MENU

Regolamento UE 2024/1689 (AI Act): cosa succede il 2 Agosto 2025

Pubblicato il , da Roberto Sammarchi

(Scheda riassuntiva liberamente ripubblicabile citando la fonte)

Avv. Roberto Sammarchi

Avvocato specialista in diritto dell’informazione, della comunicazione digitale
e della protezione dei dati personali

Il Regolamento (UE) 2024/1689, noto come AI Act, è la prima legge al mondo sull’intelligenza artificiale ed è entrato in vigore il 1° agosto 2024. Il suo scopo è garantire che i sistemi di IA immessi sul mercato europeo e utilizzati nell’Unione siano sicuri, rispettino i diritti fondamentali e promuovano gli investimenti e l’innovazione in questo settore. Questa scheda è pensata per fornire a imprese e organizzazioni una chiara comprensione degli obblighi specifici che diventano applicabili a partire dal 2 agosto 2025.

Chi è interessato?

Il Regolamento si applica a un’ampia gamma di soggetti coinvolti nello sviluppo e nell’utilizzo dell’IA:

  • Fornitori di sistemi di IA o modelli di IA per scopi generali (GPAI) che li immettono sul mercato dell’Unione o li mettono in servizio.
  • Utilizzatori (deployer) di sistemi di IA all’interno dell’Unione Europea.
  • Importatori e distributori di sistemi di IA.
  • Fornitori e utilizzatori extra-UE, nel caso in cui i risultati prodotti dai loro sistemi di IA sono destinati all’uso nell’Unione Europea. Questa disposizione conferisce all’AI Act una significativa portata extraterritoriale.
  • Produttori di prodotti che utilizzano sistemi di IA come componenti di sicurezza o che richiedono una valutazione di conformità da parte di terzi.

Il Regolamento prevede alcune eccezioni, ad esempio per sistemi di IA usati a scopi militari, di ricerca e sviluppo scientifici, o per usi non professionali.

Cosa succede il 2 agosto 2025?

Questa data è un passo fondamentale nell’applicazione dell’AI Act, che introduce obblighi specifici e attiva importanti strutture di controllo:

  1. Attivazione della Struttura di Governance:
  • Viene attivato l’Ufficio Europeo per l’IA all’interno della Commissione Europea, che coordina l’applicazione coerente delle norme e funge da organo di regolamentazione per i modelli di IA per scopi generali.
  • Viene istituito il Comitato Europeo per l’Intelligenza Artificiale (EAIB) per supervisionare l’applicazione e garantire il coordinamento tra gli Stati membri.
  • Gli Stati membri hanno l’obbligo di designare le proprie autorità nazionali competenti entro questa data. Queste autorità hanno il compito di controllare i sistemi di IA a livello nazionale, indagare sui reclami e bloccare sistemi pericolosi. Questo significa che le organizzazioni possono ricevere richieste o controlli da queste autorità.
  • Diventano applicabili le disposizioni relative alla confidenzialità delle informazioni scambiate tra le autorità e con gli operatori.
  1. Obblighi per i Fornitori di Modelli di IA per Scopi Generali (GPAI):
  • I modelli GPAI sono sistemi di IA che mostrano una significativa generalità e sono in grado di eseguire una vasta gamma di compiti distinti, come i grandi modelli linguistici (es. ChatGPT, Gemini). Se la tua organizzazione sviluppa, modifica significativamente o fornisce questi modelli, deve rispettare nuovi obblighi.
  • Documentazione Tecnica: I fornitori devono redigere e mantenere aggiornata una documentazione dettagliata sulle capacità, limitazioni e potenziali rischi dei loro modelli. Questa documentazione deve essere resa disponibile sia per i fornitori a valle che per l’Ufficio AI e le autorità nazionali competenti su richiesta.
  • Riepilogo dei Dati di Addestramento: È obbligatorio pubblicare un riepilogo sufficientemente dettagliato dei contenuti utilizzati per l’addestramento del modello GPAI.
  • Politica di Conformità al Diritto d’Autore: I fornitori devono implementare e mantenere una politica che garantisce la piena conformità al diritto d’autore dell’Unione, in particolare rispettando le riserve di diritti (es. robots.txt o metadati specifici).
  • Punto di Contatto: È necessario designare un punto di contatto che consente all’Ufficio AI, alle autorità nazionali e ai titolari dei diritti di presentare richieste di accesso alla documentazione del modello e reclami relativi alla non conformità al diritto d’autore.
  • Modelli GPAI con Rischio Sistemico: Un modello GPAI è classificato come “con rischio sistemico” se ha “capacità ad alto impatto” o se la Commissione Europea lo designa come tale. Questi modelli possono comportare rischi significativi (es. abbassando le barriere per lo sviluppo di armi chimiche o biologiche). Per questi modelli si aggiungono obblighi più stringenti, come la valutazione e mitigazione dei rischi sistemici (es. tramite testing avversariale), l’adozione di un quadro di sicurezza e protezione, la cibersicurezza, la notifica alla Commissione e la segnalazione di incidenti gravi.
  • Eccezione per GPAI preesistenti: I fornitori di modelli GPAI immessi sul mercato prima del 2 agosto 2025 beneficiano di un periodo di grazia aggiuntivo di due anni, fino al 2 agosto 2027, per garantire la piena conformità a questi obblighi.

Cosa devono fare e gestire le imprese e organizzazioni?

Per affrontare efficacemente gli obblighi imminenti dell’AI Act, le imprese e le organizzazioni devono adottare un approccio strutturato:

  • Mappatura dell’Esposizione all’UE: Devono essere identificati tutti i modelli o servizi AI che l’organizzazione sviluppa, utilizza, importa o distribuisce e che sono accessibili o utilizzati da utenti o entità basate nell’UE. Questo include l’analisi dei log di utilizzo delle API, degli accordi di rivendita e della composizione della base clienti.
  • Classificazione dei Sistemi AI: Deve essere effettua una valutazione strutturata del rischio di ciascun sistema AI per determinarne la classificazione secondo l’AI Act (rischio inaccettabile, alto, limitato, minimo). Un’analisi separata si esegue per i modelli GPAI per determinare se rientrano nella categoria di rischio sistemico.
  • Revisione delle Pratiche di Sviluppo: Per i fornitori di GPAI, in particolare quelli che superano la soglia di calcolo di 10^25 FLOPs, è necessario prepararsi a divulgare i riepiloghi dei dati di addestramento e a implementare robuste strategie di mitigazione del rischio. Questo può richiedere lo sviluppo di nuove capacità di documentazione e assicurazione.
  • Adozione di una Governance Interna AI: Devono essere create o rafforzate le funzioni di conformità con competenze specifiche in materia di IA. I team legali, di prodotto e di ingegneria collaborano per costruire processi di gestione del rischio e di documentazione che anticipano controlli e azioni di enforcement. È consigliabile formare un comitato di governance AI che include leader di tutte le aree aziendali (IT, sicurezza, legale, finanza, operazioni commerciali, conformità) per definire i rischi primari dell’IA, redigere politiche per un uso accettabile dell’IA e identificare gli indicatori chiave di rischio da monitorare. Un inventario completo di tutti i sistemi AI utilizzati e delle loro fonti di dati è essenziale.
  • Formazione e Alfabetizzazione AI (AI Literacy): L’alfabetizzazione AI è un obbligo legale per fornitori e utilizzatori di sistemi di IA. La formazione si basa sui ruoli, coprendo concetti AI di base, regole di sicurezza, gestione del rischio, pratiche di protezione dei dati e aggiornamenti sulle nuove normative. I programmi di alfabetizzazione AI si estendono oltre le considerazioni puramente tecniche per includere i diritti umani, le dimensioni etiche e le implicazioni sociali.
  • Considerazioni per le Organizzazioni di Piccole Dimensioni: L’AI Act include disposizioni specifiche per le piccole e medie imprese (PMI). Tutti gli Stati membri devono adottare almeno una sandbox regolamentare nazionale, che consente di testare prodotti, tecnologie e servizi AI innovativi in un ambiente controllato. Le PMI hanno accesso prioritario e gratuito a queste sandbox. Inoltre, l’AI Act si concentra sulla limitazione dei costi di conformità per gli attori più piccoli, richiedendo che le commissioni nazionali per la valutazione della conformità tengano conto delle esigenze dei fornitori PMI e siano proporzionate alle dimensioni dell’azienda.

Quali rischi legali si corrono?

La non conformità con il Regolamento AI Act comporta rischi finanziari e reputazionali significativi per le imprese e le organizzazioni. Le sanzioni sono calcolate come una percentuale del fatturato totale annuo dell’azienda responsabile o un importo predeterminato, a seconda di quale sia il più elevato.

Di seguito una ripartizione delle diverse fasce di sanzioni:

  • Fino a 35 milioni di EUR o il 7% del fatturato annuo totale mondiale dell’esercizio finanziario precedente, a seconda di quale sia l’importo più elevato, per la non conformità con il divieto di determinate pratiche di IA. Questa è la sanzione più elevata, che riflette la gravità delle pratiche proibite ritenute inaccettabili.
  • Fino a 15 milioni di EUR o il 3% del fatturato annuo totale mondiale dell’esercizio finanziario precedente, a seconda di quale sia l’importo più elevato, per la non conformità con altre disposizioni relative agli operatori o agli organismi notificati (diverse da quelle relative alle pratiche proibite e dalla fornitura di informazioni errate).
  • Fino a 7,5 milioni di EUR o l’1% del fatturato annuo totale mondiale dell’esercizio finanziario precedente, a seconda di quale sia l’importo più elevato, per la fornitura di informazioni scorrette, incomplete o fuorvianti agli organismi notificati o alle autorità nazionali competenti in risposta a una richiesta.

Nel caso delle piccole e medie imprese e delle start-up, ciascuna sanzione è limitata alla percentuale o all’importo sopra indicati, a seconda di quale sia l’importo inferiore.

Per determinare la sanzione amministrativa e il suo importo, si prendono in considerazione tutte le circostanze pertinenti della situazione specifica, inclusa la natura, la gravità e la durata dell’infrazione e le sue conseguenze.

Prossimi passi strategici

La scadenza del 2 agosto 2025 per il Regolamento UE 2024/1689 (AI Act) rappresenta un momento centrale per imprese e organizzazioni. Non si tratta di una data isolata, ma di un passo significativo all’interno di un cronoprogramma di conformità, che attiva componenti della governance e impone obblighi specifici ai fornitori di modelli di IA per scopi generali (GPAI).

Le organizzazioni sono chiamate ad agire immediatamente. Ciò include la mappatura completa della propria esposizione alle norme UE e la classificazione di tutti i sistemi IA in uso, con particolare attenzione ai modelli GPAI e alla loro potenziale classificazione come “a rischio sistemico”. È necessario avviare una revisione approfondita delle pratiche di sviluppo dei modelli e implementare o rafforzare una solida governance interna dell’IA. Dovrebbero essere creati team dedicati alla conformità AI e stabiliti processi di gestione del rischio e di documentazione; va inoltre considerata la nomina di un rappresentante dell’organizzazione ai fini della compliance di sistemi e politiche dell’organizzazione in base alle norme UE.

La conformità all’AI Act non è un evento isolato, ma un processo che richiede monitoraggio e adattamento strategico. Le aziende dovrebbero integrare la governance dell’IA nelle proprie operazioni aziendali, monitorare attivamente le nuove linee guida e gli standard armonizzati che vengono pubblicati, e aggiornare di conseguenza le proprie strategie. L’investimento nell’alfabetizzazione AI del personale è un obbligo legale e un fattore critico per un’adozione responsabile e sicura dell’IA.

Un approccio strutturato alla conformità non solo mitiga i rischi di sanzioni e danni reputazionali, ma può tradursi in un vantaggio competitivo. L’AI Act fornisce una roadmap per l’uso responsabile dell’IA, ponendo la sicurezza e i diritti fondamentali al primo posto, senza soffocare l’innovazione. Aderendo a queste regole, le imprese e le organizzazioni proteggono se stesse e i propri utenti, contribuendo a costruire fiducia nella tecnologia intelligente, elemento essenziale per la sua adozione e il suo successo a lungo termine.