EU AI Act: cosa devono sapere le aziende sulle nuove regole per l'IA

  • di Ilona K.
EU AI Act: cosa devono sapere le aziende sulle nuove regole per l'IA

Indice dei contenuti

  1. Che cos'è l'EU AI Act
  2. A chi si applica l'EU AI Act?
  3. Quando entreranno in vigore i requisiti dell'EU AI Act
  4. Domande frequenti

Con la diffusione dell'intelligenza artificiale (IA), stanno emergendo nuove normative che definiscono in che modo le aziende possono sviluppare e utilizzare le tecnologie di IA. Uno dei documenti chiave è l' EU AI Act (una legge dell'Unione europea che regolamenta lo sviluppo e l'uso dei sistemi di IA e che, in alcuni casi, si applica anche alle aziende al di fuori dell'UE). Vediamo cosa disciplina, a chi si applica e come le aziende possono prepararsi.

Che cos'è l'EU AI Act

L' EU AI Act è la prima legge organica dell'Unione europea a regolamentare l'uso dell'intelligenza artificiale.

Il suo obiettivo è creare regole uniformi per lo sviluppo e l'uso dell'IA, sostenendo al tempo stesso il progresso tecnologico e riducendo i potenziali rischi per la società. L'AI Act è solo uno degli elementi di una più ampia strategia dell'UE per sviluppare un'intelligenza artificiale affidabile e incentrata sull'essere umano, che comprende l' AI ​​Continental Action Plan, l' AI ​​Innovation Package e il lancio delle AI Factories (infrastrutture per lo sviluppo e la diffusione dell'intelligenza artificiale). Nel loro insieme, queste iniziative mirano non solo a garantire la sicurezza e a tutelare i diritti fondamentali, ma anche a stimolare gli investimenti, l'innovazione e una più ampia adozione dell'IA nell'UE.

L'AI Act si basa su un approccio fondato sul rischio: ciò significa che quanto maggiore è la probabilità che un sistema di IA incida sulla sicurezza, sui diritti o sugli interessi delle persone, tanto più rigorosi sono i requisiti imposti. L'AI Act, quindi, non stabilisce regole uniformi per tutti i sistemi di IA. Al contrario, li suddivide in quattro categorie di rischio, ciascuna con requisiti specifici:

Fonte: Commissione europea

1. Rischio inaccettabile

Questa categoria include i sistemi di IA il cui uso è vietato perché rappresentano una minaccia per la sicurezza o per i diritti umani fondamentali, come i sistemi di social rating, le tecnologie che utilizzano l'IA per manipolare il comportamento umano o sfruttare le vulnerabilità delle persone, il riconoscimento delle emozioni nei luoghi di lavoro e negli istituti di istruzione, nonché alcune forme di identificazione biometrica negli spazi pubblici. Il divieto di tali pratiche è entrato in vigore a febbraio 2025.

2. Rischio elevato

Questa categoria include i sistemi di IA che potrebbero incidere in modo significativo sulla vita delle persone, come le soluzioni utilizzate nell'istruzione, nella sanità, nel lavoro, nelle infrastrutture critiche, nelle attività di contrasto, nella migrazione e nella valutazione del credito.

L'AI Act stabilisce i requisiti più rigorosi per questi sistemi. Tra questi rientrano la gestione del rischio, l'uso di dati di alta qualità, la tenuta della documentazione tecnica, la garanzia di una supervisione umana e il rispetto dei requisiti di affidabilità, accuratezza e cybersicurezza.

Un esempio di come funziona l'AI Act per i fornitori di sistemi di IA ad alto rischio. Fonte: Commissione europea

3. Rischio limitato

Questa categoria si concentra sulla trasparenza nell'uso dell'IA. Ad esempio, gli utenti dovrebbero capire quando stanno interagendo con un sistema di IA, come un chatbot. Inoltre, alcuni contenuti creati con l'IA, compresi i deepfake, dovrebbero essere etichettati di conseguenza. La maggior parte dei requisiti di trasparenza si applicherà a partire da agosto 2026.

4. Rischio minimo o nullo

La maggior parte delle applicazioni di IA rientra in questa categoria. Vi rientrano i filtri antispam, l'IA nei videogiochi e molti altri strumenti di uso quotidiano. L'AI Act non stabilisce requisiti obbligatori aggiuntivi per queste applicazioni.

Questo approccio consente uno sviluppo libero delle tecnologie quando i rischi potenziali sono minimi e, al tempo stesso, introduce requisiti più severi per i casi d'uso dell'IA che potrebbero incidere sulla sicurezza o sui diritti umani fondamentali.

A chi si applica l'EU AI Act?

Fonte: Pexels

I requisiti dell'AI Act non si applicano esclusivamente alle aziende che creano LLM o altri sistemi di IA. In pratica, la legge può interessare una gamma molto più ampia di organizzazioni, poiché l'IA è già entrata a far parte di molti prodotti digitali e processi aziendali.

Le aziende possono utilizzare l'IA sia internamente sia tramite soluzioni di terze parti integrate in siti web, prodotti o sistemi interni. Tra gli esempi rientrano un chatbot di assistenza clienti che risponde alle domande degli utenti, un sistema di raccomandazione che aiuta a trovare il prodotto o il servizio giusto, uno strumento di generazione di contenuti o una soluzione per analizzare attività sospette.

Il semplice uso dell'IA non significa automaticamente che un'azienda sia soggetta a tutti i requisiti dell'EU AI Act. Le responsabilità dipendono dal ruolo che l'organizzazione svolge nell'uso dell'IA, dallo strumento specifico utilizzato e dal fatto che rientri o meno nelle categorie regolamentate dalla legge.

Perché è importante per le aziende internazionali

La caratteristica principale dell'EU AI Act è la sua applicazione extraterritoriale.

Se un'organizzazione offre beni o servizi a utenti nell'Unione europea, oppure se i risultati dei suoi sistemi di IA vengono utilizzati nell'UE, alcune disposizioni della legge possono applicarsi a tale azienda indipendentemente dal Paese in cui è costituita.

Ecco perché l'AI Act sta già suscitando interesse ben oltre il mercato europeo.

Un'azienda internazionale può utilizzare l'IA per automatizzare l'assistenza clienti, gestire le richieste dei clienti o personalizzare i servizi. Se i clienti nei Paesi dell'UE utilizzano queste funzionalità, l'azienda dovrebbe valutare quali requisiti legali possano applicarsi specificamente a questi casi d'uso dell'IA.

Questo non significa che qualsiasi azienda che lavori con clienti europei debba automaticamente rispettare tutte le disposizioni dell'AI Act. Tuttavia, ignorare la nuova legge solo perché l'azienda è registrata al di fuori dell'Unione europea non è più un'opzione.

Perché è importante per il settore dei domini

Anche il settore dei domini sta implementando attivamente l'IA.

Oggi l'IA aiuta gli utenti a trovare nomi di dominio disponibili, suggerisce alternative basate su parole chiave o descrizioni di progetto, automatizza l'assistenza clienti e analizza le richieste dei clienti.

L'intelligenza artificiale viene utilizzata anche per migliorare la sicurezza. Gli algoritmi possono individuare registrazioni sospette, analizzare attività atipiche o contribuire a rilevare domini potenzialmente utilizzati per il phishing e altri abusi.

Scenari come questi dimostrano quanto l'IA sia già profondamente integrata nel moderno settore dei domini.

Se tali servizi sono disponibili per utenti nell'Unione europea, le aziende dovrebbero valutare in anticipo se determinati requisiti dell'EU AI Act si applichino agli strumenti di IA che utilizzano.

Cosa dovrebbero fare ora le aziende

Le aziende dovrebbero valutare con attenzione come utilizzano l'IA nelle proprie attività. Un'analisi di questo tipo può aiutarle a capire quali disposizioni legali possano essere rilevanti per la loro organizzazione e quali passi possano essere necessari in futuro:

  1. Redigere un elenco degli strumenti di IA utilizzati in azienda, comprese le funzioni integrate dei servizi di terze parti, i chatbot, gli strumenti di automazione e le soluzioni di analisi dei dati.
  2. Determinare il ruolo dell'azienda rispetto a ciascuna soluzione di IA, cioè se sta sviluppando un proprio sistema di IA, integrando uno strumento esistente nel proprio prodotto o utilizzandolo solo per processi interni.
  3. Valutare lo scopo dei sistemi di IA utilizzati e stabilire se rientrano in categorie per le quali l'AI Act prevede requisiti aggiuntivi.
  4. Se l'azienda rientra nell'ambito di applicazione dell'AI Act, verificare quali dipendenti lavorano con strumenti di IA e assicurarsi che abbiano il livello di alfabetizzazione all'IA richiesto dalla legge.
  5. Monitorare gli aggiornamenti normativi, comprese eventuali modifiche alle scadenze e ai requisiti nell'ambito dell'iniziativa Digital Omnibus. 

Questa valutazione preliminare può aiutare l'azienda a capire quali disposizioni dell'AI Act possano essere rilevanti per essa e a prepararsi alla futura applicazione dei requisiti previsti dalla legge.

L'uso dell'IA sta diventando una componente standard delle attività digitali. Le aziende implementano l'IA per velocizzare il servizio clienti, automatizzare le attività di routine, migliorare la sicurezza e rendere i propri servizi più pratici.

Allo stesso tempo, stanno cambiando anche i requisiti per l'uso di queste tecnologie.

Quando entreranno in vigore i requisiti dell'EU AI Act

Creato con l'IA

Sebbene l'EU AI Act sia ufficialmente entrato in vigore nel 2024, le sue disposizioni vengono attuate gradualmente. Questo serve a consentire alle aziende di adattarsi ai nuovi requisiti. Attualmente si possono individuare cinque fasi principali:

Febbraio 2025: primi divieti e requisiti di alfabetizzazione all'IA

Le prime disposizioni della legge sono entrate in vigore il 2 febbraio 2025.

In primo luogo, è entrato in vigore il divieto di utilizzare sistemi di IA classificati come a rischio inaccettabile. Tra questi rientrano i sistemi di social rating, le tecnologie basate sulla manipolazione del comportamento umano, alcune forme di identificazione biometrica negli spazi pubblici e una serie di altre pratiche che l'UE considera incompatibili con la tutela dei diritti umani fondamentali.

In secondo luogo, le aziende soggette all'AI Act dovrebbero garantire un livello adeguato di alfabetizzazione all'IA tra i dipendenti che lavorano con l'intelligenza artificiale. Ciò non implica una certificazione obbligatoria né un corso uniforme. Tuttavia, le organizzazioni dovrebbero assicurarsi che i dipendenti comprendano le capacità e i limiti dei sistemi di IA che utilizzano, siano consapevoli dei rischi associati e siano in grado di usare tali strumenti in modo responsabile. La valutazione tiene conto del ruolo del dipendente, delle specificità delle soluzioni di IA utilizzate e del contesto in cui vengono impiegate. 

Agosto 2025: regole per i modelli di uso generale

La fase successiva è iniziata il 2 agosto 2025, quando hanno iniziato ad applicarsi i requisiti per i fornitori di modelli di intelligenza artificiale per finalità generali (GPAI), ad esempio i grandi modelli linguistici (LLM) che possono essere utilizzati per un'ampia gamma di attività.

Per i fornitori di tali modelli, la legge stabilisce obblighi di predisposizione della documentazione tecnica, rispetto dei requisiti in materia di diritto d'autore, garanzia di un livello sufficiente di trasparenza e, per i modelli più potenti, gestione dei rischi sistemici.

Per la maggior parte delle aziende che si limitano a utilizzare servizi di IA già pronti, questa fase ha un'importanza piuttosto indiretta. Tuttavia, questi requisiti si applicano agli sviluppatori e ai fornitori dei modelli di IA di base su cui si fondano molti servizi moderni.

Agosto 2026: requisiti chiave per le aziende

La tappa più importante per la maggior parte delle aziende sarà il 2 agosto 2026.

È la data in cui si applicherà una parte significativa delle disposizioni dell'AI Act, compresi i requisiti per i sistemi di IA ad alto rischio, le responsabilità degli operatori di mercato, le regole di trasparenza e i poteri delle autorità di vigilanza.

In particolare, entreranno in vigore i requisiti per i sistemi di IA ad alto rischio, tra cui:

  • gestione del rischio lungo l'intero ciclo di vita del sistema;
  • garanzia della qualità dei dati utilizzati per l'addestramento e il funzionamento dell'IA;
  • tenuta della documentazione tecnica;
  • registrazione degli eventi per garantire la tracciabilità del funzionamento del sistema;
  • supervisione umana del funzionamento dell'IA;
  • conformità ai requisiti di accuratezza, affidabilità e cybersicurezza.

In questo periodo si applicheranno anche molti requisiti di trasparenza. Ad esempio, gli utenti dovrebbero essere informati quando interagiscono con un sistema di IA, come un chatbot, e determinati contenuti generati dall'IA, compresi i deepfake, dovranno essere etichettati di conseguenza.

Agosto 2027: l'IA nei prodotti regolamentati

La fase successiva dell'attuazione dell'AI Act inizierà il 2 agosto 2027. Da quel momento, la legge si applicherà ai sistemi di IA che costituiscono componenti di sicurezza di prodotti già regolamentati dal diritto dell'UE. Ciò riguarda, ad esempio, dispositivi medici, macchinari, veicoli e altri prodotti in cui l'intelligenza artificiale incide sulla sicurezza d'uso.

Fine 2030: conclusione del periodo di transizione

La fase finale dell'attuazione dell'AI Act si concluderà il 31 dicembre 2030. Entro questa data, alcuni grandi sistemi informativi dell'Unione europea elencati nell' Allegato X dell'AI Act (un elenco di alcuni importanti sistemi informativi dell'UE per i quali la legge prevede un periodo di transizione più lungo fino alla piena conformità all'AI Act) dovranno rispettare i requisiti della legge.

Per la maggior parte delle aziende, questa data non comporterà nuovi obblighi, ma completerà l'attuazione graduale della legge. La Commissione europea sta attualmente discutendo l'iniziativa Digital Omnibus (un pacchetto di modifiche legislative volto a semplificare e armonizzare la regolamentazione digitale nell'UE e a ridurre l'onere amministrativo per le imprese), che propone di rinviare l'entrata in vigore di alcuni requisiti per i sistemi di IA ad alto rischio, indicativamente fino alla fine del 2027.

Tuttavia, queste modifiche non sono ancora state adottate. Pertanto, si consiglia alle aziende di fare riferimento all' attuale calendario di attuazione dell'AI Act e di non rimandare la preparazione in attesa di possibili cambiamenti.

Prepararsi ai nuovi requisiti non significa necessariamente apportare oggi cambiamenti su larga scala. Tuttavia, capire dove e come l'IA viene utilizzata all'interno dell'azienda può aiutare a valutare tempestivamente i potenziali rischi, evitare complicazioni impreviste in futuro e adattarsi con maggiore sicurezza alle nuove normative.

Domande frequenti

L'EU AI Act si applica alle aziende al di fuori dell'Unione europea?

Sì. L'AI Act ha applicazione extraterritoriale. In alcuni casi, i suoi requisiti possono applicarsi ad aziende registrate al di fuori dell'UE se offrono prodotti o servizi a utenti nell'UE o se i risultati dei loro sistemi di IA vengono utilizzati all'interno dell'UE.

Tutte le aziende sono tenute a rispettare l'EU AI Act?

No. Gli obblighi dipendono dal ruolo che l'azienda svolge nell'uso dell'IA, dai sistemi di IA coinvolti e dalla categoria di rischio in cui rientrano. Il solo utilizzo dell'IA non comporta automaticamente l'applicazione di tutti i requisiti della legge.

Quali sistemi di IA sono regolamentati in modo più rigoroso?

I requisiti più severi si applicano ai sistemi di IA ad alto rischio. Tra questi rientrano le soluzioni utilizzate nella sanità, nell'istruzione, nel lavoro, nelle infrastrutture critiche, nelle attività di contrasto e nella valutazione del credito. Per tali sistemi, l'AI Act stabilisce requisiti relativi alla gestione del rischio, alla qualità dei dati, alla documentazione, alla supervisione umana e alla cybersicurezza.

Quando entrerà in vigore la maggior parte dei requisiti dell'EU AI Act?

Sebbene la legge sia entrata in vigore nel 2024, le sue disposizioni vengono attuate per fasi. Una delle date chiave è il 2 agosto 2026, quando entrerà in vigore una parte significativa dei requisiti per le aziende, comprese le regole per i sistemi di IA ad alto rischio e i requisiti di trasparenza. Tuttavia, alcune disposizioni sono già in vigore da febbraio e agosto 2025.

Cosa dovrebbe fare ora un'azienda?

Iniziare con una valutazione interna dell'uso dell'IA, ad esempio stabilendo quali strumenti di IA vengono utilizzati in azienda, dove vengono impiegati, quale ruolo svolge l'organizzazione rispetto a questi sistemi e se possano rientrare nell'ambito dell'AI Act. Questa analisi può aiutare a comprendere in anticipo quali obblighi potrebbero sorgere con l'entrata in vigore della legge.

Vuoi restare aggiornato sulle tendenze del settore tech? Visita il blog di it.com Domains e contattaci sui social media.

Questo articolo è stato tradotto da un'intelligenza artificiale e può contenere imprecisioni. Consulta l'originale in inglese.

Ilona K.
Ilona K.
Condividi questo articolo!

Join Our Newsletter!

Insights on domains, behind-the-scenes company news, and what’s happening across the industry — delivered to your inbox.
You’re in!
We’ll be in touch with fresh updates and stories.