Glossario · Regolamento UE sull'IA EU AI Act
Il primo quadro giuridico al mondo, completo, per l'intelligenza artificiale. Classificazione basata sul rischio, in vigore dall'agosto 2024, con le principali disposizioni applicative scaglionate fino al 2025-2026.
## Cosa fa concretamente l'EU AI Act
L'EU AI Act (Regolamento (UE) 2024/1689) è il primo quadro giuridico al mondo, completo, che disciplina l'intelligenza artificiale. Adottato nell'agosto 2024, stabilisce requisiti basati sul rischio per i sistemi di IA in funzione del loro potenziale impatto su sicurezza, diritti fondamentali e società.
Il regolamento si applica a:
- **Fornitori di IA** — aziende che sviluppano sistemi di IA immessi sul mercato UE
- **Utilizzatori (deployer) di IA** — organizzazioni che utilizzano sistemi di IA nell'UE
- **Importatori e distributori** — soggetti che rendono disponibili sistemi di IA nell'UE
Come il GDPR, l'AI Act ha effetto extraterritoriale. Qualsiasi sistema di IA il cui output è utilizzato nell'UE ricade nel regolamento, indipendentemente da dove l'IA è sviluppata.
## Le quattro categorie di rischio
L'AI Act classifica i sistemi di IA in quattro livelli di rischio:
### Rischio inaccettabile (vietato)
I sistemi di IA che violano i diritti fondamentali o pongono minacce inaccettabili sono completamente vietati:
- Punteggio sociale da parte dei governi
- Identificazione biometrica in tempo reale negli spazi pubblici (con strette eccezioni per le forze dell'ordine)
- Manipolazione di gruppi vulnerabili
- Riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole
- Scraping non mirato di immagini facciali per database di riconoscimento facciale
### Alto rischio
I sistemi di IA utilizzati in contesti critici devono soddisfare requisiti rigorosi:
- Infrastrutture critiche (acqua, gas, elettricità, trasporti)
- Istruzione e formazione professionale
- Occupazione e gestione dei lavoratori
- Servizi essenziali pubblici e privati (credit scoring, prestazioni)
- Forze dell'ordine
- Migrazione, asilo, controllo delle frontiere
- Giustizia e processi democratici
I sistemi ad alto rischio devono essere sottoposti a valutazioni di conformità, mantenere sistemi di gestione del rischio, garantire la qualità dei dati, fornire trasparenza agli utenti e consentire la supervisione umana.
### Rischio limitato
Sistemi che richiedono obblighi di trasparenza:
- Chatbot — gli utenti devono essere informati che stanno interagendo con un'IA
- Deepfake — i contenuti generati dall'IA devono essere etichettati
- Sistemi di riconoscimento delle emozioni (dove consentiti) — gli utenti devono essere informati
### Rischio minimo
La grande maggioranza delle applicazioni di IA — filtri antispam, IA nei videogiochi, gestione dell'inventario. Nessun requisito normativo aggiuntivo.
## Struttura sanzionatoria
Le sanzioni dell'AI Act sono sostanziose:
- **Fino a 35 milioni di euro o il 7% del fatturato annuo globale** (a seconda di quale sia maggiore) per pratiche di IA vietate
- **Fino a 15 milioni di euro o il 3% del fatturato** per non conformità ai requisiti per sistemi ad alto rischio
- **Fino a 7,5 milioni di euro o l'1% del fatturato** per fornire informazioni errate alle autorità
Per PMI e startup, le sanzioni sono limitate a soglie proporzionalmente inferiori.
## Tempistiche di conformità
Le disposizioni dell'AI Act entrano in vigore in più anni:
- **Agosto 2024**: il regolamento entra in vigore
- **Febbraio 2025**: il divieto delle pratiche di IA vietate ha effetto
- **Agosto 2025**: si applicano i requisiti per i modelli di IA per scopi generali
- **Agosto 2026**: la maggior parte delle altre disposizioni ha effetto, inclusi i requisiti per i sistemi ad alto rischio
- **Agosto 2027**: piena applicabilità per l'IA integrata in prodotti regolamentati
Siamo attualmente nella seconda fase. Le principali azioni applicative sono attese tra fine 2026 e nel 2027.
## Cosa significa per le aziende europee
Per le organizzazioni che impiegano l'IA nel 2026:
1. **Inventaria i tuoi sistemi di IA.** Non puoi conformarti a regole che non sai si applichino a te.
2. **Classifica per livello di rischio.** La maggior parte dell'IA è a rischio minimo; il lavoro significativo consiste nell'identificare quali sistemi rientrano nelle categorie ad alto rischio o a rischio limitato.
3. **Documenta tutto.** La conformità all'AI Act è fortemente basata sulla documentazione — gestione del rischio, governance dei dati, specifiche tecniche.
4. **Per i sistemi ad alto rischio**, pianifica i processi di valutazione di conformità e marcatura CE.
5. **Per i fornitori di IA per scopi generali**, rivedi gli obblighi su trasparenza, conformità al copyright e valutazioni del rischio sistemico.
## Perché i fornitori di IA europei sono ben posizionati
Le aziende europee di IA (Mistral, Aleph Alpha) hanno costruito i propri prodotti tenendo presente la conformità all'AI Act sin dall'inizio. I provider di IA con sede negli USA (OpenAI, Anthropic, Google) stanno adattando la conformità a posteriori, spesso con attriti.
Questo crea un'apertura strutturale di mercato simile all'effetto del GDPR sui provider cloud europei. Gli strumenti di IA residenti nell'UE possono credibilmente commercializzare 'conformità all'AI Act per architettura, non per configurazione' — una caratteristica di vendita significativa per le aziende europee che navigano il regolamento.
## Pesi aperti e sovranità
Una disposizione specifica che vale la pena evidenziare: i modelli di IA con pesi aperti (Mistral 7B, Pharia, Llama, ecc.) hanno obblighi normativi alquanto più leggeri rispetto ai modelli chiusi, in particolare per la ricerca accademica e l'uso non commerciale.
Per le organizzazioni europee che necessitano di un'implementazione di IA realmente sovrana, le opzioni con pesi aperti di Mistral e Aleph Alpha consentono l'hosting on-premise su infrastruttura UE (Hetzner, Scaleway) — un modello di implementazione che i provider USA con pesi chiusi strutturalmente non possono offrire.
## Cosa monitorare
- **Le prime grandi azioni applicative** attese per fine 2026 / 2027 — definiranno le aspettative pratiche di conformità
- **Codice di condotta per IA per scopi generali** — quadro volontario attualmente in negoziazione
- **Variazioni nell'attuazione tra Stati membri** — ogni paese UE deve designare le autorità nazionali
- **Ufficio UE per l'IA** — organo centrale di coordinamento che plasma l'interpretazione tra Stati membri
L'AI Act è la regolamentazione tecnologica più significativa dal GDPR. Trattalo di conseguenza.
Ti è stato utile?
Grazie per il tuo feedback!