L’EU AI Act inaugura una nuova fase per l’intelligenza artificiale in Europa e introduce regole che coinvolgono aziende di ogni settore. La normativa si intreccia con la protezione dei dati e ridefinisce il rapporto tra innovazione, trasparenza e responsabilità, soprattutto nei sistemi classificati come AI ad alto rischio.
Il regolamento AI Italia e gli aggiornamenti pubblicati a novembre 2025 chiariscono obblighi, responsabilità e criteri di conformità richiesti alle imprese. Le organizzazioni devono dimostrare un uso corretto dei sistemi intelligenti e prevenire rischi che potrebbero generare sanzioni significative. La nuova legge intelligenza artificiale diventa un riferimento per tutte le aziende che adottano soluzioni avanzate, in un contesto normativo in cui GDPR e AI Act lavorano in modo coordinato per garantire affidabilità e tutela degli utenti.
L’EU AI Act è stato introdotto come regolamento europeo che classifica i sistemi di intelligenza artificiale in base al livello di rischio e impone requisiti specifici per ciascuna categoria. L’obiettivo è sempre stato quello di tutelare diritti fondamentali, sicurezza e trasparenza, senza frenare l’innovazione tecnologica. Il regolamento è entrato ufficialmente in vigore il 1° agosto 2024.
Il regolamento si applica direttamente in tutti gli Stati membri senza bisogno di recepimento nazionale. Ha riguardato fin da subito chiunque sviluppasse, distribuisse o utilizzasse sistemi AI nel territorio europeo, indipendentemente da dove avesse sede l’azienda fornitrice. Anche software sviluppati fuori dall’UE hanno dovuto rispettare le regole nel momento in cui venivano utilizzati in Europa, rendendo l’AI Act un quadro normativo valido anche per operatori extra-UE.
Il regolamento ha previsto un’applicazione graduale. Dal 2 febbraio 2025 sono scattati i divieti per i sistemi AI considerati a rischio inaccettabile e sono iniziati gli obblighi relativi all’alfabetizzazione sull’IA. Dal 2 agosto 2025 sono entrate in vigore le regole per i modelli di AI general purpose (GPAI), con nuovi requisiti di trasparenza, documentazione e gestione del rischio. Dal 2 agosto 2026 si applicano le disposizioni destinate ai nuovi sistemi ad alto rischio. Entro agosto 2027 tutte le disposizioni del regolamento risultano pienamente operative, e i sistemi ad alto rischio già presenti sul mercato devono essere conformi ai criteri europei.
Queste scadenze hanno dato alle aziende un periodo di transizione, pur richiedendo fin da subito una pianificazione attenta per garantire conformità e continuità operativa.
L’EU AI Act divide i sistemi AI in quattro categorie, valutando l’impatto che possono avere su diritti e sicurezza delle persone. Ogni livello comporta obblighi diversi e, dal 2025, le definizioni sono state chiarite dalle linee guida applicative.
Sistemi vietati e limitati
Alcuni sistemi AI risultano completamente vietati perché incompatibili con la tutela dei diritti fondamentali. In questa categoria rientrano la manipolazione del comportamento, il social scoring da parte delle autorità pubbliche e l’identificazione biometrica in tempo reale negli spazi pubblici, salvo eccezioni estremamente ristrette per finalità di sicurezza. Le norme aggiornate includono anche pratiche come la creazione di database biometrici tramite scraping massivo di immagini, il riconoscimento delle emozioni in scuole o luoghi di lavoro e qualunque tecnologia che sfrutti vulnerabilità di gruppi come minori o anziani. L’uso di questi sistemi comporta sanzioni immediate e rimozione obbligatoria dal mercato.
AI ad alto rischio
I sistemi utilizzati in settori sensibili come sanità, trasporti, giustizia, selezione del personale o accesso a servizi pubblici sono classificati ad alto rischio. Per essere commercializzati devono rispettare requisiti rigorosi che includono una valutazione di conformità, una documentazione tecnica approfondita, un monitoraggio continuo delle prestazioni e una supervisione umana tracciabile. Devono inoltre essere registrati nel database europeo dei sistemi ad alto rischio. Dal 2026 ogni nuovo sistema immesso sul mercato deve aver superato questi controlli e mantenere standard elevati per l’intero ciclo di vita.
Sistemi a rischio minimo
La maggior parte delle applicazioni rientra nel rischio minimo. Strumenti come chatbot, filtri antispam o servizi di raccomandazione non sensibili richiedono principalmente obblighi di trasparenza. Gli utenti devono sapere quando stanno interagendo con un sistema di intelligenza artificiale o quando un contenuto è generato artificialmente, anche tramite watermarking o altre forme di segnalazione. Non essendo necessari audit o certificazioni preventive, questa categoria favorisce un’innovazione più rapida e mantiene lo sviluppo tecnologico agile e accessibile.
Le aziende italiane che usano sistemi di intelligenza artificiale devono verificare quali strumenti rientrano nelle categorie regolamentate dall’EU AI Act e adottare le misure adeguate. Anche chi non sviluppa internamente tecnologie AI ma utilizza software di terze parti ha responsabilità precise, perché la normativa assegna obblighi sia ai produttori sia agli utilizzatori.
Il primo passo consiste nell’identificare tutti i sistemi AI utilizzati in azienda. Software dedicati alla selezione del personale, chatbot per l’assistenza clienti, algoritmi di pricing o strumenti di analisi predittiva devono essere individuati, catalogati e classificati secondo i livelli di rischio dell’AI Act. Senza una mappatura completa non è possibile capire quali obblighi si applicano e non si può garantire la conformità normativa. Anche i sistemi AI forniti da terzi rientrano in questo processo, perché l’azienda che li utilizza resta responsabile del loro impatto e della loro gestione.
Per i sistemi ad alto rischio serve una documentazione tecnica dettagliata che dimostri la conformità ai requisiti del regolamento. Il registro delle decisioni automatizzate, i dati impiegati nell’addestramento, le misure di sicurezza adottate e le procedure di supervisione umana devono essere tracciati e mantenuti aggiornati. La trasparenza verso gli utenti finali è obbligatoria e chi interagisce con un sistema di intelligenza artificiale deve essere informato in modo chiaro e inequivocabile. In alcune situazioni la normativa richiede anche forme evidenti di segnalazione, come watermarking o avvisi che indichino la natura artificiale dei contenuti.
Un’azienda che utilizza software AI sviluppati da fornitori esterni mantiene comunque responsabilità operative e legali. È necessario verificare che il fornitore rispetti i requisiti dell’AI Act, controllare la disponibilità della documentazione tecnica e assicurarsi che i contratti includano garanzie sulla qualità dei dati, sulla sicurezza e sulla tutela degli utenti. Quando il sistema rientra nella categoria ad alto rischio, il soggetto utilizzatore deve rispettare gli obblighi di monitoraggio, supervisione e trasparenza previsti dal regolamento.
L’adozione dell’intelligenza artificiale richiede una governance aziendale strutturata, con procedure interne aggiornate, ruoli chiari e controlli periodici. Gli obblighi del GDPR si applicano pienamente quando i sistemi AI trattano dati personali, quindi le imprese devono garantire che le decisioni automatizzate risultino comprensibili, motivate e verificabili da personale competente. La conformità non termina con l’avvio del sistema, perché il regolamento richiede una gestione continua dei rischi lungo tutto il ciclo di vita dell’AI.
L’Italia ha approvato una legge nazionale che integra l’EU AI Act con disposizioni specifiche per il contesto italiano. La normativa definisce governance, responsabilità e settori prioritari nei quali applicare controlli rafforzati.
La legge italiana concentra l’attenzione su settori strategici come sanità, pubblica amministrazione, istruzione e giustizia. In questi ambiti l’utilizzo di sistemi di intelligenza artificiale richiede valutazioni di impatto preventive, consultazioni con le autorità competenti e garanzie rafforzate per la tutela dei diritti delle persone. Le amministrazioni pubbliche devono adottare linee guida nazionali prima di implementare soluzioni basate su AI.
L’Agenzia per la Cybersicurezza Nazionale (ACN) e l’Agenzia per l’Italia Digitale (AgID) svolgono funzioni di coordinamento e controllo nella regolamentazione dell’AI. ACN si occupa della sicurezza dei sistemi AI, mentre AgID supporta la digitalizzazione conforme all’interno delle pubbliche amministrazioni. Insieme definiscono standard tecnici, emettono pareri vincolanti e monitorano l’applicazione delle norme su tutto il territorio nazionale.
Il 19 novembre 2025 la Commissione Europea ha presentato il Digital Omnibus, un pacchetto di proposte legislative che modifica sia l’AI Act sia il GDPR con l’obiettivo dichiarato di semplificare le regole digitali europee e ridurre i costi di compliance.
Modifiche all’AI Act
Il Digital Omnibus propone di rendere l’AI Act più flessibile, posticipando alcuni obblighi per i sistemi ad alto rischio fino a 16 mesi. L’AI Office ottiene un ruolo centrale nella supervisione, mentre aumentano gli spazi per definire la conformità attraverso standard tecnici e linee guida invece di requisiti rigidi. Vengono estesi alcuni benefici previsti per le piccole e medie imprese anche alle mid-cap companies, riducendo il carico amministrativo. L’obbligo di alfabetizzazione AI viene spostato dalle singole organizzazioni alle autorità nazionali ed europee.
Impatto su GDPR e protezione dati
Il pacchetto introduce modifiche significative al GDPR. Cambia la definizione di dato personale, adottando un criterio più soggettivo legato ai mezzi del titolare del trattamento. Viene riscritto l’articolo 22 sulle decisioni automatizzate, permettendo un uso più ampio degli algoritmi nelle valutazioni che incidono sulle persone. Si restringe inoltre il diritto di accesso ai dati, consentendo ai controller di rifiutare richieste considerate abusive. Le regole ePrivacy confluiscono nel GDPR creando un quadro unico per la protezione dei dati.
Cosa significa per le aziende
Queste sono proposte, non ancora legge. Devono passare attraverso il Parlamento Europeo e il Consiglio prima di essere approvate, un processo che potrebbe richiedere mesi e introdurre modifiche sostanziali. Indicano però la direzione della Commissione verso una maggiore flessibilità normativa e una riduzione degli oneri burocratici. Le aziende dovrebbero monitorare attentamente l’evoluzione del Digital Omnibus e valutare come potrebbe semplificare i loro programmi di compliance una volta adottato.
Le violazioni dell’EU AI Act comportano multe molto pesanti, calcolate come percentuale del fatturato globale annuo dell’azienda oppure come importo fisso, a seconda di quale valore risulti più elevato. Le sanzioni sono pensate per essere proporzionate alla gravità dell’infrazione e dissuasive anche per i grandi gruppi internazionali.
Usare sistemi AI vietati può portare a multe fino a 35 milioni di euro o al 7% del fatturato annuo mondiale, se superiore. Violare gli obblighi previsti per i sistemi di AI ad alto rischio può costare fino a 15 milioni di euro o al 3% del fatturato. Anche fornire informazioni incomplete, scorrette o fuorvianti alle autorità competenti è sanzionabile, con multe che possono arrivare a 7,5 milioni di euro o all’1,5% del fatturato. Le cifre sono calibrate per risultare realmente dissuasive, anche nei confronti delle grandi multinazionali, mentre per PMI e startup sono previste soglie massime ridotte stabilite a livello europeo.
La conformità preventiva rappresenta l’unica protezione davvero efficace. Mappare i sistemi AI presenti in azienda, classificarli correttamente in base ai livelli di rischio e implementare misure di conformità prima delle scadenze riduce in modo drastico i rischi di violazione. Affidarsi a consulenti legali e tecnici specializzati, formare il personale che utilizza o gestisce i sistemi AI e monitorare in modo costante gli aggiornamenti normativi diventa un investimento strategico, pensato per prevenire sanzioni molto più onerose e per preservare la reputazione aziendale sul lungo periodo.
Adeguarsi all’EU AI Act richiede azioni concrete e una pianificazione strutturata. Non basta dichiarare conformità, perché il regolamento richiede la capacità di dimostrarla attraverso documentazione, processi verificabili e scelte tecnologiche trasparenti.
Se utilizzi software AI sviluppati da terze parti, è fondamentale richiedere ai fornitori una documentazione chiara di conformità all’AI Act. I contratti devono chiarire le rispettive responsabilità in caso di non conformità e indicare in modo esplicito quali requisiti normativi sono già soddisfatti e quali rimangono a carico dell’azienda utilizzatrice. Se un fornitore non può garantire il rispetto delle regole, diventa necessario valutare alternative o richiedere adeguamenti. La responsabilità infatti ricade anche su chi usa il sistema e non solo su chi lo sviluppa.
I dipendenti che lavorano con sistemi AI devono conoscere gli obblighi imposti dal regolamento, i rischi connessi e le procedure di sicurezza previste. Una formazione continua su normativa, utilizzo corretto degli strumenti, gestione dei dati personali e supervisione umana rappresenta una parte essenziale della conformità. Senza una cultura aziendale consapevole, anche le soluzioni tecniche più avanzate non garantiscono risultati affidabili.
Molte aziende stanno aggiornando infrastrutture, processi e documentazione per allinearsi al nuovo quadro europeo. In queste fasi può essere utile un supporto tecnico e organizzativo per valutare i sistemi AI già in uso, impostare una governance coerente e integrare tecnologie conformi.
Syroop affianca le imprese in questi percorsi, aiutandole a rendere l’adozione dell’intelligenza artificiale più sicura, trasparente e sostenibile nel tempo.
01. Quando entra in vigore l’EU AI Act?
L’EU AI Act è entrato in vigore il 1° agosto 2024, con applicazione graduale fino al 2 agosto 2026 per i sistemi ad alto rischio e fino al 2027 per alcuni prodotti regolamentati. In aggiunta, dal 2025 è operativo anche il registro europeo dei sistemi AI ad alto rischio, nel quale molti sistemi dovranno essere inseriti prima della loro messa sul mercato.
02. Quali aziende devono rispettare l’EU AI Act?
Devono rispettarlo tutte le aziende che utilizzano, sviluppano o distribuiscono sistemi AI nell’UE, incluse PMI e grandi imprese che impiegano strumenti come ChatGPT, CRM o software con AI integrata. Il regolamento si applica anche a società extra-UE se i loro sistemi AI vengono usati nel mercato europeo, indipendentemente dal luogo di sviluppo.
03. Quali sono le sanzioni per chi viola l’AI Act?
Le multe possono arrivare fino a 35 milioni di euro o al 7% del fatturato annuo mondiale per violazioni gravi, come l’uso di pratiche AI vietate. Le autorità possono inoltre imporre la sospensione immediata del sistema AI non conforme, anche se già distribuito, con impatti operativi significativi.
04. L’Italia ha una legge specifica sull’AI?
Sì, l’Italia ha approvato nel 2025 la prima legge nazionale europea sull’AI, che integra l’AI Act con regole specifiche per sanità, lavoro e pubblica amministrazione. La normativa italiana introduce anche obblighi di valutazione d’impatto AI prima dell’adozione di sistemi pubblici in settori sensibili.
05. Cosa sono i sistemi AI ad alto rischio?
Sono sistemi utilizzati in ambiti critici come selezione del personale, valutazione creditizia, sanità, trasporti e giustizia, che richiedono documentazione rigorosa e controllo umano. Devono inoltre essere registrati in un database europeo e sottoposti a monitoraggio continuo per tutta la loro vita operativa.
Copyright 2026 SYROOP SRL – via del Lauro, 2 – 20121 – Milano – syroopsrl@legalmail.it – P.IVA 13829780967
Richiedi informazioni o preventivi
