Con l’entrata in vigore, il 2 febbraio 2025, delle prime disposizioni vincolanti del Regolamento Europeo sull’Intelligenza Artificiale (AI Act), prende forma un framework normativo strutturato sulla Base del Rischio (Risk-Based), con l’obiettivo di armonizzare l’approccio europeo allo sviluppo e all’impiego dell’IA, tutelando sicurezza, diritti fondamentali e trasparenza algoritmica.
AI – classificazione del rischio
Il regolamento segmenta i sistemi di intelligenza artificiale in quattro classi di rischio, con obblighi progressivamente più stringenti:
| Categoria | Descrizione | Obblighi |
| Rischio inaccettabile | Sistemi con impatti critici su diritti umani e sicurezza (es. social scoring, sorveglianza biometrica abusiva) | Divieto assoluto di utilizzo, sviluppo e commercializzazione |
| Rischio elevato | AI in settori regolamentati e critici: sanità, giustizia, trasporti, finanza, istruzione | Requisiti di conformità, valutazioni d’impatto, gestione del rischio |
| Rischio limitato | Interfacce utente (es. chatbot) e IA generativa | Obbligo di trasparenza e disclosure verso l’utente finale |
| Rischio minimo o nullo | Applicazioni a basso impatto (filtri spam, IA nei videogiochi) | Nessun obbligo specifico |
Pratiche vietate dal 2 febbraio 2025
I seguenti impieghi dell’IA sono considerati non conformi all’ordinamento europeo:
- Manipolazione psicologica occulta o subliminale
- Sfruttamento di vulnerabilità (età, disabilità, status sociale)
- Profilazione predittiva del comportamento criminale
- Riconoscimento emozionale in ambienti scolastici e lavorativi
- Creazione di database biometrici da fonti non autorizzate
- Classificazioni biometriche discriminatorie (es. etnia, religione, orientamento sessuale)
- Riconoscimento facciale in tempo reale in spazi pubblici, salvo eccezioni giudiziarie circoscritte
Obblighi per i fornitori di sistemi ad Rischio Elevato
Le imprese che sviluppano o integrano sistemi IA a Rischio Elevato sono tenute a:
- Implementare sistemi di gestione del rischio e controlli di qualità
- Eseguire valutazioni di impatto sui diritti fondamentali
- Garantire la tracciabilità dei dati e delle decisioni automatizzate
- Predisporre documentazione tecnica dettagliata
- Notificare i sistemi alle autorità nazionali competenti (ancora non definite in Italia)
Timeline attuativa
| Data | Evento |
| Febbraio 2025 | Avvio divieti per IA a rischio inaccettabile |
| Agosto 2025 | Inizio applicazione degli obblighi per i modelli di IA generali (GPAI – General Purpose Artificial Intelligence) |
| Agosto 2027 | Entrata in vigore delle norme per i sistemi IA integrati in prodotti regolati |
Sanzioni previste
| Violazione | Importo massimo |
| Pratiche vietate o violazioni su dati | Fino a 35 milioni € o 7% del fatturato globale |
| Altri obblighi dell’AI Act | Fino a 15 milioni € o 3% del fatturato globale |
| Informazioni incomplete o false | Fino a 7,5 milioni € o 1,5% del fatturato globale |
| PMI: applicazione della soglia più bassa tra quelle indicate | |
| Grandi imprese: applicazione della soglia più alta. | |
Cosa deve fare un’impresa che adotta l’AI?
- Mappatura interna dei sistemi IA esistenti e futuri
- Identificazione del livello di rischio secondo la classificazione AI Act
- Verifica dell’allineamento normativo con AI Act, GDPR, NIS2
- Adeguamento dei processi di audit, documentazione e formazione
- Valutazioni d’impatto proattive su privacy e diritti digitali