← Articoli02/04/20263 min di lettura

AI Act: Guida alla Conformità per le Imprese Italiane

Il Regolamento UE sull'IA è in vigore. Scopri gli obblighi per le imprese, le scadenze 2025-2026 e come evitare sanzioni fino a 35 milioni di euro o il 7% del fatturato mondiale.

Di CDC Law/
Condividi

AI Act: cosa cambia concretamente per la tua impresa

Il Regolamento (UE) 2024/1689, noto come AI Act, è il primo quadro normativo vincolante sull'intelligenza artificiale al mondo. È entrato in vigore il 1° agosto 2024, ma la sua applicazione è graduata nel tempo: alcune scadenze hanno già prodotto effetti, e quelle più rilevanti per le imprese matureranno tra il 2025 e il 2026. Non si tratta di un regolamento astratto — prevede sanzioni tra le più elevate della storia del diritto europeo e una vigilanza coordinata tra l'AI Office europeo e le autorità nazionali designate dai singoli Stati membri.

Il fulcro del sistema è la classificazione per livello di rischio. Più un sistema di intelligenza artificiale può incidere su diritti fondamentali, salute, sicurezza o libertà individuali, più stringenti sono gli obblighi. I sistemi a rischio inaccettabile sono vietati dal febbraio 2025: rientrano in questa categoria il social scoring operato da autorità pubbliche, le tecniche di manipolazione subliminale, il riconoscimento delle emozioni nei luoghi di lavoro o nelle scuole, e il riconoscimento biometrico in tempo reale negli spazi pubblici, salvo eccezioni tassative per le forze dell'ordine.

I sistemi ad alto rischio sono la categoria più critica per la maggior parte delle imprese. Vi rientrano i software impiegati nella selezione e valutazione del personale, nel credit scoring, nella gestione di infrastrutture critiche, nella diagnostica medica, nell'amministrazione della giustizia. Per questi sistemi il Regolamento impone obblighi sostanziali: un sistema strutturato di gestione del rischio, documentazione tecnica dettagliata, dataset di addestramento di qualità documentata, supervisione umana obbligatoria e — per alcune categorie — una valutazione di conformità da parte di un organismo terzo. L'adeguamento deve avvenire entro agosto 2026, e chi parte oggi ha ancora il tempo per farlo in modo ordinato.

I sistemi a rischio limitato, come i chatbot che interagiscono con gli utenti, sono soggetti principalmente a obblighi di trasparenza: l'utente deve essere informato in modo chiaro che sta interagendo con una macchina. I sistemi a rischio minimo, come i filtri antispam o i motori di raccomandazione dell'e-commerce, restano privi di obblighi specifici, anche se il Regolamento incoraggia l'adozione di codici di condotta volontari.

Dal agosto 2025 si applica una disciplina specifica ai modelli di AI general purpose (GPAI) — i grandi modelli linguistici e i sistemi multimodali di uso generalizzato. Chi li sviluppa o li immette sul mercato europeo è soggetto a obblighi di trasparenza e documentazione tecnica; per i modelli con potenziale impatto sistemico scattano obblighi aggiuntivi, tra cui valutazioni di sicurezza e notifica degli incidenti rilevanti.

Le sanzioni

Il sistema sanzionatorio dell'Art. 99 applica sempre l'importo più elevato tra la soglia fissa e la percentuale del fatturato mondiale annuo del trasgressore. L'utilizzo di sistemi vietati o il mancato rispetto degli obblighi per i sistemi ad alto rischio può costare fino a 35 milioni di euro o il 7% del fatturato globale. Le altre violazioni degli obblighi arrivano fino a 15 milioni o il 3%. La trasmissione di informazioni false o incomplete all'autorità di vigilanza è sanzionata fino a 7,5 milioni o l'1,5%. Per le PMI e le startup è prevista una mitigazione, ma l'esposizione resta rilevante anche per realtà di dimensioni contenute.

Il punto di partenza: l'audit interno

Per un'impresa che voglia affrontare l'AI Act in modo strutturato, il primo passo è la mappatura: identificare tutti i sistemi di intelligenza artificiale utilizzati internamente o messi sul mercato, classificarli secondo i criteri del Regolamento, e determinare quali obblighi si applicano e con quali scadenze. Non è un esercizio puramente legale — richiede il coinvolgimento dei team tecnici, di compliance e di chi gestisce i dati aziendali.


Le informazioni contenute in questo articolo hanno finalità divulgativa e non costituiscono consulenza legale personalizzata.

Hai bisogno di un audit AI? Contatta CDC Law: info@cdclaw.org.

A cura di

Il team di CDC Law

Studio Legale — Roma

PRIVACY POLICYP.IVA IT18210921005® CDC Law – All rights reserved 2026