AI Act: cosa devono sapere le aziende nel 2026

L’intelligenza artificiale non sfugge più alla regolamentazione. Il 1° agosto 2024, il regolamento europeo sull’intelligenza artificiale — l’AI Act (regolamento UE 2024/1689) — è entrato in vigore. È il primo quadro giuridico al mondo dedicato specificamente all’IA.

Per le aziende, la domanda non è più se l’IA sarà regolamentata, ma come conformarsi prima delle scadenze. E la prossima è imminente: il 2 agosto 2026, la maggior parte degli obblighi sarà pienamente applicabile.

Secondo uno studio del Center for Data Innovation pubblicato a fine 2025, meno del 30% delle PMI europee ha iniziato a prepararsi. È un problema.

Cos’è l’AI Act?

L’AI Act è un regolamento europeo — non una direttiva. Si applica direttamente in tutti gli Stati membri, senza trasposizione nazionale. Il suo obiettivo: inquadrare lo sviluppo e l’utilizzo dell’IA in Europa secondo un approccio basato sui rischi.

A differenza del GDPR che disciplina i dati personali, l’AI Act disciplina i sistemi di IA stessi — la loro progettazione, immissione sul mercato e utilizzo.

I due testi sono complementari: un sistema di IA che tratta dati personali deve essere conforme al GDPR E all’AI Act.

Perché questa regolamentazione adesso? L’esplosione dei modelli generativi (ChatGPT, Mistral, Claude, Gemini) ha accelerato la consapevolezza dei rischi: bias algoritmici nel reclutamento, disinformazione tramite deepfake, sorveglianza di massa tramite riconoscimento facciale, decisioni automatizzate opache che influenzano i diritti fondamentali. L’Europa ha scelto di regolamentare prima che questi rischi diventino incontrollabili.

Il calendario di entrata in applicazione

L’AI Act si applica in modo progressivo tra febbraio 2025 e agosto 2027:

2 febbraio 2025 — Pratiche vietate

Da questa data, i sistemi di IA che presentano un rischio inaccettabile sono severamente vietati nell’Unione europea. Ciò include:

La manipolazione subliminale o ingannevole
Lo sfruttamento delle vulnerabilità legate all’età, alla disabilità o alla situazione sociale
La valutazione sociale (social scoring) da parte delle autorità pubbliche
La categorizzazione biometrica basata su dati sensibili (razza, religione, orientamento sessuale)
Lo scraping non mirato di immagini facciali per il riconoscimento facciale

Concretamente per le aziende: se utilizzate uno strumento di IA che analizza le emozioni dei vostri candidati in un colloquio video, o che classifica i vostri dipendenti secondo un punteggio di affidabilità, siete potenzialmente in infrazione dal febbraio 2025. Le sanzioni per pratiche vietate sono le più pesanti: fino a 35 milioni di euro o il 7% del fatturato mondiale.

2 agosto 2025 — Obblighi per i modelli di IA ad uso generale (GPAI)

I fornitori di modelli di IA ad uso generale (Mistral, GPT, Claude, Llama, ecc.) sono soggetti a obblighi di trasparenza e documentazione tecnica. I modelli che presentano un rischio sistemico sono soggetti a obblighi rafforzati.

Cosa significa per gli utenti di questi modelli: se integrate un modello GPAI nei vostri prodotti o servizi, beneficiate della documentazione tecnica fornita dal fornitore del modello. Tuttavia, restate responsabili dell’uso che ne fate e della conformità della vostra applicazione finale.

2 agosto 2026 — Applicazione dell’intero testo

È la data chiave. A partire dal 2 agosto 2026, tutti gli obblighi si applicano, ad eccezione delle regole di classificazione dei sistemi ad alto rischio dell’articolo 6. Tutti i fornitori e i deployer di sistemi di IA ad alto rischio elencati nell’Allegato III devono essere in conformità.

2 agosto 2027 — Applicazione completa

Entrata in applicazione delle regole di classificazione dell’articolo 6 per i sistemi ad alto rischio già inquadrati da una legislazione settoriale europea (dispositivi medici, giocattoli, macchine, ecc.).

La classificazione dei rischi: 4 livelli

L’AI Act si basa su un approccio gerarchizzato dei rischi. Ogni sistema di IA è classificato in una delle quattro categorie seguenti, che determinano gli obblighi applicabili.

Rischio inaccettabile — Vietato

Sistemi severamente proibiti dal febbraio 2025 (vedi sopra). Nessuna deroga possibile.

Alto rischio — Obblighi pesanti

I sistemi di IA ad alto rischio sono quelli che hanno un impatto significativo sui diritti fondamentali. L’Allegato III del regolamento ne redige l’elenco:

Biometria: identificazione, categorizzazione, rilevamento delle emozioni
Infrastrutture critiche: gestione del traffico stradale, fornitura di acqua, gas, elettricità
Istruzione e formazione: valutazione, ammissione, orientamento
Occupazione: reclutamento, valutazione dei candidati, decisioni di promozione
Servizi essenziali: idoneità alle prestazioni sociali, scoring creditizio, valutazione dei rischi assicurativi
Repressione: valutazione dei rischi, poligrafi, profilazione
Migrazione e controllo delle frontiere: valutazione delle domande di visto o asilo
Giustizia: ricerca giuridica, interpretazione dei fatti e del diritto

Obblighi dei sistemi ad alto rischio:

Sistema di gestione della qualità
Documentazione tecnica dettagliata
Registrazione automatica (log)
Trasparenza e informazione degli utenti
Supervisione umana effettiva
Precisione, robustezza e cybersicurezza
Registrazione nella banca dati europea

Un punto essenziale per le PMI: anche se non siete lo sviluppatore del sistema di IA, il semplice fatto di implementarlo in un caso d’uso ad alto rischio vi sottopone agli obblighi di deployer. Utilizzare uno strumento di screening automatizzato dei CV, ad esempio, vi rende deployer di un sistema di IA ad alto rischio nel settore dell’occupazione.

Rischio limitato — Obblighi di trasparenza

I sistemi che presentano un rischio limitato sono principalmente soggetti a obblighi di informazione:

I chatbot devono informare l’utente che sta interagendo con un’IA
I contenuti generati dall’IA (testo, immagine, audio, video) devono essere segnalati come tali
I sistemi di rilevamento delle emozioni o di categorizzazione biometrica devono informare le persone interessate

I deepfake sono particolarmente nel mirino. Ogni contenuto sintetico (immagine, audio, video) generato o modificato dall’IA deve essere contrassegnato come tale in modo rilevabile dalla macchina e comprensibile dall’uomo. Questo obbligo riguarda tanto i fornitori di modelli quanto gli utenti che diffondono questi contenuti.

Rischio minimo — Nessun obbligo specifico

La grande maggioranza dei sistemi di IA attuali (filtri anti-spam, raccomandazioni prodotti, correttori ortografici) rientra nel rischio minimo. Nessun obbligo specifico si impone, ma il rispetto delle buone pratiche è incoraggiato.

Impatto concreto per le PMI europee

Chi è interessato?

Se la vostra azienda utilizza un sistema di IA classificato ad alto rischio (reclutamento automatizzato, scoring creditizio, valutazione dei rischi), siete “deployer” ai sensi dell’AI Act e avete obblighi specifici.

Se la vostra azienda sviluppa un sistema di IA, siete “fornitore” e gli obblighi sono più pesanti.

La distinzione fornitore/deployer è fondamentale. Un fornitore progetta e immette sul mercato un sistema di IA. Un deployer lo utilizza nell’ambito della sua attività. Entrambi hanno obblighi, ma sono diversi. Il deployer deve assicurarsi che l’IA sia utilizzata conformemente alle istruzioni del fornitore, mettere in atto una supervisione umana, informare le persone interessate e realizzare un’analisi d’impatto sui diritti fondamentali per i sistemi ad alto rischio.

Cosa devono fare le PMI adesso

Mappare i sistemi di IA utilizzati: quali strumenti di IA sono implementati nella vostra organizzazione? Per quali usi? Questo censimento è il primo passo indispensabile.
Classificare i rischi: per ogni sistema, determinare la sua categoria di rischio secondo il regolamento. Consultate l’Allegato III per verificare se i vostri usi sono classificati ad alto rischio.
Valutare la conformità: i sistemi ad alto rischio rispettano i requisiti di trasparenza, tracciabilità e supervisione umana?
Documentare: anche per i sistemi a rischio minimo, documentare gli usi e le precauzioni adottate. Questa documentazione sarà preziosa in caso di controllo.
Formare i team: sensibilizzare i collaboratori sugli obblighi dell’AI Act e sulle buone pratiche di utilizzo responsabile dell’IA.
Contattare i vostri fornitori: richiedere la documentazione tecnica e i certificati di conformità ai fornitori dei sistemi di IA che utilizzate.

Esenzioni e misure di accompagnamento

Il regolamento prevede disposizioni per alleggerire il carico delle PMI:

I sistemi già legalmente sul mercato prima dell’agosto 2026 beneficiano di una clausola transitoria — possono restare in servizio finché non subiscono una “modifica sostanziale”
Sandbox regolamentari (regulatory sandboxes) permettono di testare sistemi di IA innovativi in un quadro regolamentato
La Commissione europea deve pubblicare linee guida e strumenti pratici per accompagnare le PMI
Le sanzioni sono ridotte per le PMI: i tetti sono calcolati proporzionalmente al fatturato, con importi ridotti per le microimprese e le startup

L’AI Act non sostituisce il GDPR — si aggiunge ad esso. Se il vostro sistema di IA tratta dati personali, dovete rispettare entrambi i testi simultaneamente.

Esempi di sovrapposizione:

Un sistema di reclutamento automatizzato deve essere conforme all’AI Act (alto rischio) E al GDPR (trattamento di dati personali, profilazione, decisioni automatizzate ai sensi dell’articolo 22)
Un chatbot che raccoglie dati personali deve informare l’utente che sta interagendo con un’IA (AI Act) E rispettare gli obblighi di trasparenza e consenso del GDPR
L’utilizzo di dati personali per addestrare un modello di IA deve rispettare i principi di minimizzazione e finalità del GDPR

Il diritto alla spiegazione si rafforza. L’articolo 22 del GDPR conferisce già il diritto di non essere sottoposti a una decisione esclusivamente automatizzata che produca effetti giuridici. L’AI Act rafforza questo diritto esigendo una supervisione umana effettiva per tutti i sistemi ad alto rischio. Concretamente, un sistema di IA non deve mai prendere da solo una decisione che abbia un impatto significativo su una persona senza possibilità di intervento umano.

La governance dei dati di addestramento è un altro punto di convergenza. L’AI Act esige che i dati utilizzati per addestrare i sistemi ad alto rischio siano pertinenti, rappresentativi, esenti da errori e completi. Il GDPR esige che il trattamento di dati personali a fini di addestramento sia fondato su una base giuridica valida. Le due esigenze si cumulano.

Come DPLIANCE integra l’IA in modo responsabile

In DPLIANCE, utilizziamo l’IA nei nostri prodotti — in particolare Mistral, un modello di IA francese ed europeo, integrato in Complio per automatizzare l’audit di conformità GDPR.

Il nostro approccio è guidato da tre principi:

Trasparenza: indichiamo chiaramente quando l’IA interviene nei nostri prodotti e cosa fa
Sovranità: privilegiamo i modelli europei (Mistral) e l’hosting in Europa (Scaleway) affinché i dati non lascino mai il suolo europeo
Supervisione umana: l’IA in Complio assiste e accelera l’audit, ma non sostituisce l’expertise umana. Le raccomandazioni sono sempre verificabili

La privacy non è un compromesso. La sovranità neppure. E l’intelligenza artificiale non deve cambiare questa equazione.

Scoprite come Complio utilizza l’IA per automatizzare la vostra conformità GDPR, ed esplorate l’insieme delle nostre soluzioni sovrane.

FAQ

L’AI Act si applica alle aziende che utilizzano l’IA senza svilupparla?

Sì. L’AI Act distingue i “fornitori” (che sviluppano) e i “deployer” (che utilizzano). I deployer di sistemi ad alto rischio hanno obblighi specifici: supervisione umana, informazione delle persone interessate, utilizzo conforme alle istruzioni del fornitore. Per i sistemi a rischio limitato (chatbot, generatori di contenuti), l’obbligo principale è la trasparenza verso l’utente.

Il mio chatbot è interessato dall’AI Act?

Sì, almeno per gli obblighi di trasparenza (rischio limitato): dovete informare gli utenti che stanno interagendo con un’IA. Se il chatbot prende decisioni che impattano i diritti delle persone (es.: idoneità a un servizio), potrebbe essere classificato ad alto rischio. L’analisi dipende dall’uso concreto e non dalla tecnologia stessa.

Quali sono le sanzioni previste dall’AI Act?

Le sanzioni variano secondo la gravità dell’infrazione: fino a 35 milioni di euro o il 7% del fatturato mondiale per le pratiche vietate, fino a 15 milioni o il 3% per gli altri obblighi. Importi ridotti sono previsti per le PMI. Il regolamento prevede inoltre che le autorità nazionali di sorveglianza potranno imporre misure correttive, ritiri dal mercato e divieti temporanei di utilizzo.

Il GDPR disciplina il trattamento dei dati personali. L’AI Act disciplina i sistemi di intelligenza artificiale stessi — la loro progettazione, immissione sul mercato e utilizzo. I due testi sono complementari e possono applicarsi simultaneamente a uno stesso sistema. In caso di conflitto, prevalgono le regole più protettive per le persone.

Devo smettere di utilizzare l’IA nella mia azienda?

No. La grande maggioranza degli usi dell’IA in azienda (assistenti, automazione, analisi dei dati) rientra nel rischio minimo e non è soggetta ad alcuna restrizione. L’AI Act mira agli usi ad alto rischio, non all’IA in generale. L’obiettivo del regolamento non è frenare l’innovazione, ma assicurarsi che l’IA sia utilizzata in modo responsabile e rispettoso dei diritti fondamentali.

Come prepararmi concretamente prima dell’agosto 2026?

Iniziate con un inventario di tutti i sistemi di IA utilizzati nella vostra azienda. Classificateli secondo le categorie di rischio del regolamento. Per i sistemi ad alto rischio, contattate i vostri fornitori per ottenere la documentazione tecnica. Formate i vostri team. E documentate tutto: in caso di controllo, la prova della vostra démarche di conformità sarà il vostro miglior alleato.

Fonti: Regolamento (UE) 2024/1689 — AI Act, Service-public.fr — AI Act: quali cambiamenti per le aziende, CNIL (autorità francese per la protezione dei dati) — Intelligenza artificiale, Naaia — Calendario AI Act 2026. Articolo aggiornato il 28 gennaio 2026.

AI Act: cosa devono sapere le aziende nel 2026