sistema, suoi limiti, dati necessari, misure di supervisione umana previste. | Art. 13 |
| Supervisione umana by design | Il sistema deve essere progettato per consentire supervisione umana effettiva — non aggiunta dopo come patch. | Art. 14 |
| Accuratezza, robustezza, cybersecurity | Performance documentate e verificabili. Resistenza ad attacchi avversariali. Comportamento stabile nel tempo. | Art. 15 |
| Conformity assessment | Valutazione formale di conformità prima del lancio (auto-valutazione per la maggior parte dei casi; terza parte per biometria e infrastrutture critiche). | Art. 43 |
| Registrazione EU database | Registrazione obbligatoria nel database europeo gestito dalla Commissione prima della commercializzazione. | Art. 49 |
| Post-market monitoring | Piano attivo di raccolta dati sulle performance reali del sistema, con soglie di intervento definite. | Art. 72 |
6. Le sanzioni
L'AI Act prevede un sistema sanzionatorio proporzionale, ispirato al modello GDPR. Le sanzioni sono comminate dalle autorità nazionali di vigilanza — in Italia, AgID — e si applicano sia alle aziende che agli individui responsabili.
| Tipo di violazione | Sanzione massima | % fatturato globale | Chi rischia |
|---|---|---|---|
| Pratiche vietate (Art. 5) | 35.000.000 € | 7% fatturato globale | Provider, deployer |
| Obblighi sistemi alto rischio | 15.000.000 € | 3% fatturato globale | Provider, deployer |
| Obblighi GPAI | 15.000.000 € | 3% fatturato globale | Provider GPAI |
| Informazioni false o incomplete | 7.500.000 € | 1% fatturato globale | Tutti i soggetti |
Come funziona per le PMI: si applica il valore più basso tra importo fisso e percentuale del fatturato. Una PMI con 2M€ di fatturato rischia fino a 60.000€ per obblighi sui sistemi ad alto rischio — non la rovina, ma abbastanza da rendere la compliance un investimento razionale rispetto al rischio.
Le autorità possono anche ordinare la sospensione o il ritiro di un sistema AI non conforme dal mercato. Per un'azienda il cui prodotto principale è un sistema AI ad alto rischio, questo può significare l'interruzione dell'attività — ben oltre il danno economico diretto della sanzione.
7. Come iniziare:
i primi passi pratici
Il percorso di compliance AI Act si struttura naturalmente in fasi. Non devi fare tutto subito — ma devi iniziare adesso, perché 18 mesi sembrano tanti e non lo sono.
Settimana 1-2: AI Inventory
Mappa tutti i software che la tua azienda usa e che contengono componenti AI o logica probabilistica. Non solo i sistemi ovviamente "AI" — anche i CRM con scoring, i tool di pricing dinamico, i software HR con ranking automatico. Chiedi ai team operativi: spesso usano tool con AI senza saperlo esplicitamente.
Settimana 3-4: Classificazione del rischio
Per ogni sistema nell'inventory, determina il livello di rischio. Controlla se rientra nell'Allegato III (alto rischio esplicito). Determina il tuo ruolo per ciascun sistema (provider o deployer). Documenta la classificazione con motivazione.
Mese 2: Gap analysis
Per ogni sistema ad alto rischio, verifica cosa manca rispetto agli obblighi applicabili. Crea una lista prioritizzata di gap da colmare, con responsabili e scadenze interne.
Mese 3-6: AI Literacy e governance
Avvia il programma di formazione AI Literacy (già obbligatorio). Definisci la governance interna: chi è responsabile della compliance AI, chi approva nuovi tool, come si gestiscono gli incidenti.
Mese 6-12: Implementazione
Implementa le misure mancanti: supervisione umana, conservazione log, documentazione tecnica, vendor assessment. Per i provider: avvia il risk management system e la documentazione tecnica strutturata.
Non sai da dove iniziare?
Offriamo una valutazione iniziale gratuita di 30 minuti. In una sola call capisci dove sei e i primi passi concreti da fare.
Prenota la valutazione gratuita8. Approfondimenti
per settore
La guida completa che hai appena letto è il punto di partenza. Per ogni settore ad alto rischio abbiamo sviluppato guide specifiche con obblighi dettagliati, esempi concreti, checklist scaricabili e template documenti.
AI Act per FinTech
Credit scoring, valutazione solvibilità, risk scoring assicurativo. Obblighi provider e deployer, checklist e template documenti.
Leggi la guida →AI Act per Healthcare
Diagnostica AI, supporto decisionale clinico, dispositivi medici. In arrivo.
In arrivoAI Act per HR e Recruiting
ATS con AI, selezione automatizzata, valutazione performance. In arrivo.
In arrivoGuida redatta a scopo informativo. Non costituisce consulenza legale. Fonte: Reg. UE 2024/1689. Per decisioni aziendali specifiche, consultare un professionista qualificato. Aggiornata febbraio 2026. © 2026 euaiact.pro — Gianluca Capuzzi.