di Elisabetta Zimbè Zaire – Avvocato in Busto Arsizio
Il Regolamento (UE) 2024/1689 sull’intelligenza artificiale (AI Act), pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 12 luglio 2024, segna il primo intervento normativo organico e vincolante in materia di intelligenza artificiale in ambito europeo. A partire dal 2 agosto 2025, alcune disposizioni cruciali diverranno direttamente applicabili in tutti gli Stati membri. Il presente contributo fornisce una guida pratica agli obblighi operativi imminenti, con particolare riferimento ai sistemi ad alto rischio, ai modelli di IA a finalità generica (GPAI), alla governance e al regime sanzionatorio.
Entrata in vigore e tempistiche di applicazione
Il Regolamento è entrato in vigore il 1° agosto 2024, ma prevede un’applicazione graduale. L’art. 112 dispone che:
- Le disposizioni generali (artt. 1-5), comprese quelle sulle pratiche vietate, si applicano dal 2 febbraio 2025;
- Le disposizioni centrali, oggetto del presente contributo, si applicano dal 2 agosto 2025, in particolare:
- Vigilanza sui sistemi ad alto rischio (artt. 30–43);
- Obblighi per i fornitori di GPAI (artt. 50–55);
- Governance (artt. 56–65);
- Sanzioni (artt. 99–102);
- Obblighi di riservatezza (art. 71).
Sistemi di IA ad alto rischio: obblighi e controlli (artt. 6, 11, 30–43)
A partire dal 2 agosto 2025, imprese, enti pubblici e fornitori che utilizzano o sviluppano sistemi di IA ad alto rischio dovranno adeguarsi ai seguenti obblighi:
- Verifica della classificazione del sistema secondo l’art. 6 e l’Allegato III (es. IA per gestione di infrastrutture critiche, selezione del personale, credito al consumo, istruzione, giustizia);
- Certificazione CE e valutazione della conformità tramite organismo notificato (artt. 19 ss.);
- Predisposizione della documentazione tecnica (art. 11);
- Registrazione nel database UE dei sistemi di IA ad alto rischio (art. 49).
Le autorità di vigilanza designate dagli Stati membri eserciteranno controlli ex ante ed ex post. In Italia, si attendono i decreti attuativi di designazione (possibili candidati: AGID, ACN, Garante Privacy).
Tip pratico: Ogni stazione appaltante, azienda o ente che impieghi algoritmi in decisioni automatizzate dovrà aggiornare il proprio modello 231 o il sistema di gestione del rischio, integrando specifiche valutazioni di impatto sull’IA.
GPAI – General Purpose AI: nuovi obblighi documentali (artt. 50–55)
Dal 2 agosto 2025, i fornitori di modelli GPAI (tra cui rientrano anche modelli generativi, LLM, modelli per audio/video/speech synthesis, etc.) dovranno:
- Pubblicare un riepilogo dettagliato dei dataset usati per l’addestramento (art. 53, lett. b), con particolare attenzione al rispetto del diritto d’autore (art. 53, lett. c);
- Fornire documentazione tecnica trasparente e tracciabile (art. 53, lett. a);
- In caso di GPAI ad impatto sistemico, adottare:
- Misure di gestione del rischio;
- Testing indipendente;
- Sistemi di notifica per incidenti gravi (art. 55).
È prevista una guida tecnica ufficiale da parte dell’Ufficio europeo per l’IA, in corso di elaborazione. Già disponibile il modello per il riepilogo dei dati di addestramento approvato il 24 luglio 2025.
Nota per i legali: i contratti di licenza per modelli di IA dovranno ora prevedere clausole di trasparenza, responsabilità e rendicontazione, a pena di nullità in caso di uso illecito.
Governance: Ufficio europeo per l’IA, autorità nazionali e comitato (artt. 56–65)
Dal 2 agosto 2025 saranno pienamente operativi:
- L’Ufficio europeo per l’intelligenza artificiale, istituito presso la Commissione (art. 56), con compiti di coordinamento e vigilanza su GPAI e best practices;
- Le autorità nazionali competenti (art. 59), designate dai singoli Stati membri;
- Il Comitato europeo per l’IA (art. 63), che emetterà linee guida vincolanti e raccomandazioni.
Le imprese dovranno identificare rapidamente gli interlocutori nazionali per adempiere agli obblighi di registrazione, notifica o contestazione sanzionatoria.
Obblighi di riservatezza (art. 71)
Dal 2 agosto 2025, si applica l’obbligo di riservatezza e protezione delle informazioni sensibili. L’art. 71 impone a tutti i soggetti coinvolti (Commissione, autorità nazionali, organismi notificati, fornitori) di tutelare i dati trattati per conformità all’AI Act, anche in fase ispettiva.
Implicazione legale: Occorre aggiornare le informative privacy e le clausole di riservatezza nei contratti con partner, clienti e sviluppatori.
Sanzioni: sanzioni fino al 7% del fatturato (artt. 99–102)
Il regime sanzionatorio dell’AI Act prevede sanzioni proporzionate e dissuasive, distinte per tipologia di violazione:
- Fino a 35 milioni di euro o il 7% del fatturato globale per violazioni gravi (es. pratiche vietate come manipolazione subliminale o sorveglianza biometrica illecita);
- Fino a 15 milioni di euro o il 3% del fatturato per violazioni dei requisiti dei sistemi ad alto rischio;
- Fino a 7,5 milioni di euro o l’1% del fatturato per informazioni false o incomplete fornite alle autorità.
Sono previste attenuanti per PMI e start-up (art. 102), tra cui riduzioni delle sanzioni e assistenza tecnica.
Checklist Operativa: Entro il 2 Agosto 2025
Per rispettare le scadenze dell’AI Act e mitigare i rischi, focalizzati su queste priorità:
- Valutazione del rischio AI: Determina se i tuoi sistemi rientrano nell’ambito dell’alto rischio (rif. Allegato III).
- Certificazione e documentazione: Assicurati di avere tutta la documentazione di conformità CE e tecnica dai fornitori.
- Revisione legale: Modifica contratti, informative sulla privacy e clausole di responsabilità per allinearti alla nuova normativa.
- Trasparenza per GPAI: Se utilizzi o sviluppi IA generativa, è imperativo preparare il riepilogo dei dati di addestramento.
- Strutture di compliance: Definisci e implementa procedure interne per audit, gestione degli incidenti e valutazione del rischio AI.
Conclusioni
Il 2 agosto 2025 segna l’inizio della vera “fase operativa” dell’AI Act. Imprese, PA e fornitori di servizi tecnologici dovranno farsi trovare pronti. Il mancato adeguamento non espone solo a sanzioni pecuniarie, ma anche a rischi reputazionali, danni contrattuali e responsabilità extracontrattuali.
Per i professionisti del diritto, si aprono nuove frontiere di consulenza: compliance AI, audit legali, contrattualistica algoritmica, valutazioni di impatto e difesa nei procedimenti sanzionatori.
