Regolamento IA2026-04-1612 min di lettura

Regolamento UE sull'IA: Tutto quello che devi sapere nel 2026

MW
Malte Wagenbach

Founder & CEO, Matproof

Disponibile anche in:EnglishDeutschFrançaisEspañolNederlands

Indice

  1. 01Che cos'è il Regolamento UE sull'IA?
  2. 02Chi deve conformarsi?
  3. 03I quattro livelli di rischio
  4. 04Modelli di IA per uso generale (GPAI)
  5. 05Scadenze chiave
  6. 06Sanzioni
  7. 07Come prepararsi: Roadmap di conformità in 6 passi
  8. 08Domande frequenti

Regolamento UE sull'IA: Tutto quello che devi sapere nel 2026

Il Regolamento UE sull'IA (Regolamento 2024/1689) è la prima legge completa al mondo che regola l'intelligenza artificiale. Classifica i sistemi di IA in quattro livelli di rischio — vietati, ad alto rischio, a rischio limitato e a rischio minimo — e impone obblighi vincolanti ai fornitori e ai deployer che operano nel mercato dell'UE. La piena applicazione dei requisiti per i sistemi di IA ad alto rischio inizia il 2 agosto 2026, con sanzioni fino a 35 milioni di euro o al 7% del fatturato annuo mondiale in caso di violazioni. Secondo un'indagine di PwC, all'inizio del 2026 oltre il 70% delle organizzazioni europee che utilizzano l'IA non ha ancora completato i preparativi per la conformità.

Questo riassunto copre tutto ciò che CTO, responsabili della conformità e DPO devono sapere: a chi si applica il regolamento, come funzionano i livelli di rischio, quali sono le scadenze, come sono le sanzioni e quali misure adottare ora.

Esegui la valutazione gratuita della prontezza all'AI Act per valutare la posizione attuale della tua organizzazione.

Che cos'è il Regolamento UE sull'IA?

Il Regolamento UE sull'IA è un regolamento — non una direttiva — il che significa che si applica direttamente in tutti i 27 Stati membri dell'UE senza recepimento nazionale. È stato firmato il 13 giugno 2024, pubblicato nella Gazzetta Ufficiale il 12 luglio 2024 ed è entrato in vigore il 1° agosto 2024.

I suoi obiettivi fondamentali:

  1. Garantire che i sistemi di IA immessi nel mercato dell'UE siano sicuri e rispettino i diritti fondamentali
  2. Fornire certezza giuridica per gli investimenti e l'innovazione nell'IA
  3. Rafforzare la governance e l'applicazione delle normative sull'IA nell'UE
  4. Facilitare un mercato unico per un'IA legale, sicura e affidabile

Il regolamento segue un approccio basato sul rischio: più elevato è il rischio che un sistema di IA pone per la salute, la sicurezza o i diritti fondamentali, più rigorosi sono gli obblighi.

Cifre chiave

Indicatore Valore
Livelli di rischio 4 (vietati, alto rischio, limitato, minimo)
Categorie ad alto rischio (Allegato III) 8
Sanzione massima 35 M€ o 7% del fatturato mondiale
Sistemi di IA ad alto rischio stimati nell'UE 15% di tutti i sistemi di IA
Calendario di attuazione 3 fasi in 24 mesi
Stati membri UE coperti 27

Chi deve conformarsi?

Il Regolamento sull'IA si applica all'intera catena del valore dell'IA, indipendentemente da dove le organizzazioni hanno sede:

Fornitori (sviluppatori)

  • Aziende che sviluppano sistemi di IA immessi nel mercato dell'UE
  • Fornitori di modelli di IA per uso generale (GPAI), inclusi gli sviluppatori di modelli fondazionali
  • Aziende non UE il cui output IA viene utilizzato nell'UE
  • Produttori di prodotti che integrano l'IA in prodotti regolamentati
  • Organizzazioni che adattano o mettono a punto modelli di IA di terze parti

Deployer (utenti)

  • Organizzazioni che utilizzano sistemi di IA ad alto rischio nell'UE
  • Istituti finanziari che utilizzano l'IA per il credit scoring o la determinazione dei prezzi assicurativi
  • Datori di lavoro che utilizzano l'IA per il reclutamento, la valutazione delle prestazioni o la gestione della forza lavoro
  • Fornitori di assistenza sanitaria che utilizzano sistemi diagnostici basati sull'IA
  • Organismi del settore pubblico che utilizzano l'IA per l'erogazione di servizi o il processo decisionale

Obblighi universali

Tutte le organizzazioni che utilizzano l'IA nell'UE devono garantire la cultura dell'IA tra il personale (Art. 4), indipendentemente dalla classificazione del rischio del loro sistema di IA. Questo obbligo è in vigore dal 2 febbraio 2025.

La Commissione europea stima che il Regolamento sull'IA interesserà oltre 6.000 fornitori e decine di migliaia di deployer in tutta l'UE.

I quattro livelli di rischio

1. Pratiche di IA vietate (Art. 5) — Divieto assoluto

Questi utilizzi dell'IA sono illegali nell'UE. Le violazioni comportano le sanzioni più elevate: 35 milioni di euro o il 7% del fatturato mondiale.

  • Punteggio sociale da parte di autorità pubbliche
  • Identificazione biometrica remota in tempo reale in spazi pubblici (con limitate eccezioni per le forze dell'ordine)
  • Tecniche di manipolazione subliminale che causano danni
  • Sfruttamento delle vulnerabilità basato sull'età, sulla disabilità o sulla situazione economica
  • Riconoscimento delle emozioni nei luoghi di lavoro e negli istituti scolastici (con limitate eccezioni)
  • Raccolta non mirata di immagini del viso da internet o CCTV
  • Categorizzazione biometrica per attributi sensibili (razza, religione, orientamento sessuale)
  • Polizia predittiva basata esclusivamente sulla profilazione

Data di applicazione: 2 febbraio 2025 (già in vigore)

2. Sistemi di IA ad alto rischio (Art. 6, Allegato III) — Obblighi più severi

I sistemi di IA ad alto rischio devono soddisfare 14 requisiti obbligatori ai sensi degli Art. 9–15 prima di essere immessi sul mercato. L'Allegato III definisce 8 categorie:

Categoria Esempi
1. Identificazione biometrica Riconoscimento facciale, corrispondenza delle impronte digitali
2. Infrastrutture critiche Gestione delle reti elettriche, IA per il trattamento delle acque
3. Istruzione Valutazione degli studenti, sorveglianza degli esami, ammissioni
4. Occupazione Screening dei CV, scoring dei colloqui, valutazione delle prestazioni
5. Servizi essenziali Credit scoring, rischio assicurativo, idoneità ai sussidi sociali
6. Forze dell'ordine Strumenti di polizia predittiva, analisi delle prove
7. Migrazione e controllo delle frontiere Elaborazione dei visti, valutazione delle richieste di asilo
8. Amministrazione della giustizia Supporto alle sentenze, ricerca giuridica tramite IA

Obblighi dei fornitori per l'IA ad alto rischio:

  • Sistema di gestione dei rischi (Art. 9)
  • Governance dei dati (Art. 10)
  • Documentazione tecnica (Art. 11)
  • Registrazione automatica degli eventi (Art. 12)
  • Trasparenza verso i deployer (Art. 13)
  • Progettazione per la supervisione umana (Art. 14)
  • Accuratezza, robustezza e sicurezza informatica (Art. 15)
  • Sistema di gestione della qualità (Art. 17)
  • Valutazione di conformità (Art. 43)
  • Registrazione nella banca dati UE (Art. 49)

Data di applicazione: 2 agosto 2026

3. IA a rischio limitato (Art. 50) — Obblighi di trasparenza

Questi sistemi di IA devono rivelare la loro natura di IA agli utenti:

  • I chatbot devono informare gli utenti che stanno interagendo con un'IA
  • I deepfake e i contenuti generati dall'IA devono essere etichettati
  • I sistemi di riconoscimento delle emozioni devono informare i soggetti interessati
  • I sistemi di categorizzazione biometrica devono rendere nota la loro funzione

Data di applicazione: 2 agosto 2026

4. IA a rischio minimo — Nessun obbligo specifico

Tutti gli altri sistemi di IA (filtri antispam, giochi basati sull'IA, gestione dell'inventario) non hanno obblighi specifici al di là del requisito universale di cultura dell'IA. La Commissione europea stima che questo riguardi circa l'85% di tutti i sistemi di IA nell'UE.

Modelli di IA per uso generale (GPAI)

Il Regolamento sull'IA introduce obblighi specifici per i modelli GPAI (Art. 53–55), riconoscendo le sfide uniche poste dai modelli fondazionali come GPT, Claude e Gemini:

Tutti i fornitori GPAI devono:

  • Preparare e mantenere la documentazione tecnica
  • Fornire informazioni ai fornitori a valle che integrano i loro modelli
  • Rispettare gli obblighi in materia di diritto d'autore
  • Pubblicare una sintesi dei dati di addestramento

I modelli GPAI con rischio sistemico (basato su calcolo cumulativo superiore a 10^25 FLOP o designazione della Commissione) devono inoltre:

  • Condurre valutazioni dei modelli per i rischi sistemici
  • Eseguire test avversariali (red-teaming)
  • Segnalare incidenti gravi all'Ufficio europeo per l'IA
  • Garantire adeguate protezioni di sicurezza informatica

Data di applicazione: 2 agosto 2025 (già in vigore)

Scadenze chiave

Data Pietra miliare
1° agosto 2024 Il Regolamento sull'IA entra in vigore
2 febbraio 2025 Pratiche di IA vietate; cultura dell'IA richiesta
2 agosto 2025 Obblighi dei modelli GPAI applicabili
2 agosto 2026 Applicazione completa: IA ad alto rischio, trasparenza, valutazione di conformità
2 agosto 2027 IA ad alto rischio nei prodotti dell'Allegato I (legislazione UE esistente sulla sicurezza dei prodotti)

Sanzioni

Il Regolamento sull'IA stabilisce uno dei regimi sanzionatori più significativi dell'UE:

Violazione Sanzione massima
Pratiche di IA vietate (Art. 5) 35 M€ o 7% del fatturato annuo mondiale
Non conformità IA ad alto rischio (Art. 6–49) 15 M€ o 3% del fatturato annuo mondiale
Informazioni fuorvianti alle autorità 7,5 M€ o 1,5% del fatturato annuo mondiale
Proporzionalità per le PMI Il minore tra l'importo fisso e il massimale percentuale

Per confronto, la sanzione massima del GDPR è di 20 M€ o il 4% del fatturato. Il livello superiore del Regolamento sull'IA (7%) è la multa proporzionale più elevata nella regolamentazione digitale dell'UE.

Autorità di applicazione:

  • Ufficio europeo per l'IA — supervisiona direttamente i fornitori di modelli GPAI
  • Autorità nazionali competenti — applicano all'interno di ciascuno Stato membro
  • Autorità di vigilanza del mercato — indagano e impongono misure correttive

Come prepararsi: Roadmap di conformità in 6 passi

Passo 1: Inventario dei sistemi di IA

Crea un inventario completo di tutti i sistemi di IA utilizzati o sviluppati dalla tua organizzazione. Documenta lo scopo, gli input di dati, il contesto di deployment e la portata decisionale di ogni sistema. Secondo Gartner, il 40% delle organizzazioni non è in grado di elencare con precisione tutti i sistemi di IA che gestisce.

Passo 2: Classificazione dei rischi

Classifica ogni sistema di IA ai sensi dell'Art. 5 (vietato), dell'Art. 6 e dell'Allegato III (alto rischio) e dell'Art. 50 (rischio limitato). Per i casi limite, applica i criteri di esenzione dell'Art. 6(3). Questa classificazione determina l'intero set di obblighi di conformità.

Passo 3: Analisi delle lacune

Per ogni sistema ad alto rischio, valuta le pratiche attuali rispetto ai requisiti degli Art. 9–15. Identifica le lacune nella gestione dei rischi, nella governance dei dati, nella documentazione, nella registrazione, nella trasparenza, nella supervisione umana e nell'accuratezza/robustezza. Assegna priorità in base al rischio e alla complessità di implementazione.

Passo 4: Implementare i controlli

Affronta le lacune identificate: costruire sistemi di gestione dei rischi (Art. 9), stabilire la governance dei dati (Art. 10), creare documentazione tecnica (Art. 11), implementare la registrazione (Art. 12) e progettare meccanismi di supervisione umana (Art. 14). Un'analisi McKinsey stima che questa fase richiede 3–6 mesi per la maggior parte delle organizzazioni.

Passo 5: Valutazione di conformità

Preparati per la valutazione di conformità ai sensi dell'Art. 43. La maggior parte dei sistemi ad alto rischio segue il percorso di autovalutazione (Allegato VI). I sistemi di identificazione biometrica per le forze dell'ordine richiedono una valutazione di terze parti da parte di un organismo notificato (Allegato VII). Prepara la Dichiarazione UE di conformità (Allegato V) e la documentazione della marcatura CE.

Passo 6: Registrare e monitorare

Registra i sistemi ad alto rischio nella banca dati UE (Art. 49). Implementa il monitoraggio post-commercializzazione (Art. 72), la segnalazione di incidenti gravi (Art. 73) e i processi di conformità continui. Integra gli obblighi del Regolamento sull'IA nel tuo framework GRC esistente.

Matproof automatizza i passaggi 2–6 con classificazione dei rischi basata sull'IA, generazione automatizzata della documentazione e monitoraggio continuo della conformità — richiedi una demo per vedere come funziona.

Domande frequenti

Cos'è il Regolamento UE sull'IA in parole semplici?

Il Regolamento UE sull'IA è una legge che regola come i sistemi di IA possono essere sviluppati e utilizzati in Europa. Categorizza l'IA per livello di rischio — alcuni utilizzi sono completamente vietati, gli utilizzi ad alto rischio affrontano requisiti severi e la maggior parte dell'IA quotidiana non ha obblighi specifici. Pensalo come il GDPR, ma per l'intelligenza artificiale.

Il Regolamento UE sull'IA si applica al di fuori dell'UE?

Sì. Come il GDPR, il Regolamento sull'IA ha portata extraterritoriale. Se l'output del tuo sistema di IA viene utilizzato nell'UE, o se metti sistemi di IA nel mercato dell'UE, devi conformarti — indipendentemente da dove ha sede la tua azienda (Art. 2).

Qual è la differenza tra il Regolamento UE sull'IA e il GDPR?

Il GDPR protegge i dati personali; il Regolamento sull'IA regola i sistemi di IA. Si sovrappongono quando l'IA elabora dati personali (il che vale per la maggior parte dell'IA). Differenze chiave: il Regolamento sull'IA utilizza un sistema di classificazione basato sul rischio, richiede valutazioni di conformità per l'IA ad alto rischio e prevede sanzioni massime più elevate (7% vs. 4% del fatturato). La maggior parte delle organizzazioni deve conformarsi a entrambi.

Quanto costa la conformità al Regolamento UE sull'IA?

I costi variano significativamente in base alle dimensioni dell'organizzazione e al portafoglio di IA. La Commissione europea stima costi di conformità di 6.000–7.000 € per un sistema di gestione dei rischi IA e 3.000–7.500 € per la valutazione di conformità per sistema ad alto rischio. Le organizzazioni con molti sistemi di IA affrontano costi proporzionalmente più elevati, sebbene strumenti come Matproof possano ridurre il costo del 60–80% attraverso l'automazione.

L'IA open source è esentata dal Regolamento UE sull'IA?

Parzialmente. I modelli di IA open source sono esentati dalla maggior parte degli obblighi dei fornitori, ma devono comunque conformarsi all'Art. 5 (pratiche vietate) e devono pubblicare una sintesi dei dati di addestramento. Se un modello open source viene utilizzato in un'applicazione ad alto rischio, il deployer si assume gli obblighi di conformità.

Cosa succede se non mi conformo entro il 2 agosto 2026?

Le autorità nazionali di vigilanza del mercato possono indagare, imporre sanzioni (fino a 35 M€/7% del fatturato), ordinare il ritiro di sistemi di IA dal mercato o limitarne l'uso. Oltre alle sanzioni finanziarie, la non conformità rischia di danneggiare la reputazione e perdere la fiducia dei clienti.

regolamento UE IA riassuntoregolamento IA spiegatocos'è il regolamento UE sull'IAlegge intelligenza artificiale europearegolamento IA 2026regolamentazione IA Europa

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Pronto a semplificare la conformità?

Preparati all’audit in settimane, non mesi. Guarda Matproof in azione.

Richiedi una demo