Dal 2 agosto scattano nuove regole Ue sull’IA: aziende italiane in allarme

Il 2 agosto 2025 segna una nuova tappa fondamentale nell’entrata in vigore dell’AI Act, la normativa europea che regolerà in modo capillare l’uso dell’intelligenza artificiale. Dopo la prima serie di disposizioni scattate il 2 febbraio scorso — che avevano introdotto il divieto per alcune pratiche ritenute ad alto rischio e l’obbligo di alfabetizzazione digitale — si apre ora un secondo fronte normativo, più tecnico ma anche più impattante per le imprese.

Entrano infatti in vigore gli obblighi relativi ai sistemi di intelligenza artificiale classificati come “ad alto rischio”, le disposizioni sui modelli general purpose (GPAI), le nuove regole di governance multilivello, il quadro sanzionatorio (con esclusione delle multe per i GPAI) e infine i vincoli di riservatezza per le autorità coinvolte.

Il cuore operativo di questa nuova fase riguarda i sistemi ad alto rischio, che il regolamento sottopone a un rigoroso meccanismo di controllo e sorveglianza. Ogni Stato membro deve designare un’autorità di notifica incaricata di approvare e vigilare sugli organismi notificati, ossia enti terzi accreditati per valutare la conformità dei sistemi IA più delicati. In Italia, il ruolo dovrebbe essere affidato all’Agenzia per l’Italia Digitale (AgID), già citata nel disegno di legge italiano sull’IA. Gli organismi notificati avranno il compito di effettuare audit e ispezioni sui modelli, garantendo imparzialità, competenza tecnica e rispetto della riservatezza.

Il secondo snodo critico è rappresentato dai modelli general purpose di intelligenza artificiale. Si tratta di quei modelli capaci di eseguire una varietà di compiti, spesso senza un fine specifico, e che alimentano oggi chatbot, generatori di immagini, sistemi di analisi automatica e altre tecnologie sempre più pervasivi. Il regolamento distingue tra modelli generalisti standard e quelli “ad alto impatto”, che secondo l’articolo 3 dell’AI Act sono tali da presentare rischi sistemici per diritti fondamentali, democrazia, ambiente o sicurezza.

Per questi ultimi, considerati GPAI ad alto impatto, le regole diventano più stringenti: i fornitori dovranno produrre una documentazione tecnica dettagliata, pubblicare una sintesi dei dati utilizzati per l’addestramento del modello, dimostrare la conformità alle leggi sul diritto d’autore e sottoporsi a valutazioni indipendenti, incluse analisi dei rischi, monitoraggi continui e audit esterni. Si tratta di obblighi che, sebbene mirati a garantire trasparenza e responsabilità, stanno già generando forti preoccupazioni tra le aziende del settore, soprattutto tra le PMI e le startup.

Sul piano istituzionale, il regolamento introduce un modello di governance distribuito tra autorità nazionali e organismi europei. I singoli Stati membri sono chiamati a nominare le autorità competenti per l’applicazione della normativa. In Italia, secondo il testo in discussione al Parlamento, saranno AgID e l’Agenzia per la Cybersicurezza Nazionale a occuparsene. A livello sovranazionale, invece, la Commissione Europea istituisce l’Ufficio per l’intelligenza artificiale, con il compito di coordinare l’applicazione dell’AI Act, in particolare sui GPAI, promuovere la cooperazione tra Stati membri e fornire supporto tecnico. A supporto, si affiancherà il Comitato europeo per l’intelligenza artificiale, un organismo consultivo composto dai rappresentanti delle autorità nazionali.

Sul fronte delle sanzioni, il regolamento è particolarmente severo. Le violazioni più gravi, come quelle relative ai divieti assoluti (tra cui manipolazione psicologica o social scoring), potranno essere punite con multe fino a 35 milioni di euro o il 7% del fatturato annuo globale. Le violazioni dei requisiti per i sistemi ad alto rischio potranno costare fino a 15 milioni di euro o il 3% del fatturato, mentre per la comunicazione di informazioni false o incomplete si arriva a un massimo di 7,5 milioni o l’1%. Le microimprese e le Pmi, tuttavia, potranno beneficiare di sanzioni ridotte, ma resta aperto il problema dell’impatto finanziario e organizzativo su realtà che spesso non hanno le risorse per strutturare un’adeguata compliance.

Infine, viene introdotto un obbligo di riservatezza per tutti gli attori coinvolti nell’attuazione dell’AI Act: Commissione Europea, autorità nazionali, comitati tecnici e organismi notificati non potranno divulgare informazioni riservate acquisite nell’ambito delle loro funzioni, salvo nei casi espressamente previsti dalla legge o con il consenso esplicito degli interessati.

Nel corso del 2025, la Commissione Europea ha affiancato l’entrata in vigore del regolamento con una serie di strumenti operativi: linee guida, codici di condotta, template tecnici e raccomandazioni per i fornitori di GPAI. Tra questi, spiccano il codice di condotta pubblicato il 10 luglio, le linee guida del 18 luglio dedicate alla compliance dei modelli generalisti e il template rilasciato il 24 luglio per sintetizzare i dati di addestramento.

Nonostante questo sforzo di accompagnamento, il fronte delle imprese resta in fermento. Anitec-Assinform, l’associazione di Confindustria che riunisce le aziende dell’ICT, ha chiesto alla Commissione un rinvio di almeno due anni per consentire una piena adeguatezza del sistema produttivo. L’associazione segnala infatti la mancanza di strumenti concreti, la complessità della documentazione richiesta e l’assenza di un quadro di riferimento condiviso per la valutazione dei GPAI.