29 Agosto 2025

Intelligenza artificiale e imprese: gli obblighi introdotti dall’AI ACT

L’intelligenza artificiale (IA) è e sarà sempre più presente nei processi aziendali. Con l’adozione del Regolamento 2024/1689 (nel seguito “Regolamento”), meglio noto come AI Act, l’Unione Europea introduce una disciplina organica relativa all’utilizzo dei sistemi di IA, ponendosi come primo legislatore al mondo in questo ambito. A differenza di quanto si possa pensare, il Regolamento non riguarda solamente gli sviluppatori di sistemi di IA, ma prevede obblighi anche in capo ai semplici utilizzatori – siano essi imprese, enti pubblici o altri soggetti giuridici – con prescrizioni differenziate in base al tipo di sistema adottato.

Rispetto all’ambito temporale di efficacia del Regolamento, la maggior parte delle disposizioni entrerà in vigore il 2 agosto 2026; alcune prescrizioni, tuttavia, risultano già in vigore alla data odierna (26 agosto 2025), tra queste vi rientrano quelle relative ai sistemi vietati.

Indice

1.      COS’È UN SISTEMA DI IA E A CHI È RIVOLTO IL REGOLAMENTO.

Un sistema di intelligenza artificiale è definito come “un sistema automatizzato progettato per funzionare con livelli di autonomia variabili e che può presentare adattabilità dopo la diffusione e che, per obiettivi espliciti o impliciti, deduce dall’input che riceve come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali” (art. 3 lett. 1 Reg.)

Tradotto in fattispecie concrete, la definizione porta a ricomprendere nell’ambito di applicazione del Regolamento una gamma ampissima di strumenti, dai più generali e noti (quali ChatGPT, Google Gemini, ecc.) a sistemi con finalità specifiche (es. bot di risposta automatica a quesiti dei clienti) a sistemi integrati all’interno di altri software (es. strumenti di calcolo basato sull’IA installato all’interno del programma gestionale aziendale).  

Come anticipato, dunque, il Regolamento non si rivolge solamente agli sviluppatori, ma prevede obblighi anche in capo ai “deployer”, ossia i soggetti che semplicemente utilizzano i sistemi di IA sviluppati da altri: di conseguenza, nel momento in cui impresa decide di integrare nelle proprie attività un sistema di intelligenza artificiale, dovrà verificare se lo stesso ricada nell’ambito di applicazione dell’AI ACT e conformarsi alle relative previsioni.

2.      LA CLASSIFICAZIONE DEI SISTEMI DI IA

Centrale nella struttura del Regolamento è la classificazione dei sistemi di intelligenza artificiale sintetizzata nel seguente schema:

Rischio inaccettabile: pratiche vietate (art. 5)Sistemi che presentano rischi inaccettabili per i diritti fondamentali, sicurezza e valori democratici (es. manipolazione subliminale o ingannevole del comportamento; sfruttamento di vulnerabilità; social scoring; ecc.).
Tali sistemi sono vietati.		Il divieto è già vigore dal 02 febbraio 2025.
Rischio Alto (art. 6 ss.)Sistemi che possono avere un impatto sistemico. Vi rientrano sistemi di IA utilizzati per la selezione e il reclutamento personale; ammissione all’istruzione; l’erogazione di servizi sociali essenziali (sanità); sorveglianza biometrica a distanza (non in tempo reale); la gestione della sicurezza critica delle infrastrutture.
Sono previsti numerosi obblighi procedurali analizzati nel prosieguo.		Gli obblighi saranno in vigore dal 02 agosto 2026
Rischio limitato – obblighi di trasparenza (art. 50)Sistemi in grado di influenzare i diritti o le volontà degli utenti, ma in misura minore rispetto ai sistemi ad alto rischio (es. deepfake; chatbot; ecc.)
Sono sottoposti a requisiti di trasparenza.		Gli obblighi associati saranno in vigore dal 02 agosto 2026
Rischio minimo (capo X – art. 95 – 96)Sistemi che non hanno impatto diretto sui diritti fondamentali o sicurezza persona (es. videogiochi; filtri fotografici).
Possono essere disciplinati da codici di condotta volontari.		Le disposizioni saranno in vigore dal 02 agosto 2026

2.1  Sistemi vietati

La prima categoria riguarda i sistemi di intelligenza artificiale che, presentando rischi inaccettabili per i diritti fondamentali, sicurezza e valori democratici, sono stati vietati all’interno dell’Unione Europea. Nell’elenco delle “pratiche di IA vietate” contenuto nell’art. 5 del Regolamento, diversi divieti possono potenzialmente riguardare sistemi adottabili delle imprese; tra questi vi rientrano quelli che:

  • utilizzano tecniche subliminali aventi lo scopo o l’effetto di distorcere materialmente il comportamento di una persona o di un gruppo di persone;
  • inferiscono le emozioni di una persona fisica nell’ambito del luogo di lavoro e degli istituti di istruzione (ad eccezione per motivi medici o di sicurezza);
  • utilizzano sistemi di categorizzazione biometrica che deducono o inferiscono categorie sensibili (es. razza, opinioni politiche, credo, appartenenza sindacale, vita sessuale o orientamento sessuale);

Come anticipato, tali divieti sono già in vigore dal 02 febbraio 2025.

2.2  Sistemi IA ad alto rischio

Il capo III del Regolamento individua i sistemi di IA definiti ad alto rischio e stabilisce gli obblighi ad esso connessi. Nelle prime tre sezioni del capo III, il Regolamento:

  1. stabilisce quali sistemi di IA siano ad alto rischio;
  2. prevede quali requisiti tecnici/organizzazioni siano obbligatori per tali sistemi;
  3. stabilisce gli obblighi per i vari soggetti.

2.2.1.      Definizione di sistema IA ad alto rischio

Il punto di partenza è ricostruire la definizione di sistema ad alto rischio. L’art. 6 prevede che un sistema di IA sia considerato ad alto rischio se:

  1. è destinato ad operare in uno dei settori individuati dall’allegato III, tra i quali: biometria; infrastrutture critiche (infrastrutture digitali critiche, del traffico stradale o nella fornitura di acqua, gas, riscaldamento o elettricità); istruzione e formazione; gestione dei lavoratori; accesso a servizi privati essenziali e a prestazioni e servizi pubblici essenziali; ecc
  2. è destinato ad essere utilizzato come componente di sicurezza in prodotti oggetto di regolazione europea indicati nell’allegato I (quali, a titolo esemplificativo, macchine, autoveicoli, imbarcazioni, apparecchiature radio, dispositivi di protezione individuale, dispositivi medici, dispositivi medico-diagnostici, ecc.);

Si segnala tuttavia che, da un lato, sono previste deroghe nel caso in cui un sistema non presenti rischi significativi di danni per salute, sicurezza o i diritti fondamentali delle persone e che, dall’altro, l’allegato III potrà essere aggiornato dalla Commissione europea con atti delegati: sarà dunque necessario verificare con regolarità l’inserimento di nuovi settori tra quelli disciplinati dall’allegato III.  

Inoltre, per un periodo transitorio compreso il 02 agosto 2026 ed il 02 agosto 2027, saranno ricompresi tra i sistemi ad alto rischio solamente i sistemi destinati ad operare nei settori indicati nell’allegato III.

2.2.2.      Requisiti tecnici/organizzativi

Definiti i sistemi ad alto rischio, la sezione II del capo III stabilisce che questi debbano soddisfare una serie di requisiti tecnici – tra cui un sistema di gestione dei rischi, l’utilizzo di data set di qualità, la presenza di adeguata documentazione tecnica e un meccanismo di registrazione automatica dei log – e requisiti organizzativi, ossia la progettazione tale da consentire agli operatori di interpretare correttamente gli output e di impiegare il sistema in modo appropriato, oltre a garantirne la supervisione da parte di persone fisiche competenti.

Inoltre, prima dell’introduzione sul mercato, il fornitore deve sottoporre il sistema ad una valutazione di conformità, al fine di verificare il rispetto dei requisiti tecnici e organizzativi previsti dalla normativa.

2.2.3.      Obblighi per gli operatori

L’ultimo aspetto da considerare riguarda gli obblighi per gli operatori, distinti in base al ruolo adottato rispetto al sistema di IA.

Il Regolamento, oltre a specifici obblighi in capo agli sviluppatori, importatori e distributori, prevede in relazione ai sistemi di IA ad alto rischio anche obblighi in capo ai “deployer”, ossia i soggetti che “utilizzano un sistema di IA sotto la propria autorità”, ossia società, persone giuridiche, enti, ecc. che utilizzano i sistemi di IA. Tra questi obblighi vi sono:

  1. garantire l’utilizzo del sistema conformemente alle istruzioni per l’uso;
  2. affidare la sorveglianza umana a persone che possiedono la competenza, della formazione e dell’autorità necessarie nonché del sostegno necessario.
  3. monitorare il funzionamento del sistema di IA ad alto rischio e in caso di incidente informare il fornitore o il distributore e la pertinente autorità di vigilanza del mercato;
  4. conservano i log generati automaticamente da tale sistema di IA ad alto rischio per un periodo di minimo sei mesi;
  5. quando il sistema IA prende o assiste decisioni su persone fisiche, informare gli interessati dell’uso del sistema;
  6. prima di mettere in servizio o utilizzare un sistema di IA ad alto rischio sul luogo di lavoro, informare i rappresentanti dei lavoratori e i lavoratori interessati che saranno soggetti all’uso del sistema di IA ad alto rischio.

Un ulteriore obbligo è rappresentato dallo svolgimento della Fundamental Rights Impact Assessment (o FRIA), necessariaper valutare l’impatto del sistema di IA sui diritti fondamentali. L’art. 27 del Regolamento disciplina analiticamente i casi in cui è richiesta e i contenuti che deve presentare.

2.3  Sistemi con rischio limitato e a rischio minimo

A differenza della corposa disciplina dettata per i sistemi ad altro rischio le previsioni portate dall’IA Act per i sistemi a rischio limitato e minimo risultano decisamente più contenute.

In linea generale, per i sistemi a rischio limitato, ossia quelli destinati ad interagire con persone fisiche e generatori di immagini, ivi compresi i cd “deep fake”, sono previsti obblighi di trasparenza: la persona deve essere informata che sta interagendo con un sistema di intelligenza artificiale ovvero che l’immagine è stata creata e/o modificata da un sistema di intelligenza artificiale.  

Per quanto riguarda i sistemi a rischio minimo non sono previsti obblighi legali, ma il loro utilizzo può essere disciplinato da codici di condotta volontari.

3.      COME AFFRONTARE LA QUESTIONE IN AZIENDA

Considerata la diffusione crescente dei sistemi di intelligenza artificiale nelle organizzazioni e la varietà degli obblighi previsti, è fondamentale che le imprese inizino ad integrare le previsioni dell’AI Act all’interno dei propri modelli di compliance aziendale.

Il nuovo Regolamento richiede, infatti, una stretta collaborazione tra diverse funzioni aziendali (IT, risorse umane, amministrazione, ufficio legale, ecc.) con l’obiettivo di:

  1. identificare i sistemi di IA utilizzati;
  2. classificarli secondo il livello di rischio come indicato nel Regolamento;
  3. verificare il rispetto degli obblighi previsti.

L’adeguamento alla nuova normativa richiede alle imprese di strutturare l’uso dei sistemi di intelligenza artificiale in modo trasparente, documentato e sicuro; occorre dunque integrare l’utilizzo dell’AI all’interno del sistema di gestione aziendale o, se presente, nel sistema di compliance, attraverso una revisione approfondita delle procedure interne, della documentazione privacy e dei regolamenti informatici.

Numerose sono infatti le interconnessioni con altre normative, in particolare con il d.lgs. 231/2001 sulla responsabilità degli enti e con il Regolamento (UE) 2016/679 (GDPR). Non a caso, l’art. 2 del Regolamento chiarisce che la nuova normativa lascia impregiudicati gli obblighi derivanti dal GDPR: ogni trattamento di dati personali tramite sistemi di IA dovrà quindi fondarsi su una delle basi giuridiche previste dall’art. 6 del GDPR.

Sul piano penale, si evidenzia infine che è attualmente in discussione al Parlamento italiano un Disegno di Legge sull’intelligenza artificiale che, in coordinamento con l’AI Act, introdurrà nuove fattispecie di reato e specifiche aggravanti per condotte illecite commesse mediante sistemi di IA.

Lo studio è a disposizione per qualsiasi chiarimento.

Archivio news