Vai al contenuto

AI Act — Panoramica

Cos'è

L'Artificial Intelligence Act è il Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull'intelligenza artificiale. È il primo quadro normativo organico al mondo che disciplina lo sviluppo, l'immissione sul mercato e l'uso dei sistemi di intelligenza artificiale.

Identificativo Valore
Atto Regolamento (UE) 2024/1689
Adozione 13 giugno 2024
Pubblicazione in GUUE 12 luglio 2024
Entrata in vigore 1° agosto 2024
Applicazione generale 2 agosto 2026
ELI http://data.europa.eu/eli/reg/2024/1689/oj

Perché

Il Regolamento persegue obiettivi multipli, tra loro complementari:

  • garantire un livello elevato di tutela della salute, della sicurezza e dei diritti fondamentali sanciti dalla Carta dei diritti fondamentali dell'Unione europea, compresi la democrazia, lo Stato di diritto e la protezione dell'ambiente;
  • promuovere lo sviluppo, l'utilizzo e la diffusione di un'intelligenza artificiale antropocentrica e affidabile, in linea con i valori dell'Unione;
  • prevenire e mitigare i danni derivanti dai sistemi di IA;
  • assicurare il corretto funzionamento del mercato interno, prevenendo la frammentazione normativa tra Stati membri;
  • sostenere l'innovazione, in particolare a beneficio delle PMI e delle start-up.

Ambito di applicazione

Ambito territoriale ed extraterritoriale

Il Regolamento si applica:

  • ai fornitori che immettono sul mercato o mettono in servizio sistemi di IA o modelli di IA per finalità generali nell'Unione, indipendentemente dalla loro localizzazione;
  • ai deployer di sistemi di IA stabiliti o situati nell'Unione;
  • ai fornitori e deployer di sistemi di IA stabiliti in paesi terzi, qualora l'output del sistema sia utilizzato nell'Unione;
  • agli importatori e distributori di sistemi di IA;
  • ai fabbricanti di prodotti che immettono sul mercato o mettono in servizio sistemi di IA insieme al loro prodotto;
  • ai rappresentanti autorizzati di fornitori non stabiliti nell'Unione;
  • alle persone interessate che si trovano nell'Unione.

Esclusioni

Sono espressamente escluse dall'ambito di applicazione le seguenti aree:

  • sistemi di IA utilizzati esclusivamente per scopi militari, di difesa o di sicurezza nazionale;
  • sistemi di IA sviluppati e messi in servizio al solo scopo di ricerca e sviluppo scientifici;
  • attività di ricerca, prova e sviluppo prima dell'immissione sul mercato;
  • sistemi di IA utilizzati da persone fisiche per attività puramente personali non professionali;
  • obblighi di fornitori e deployer di sistemi di IA rilasciati con licenze libere e open source, salvo eccezioni per i sistemi ad alto rischio o per pratiche vietate.

Approccio basato sul rischio

Il Regolamento adotta un approccio piramidale, modulando le regole sull'intensità e la portata dei rischi generati dai sistemi di IA. Sono identificati quattro livelli:

Livello di rischio Regime applicabile Esempi
Rischio inaccettabile Pratiche vietate (Art. 5) Tecniche subliminali manipolative, social scoring, polizia predittiva basata su profilazione, riconoscimento delle emozioni sul luogo di lavoro o nelle scuole, scraping di immagini facciali
Alto rischio Requisiti stringenti, valutazione conformità, obblighi documentali e di trasparenza (Capo III) Sistemi IA usati in infrastrutture critiche, istruzione, occupazione, accesso a servizi essenziali, attività di contrasto, migrazione, amministrazione della giustizia
Rischio limitato Obblighi di trasparenza specifici (Art. 50) Chatbot, sistemi di riconoscimento delle emozioni, deepfake
Rischio minimo o nullo Nessun obbligo specifico Filtri spam, videogiochi con IA, sistemi di raccomandazione semplici

A questa classificazione si aggiunge un regime parallelo per i modelli di IA per finalità generali (GPAI), con obblighi specifici per i modelli che presentano un rischio sistemico.

Struttura del Regolamento

Componente Quantità
Considerando 180
Capi 13
Articoli 113
Allegati 13

Il Regolamento si articola nei seguenti capi:

Capo Oggetto Articoli
I Disposizioni generali 1-4
II Pratiche di IA vietate 5
III Sistemi di IA ad alto rischio 6-49
IV Obblighi di trasparenza per fornitori e deployer di determinati sistemi di IA 50
V Modelli di IA per finalità generali (GPAI) 51-56
VI Misure a sostegno dell'innovazione 57-63
VII Governance 64-70
VIII Banca dati dell'Unione europea per i sistemi di IA ad alto rischio 71
IX Monitoraggio successivo all'immissione sul mercato, condivisione di informazioni e vigilanza del mercato 72-94
X Codici di condotta e orientamenti 95-96
XI Delega di potere e procedura di comitato 97-98
XII Sanzioni 99-101
XIII Disposizioni finali 102-113

Timeline di applicazione

Il Regolamento prevede un'applicazione scaglionata, definita dall'art. 113. Il calendario è il seguente:

Data Cosa entra in applicazione
1° agosto 2024 Entrata in vigore del Regolamento
2 febbraio 2025 Capi I e II — Disposizioni generali e divieti delle pratiche di IA inaccettabili (Art. 5)
2 agosto 2025 Capo III sez. 4 (organismi notificati), Capo V (GPAI), Capo VII (Governance), Capo XII (Sanzioni, eccetto Art. 101 sui GPAI), Art. 78 (riservatezza)
2 agosto 2026 Applicazione generale — Tutto il Regolamento, salvo le eccezioni indicate
2 agosto 2027 Art. 6, par. 1 — Sistemi di IA ad alto rischio rientranti nelle normative di armonizzazione (Allegato I) e relativi obblighi

Sanzioni

L'art. 99 del Regolamento stabilisce un sistema sanzionatorio articolato su tre fasce, modulate sulla gravità della violazione:

Tipologia di violazione Sanzione massima
Pratiche di IA vietate (Art. 5) Fino a 35.000.000 EUR o, per le imprese, fino al 7% del fatturato mondiale totale annuo dell'esercizio precedente (importo superiore)
Inosservanza di altri obblighi del Regolamento (artt. 16, 22, 23, 24, 26, 31, 33, 34, 50) Fino a 15.000.000 EUR o, per le imprese, fino al 3% del fatturato mondiale totale annuo (importo superiore)
Comunicazione di informazioni inesatte, incomplete o fuorvianti alle autorità Fino a 7.500.000 EUR o, per le imprese, fino all'1% del fatturato mondiale totale annuo (importo superiore)

Per i fornitori di modelli di IA per finalità generali, l'art. 101 prevede sanzioni fino a 15.000.000 EUR o, per le imprese, fino al 3% del fatturato mondiale totale annuo.

Per le PMI e le start-up, si applica l'importo più basso tra le due soglie indicate (art. 99, par. 6).

Soggetti coinvolti

Il Regolamento individua una pluralità di soggetti destinatari di obblighi differenziati:

Soggetto Definizione (Art. 3)
Fornitore (provider) Chi sviluppa o fa sviluppare un sistema di IA o un modello GPAI e lo immette sul mercato o lo mette in servizio con il proprio nome o marchio
Deployer Persona fisica o giuridica, autorità pubblica o agenzia che utilizza un sistema di IA sotto la propria autorità (escluso uso personale non professionale)
Importatore Persona fisica o giuridica nell'Unione che immette sul mercato un sistema di IA recante nome o marchio di soggetto stabilito in paese terzo
Distributore Persona fisica o giuridica nella catena di approvvigionamento, diversa dal fornitore o importatore, che mette a disposizione un sistema di IA sul mercato dell'Unione
Rappresentante autorizzato Persona fisica o giuridica nell'Unione che ha ricevuto mandato scritto da un fornitore di paese terzo per adempiere gli obblighi del Regolamento
Fabbricante di prodotti Soggetto che immette sul mercato un sistema di IA insieme al proprio prodotto e con il proprio nome o marchio

Governance

L'architettura di governance dell'AI Act prevede un sistema multilivello:

  • Ufficio per l'IA (AI Office) della Commissione europea, con compiti di supervisione e attuazione, in particolare per i modelli GPAI;
  • Comitato europeo per l'intelligenza artificiale (European Artificial Intelligence Board), organo di rappresentanza degli Stati membri con funzioni consultive e di coordinamento;
  • Forum consultivo (Advisory Forum), composto da rappresentanti di portatori di interessi, accademia e società civile;
  • Gruppo scientifico di esperti indipendenti, a supporto dell'Ufficio per l'IA per le questioni tecniche relative ai modelli GPAI;
  • Autorità nazionali competenti, designate da ciascuno Stato membro, con funzioni di vigilanza del mercato e supervisione dei sistemi di IA.

Strumenti attuativi

L'attuazione dell'AI Act è affidata, oltre che al testo del regolamento e ai suoi atti delegati e di esecuzione, anche a un insieme di strumenti attuativi di soft law — formalmente non vincolanti ma rilevanti per dimostrare la conformità e per orientare l'attività di vigilanza:

  • GPAI Code of Practice — codice di buone pratiche per i provider di modelli IA per finalità generali, ai sensi dell'art. 56 AI Act, articolato in tre capitoli (Transparency, Copyright, Safety and Security) e confermato il 1° agosto 2025 come adeguato per dimostrare la conformità agli artt. 53 e 55 AI Act;
  • Linee Guida della Commissione sullo scope degli obblighi GPAI (18 luglio 2025), che forniscono l'interpretazione della Commissione sui concetti-chiave del Regolamento;
  • Standard armonizzati europei — in fase di sviluppo presso CEN-CENELEC sotto il mandato della Commissione, daranno presunzione di conformità ai sensi dell'art. 40 AI Act una volta pubblicati;
  • Codici di condotta settoriali ex art. 95 AI Act — strumenti volontari di adesione su base settoriale.

Per la raccolta organica degli strumenti pubblicati cfr. la sezione Soft law del sito.

Termini correlati nel glossario

Voci del glossario AI-centric rilevanti per questo atto:

Approfondimenti

Ultimo aggiornamento: aprile 2026