EU AI Act: Tutto quello che le Aziende Devono Sapere nel 2026
Il Regolamento europeo sull'intelligenza artificiale (Regolamento (UE) 2024/1689) è in vigore — e per la maggior parte delle organizzazioni che usano o implementano sistemi AI, il conto alla rovescia della conformità non riguarda più il futuro. Riguarda adesso.
Questa guida è scritta per i team legali, di compliance e tecnologici che devono comprendere il Regolamento in pieno dettaglio operativo: cosa dice, cosa richiede alla vostra organizzazione e come si presenta la non conformità. Non è un riassunto. È il documento di riferimento a cui tornerete.
Per le aziende italiane, questo Regolamento è di importanza strategica: l'Italia è uno dei mercati europei più attivi nell'adozione dell'AI e le autorità di vigilanza nazionali — tra cui AGID e ACN — hanno già avviato attività di supervisione.
Cos'è l'EU AI Act — e Cosa Non È
L'EU AI Act è entrato in vigore il 1° agosto 2024. È il primo quadro giuridico completo e vincolante per l'intelligenza artificiale al mondo. Si applica a provider, deployer, importatori, distributori e rappresentanti autorizzati di sistemi AI messi sul mercato o utilizzati nell'UE — indipendentemente da dove ha sede l'organizzazione.
Quest'ultimo punto è fondamentale: se la tua azienda statunitense, britannica o asiatica vende o implementa un prodotto AI a utenti europei, sei nel perimetro. È lo stesso schema del GDPR applicato all'AI.
Il Regolamento è basato sul rischio. Non proibisce l'AI in senso lato. Invece stratifica i sistemi AI su quattro livelli di rischio e assegna obblighi di conformità proporzionati al potenziale danno di ciascun livello. Comprendere questa stratificazione è il passo fondante di ogni programma di conformità.
Il Framework di Classificazione del Rischio a Quattro Livelli
Livello 1: Rischio Inaccettabile — AI Vietata (Articolo 5)
Alcune pratiche AI sono vietate tout court. Il Regolamento proibisce:
- Manipolazione subliminale del comportamento: sistemi AI che sfruttano vulnerabilità psicologiche o bias inconsci per distorcere il comportamento di una persona in modo da causare danni.
- Social scoring da parte delle autorità pubbliche: sistemi governativi che valutano o classificano gli individui in base al comportamento sociale o alle caratteristiche personali per scopi che portano a trattamenti svantaggiosi o ineguali.
- Identificazione biometrica remota in tempo reale negli spazi pubblici da parte delle forze dell'ordine — con eccezioni specifiche per determinati reati e soggette ad autorizzazione giudiziaria o amministrativa.
- Riconoscimento delle emozioni nel contesto lavorativo e educativo, salvo ragioni mediche o di sicurezza specifiche.
- Profilazione AI per prevedere comportamenti criminali basata unicamente su profilazione o tratti della personalità.
- Scraping di immagini facciali da internet o CCTV per costruire database di riconoscimento.
- Categorizzazione biometrica che inferisce attributi sensibili come opinioni politiche, razza, orientamento sessuale o convinzioni religiose.
Sanzioni per pratiche vietate: fino a €35.000.000 o al 7% del fatturato annuo globale, il maggiore dei due.
Livello 2: Sistemi AI ad Alto Rischio (Articoli 6-51 e Allegato III)
I sistemi AI ad alto rischio sono consentiti ma soggetti al regime di conformità più esigente. Rientrano in due categorie principali:
Categoria A: Sistemi AI che sono componenti di sicurezza di prodotti regolamentati coperti dalla legislazione europea di armonizzazione — dispositivi medici, macchinari, attrezzature aeronautiche, veicoli. Se il prodotto richiede una valutazione di conformità da parte di terzi ai sensi della normativa esistente, la componente AI diventa automaticamente ad alto rischio.
Categoria B: Sistemi AI elencati nell'Allegato III, che coprono otto specifici domini applicativi. Questi sono dettagliati in una sezione dedicata di seguito.
Livello 3: Rischio Limitato — Obblighi di Trasparenza (Articoli 50-52)
I sistemi AI che interagiscono con gli esseri umani — chatbot, strumenti di riconoscimento delle emozioni, generatori di deepfake — devono divulgare la loro natura artificiale. Gli utenti devono essere informati che stanno interagendo con l'AI. I contenuti generati dall'AI devono essere contrassegnati come tali.
Questo livello è particolarmente rilevante per le organizzazioni che implementano strumenti AI rivolti ai clienti, assistenti virtuali e pipeline di generazione di contenuti.
Livello 4: Rischio Minimo o Nessuno
La grande maggioranza delle applicazioni AI rientra qui: filtri antispam, gestione AI dell'inventario, sistemi di raccomandazione in contesti non sensibili, strumenti di produttività assistiti dall'AI. Non si applicano obblighi di conformità obbligatori, sebbene il Regolamento incoraggi codici di condotta volontari.
Gli Otto Domini ad Alto Rischio dell'Allegato III
L'Allegato III specifica i domini in cui i sistemi AI sono automaticamente classificati come ad alto rischio. Comprendere questi domini in dettaglio è essenziale per qualsiasi organizzazione che sviluppa o implementa AI:
1. Identificazione e Categorizzazione Biometrica Sistemi di identificazione biometrica remota e sistemi di riconoscimento delle emozioni in tempo reale in spazi accessibili al pubblico.
2. Infrastrutture Critiche Sistemi AI come componenti di sicurezza nella gestione del traffico stradale, dell'acqua, del gas, del riscaldamento e della fornitura di elettricità.
3. Istruzione e Formazione Professionale AI utilizzata per determinare l'accesso agli istituti educativi, valutare gli studenti, valutare le prestazioni agli esami o monitorare comportamenti vietati durante gli esami.
4. Occupazione, Gestione dei Lavoratori e Accesso all'Autoimpiego AI per lo screening del reclutamento, la selezione dei curriculum, la presa di decisioni nei colloqui, l'allocazione delle mansioni, il monitoraggio delle prestazioni dei dipendenti e le decisioni di licenziamento.
5. Accesso a Servizi Privati e Pubblici Essenziali Credit scoring, valutazione del rischio assicurativo, AI nel dispacciamento dei servizi di emergenza, valutazione dell'ammissibilità ai benefici sociali.
6. Applicazione della Legge Valutazione individuale del rischio di comportamento criminale, poligrafi e strumenti di rilevamento emotivo nelle indagini penali, profilazione delle aree criminali.
7. Migrazione, Asilo e Controllo delle Frontiere Valutazione del rischio di migrazione irregolare, esame automatizzato delle domande di asilo, identificazione biometrica alle frontiere.
8. Amministrazione della Giustizia e Processi Democratici AI utilizzata per assistere le autorità giudiziarie nella ricerca e interpretazione di fatti e diritto, e AI utilizzata per influenzare le elezioni.
Obblighi di Conformità per i Provider di AI ad Alto Rischio
Se la tua organizzazione sviluppa un sistema AI ad alto rischio, gli Articoli 9-17 impongono quanto segue:
Sistema di Gestione del Rischio (Articolo 9)
Devi stabilire, implementare, documentare e mantenere un sistema continuo di gestione del rischio per tutto il ciclo di vita del sistema AI. Questo include l'identificazione, la stima, la valutazione e la mitigazione iterativa dei rischi.
Governance dei Dati (Articolo 10)
I dati di training, validazione e test devono soddisfare criteri di qualità. I dati devono essere soggetti a pratiche di governance appropriate, devono essere pertinenti, rappresentativi, privi di errori e completi per quanto possibile. Devi documentare la provenienza dei dati.
Documentazione Tecnica (Articolo 11 + Allegato IV)
È necessario preparare una documentazione tecnica completa prima che il sistema sia messo sul mercato. L'Allegato IV elenca i contenuti richiesti — una checklist in 15 punti che copre la descrizione del sistema, il processo di sviluppo, le metriche di performance, le misure di supervisione umana e altro ancora.
Registrazione e Logging Automatico (Articolo 12)
I sistemi AI ad alto rischio devono essere in grado di registrare automaticamente gli eventi — "tracciabilità per tutto il ciclo di vita." I log devono consentire il monitoraggio post-mercato e l'investigazione degli incidenti.
Trasparenza e Informazioni ai Deployer (Articolo 13)
Le istruzioni per l'uso devono essere fornite ai deployer — coprendo lo scopo previsto del sistema, le metriche di performance, i requisiti di infrastruttura tecnica, le misure di supervisione umana e i requisiti di manutenzione.
Misure di Supervisione Umana (Articolo 14)
I sistemi devono essere progettati per consentire la supervisione umana: la capacità di comprendere capacità e limitazioni, rilevare anomalie e malfunzionamenti, decidere di non usare il sistema o di sovrascrivere gli output, e intervenire sul sistema o fermarlo.
Accuratezza, Robustezza e Cybersecurity (Articolo 15)
I sistemi AI ad alto rischio devono raggiungere livelli appropriati di accuratezza, misurati e dichiarati durante lo sviluppo. Devono essere resilienti a errori, guasti e incongruenze. Le misure di cybersecurity devono riflettere lo stato dell'arte.
Obblighi di Conformità per i Deployer di AI ad Alto Rischio
Se la tua organizzazione utilizza un sistema AI ad alto rischio costruito da un'altra azienda, gli Articoli 26-29 si applicano a te come deployer:
- Usa il sistema secondo le istruzioni del provider.
- Assegna la supervisione umana a persone adeguatamente qualificate e autorizzate.
- Monitora il funzionamento del sistema e informa il provider dei rischi identificati.
- Conduci una Valutazione dell'Impatto sui Diritti Fondamentali (FRIA) se sei un ente pubblico, o un'entità privata che fornisce credit scoring o assicurazioni.
- Dove è coinvolto il trattamento di dati personali, coordina con gli obblighi GDPR.
- Registra il sistema nel database UE (ove applicabile).
Il Regime dei Modelli AI di Uso Generale (Articoli 51-56)
Il Regolamento introduce un quadro di conformità separato per i modelli AI di uso generale (GPAI) — grandi modelli di fondazione come GPT-4, Claude, Gemini e i loro successori.
Tutti i provider di modelli GPAI (indipendentemente da dove hanno sede) devono:
- Mantenere la documentazione tecnica.
- Rispettare la legge europea sul diritto d'autore e pubblicare sintesi dei dati di training.
- Istituire politiche per rispettare la legge dell'UE sui diritti fondamentali.
I modelli GPAI con rischio sistemico (definiti come modelli addestrati con più di 10^25 FLOP, o modelli che l'Ufficio AI Europeo determina presentino rischio sistemico) affrontano obblighi aggiuntivi:
- Test avversariali (red-teaming).
- Segnalazione degli incidenti all'Ufficio AI Europeo.
- Misure di protezione della cybersecurity.
- Rendicontazione dell'efficienza energetica.
Se la tua organizzazione usa modelli GPAI da provider terzi (API, modelli embedded), devi assicurarti che quei provider abbiano adempiuto ai loro obblighi — e documentare che hai verificato questo.
Timeline di Applicazione: Cosa è Già in Vigore
| Data | Milestone |
|---|---|
| 1° agosto 2024 | EU AI Act entra in vigore |
| 2 febbraio 2025 | Pratiche AI vietate (Articolo 5) — già applicabili |
| 2 agosto 2025 | Obblighi modelli GPAI (Titolo III) e disposizioni di governance — già applicabili |
| 2 agosto 2026 | Piena applicazione per i sistemi AI ad alto rischio ai sensi dell'Allegato III |
| 2 agosto 2027 | AI ad alto rischio ai sensi dell'Allegato I (legislazione sulla sicurezza dei prodotti) pienamente applicabile |
| 2 agosto 2030 | I sistemi AI ad alto rischio già sul mercato devono essere conformi |
Se la tua organizzazione sta sviluppando o implementando qualsiasi sistema che potrebbe qualificarsi come ad alto rischio ai sensi dell'Allegato III, la scadenza di agosto 2026 è il tuo principale obiettivo di conformità nel breve termine.
Autorità Nazionali di Vigilanza del Mercato
Il Regolamento crea una struttura di governance multilivello:
- Ufficio AI Europeo: Supervisiona i modelli GPAI, coordina l'applicazione a livello UE, mantiene i codici di pratica.
- Autorità Nazionali di Vigilanza del Mercato: Ogni Stato membro designa autorità responsabili dell'applicazione del Regolamento a livello nazionale. L'Italia ha designato AGID e ACN come autorità principali.
- Organismi Notificati: Organismi di valutazione della conformità di terze parti che certificano i sistemi AI ad alto rischio che richiedono una valutazione di terze parti obbligatoria.
Sanzioni ai sensi dell'EU AI Act
Il regime sanzionatorio segue una struttura a tre livelli:
| Tipo di Violazione | Sanzione Massima |
|---|---|
| Pratiche AI vietate (Articolo 5) | €35M o 7% del fatturato globale |
| Violazioni degli obblighi per AI ad alto rischio, GPAI, trasparenza | €15M o 3% del fatturato globale |
| Fornitura di informazioni errate, incomplete o fuorvianti alle autorità | €7,5M o 1,5% del fatturato globale |
Per PMI e startup, le sanzioni sono calcolate con riferimento al minore tra l'importo fisso e la percentuale del fatturato.
Il Rapporto con il GDPR e il Diritto UE
L'EU AI Act non sostituisce il GDPR — si affianca ad esso. Per i sistemi AI che trattano dati personali, entrambi i framework si applicano simultaneamente e creano obblighi sovrapposti che devono essere soddisfatti in parallelo.
Per le aziende italiane, questa sovrapposizione è particolarmente rilevante perché l'Italia ha una delle autorità di protezione dei dati più attive d'Europa (il Garante Privacy) con una storia di applicazione rigorosa.
Punti di intersezione chiave:
Diritti degli interessati: Il diritto dell'Articolo 22 GDPR di non essere soggetti a decisioni basate esclusivamente su trattamento automatizzato si sovrappone ai requisiti di supervisione umana dell'AI Act per AI ad alto rischio. I team di conformità dovrebbero progettare un'unica implementazione tecnica e procedurale che soddisfi entrambi.
Valutazioni d'Impatto: Le DPIA del GDPR e le Valutazioni dell'Impatto sui Diritti Fondamentali (Articolo 27) dell'AI Act hanno portata sovrapposta per i sistemi AI che trattano dati personali. Dove entrambe sono richieste, dovrebbero essere condotte congiuntamente.
Base giuridica per i dati di training: I requisiti di base giuridica del GDPR si applicano ai dati personali usati nel training AI. Le organizzazioni che hanno addestrato modelli su dati senza adeguata base giuridica GDPR possono affrontare enforcement GDPR, non solo AI Act enforcement.
Direttiva sulla Responsabilità AI: La proposta Direttiva sulla Responsabilità AI della Commissione Europea (in negoziazione) creerà un quadro di responsabilità civile che completa il meccanismo di enforcement normativo dell'AI Act. Una volta adottata, fornirà agli individui colpiti percorsi più facili per il risarcimento dei danni causati dall'AI.
Come Knowlee Supporta la Conformità all'EU AI Act
Knowlee è progettata dall'architettura in su per supportare la conformità AI enterprise. Le funzionalità core della piattaforma affrontano direttamente gli obblighi delineati sopra:
Human-in-the-loop by design: Ogni workflow Knowlee può essere configurato per richiedere l'approvazione umana prima che gli output consequenziali vengano messi in azione — soddisfacendo i requisiti di supervisione umana dell'Articolo 14.
Audit trail completi: Knowlee registra ogni decisione AI, input, output e azione dell'utente. Questi log sono immutabili, con timestamp e esportabili — supportando gli obblighi di registrazione dell'Articolo 12.
Output spiegabili: Le catene di ragionamento AI di Knowlee sono esposte agli utenti finali, non sepolte in output black-box. I team di conformità possono dimostrare ai regolatori che il ragionamento del sistema è tracciabile.
Architettura allineata al GDPR: La minimizzazione dei dati, la limitazione della finalità e i diritti degli interessati sono integrati nella gestione dei dati di Knowlee — non aggiunti in seguito. Questo è importante per l'intersezione degli obblighi AI Act e GDPR.
Certificazione SOC 2 Type II: Verifica di terze parti dei controlli di sicurezza di Knowlee, a supporto dei requisiti di cybersecurity dell'Articolo 15.
Scopri di più: [link:/glossary/ai-act] | [link:/glossary/trustworthy-ai]
FAQ: Conformità Aziendale all'EU AI Act
D: L'EU AI Act si applica alla mia azienda se siamo basati fuori dall'UE?
Sì. Il Regolamento ha portata extraterritoriale simile al GDPR. Si applica a qualsiasi provider che mette un sistema AI sul mercato UE, a qualsiasi deployer che usa un sistema AI nell'UE, e a qualsiasi provider o deployer con sede in un paese terzo i cui output di sistema AI sono usati nell'UE.
D: Qual è la differenza tra provider e deployer ai sensi del Regolamento?
Un provider è qualsiasi persona fisica o giuridica che sviluppa un sistema AI e lo mette sul mercato o lo mette in servizio. Un deployer è qualsiasi persona che usa un sistema AI sotto la propria autorità per scopi professionali. La maggior parte delle imprese sono deployer; i vendor tecnologici e le aziende AI-native sono tipicamente provider.
D: Usare un'API AI di terze parti (come OpenAI o Anthropic) ci rende provider?
Non automaticamente. Tuttavia, se integri un modello GPAI nel tuo prodotto e aggiungi funzionalità proprie — creando essenzialmente un sistema costruito sopra il modello — la questione se diventi provider di un nuovo sistema AI è determinata dalla natura e dall'entità della tua integrazione. Il Regolamento fornisce indicazioni, ma molti casi richiederanno una valutazione legale.
D: Quando dobbiamo registrare il nostro sistema AI ad alto rischio nel database UE?
I sistemi AI ad alto rischio elencati nell'Allegato III devono essere registrati prima di essere messi sul mercato. La registrazione avviene attraverso il database AI centralizzato dell'UE (database EUAI), mantenuto dall'Ufficio AI Europeo.
D: Cos'è una Valutazione dell'Impatto sui Diritti Fondamentali?
Una FRIA (Articolo 27) è richiesta per gli enti pubblici che implementano sistemi AI ad alto rischio, e per i soggetti privati che implementano AI per il credit scoring o la valutazione del rischio assicurativo. Richiede al deployer di valutare i rischi specifici per i diritti fondamentali posti dal sistema AI nel loro contesto, documentare quei rischi e implementare misure di mitigazione.
Knowlee aiuta i team enterprise a navigare la conformità AI senza rallentare l'innovazione. La nostra piattaforma è costruita per i settori regolamentati — allineata al GDPR, certificata SOC 2 Type II, con architettura human-in-the-loop e audit trail completi. Contatta il nostro team di compliance per discutere la tua readiness all'EU AI Act.
[link:/glossary/ai-act] | [link:/glossary/trustworthy-ai] | [link:/glossary/iso-42001]