HomeRisorseArticoliLegge UE sull'intelligenza artificiale: Un primo sguardo all'Europa...

Legge UE sull'IA: Un primo sguardo al regolamento europeo sull'IA

A cura di: Masha Komnenic CIPP/E, CIPM, CIPT, FIP Masha Komnenic CIPP/E, CIPM, CIPT, FIP | Aggiornato il: 2 novembre 2025

Atto dell'UE-AI-Un primo sguardo all'Europa-AI-Regolamento-01

Il Parlamento europeo ha approvato la legge sull'intelligenza artificiale dell'UE (EU AI Act) nel marzo 2024, segnando le prime linee guida legali e i primi requisiti di conformità relativi all'uso dei servizi di intelligenza artificiale.

Le aziende di tutto il mondo che utilizzano sistemi di AI di base potrebbero subire un impatto, quindi come prepararsi?

Di seguito, vi illustro il regolamento UE sull'IA e vi spiego la sua portata, l'impatto, le sanzioni in caso di non conformità e l'impatto su imprese e consumatori.

Indice dei contenuti
  1. Che cos'è l'aI Act dell'UE?
  2. Date importanti relative alla legge sull'AI dell'UE
  3. In che modo la legge UE sull'IA definisce i sistemi di IA?
  4. Che tipo di IA regolamenta l'uE e come?
  5. Chi è interessato dalla legge UE sull'intelligenza artificiale e come?
  6. Come verrà applicato l'aI Act dell'UE?
  7. Potenziali sanzioni e multe ai sensi della legge UE sull'IA
  8. IA e privacy dei dati: La connessione, i pro e i contro
  9. Come possono le aziende prepararsi alla regolamentazione dell'IA?
  10. Perché l'europa sta regolamentando l'iA?
  11. Come vari Paesi europei stanno rispondendo all'IA
  12. Che dire di ChatGPT?
  13. Riassunto

Che cos'è l'aI Act dell'UE?

La legge sull'intelligenza artificiale dell'Unione Europea (EU AI Act) è un regolamento formale approvato dal Parlamento europeo nel marzo 2024.

È entrato in vigore nell'agosto 2024.

È stato proposto dalla Commissione europea ed è uno dei primi atti legislativi che regolamenta e crea un quadro giuridico per l'utilizzo e lo sviluppo dell'intelligenza artificiale.

Date importanti relative alla legge sull'AI dell'UE

Rivediamo brevemente alcune date importanti relative allo sviluppo della normativa europea sull'IA e consideriamo la potenziale tempistica futura di questa normativa.

Aprile 2021

La Commissione europea ha inizialmente presentato un pacchetto completo sull'IA nell'aprile 2021, che comprendeva una proposta di legge sull'IA.

Novembre 2022

Nel novembre 2022, dopo un anno di discussioni tra i legislatori dell'UE e quasi cinque iterazioni del testo del regolamento, una versione finale di compromesso della legge sull'IA è stata approvata all'unanimità dal Consiglio dell'UE e presentata al Consiglio Telecomunicazioni (TTE).

Marzo 2023

Il Parlamento europeo avrebbe dovuto votare la versione finale della legge sull'IA entro la fine di marzo 2023.

Dopo il voto, in aprile sono iniziate le discussioni tra gli Stati membri, il Parlamento e la Commissione.

13 marzo 2024

Il Parlamento europeo ha ufficialmente adottato la versione finale della legge sull'IA dell'UE con una schiacciante maggioranza di voti favorevoli (523-46).

Agosto 2024

l'entrata in vigore parziale dell'AI Act dell'UE ha dato il via all'AI Pact, un'iniziativa della Commissione europea volta a incoraggiare le aziende a impegnarsi per contribuire a mantenere lo sviluppo dell'AI sicuro, affidabile e in linea con l'aI Act dell'UE, che entrerà in vigore gradualmente nei prossimi tre anni.

Febbraio 2025

Entrano in vigore i divieti relativi al rischio inaccettabile di IA.

Agosto 2025

Entrano in vigore i requisiti che influenzano i fornitori di modelli di IA per scopi generali , gli Stati membri devono nominare le autorità.

La Commissione effettuerà anche la prima revisione annuale della legge e proporrà eventuali modifiche.

Agosto 2026

Entrano in vigore gli obblighi che incidono sull'uso dell'IA ad alto rischio, in primo luogo quelli espressi nell'Allegato III, che include i sistemi di IA nei seguenti settori:

  • Biometria
  • Istruzione
  • Infrastrutture critiche
  • Occupazione
  • Accesso al servizio pubblico
  • Applicazione della legge

Tutti gli Stati membri avranno implementato le norme sulle sanzioni relative all'Act, comprese le multe amministrative, e avranno creato almeno una sandbox normativa operativa.

La Commissione effettuerà un'altra revisione annuale e proporrà modifiche, se necessario.

Agosto 2027

Entrano in vigore tutti i restanti obblighi che riguardano i sistemi di IA ad alto rischio, compresi quelli destinati a essere utilizzati come componente di sicurezza di un servizio o di un prodotto e i requisiti di valutazione da parte di terzi descritti in altre leggi UE esistenti.

In che modo la legge UE sull'IA definisce i sistemi di IA?

l'eU AI Act definisce l'intelligenza artificiale e i sistemi di IA come segue:

Un sistema basato su una macchina che è progettato per operare con vari livelli di autonomia e che può mostrare capacità di adattamento dopo l'implementazione e che, per obiettivi espliciti o impliciti, deduce, dagli input che riceve, come generare output quali previsioni, contenuti, raccomandazioni o decisioni che possono influenzare ambienti fisici o virtuali.

Questa definizione include il software sviluppato con una o più tecniche, quali:

  • Approcci di apprendimento automatico
  • Approcci logici e basati sulla conoscenza
  • Approcci statistici

Che tipo di IA regolamenta l'uE e come?

La legge europea sull'IA regolamenta quattro diversi livelli di "rischi" di IA e la gravità del livello di rischio influisce sui requisiti e sugli obblighi che le aziende sono tenute a rispettare.

  • Rischio inaccettabile (Atto Titolo II): IA che utilizza la manipolazione subliminale, sfrutta i bambini o i disabili mentali, e IA utilizzata a scopo generale di social scoring e di identificazione biometrica a distanza per le forze dell'ordine - con alcune eccezioni.
  • Alto rischio (Titolo III della legge, Allegato III): Componente di sicurezza dei prodotti regolamentati e dei sistemi di intelligenza artificiale con applicazioni nei servizi umani, come l'assunzione, la gestione dei dipendenti, l'istruzione, i servizi pubblici, le forze dell'ordine e il controllo delle frontiere.
  • Rischio limitato (Titolo IV della legge): Sistemi di IA destinati a interagire con persone fisiche, come deep fake, chatbot, sistemi di IA che generano o manipolano immagini, contenuti audio o video che assomigliano a persone, oggetti e luoghi esistenti o ad altre entità o eventi e che appaiono falsamente a una persona come autentici o veritieri.
  • Rischio minimo: Definita per omissione, questa categoria comprende tutte le IA che non rientrano nelle tre categorie precedenti.

Secondo l'aI Act, le tecnologie che rientrano nella categoria di rischio inaccettabile non possono essere utilizzate nell'UE. Spetta all'azienda dimostrare in quale livello di rischio rientra la propria tecnologia.

IA ad alto rischio

Secondo la legge dell'Unione Europea sull'IA, l'IA ad alto rischio è la categoria più regolamentata.

Un requisito è che la documentazione tecnica di un sistema di IA ad alto rischio deve essere redatta prima che il sistema sia immesso sul mercato o messo in servizio e deve essere mantenuta aggiornata, come descritto in dettaglio nell'Allegato IV.

In parte, la documentazione deve contenere:

La legge stabilisce inoltre i seguenti requisiti aggiuntivi per l'iA ad alto rischio:

  • Gli insiemi di dati utilizzati per l'addestramento, la convalida e il test delle IA devono avere pratiche di gestione e governance dei dati in atto.
  • l'iA progettata e sviluppata con funzionalità che consentono la registrazione automatica degli eventi durante il funzionamento del sistema deve essere conforme a standard riconosciuti o a specifiche comuni.
  • Dovete fornire agli utenti informazioni trasparenti su come il sistema di IA è stato progettato e sviluppato, sull'uso che se ne intende fare, sulle sue caratteristiche, capacità e limitazioni.
  • Consentire la supervisione umana attraverso strumenti di interfaccia, integrati nel sistema di IA o implementabili dall'utente.

Esistono numerosi altri obblighi per i fornitori di IA ad alto rischio che riguardano i seguenti aspetti:

  • Gestione della qualità
  • Documentazione tecnica
  • Valutazioni di conformità
  • Registri generati automaticamente
  • Azioni correttive
  • Il dovere di informazione
  • Cooperazione con le autorità

Rischio limitato AI

La legge europea sull'IA definisce gli obblighi di trasparenza per le IA a rischio limitato, soprattutto quando esiste il rischio di manipolazione (ad esempio, i chatbot) o di inganno (ad esempio, i deep fake).

Il testo afferma che le persone fisiche devono essere informate del fatto che stanno interagendo con un sistema di intelligenza artificiale e prevede alcune eccezioni per le forze dell'ordine.

IA a rischio minimo

Tutti i servizi di IA che rientrano nella categoria di rischio minimo sono incoraggiati ad adottare codici di condotta ai sensi dell'attuale versione della legge sull'IA, come garantire l'equità, la non discriminazione e l'uso di una supervisione umana.

l'iA a rischio minimo comprende tutto ciò che non rientra nelle altre categorie a rischio più elevato.

Chi è interessato dalla legge UE sull'intelligenza artificiale e come?

l'eU AI Act ha un ampio impatto al di là degli Stati membri dell'UE a causa della sua portata extraterritoriale, il che significa che le capacità di applicazione potrebbero espandersi oltre i tradizionali confini territoriali dell'UE.

Attualmente, ha un impatto:

  • Aziende che immettono sistemi di IA sul mercato o in servizio nell'UE, anche se tali fornitori non sono fisicamente situati nell'UE stessa.
  • Tutti gli utenti dei sistemi di IA, se si trovano all'interno dell'UE.
  • Sia i fornitori che gli utenti di sistemi di IA situati in un paese al di fuori dell'UE, dove l'output prodotto dal sistema viene utilizzato all'interno dell'UE.

In base a questo regolamento europeo sull'IA, gli utenti dell'UE ottengono diritti e conoscenze sul funzionamento di tali sistemi, mentre le imprese che producono o si affidano alla tecnologia dell'IA dovranno attenersi a vari obblighi e linee guida.

Tuttavia, la legge non si applica all'uso privato o non professionale. È inoltre esente qualsiasi sistema di IA sviluppato e utilizzato esclusivamente per scopi militari.

Come verrà applicato l'aI Act dell'UE?

l'applicazione della legge europea sull'IA è lasciata alle autorità di sorveglianza nazionali, ma un comitato autonomo per l'iA supervisionerà la legge stessa.

Il Comitato per l'aI proposto dovrebbe in particolare supervisionare l'applicazione e l'attuazione coerente della legge in tutti i 27 Stati membri.

Potenziali sanzioni e multe ai sensi della legge UE sull'IA

La legge sull'AI delinea un quadro di applicazione simile al GDPRla principale normativa dell'UE in materia di privacy dei dati, ma con tariffe più elevate.

Le sanzioni includono multe amministrative fino a 30.000.000 di euro o, se il trasgressore è un'azienda globale, fino al 6% del suo fatturato annuo totale a livello mondiale:

  • Mancato rispetto del divieto di intelligenza artificiale con rischi inaccettabili di cui all'articolo 5
  • Non conformità del sistema di IA ai requisiti di gestione dei dati e dei dati relativi alle IA ad alto rischio di cui all'articolo 10.

Per le altre violazioni, si prevedono multe amministrative fino a 20.000.000 di euro o, se il trasgressore è un'azienda globale, fino al 4% del suo fatturato globale annuo.

Inoltre, fornire informazioni errate, incomplete o fuorvianti alle autorità è soggetto a una multa fino a 10.000.000 di euro o, per le società globali, fino al 2% del fatturato annuo totale.

IA e privacy dei dati: La connessione, i pro e i contro

I sistemi di intelligenza artificiale sono intrinsecamente legati alle leggi sulla privacy dei dati, perché alcuni software possono identificare un individuo che altrimenti non sarebbe stato identificabile in base al set di dati fornito.

l'apprendimento automatico, in generale, si basa su quantità gigantesche di file di testo, e alcuni di questi set di dati contengono dettagli che si qualificano legalmente come informazioni personali secondo le normative sulla privacy, come la legge sulla privacy:

  • Regolamento generale sulla protezione dei dati (GDPR)
  • Legge sulla privacy dei consumatori della California(CCPA)
  • Legge sulla protezione dei dati dei consumatori della Virginia(CDPA)

Indubbiamente, l'iA cambierà il modo in cui le aziende si conformano alle normative sulla privacy dei dati e viceversa. Saremo qui per tenervi aggiornati su potenziali leggi come l'eU AI Act e per aiutarvi a rendere la transizione il più agevole possibile per le aziende di qualsiasi dimensione.

I pro e i contro dell'IA per la privacy dei dati

La tecnologia AI ha molti potenziali vantaggi. Aiuta a semplificare le attività banali, migliora l'esperienza dell'utente e limita la dipendenza dell'azienda dai dati personali sensibili.

Ma può essere utilizzato anche per scopi opposti.

Gli aggressori informatici e le violazioni della sicurezza si affidano spesso a strumenti basati sull'IA che adattano il loro malware per eludere il rilevamento. È inoltre difficile analizzare con precisione se i risultati dell'elaborazione dei dati personali da parte dei sistemi di IA contengano o meno pregiudizi.

In tutto il mondo si discute ancora dei pro e dei contro della tecnologia AI. Ma una normativa come quella europea sull'IA spera di proteggere i diritti degli individui, consentendo al contempo lo sviluppo e l'implementazione di nuovi e innovativi software di intelligenza artificiale.

Come possono le aziende prepararsi alla regolamentazione dell'IA?

Per prepararsi alla legge europea sull'IA, raccomando alle aziende di stabilire una procedura di valutazione della gestione del rischio dell'IA seguendo i seguenti passi.

Primo passo: fare un inventario di tutti i sistemi di IA utilizzati dall'azienda

l'azienda deve sapere quali sistemi di IA utilizza, come, perché e dove viene impiegata l'iA.

Create quindi un processo per identificare e inventariare i vostri sistemi di IA. Siate trasparenti e scrupolosi in questa fase, in modo da non tralasciare accidentalmente nulla.

Secondo passo: creare un sistema di classificazione dei rischi dell'IA

Una volta stilato un inventario di tutti i sistemi di IA utilizzati dall'azienda, separare i sistemi in categorie di rischio parallelamente al sistema di classificazione delineato dall'EU AI Act.

Cercate di determinare in quali livelli di rischio rientrano i sistemi di IA che utilizzate e stabilite se avete sistemi a rischio elevato o inaccettabile.

Terzo passo: Implementare procedure di mitigazione del rischio di IA e audit indipendenti

Creare un sistema di procedure per la mitigazione dei rischi e un metodo per l'esecuzione di audit per garantire che l'azienda sia in grado di identificare e regolare i sistemi di IA ad alto rischio e non accettabili.

Ad esempio, iniziate a prevedere un budget per gli strumenti di mitigazione del rischio su cui la vostra azienda potrebbe dover fare affidamento se e quando passerà la legge europea sull'intelligenza artificiale.

Quarto passo: Adottare una struttura interna di governance dell'IA

Le aziende possono prepararsi alla legge europea sull'IA implementando un sistema organizzativo interno parallelo alla struttura di governance dell'IA proposta. In altre parole, utilizzare parti dell'atto per modellare e ispirare il modo in cui costruire le linee guida interne di gestione del rischio che implementate.

Si consiglia di creare un comitato interno responsabile della gestione dei rischi legati all'IA, composto da professionisti della cybersecurity, del settore legale e della privacy dei dati.

Questo aiuterà le aziende a raggiungere le fasi precedenti, in particolare la fase 3, in quanto garantisce che l'azienda sia adeguatamente istruita e preparata alle potenziali implicazioni legali.

Perché l'europa sta regolamentando l'iA?

l'europa sta regolamentando l'uso dei sistemi di IA per tutelare i diritti fondamentali, la salute e la sicurezza dei cittadini dell'UE e per porsi come leader mondiale nello sviluppo di servizi e software di IA.

l'obiettivo è quello di consentire una rapida prosecuzione dello sviluppo del software di IA, preservando al contempo i diritti umani e contribuendo a garantire che l'iA abbia un effetto positivo e non negativo sulla vita delle persone.

l'effetto Bruxelles e la legge UE sull'AI

Molti legislatori fanno riferimento al cosiddetto Effetto Bruxelles quando parlano dell'impatto del regolamento UE sull'IA, perché ha il potenziale di influenzare il modo in cui il resto del mondo regolamenta l'iA unilateralmente.

Il fenomeno noto come effetto Bruxelles si compone di due parti.

  1. De facto: Le aziende iniziano a seguire universalmente i requisiti dell'UE per standardizzare prodotti o servizi;
  2. De Jure: Altri Paesi approvano una legislazione formale che si allinea al regolamento UE per evitare conflitti con il processo recentemente standardizzato.

La legislazione dell'UE sulla privacy dei dati, il Regolamento generale sulla protezione dei dati (GDPR), è spesso citata come il manifesto dell'Effetto Bruxelles, in quanto ha un impatto significativo sugli obblighi delle imprese e sulla legislazione in materia di privacy in tutto il mondo.

Sebbene non sia certo che l'aI Act dell'UE avrà la stessa portata, molti legislatori suggeriscono che si tratta di una forte possibilità, per cui vale la pena di tenere d'occhio questa legge, indipendentemente dalla vostra sede.

Come vari Paesi europei stanno rispondendo all'IA

Con l'emergere dei servizi di IA commercializzati al grande pubblico, le autorità di regolamentazione europee hanno spostato la loro attenzione sull'IA, per cui nella prossima sezione confronterò le risposte dei diversi Paesi dell'UE.

l'iCO del Regno Unito

Nel novembre 2022, l'information Commissioner's Office(ICO) del Regno Unito ha pubblicato un quadro di riferimento per l'audit dei sistemi di IA, incentrato sulle migliori pratiche per la protezione dei dati e la conformità.

Gli audit sono volontari e completati dal Dipartimento di Garanzia dell'ICO e il framework può essere applicato sia che l'organizzazione progetti il proprio sistema di IA sia che utilizzi l'iA come servizio.

Ciò avviene dopo un incidente avvenuto nel 2022, quando le autorità britanniche hanno multato Clearview AI per 7,5 milioni di sterline e hanno inviato un avviso di esecuzione al gruppo per aver raccolto illegalmente oltre 20 miliardi di immagini di volti di persone.

Norvegia Datatilsynet

Nel dicembre 2022, la Datatilsynet norvegese, l'autorità nazionale per la protezione dei dati della regione, ha presentato un rapporto sulla trasparenza nell'IA per consigliare le organizzazioni su come informare gli utenti sull'uso dell'IA.

Datatilsynet ha osservato che la legge sui dati personali richiede trasparenza sull'uso dell'IA, il che significa che le organizzazioni devono decidere non solo quali informazioni sull'uso dell'IA devono condividere, ma anche quando e come informare gli utenti.

Paesi Bassi AP

Nel dicembre 2022, l'autorità olandese per la protezione dei dati, Autoriteit Persoonsgegevens(AP), ha iniziato a monitorare e supervisionare gli algoritmi di IA per:

  • Trasparenza
  • Discriminazione
  • Equità

l'aP ha ottenuto un ulteriore finanziamento di 1 milione di euro per contribuire alla supervisione dell'algoritmo.

La fase iniziale si concentrerà sull'identificazione degli algoritmi ad alto rischio, sulla condivisione delle conoscenze e sull'ulteriore definizione della collaborazione.

La CNIL francese

l'autorità francese per la protezione dei dati, la Commission Nationale Informatique & Libertés(CNIL), ha annunciato nel 2023 la creazione di un servizio per valutare i rischi per la privacy posti dall'IA.

l'obiettivo è quello di facilitare la comprensione del funzionamento dei sistemi di IA all'interno della CNIL per i professionisti e gli individui e di consolidare le competenze della CNIL nella conoscenza e nella prevenzione dei rischi per la privacy legati all'implementazione di questi sistemi.

Che dire di ChatGPT?

OpenAI, i proprietari di ChatGPT, hanno pubblicato A Primer on the EU AI Act e hanno annunciato nel settembre 2024 di aver sottoscritto gli impegni fondamentali del Patto UE sull'intelligenza artificiale.

Sembra che OpenAI consideri ChatGPT un sistema di intelligenza artificiale generale a rischio minimo ai sensi della legge, ma cosa ha da dire ChatGPT su tutto questo?

Nel marzo del 2023, secondo quanto riferito da POLITICO, ha dichiarato che questo e altri modelli linguistici di grandi dimensioni dovrebbero essere regolamentati dall'UE come "ad alto rischio" a causa del loro "potenziale di creare contenuti dannosi e fuorvianti" - una citazione diretta della stessa controversa IA!

Riassunto

La legge europea sull'IA dimostra che la tecnologia dell'IA è qui per restare e che le aziende devono prepararsi per la conformità legale.

Tutte le aziende che utilizzano servizi di IA dovrebbero creare un comitato professionale ed eseguire audit indipendenti per determinare in quale categoria di rischio potrebbe rientrare la tecnologia di IA.

Le aziende possono utilizzare il generatore di informativa sulla privacy diTermly per aggiungere una clausola di utilizzo dell'IA che illustri adeguatamente i sistemi di IA utilizzati e le modalità di trattamento dei dati personali dei consumatori.

Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Per saperne di più su chi scrive

Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive

Articoli correlati

  1. Informativa sulla privacy per un'azienda SaaS 01
    Informativa sulla privacy per un'azienda SaaS: come crearne una
    Articoli

    4 dicembre 2025
    Hanna De La Garza
  2. Termly
    Termly vs PolicyMaker: Caratteristiche e vantaggi a confronto
    Confronti

    26 novembre 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  3. Termly
    Termly vs Ketch: Caratteristiche e servizi a confronto
    Confronti

    14 novembre 2025
    Ali Talip Pınarbaşı, CIPP/E, & LLM
  4. UE-Compliant-Privacy-Policy-01
    Informativa sulla privacy conforme all'UE
    Articoli

    7 novembre 2025
    Hanna De La Garza
  5. Come usare gli strumenti dell'IA senza violare le leggi sulla privacy-01
    Come utilizzare gli strumenti di intelligenza artificiale senza violare le leggi e le best practice sulla privacy
    Articoli

    31 ottobre 2025
    Natasha Piirainen
  6. AI-Privacy-Statistiche
    54 Statistiche rivelatrici sulla privacy dei dati dell'intelligenza artificiale
    Articoli

    15 ottobre 2025
    Hanna De La Garza
  7. Browsewrap-vs-Clickwrap-01
    Accordi Clickwrap vs. Browsewrap e quando utilizzarli
    Articoli

    15 ottobre 2025
    Natasha Piirainen
  8. New-Internet-Laws-US-Privacy-Laws-in-2021-01
    Nuove leggi su Internet
    Articoli

    15 ottobre 2025
    Natasha Piirainen
  9. 10-Migliori soluzioni di GDPR al GDPR-CRM-01
    Le 10 migliori soluzioni CRM GDPR
    Articoli

    15 ottobre 2025
    Natasha Piirainen

Guarda le altre risorse