In questo articolo
Il 2 agosto 2026 è una data importantissima per il calendario delle scadenze principali dell’AI Act, il Regolamento europeo sull’intelligenza artificiale (Regolamento UE 2024/1689). Da quel giorno le sanzioni previste dal Regolamento diventano pienamente operative, e con esse l’intera infrastruttura di vigilanza che in Italia fa capo all’ACN, l’Agenzia per la Cybersicurezza Nazionale.
Il rischio è arrivare impreparati a questa scadenza senza aver adempito a tutti gli obblighi.
L’AI Act viene percepito erroneamente come una questione che interessa solo chi sviluppa tecnologia, quando in realtà riguarda anche chi la usa.
In questo articolo vedremo cosa impone concretamente il Regolamento alle aziende, con un focus su tre articoli chiave: il 4, che introduce l’obbligo di formazione; il 99, che definisce le sanzioni; e il 113, che fissa il calendario di applicazione.
Cosa cambia il 2 agosto 2026
L’AI Act è entrato in vigore il 1° agosto 2024, ma la sua applicazione è progressiva. Lo stabilisce l’articolo 113, che distribuisce su più anni l’entrata in operatività delle diverse disposizioni. Le prime scadenze sono già passate:
- 2 febbraio 2025: entrata in vigore del divieto delle pratiche AI a rischio inaccettabile e dell’obbligo di alfabetizzazione AI (art. 4).
- 2 agosto 2025: avvio delle regole per i modelli AI di uso generale (GPAI) e prime sanzioni operative.
- 2 agosto 2026: piena applicazione degli obblighi per i sistemi ad alto rischio, norme sulla trasparenza, governance nazionale e piena operatività delle sanzioni ex art. 99.
Quest’ultima data è quella che riguarda la maggior parte delle imprese che utilizzano AI nei propri processi. Da quel momento le autorità nazionali possono irrogare sanzioni nella loro pienezza, senza ulteriori periodi di tolleranza.
| Chi non ha ancora avviato la valutazione della propria esposizione normativa ha poco tempo. Non si deve solo completare una procedura burocratica: bisogna capire se i sistemi in uso richiedono interventi strutturali, e, dove mancante, bisogna avviare la formazione del personale che avrebbe dovuto iniziare nel febbraio 2025. |
L’obbligo di formare il personale
L’articolo 4 del Regolamento, AI literacy, introduce quello che la norma chiama “obbligo di alfabetizzazione in materia di IA”. I destinatari sono aziende e liberi professionisti: sia i fornitori, cioè chi sviluppa e commercializza sistemi AI, sia i deployer, cioè chi li usa all’interno dei propri processi aziendali. Quest’ultima categoria include la stragrande maggioranza delle imprese italiane: chiunque utilizzi un sistema di intelligenza artificiale per selezionare candidati, valutare il credito, gestire richieste di assistenza, ottimizzare la logistica o produrre contenuti automatizzati è, a tutti gli effetti, un deployer ai sensi del Regolamento.
È su entrambe queste categorie che ricade l’obbligo: il testo stabilisce che fornitori e deployer
“adottano misure per garantire nella misura del possibile un livello sufficiente di alfabetizzazione in materia di IA del loro personale nonché di qualsiasi altra persona che si occupa del funzionamento e dell’utilizzo dei sistemi di IA per loro conto”.
Chi deve essere formato
La norma non prescrive un format specifico né un monte ore minimo, ma richiede che la formazione sia proporzionata al ruolo, all’esperienza e al tipo di sistema utilizzato. Concretamente, i destinatari da coinvolgere sono:
- Direzione e management: impatti strategici, responsabilità legali, governance e rischi.
- HR e risorse umane: particolarmente rilevante se si usano strumenti per recruiting, valutazione delle performance o people analytics.
- Marketing e comunicazione: uso di AI generativa per contenuti, immagini e campagne.
- Operatori e responsabili di processo: chiunque interagisca con sistemi AI nel lavoro quotidiano.
- IT e system administrator: chi configura, integra o supervisiona i sistemi.
- Legal e compliance: per presidio degli obblighi normativi e responsabilità.
Il nodo della documentazione
L’AI Office della Commissione Europea ha chiarito che utilizzare pratiche di altri non garantisce automaticamente la conformità: conta la coerenza tra il percorso formativo adottato e i sistemi effettivamente in uso. In caso di controllo da parte delle autorità competenti, l’impresa deve essere in grado di dimostrare chi è stato formato, quando, con quali contenuti e come viene aggiornata la formazione nel tempo.
| La mancata formazione non è sanzionata direttamente in modo autonomo, ma è considerata aggravante nella determinazione della sanzione per altre violazioni. Avere un percorso documentato è il primo strumento di difesa in caso di contestazione. |
Le sanzioni: quanto si rischia
L’articolo 99 del Regolamento introduce uno dei sistemi sanzionatori più severi del diritto digitale europeo. Le sanzioni sono strutturate su tre livelli in base alla gravità della violazione:
| Tipo di violazione | Importo massimo | % fatturato mondiale |
| Pratiche AI vietate (art. 5) | 35 milioni € | 7% |
| Sistemi ad alto rischio e GPAI (incl. mancata formazione) | 15 milioni € | 3% |
| Informazioni false alle autorità | 7,5 milioni € | 1% |
Le percentuali si calcolano sul fatturato mondiale annuo, non solo su quello italiano. Per un’azienda con 20 milioni di euro di ricavi e una violazione sugli obblighi dei sistemi ad alto rischio, la sanzione teorica può raggiungere 600.000 euro. Per una realtà da 100 milioni di fatturato, si arriva a 3 milioni. Importi che, nella pratica, le autorità moduleranno in funzione della gravità concreta e della dimensione dell’azienda, lo prevede il comma 6 dello stesso articolo, ma che indicano con chiarezza la volontà del legislatore di rendere il rischio economicamente significativo.
Un dettaglio che merita attenzione: le sanzioni dell’AI Act si sommano a quelle del GDPR nei casi in cui la violazione coinvolge dati personali. Le due normative non si escludono a vicenda, e le autorità di vigilanza possono intervenire in parallelo. In scenari complessi, il cumulo può diventare significativo anche per realtà di dimensioni medie.
Chi controlla e come
In Italia il quadro di vigilanza è stato strutturato dalla Legge 132/2025, che ha recepito l’AI Act nell’ordinamento nazionale designando due autorità principali con ruoli distinti.
- L’AgID (Agenzia per l’Italia Digitale) agisce come autorità di notifica: valuta e accredita gli organismi di valutazione della conformità, cioè i soggetti terzi che certificano che un sistema AI ad alto rischio rispetta i requisiti del Regolamento prima di essere immesso sul mercato.
- L’ACN (Agenzia per la Cybersicurezza Nazionale) è l’autorità di sorveglianza del mercato. È il soggetto con i poteri operativi più rilevanti per le imprese: può avviare ispezioni, richiedere documentazione, imporre misure correttive e, nei casi più gravi, irrogare direttamente le sanzioni previste dall’articolo 99. L’ACN ha anche la facoltà di ordinare il ritiro o il blocco di un sistema AI dal mercato qualora rappresenti un rischio inaccettabile.
- A livello europeo, al di sopra delle autorità nazionali opera l’Ufficio AI della Commissione Europea (European AI Office), istituito nel 2024, che coordina l’applicazione uniforme del Regolamento tra gli Stati membri e ha competenza esclusiva sulla vigilanza dei modelli AI di uso generale (GPAI). Per le imprese che operano in più Paesi UE, l’Ufficio AI può avviare indagini che coinvolgono più autorità nazionali contemporaneamente.
Sul piano pratico, i controlli possono partire in tre modi diversi.
- Ispezione programmata: l’ACN può disporre controlli di propria iniziativa su categorie di sistemi o settori ritenuti prioritari.
- Controllo a seguito di incidente: se un sistema AI causa un danno o un malfunzionamento significativo, il Regolamento (art. 73) impone ai deployer di notificarlo all’autorità competente, che può aprire un procedimento.
- Reclamo di terzi: l’articolo 85 stabilisce che chiunque abbia motivi per ritenere che si sia verificata una violazione può presentare un reclamo all’ACN. Non serve essere un soggetto danneggiato direttamente, possono farlo concorrenti, dipendenti, clienti, sindacati o associazioni di consumatori.
Una volta avviato un procedimento, l’autorità può richiedere accesso a tutta la documentazione tecnica e organizzativa dell’azienda, incluse le evidenze dei percorsi formativi adottati ai sensi dell’articolo 4. E qui la qualità della documentazione fa la differenza: non tra chi è in regola e chi non lo è, ma tra chi può dimostrarlo e chi no.
Perché anche le PMI sono coinvolte
Il Regolamento si applica a qualsiasi organizzazione che utilizza sistemi AI nel territorio dell’Unione Europea, indipendentemente dalla dimensione e dal settore. Il perimetro include PMI manifatturiere che usano AI per la qualità, studi professionali che usano strumenti di analisi documentale, uffici HR che usano piattaforme di recruiting con componenti AI, reti retail con sistemi di personalizzazione.
C’è poi un rischio che emerge indipendentemente dall’intervento delle autorità: molte aziende enterprise stanno iniziando a includere clausole di conformità all’AI Act nei contratti con i fornitori. Chi non è in grado di dimostrare di aver adottato le misure richieste rischia di perdere opportunità commerciali prima ancora che arrivi una sanzione.
Il punto di partenza per qualsiasi azienda non è la lettura integrale del Regolamento, ma una domanda molto più semplice: quali sistemi AI stiamo usando nei nostri processi, e qual è il nostro ruolo rispetto a ciascuno di essi? Da quella risposta derivano gli obblighi, le priorità e le azioni concrete. La guida alla Legge 132/2025 che abbiamo pubblicato su questo blog è un buon punto di partenza per orientarsi sul quadro italiano.
Hai capito dove si trova la tua azienda?
| Generazione AI supporta le imprese nella valutazione dell’esposizione normativa, nella costruzione di percorsi formativi documentati e nella governance della conformità. Se vuoi capire cosa riguarda concretamente la tua realtà e da dove partire, prenota una sessione gratuita di 30 minuti con uno dei nostri specialisti. |