L’impatto dell’AI Act per aziende e sviluppatori

A partire da agosto 2025, il regolamento ha superato una tappa fondamentale, attivando la sua architettura di governance e rendendo legalmente vincolanti obblighi specifici, in particolare per i creatori di quei modelli di AI per scopi generali (GPAI) che sono ormai sulla bocca di tutti. In altre parole, l’innovazione senza regole è finita e ora inizia la fase di regolamentazione.

Questo passaggio epocale trasforma un testo legislativo in una realtà di conformità viva e pulsante, con tanto di sanzioni pronte a colpire chi non si adegua. Le conseguenze del mancato rispetto delle norme, soprattutto per quelle pratiche di IA già messe al bando da febbraio 2025, sono diventate tangibili, costringendo aziende e sviluppatori a ricalcolare le proprie rotte. Non si tratta più di una questione etica o di una scelta di posizionamento, ma di un imperativo legale. L’approccio europeo, spesso riassunto nel celebre adagio “l’America innova, la Cina copia, l’Europa regolamenta”, sta mettendo alla prova la sua ambizione di definire uno standard globale per un’intelligenza artificiale affidabile e incentrata sull’uomo.

Il dibattito si è acceso immediatamente, rivelando una profonda spaccatura nel settore tecnologico. Da un lato, colossi come Google e Microsoft hanno scelto la via del dialogo, abbracciando il nuovo “Codice di Condotta” per navigare con maggiore sicurezza le acque della conformità. Dall’altro, un attore del calibro di Meta ha sbattuto la porta, denunciando un’eccessiva regolamentazione e rifiutandosi di firmare. Questa divisione non è solo una nota a margine, ma la rappresentazione plastica della tensione che domina questa fase: l’audace visione europea si scontra con i timori dell’industria di un possibile soffocamento dell’innovazione e con le critiche della società civile, che vede ancora pericolose lacune nel sistema.

In questo intricato scenario, emerge una variabile critica: l’implementazione a livello nazionale. Il successo dell’AI Act come modello globale dipenderà dalla capacità delle istituzioni di garantire un’applicazione coerente, di ottenere il consenso dell’industria e di resistere alle pressioni politiche. 

Per le aziende, comprendere queste dinamiche non è un’opzione, ma una necessità strategica per sopravvivere e prosperare nella nuova era regolamentata dell’IA. Del resto, come abbiamo già avuto modo di sottolineare, le aziende devono conoscere le regole del gioco per guidare davvero l’innovazione.

Implementazione fase per fase dell’AI Act

Comprendere l’AI Act significa abbandonare l’idea di un interruttore che si accende improvvisamente. La sua applicazione è un processo meticolosamente scaglionato, una sorta di onda di conformità progettata per dare a tutti , imprese, Stati membri ed istituzioni, il tempo di adattarsi a un cambiamento epocale. Sebbene il regolamento sia tecnicamente entrato in vigore il 1° agosto 2024, la sua piena operatività sarà raggiunta solo il 2 agosto 2026. Nel frattempo, diverse tappe intermedie hanno già introdotto obblighi molto concreti, trasformando gradualmente la teoria in pratica.

La prima vera ondata di obblighi è scattata il 2 febbraio 2025, concentrandosi sui rischi più inaccettabili. Da questa data, sono state ufficialmente vietate otto pratiche di IA:

  • (a) Tecniche di manipolazione o inganno che causano danni significativi;
  • (b) Lo sfruttamento di vulnerabilità legate a età, disabilità o situazione socio-economica per distorcere il comportamento in modo dannoso;
  • (c) Sistemi di social scoring che portano a trattamenti pregiudizievoli o sproporzionati;
  • (d) La valutazione del rischio che una persona commetta un reato basata esclusivamente sulla profilazione o sull’analisi dei tratti della personalità;
  • (e) La creazione di database di riconoscimento facciale attraverso lo scraping indiscriminato di immagini facciali da internet o da filmati di sorveglianza;
  • (f) Il riconoscimento delle emozioni in contesti lavorativi e di istruzione, fatte salve specifiche ragioni mediche o di sicurezza;
  • (g) La categorizzazione biometrica per dedurre dati sensibili come opinioni politiche, orientamento sessuale o convinzioni religiose;
  • (h) L’uso di sistemi di identificazione biometrica remota (RBI) in tempo reale in spazi pubblici per fini di contrasto.

Parallelamente, è scattato un requisito tanto cruciale quanto sottovalutato che discende dall’Articolo 4 del regolamento: l’obbligo per chi utilizza sistemi di IA di garantire che il proprio personale possieda un “livello sufficiente di alfabetizzazione in materia di Intelligenza Artificiale“. Sebbene la definizione di “sufficiente” sia volutamente flessibile, il messaggio è chiaro: non si può pilotare un’astronave senza aver letto il manuale di istruzioni. L’obiettivo è assicurare che chiunque operi con queste tecnologie ne comprenda il funzionamento, i rischi e le opportunità.

La tappa successiva, quella che ci porta al cuore del 2025, è scattata proprio lo scorso 2 agosto. Questa data ha segnato l’attivazione dell’intera architettura di governance del regolamento e, soprattutto, l’entrata in applicazione delle norme dedicate ai modelli di IA per scopi generali (GPAI), i cosiddetti “foundation models” che alimentano strumenti come ChatGPT. Questa fase ha anche reso pienamente operativo il regime sanzionatorio per le violazioni già in vigore.

Guardando avanti, il calendario normativo ha già fissato la data che farà tremare i polsi a migliaia di aziende: il 2 agosto 2026. Quello sarà il momento in cui la stragrande maggioranza delle disposizioni dell’AI Act diventerà applicabile, in particolare gli obblighi rigorosi per i sistemi classificati come ad “alto rischio”. A partire da quel giorno, un’ampia gamma di settori (finanza, risorse umane, sanità, istruzione) dovrà adeguarsi a requisiti stringenti su gestione del rischio, qualità dei dati, supervisione umana e cybersicurezza. L’attuale attenzione mediatica sui modelli GPAI rischia di creare un falso senso di sicurezza: la vera onda d’urto per l’economia europea nel suo complesso arriverà proprio nel 2026, coinvolgendo un numero enormemente più vasto di aziende che utilizzano l’IA nei loro processi quotidiani.

Infine, il 2 agosto 2027 entrerà in applicazione l’Articolo 6 sulla classificazione dei sistemi ad alto rischio come componenti di sicurezza di prodotti. Inoltre, i GPAI già sul mercato prima del 2 agosto 2025 devono essere resi conformi entro questa data.

Agosto 2025: il cuore dell’applicazione operativa

Il 2 agosto 2025 non è stata una data come le altre. È stato il momento in cui l’AI Act ha smesso di essere un documento ed ha iniziato a diventare un sistema vivente, con organi di controllo, regole specifiche e, soprattutto, il potere di sanzionare. Questo passaggio ha attivato tre aree di cambiamento fondamentali che stanno già ridisegnando il panorama dell’intelligenza artificiale in Europa.

Innanzitutto, è nata ufficialmente la nuova architettura di enforcement. L’Ufficio Europeo per l’IA (AI Office), già istituito sulla carta, è diventato pienamente operativo, assumendo il ruolo di supervisore centrale con un focus specifico sui modelli GPAI. Accanto ad esso, si è attivato il Comitato Europeo per l’IA (AI Board), una sorta di “consiglio dei saggi” composto da rappresentanti degli Stati membri, con il compito di garantire un’applicazione coerente del regolamento in tutta l’Unione. Ma il vero braccio armato della legge sono le Autorità Nazionali Competenti, che ogni Stato membro era tenuto a designare entro questa data. Queste entità sono i “poliziotti sul campo”, responsabili di condurre ispezioni, gestire denunce e sanzioni. L’attivazione di questa complessa macchina burocratica segna una svolta: l’industria ora sa che c’è qualcuno che controlla.

La seconda e più significativa novità è l’applicazione delle regole per i modelli di IA per scopi generali (GPAI).  I fornitori di questi modelli fondamentali ora hanno compiti ben precisi:

  1. Redigere e mantenere aggiornata la documentazione tecnica (con i requisiti minimi dell’Allegato XI) da fornire all’AI Office o alle autorità competenti su richiesta.
  2. Mettere a disposizione dei fornitori a valle le informazioni necessarie per comprendere capacità, limiti e modalità di integrazione del modello (come descritto nell’Allegato XII).
  3. Adottare una policy sul copyright che rispetti la normativa UE, in particolare la riserva dei diritti espressa dai titolari dei contenuti (ai sensi della Direttiva 2019/790).
  4. Pubblicare un riepilogo sufficientemente dettagliato dei contenuti utilizzati per il training, seguendo un modello che sarà fornito dall’AI Office.


Per i modelli più potenti, quelli definiti a “rischio sistemico“, gli obblighi sono ancora più stringenti: devono condurre valutazioni e test avversariali, gestire e mitigare i rischi sistemici a livello UE, notificare gli incidenti gravi e assicurare un livello adeguato di cybersicurezza per il modello e la sua infrastruttura.

E poi, l’aspetto più pragmatico: il regime sanzionatorio è diventato attivo. Sebbene molti obblighi entreranno in vigore solo nel 2026, la possibilità di multare chi viola le norme già applicabili è scattata il 2 agosto 2025. Questo significa che le aziende che, ad esempio, continuano ad utilizzare una delle pratiche di IA vietate da febbraio, sono ora passibili di multe salatissime. La struttura delle sanzioni è pensata per essere un deterrente efficace:  fino a 35 milioni di euro o il 7% del fatturato mondiale per le violazioni più gravi, come le pratiche vietate. Per violazioni diverse dai divieti, le sanzioni possono arrivare fino a 15 milioni di euro o il 3% del fatturato, mentre la fornitura di informazioni false o fuorvianti alle autorità può costare fino a 7,5 milioni di euro o l’1% del fatturato.

L’applicabilità extraterritoriale, sulla falsariga del GDPR, garantisce che nessuna azienda, nemmeno quelle con sede fuori dall’UE, possa sentirsi al sicuro se opera nel mercato unico. L’AI Act si applica, infatti, anche a operatori extra-UE quando l’output è destinato all’uso nell’Unione (con eccezioni per cooperazione giudiziaria/forze dell’ordine).

Il codice di condotta GPAI: governance collaborativa

Di fronte alla complessità di un regolamento così vasto, l’Unione Europea ha giocato una carta interessante, un tentativo di unire la rigidità della legge alla flessibilità dell’industria. Pubblicato poche settimane prima della scadenza di agosto, il Codice di Condotta per i Modelli di IA per Scopi Generali (GPAI Code of Practice) è emerso come lo strumento di navigazione preferenziale per le aziende. Non è una legge, ma qualcosa di più di una semplice linea guida: è un percorso volontario verso la conformità, una sorta di “patto di collaborazione” tra regolatori e regolati.

Lo scopo del Codice è duplice. Da un lato, traduce i principi astratti dell’AI Act in un manuale operativo, offrendo un quadro pratico e dettagliato su come adempiere agli obblighi di trasparenza, rispetto del diritto d’autore e sicurezza. Dall’altro, pur essendo volontario, offre ai suoi firmatari un vantaggio non da poco: una maggiore “certezza giuridica“. La Commissione Europea ha confermato che le aziende che aderiscono al Codice e ne rispettano gli impegni beneficeranno di un onere amministrativo ridotto. I fornitori che scelgono di non aderire, invece, non sono esenti dagli obblighi, ma dovranno dimostrare la loro conformità con altri mezzi, esponendosi ad un controllo potenzialmente più severo.

Questo approccio è un esperimento di governance adattiva, un modo per creare regole “allo stato dell’arte” che possano essere aggiornate più rapidamente di una legge formale. Il Codice affronta tre aree fondamentali. Il primo capitolo, sulla trasparenza, obbliga i firmatari a compilare un “Modulo di Documentazione del Modello” standardizzato, fornendo dettagli su architettura, dati di addestramento, prestazioni e persino consumo energetico. Il secondo capitolo, sul diritto d’autore, impegna le aziende a rispettare le riserve di diritti (come il protocollo robots.txt) durante la raccolta di dati dal web e a stabilire un punto di contatto per i titolari dei diritti.

Il terzo e più robusto capitolo riguarda la sicurezza ed è rivolto esclusivamente ai fornitori di modelli a “rischio sistemico“. Qui gli impegni sono severi: adottare un quadro formale di gestione del rischio, condurre test rigorosi (incluso il red-teaming da parte di esperti esterni), monitorare continuamente il modello dopo il rilascio e segnalare tempestivamente gli incidenti gravi alle autorità, con scadenze molto strette. L’adesione a questo codice, quindi, non è una semplice dichiarazione di intenti, ma un impegno operativo che modella i processi interni di un’azienda, trasformando i principi dell’AI Act in pratiche aziendali quotidiane.

Divisioni dentro e fuori l’industria

L’introduzione dell’AI Act e del suo Codice di Condotta ha agito come una cartina di tornasole, rivelando le profonde divisioni strategiche e filosofiche che attraversano il mondo della tecnologia e della politica. Lungi dall’essere accolto con un consenso unanime, il regolamento ha innescato un intenso dibattito, costringendo ogni attore a prendere posizione e a svelare la propria visione sul futuro della governance dell’AI.

La spaccatura più evidente si è manifestata all’interno dell’industria tecnologica, che si è divisa in due fazioni quasi opposte. Da un lato, il “campo collaborativo“, composto da giganti come Google, Microsoft, OpenAI ed Anthropic. Queste aziende hanno scelto la via del pragmatismo, aderendo o manifestando l’intenzione di aderire al Codice di Condotta. La loro strategia è chiara: riconoscendo l’inevitabilità della regolamentazione, preferiscono sedersi al tavolo per modellarne l’applicazione, garantirsi una maggiore prevedibilità e posizionarsi come partner responsabili. Pur collaborando, non hanno mancato di esprimere preoccupazioni, temendo che un eccesso di zelo normativo possa rallentare lo sviluppo dell’IA in Europa.

Dall’altro lato, il “campo della resistenza” ha trovato il suo alleato in Meta. Con una mossa plateale, l’azienda di Mark Zuckerberg ha rifiutato categoricamente di firmare il Codice, sostenendo che “l’Europa sta andando nella direzione sbagliata” e che il Codice introduce “incertezze giuridiche” che vanno ben oltre quanto richiesto dalla legge. Questa posizione di scontro frontale non è un caso isolato, ma si inserisce in una più ampia scia di tensioni tra Meta e i regolatori di Bruxelles. Si tratta di una vera e propria guerra per procura sul futuro della governance tecnologica, che contrappone una visione di realismo normativo a una di confronto, più vicina a una filosofia libertaria che resiste all’intervento statale.

Nel mezzo di questa battaglia tra colossi, la società civile e le organizzazioni per i diritti digitali come EDRi agiscono da guardiani critici. La loro analisi è spietata: pur riconoscendo i meriti del regolamento, evidenziano lacune pericolose, come le ampie esenzioni per i sistemi di IA usati per scopi di “sicurezza nazionale” e le protezioni insufficienti per i migranti, che rischiano di diventare cavie per tecnologie di sorveglianza invasive. Il timore più grande è che la spinta politica a favore dell’innovazione possa essere usata come un “cavallo di Troia” per annacquare le tutele dei diritti fondamentali.

Questo ci porta al più ampio dibattito politico ed economico, che tocca il nervo scoperto del ruolo dell’Europa nell’economia digitale. Esiste la preoccupazione, espressa da un gruppo di oltre 40 aziende tra cui Airbus e Siemens, che un eccesso di burocrazia possa penalizzare la competitività europea. Altri, invece, sostengono che un quadro normativo chiaro non frena l’innovazione, ma la orienta, trasformando la responsabilità in un vantaggio competitivo a lungo termine. In fondo, l’AI Act definisce cosa cambia per imprese, cittadini e istituzioni, e trovare un equilibrio sostenibile tra questi tre poli sarà la sfida decisiva.

Casi d’uso e settori colpiti: chi è nel mirino dell’AI Act

Se finora abbiamo parlato di regole e scadenze, è il momento di calare questi concetti nella realtà operativa. L’impatto dell’AI Act non è uniforme, è un’onda che colpirà con forza diversa a seconda dei settori e delle applicazioni. Il cuore della questione risiede nella classificazione dei sistemi ad alto rischio, ovvero quelle applicazioni di IA il cui fallimento può avere conseguenze gravi per la salute, la sicurezza o i diritti fondamentali delle persone. È qui che, a partire dal 2026, si concentreranno gli obblighi più stringenti.

Vediamo alcuni dei settori dove la compliance all’AI Act sarà più critica:

  • Risorse Umane: Qualsiasi software che utilizza l’IA per filtrare CV, classificare candidati, o addirittura analizzare video colloqui per valutare le performance rientrerà quasi certamente nella categoria ad alto rischio. L’obiettivo è scongiurare discriminazioni basate su bias nascosti nei dati di addestramento, che potrebbero penalizzare ingiustamente intere categorie di persone.
  • Finanza e Credito: I sistemi di credit scoring che decidono automaticamente se concedere un prestito o una carta di credito sono un esempio da manuale di IA ad alto rischio. Una decisione errata o discriminatoria può escludere un individuo dall’accesso a servizi finanziari essenziali, con un impatto devastante sulla sua vita.
  • Sanità: In questo settore la posta in gioco è la vita stessa. Rientrano qui i dispositivi medici che integrano IA per la diagnostica (come l’analisi di TAC per individuare tumori), i software che personalizzano le terapie farmacologiche e gli assistenti robotici per la chirurgia. Per questi sistemi saranno richiesti rigore ed affidabilità massimi.
  • Istruzione: Gli strumenti di IA usati per valutare gli studenti o per decidere l’ammissione a scuole e università sono considerati ad alto rischio. Una valutazione automatizzata e non trasparente potrebbe compromettere irrimediabilmente il percorso formativo e professionale di una persona.
  • Forze dell’Ordine e Giustizia: Sebbene esistano eccezioni molto limitate, molte applicazioni in questo campo sono o ad alto rischio o addirittura vietate. Ad esempio, la valutazione predittiva del rischio criminale basata solo sulla profilazione di un individuo è una pratica inaccettabile e già bandita.
  • Infrastrutture critiche: L’intelligenza artificiale che gestisce componenti essenziali di infrastrutture come le reti energetiche, la gestione del traffico o i sistemi di approvvigionamento idrico è classificata ad alto rischio per ovvie ragioni di sicurezza pubblica.

È importante sottolineare che tutti questi esempi non sono casuali, ma richiamano direttamente le categorie definite nell’Allegato III del regolamento, che elenca dettagliatamente i casi d’uso ad alto rischio.

E le Piccole e Medie Imprese (PMI)

Per una PMI, il primo passo non è il panico, ma un’attenta mappatura di tutti gli strumenti di IA utilizzati, inclusi quelli “nascosti” in software di terze parti (CRM, piattaforme di marketing, etc.). Il secondo passo è cruciale: pretendere trasparenza dai fornitori. Le PMI devono chiedere ai loro partner tecnologici la documentazione necessaria a garantire la conformità, trasformando la scelta di un software in una decisione che tiene conto anche del rischio normativo.

 

Come formarsi sull’AI Act

Il quadro che abbiamo delineato è complesso, in continua evoluzione e, ammettiamolo, un po’ intimidatorio. Navigare la giungla normativa dell’AI Act, con le sue scadenze a cascata, i rischi sanzionatori e le implicazioni strategiche, non è un’impresa da affrontare con il “fai-da-te”. L’improvvisazione, in un campo dove gli errori possono costare milioni di euro e compromettere la reputazione aziendale, non è una strategia vincente. È necessaria una formazione specialistica, guidata da esperti che possano tradurre il linguaggio legalese in azioni concrete e piani operativi.

Con l’avvicinarsi delle scadenze più impegnative, in particolare quella del 2026 per i sistemi ad alto rischio, è diventato sempre più urgente prepararsi al meglio a questa trasformazione.

Proprio per rispondere a questa esigenza critica, Data Masters ha progettato un percorso mirato, con la guida di Pierluigi Casale, tra i massimi esperti internazionali di AI Governance, former AI Officer al Parlamento Europeo, e docente del corso AI Act: Governance, Rischi e Implementazione dell’AI in Azienda.

Questo corso non è una semplice panoramica teorica, è un’immersione pratica pensata per manager, sviluppatori, consulenti e professionisti legali che devono trasformare la compliance all’AI Act in un processo gestibile e, possibilmente, in un vantaggio competitivo. Attraverso lezioni mirate ed esempi pratici, imparerai a classificare i tuoi sistemi di IA secondo la piramide del rischio, a implementare un framework di governance robusto, a preparare la documentazione richiesta e a dialogare con le autorità competenti. L’obiettivo è fornirti una mappa chiara e strumenti concreti per non subire la normativa, ma per governarla.

SCOPRI IL CORSO "AI ACT: GOVERNANCE E RISCHI"
NEWSLETTER

Ricevi direttamente sulla tua mail gli ultimi articoli pubblicati nella nostra sezione AI NEWS per rimanere sempre aggiornato e non perderti nessun contenuto.

Francesco Cipriani

AUTOREFrancesco Cipriani

Francesco è Co-founder di Data Masters, AI Academy per la formazione in Intelligenza Artificiale, Machine Learning e Data Science. È un Ingegnere Informatico specializzato in computer vision. Ha fondato le mie due prime aziende quando era ancora uno studente universitario. AI and Machine Learning sono le sue principali passioni e quotidianamente investe il suo tempo nel comunicare come queste tecnologie stiano rivoluzionando il mondo e cambiando il nostro modo di vivere.

TOPICS