AutomotiveUp BankingUp InsuranceUp RetailUp Innovazione Startup Smart Mobility Video Glossario Chi siamo Newsletter

EUROPA & INNOVAZIONE

AI Act: che cos’è e quali effetti ha su aziende e consumatori

Home Innovazione
Partecipa al dibattito
Indirizzo copiato

Dal 2 agosto 2025, chi sviluppa e immette sul mercato UE i grandi modelli di AI generativa deve aderire a un framework di trasparenza e gestione del rischio. Ecco come possono organizzarsi le aziende e quali sono le sanzioni

Aggiornato il 25 nov 2025
Silvia Pugi

vicesegretario CEC European Managers

AI Act 2025
AI Act 2025

Il 2 agosto 2025 ha segnato una data cruciale per il mercato digitale europeo. Da quel giorno, i fornitori di modelli di intelligenza artificiale per uso generale (GPAI), per intenderci la tecnologia alla base di ChatGPT, hanno dovuto sottostare a precisi obblighi previsti dall’AI Act, il primo regolamento organico al mondo sull’IA.

Una scadenza che ha acceso i riflettori su un triplice scontro: l’approccio normativo dell’Europa, le strategie dei colossi tecnologici USA e le preoccupazioni di competitività delle aziende europee.

GPAI: le nuove regole europee

A partire dal 2 agosto 2025, chi sviluppa e immette sul mercato europeo modelli GPAI deve aderire a un framework di trasparenza e gestione del rischio.

I destinatari della norma sono i fornitori di modelli di Intelligenza Artificiale di uso generale General Purpose AI – GPAI, cioè i grandi modelli di IA generativa, che consentono una generazione flessibile di contenuti, ad esempio sotto forma di testo, audio, immagini o video, che possono facilmente adattarsi a un’ampia gamma di compiti distintivi.

I principali destinatari sono quindi le big tech americane ChatGPT, Perplexity, Gemini, ecc, la francese Mistral, la cinese Deepseek, ma anche i provider di modelli minori (pur sempre con almeno un miliardo di parametri).

Gli obblighi includono la redazione di una dettagliata documentazione tecnica sul funzionamento dei modelli, il rispetto della normativa europea sul copyright (rendendo disponibili sommari dei dati usati per l’addestramento), l’implementazione di policy per identificare e mitigare i rischi sistemici e la garanzia di un’adeguata cybersicurezza.

La spinta americana per un framework alternativo

Aziende come Google, Meta e Microsoft, abituate a operare in un contesto statunitense con una regolamentazione storicamente molto più leggera, vedono l’approccio europeo come un potenziale ostacolo.

L’AI Act, con le sue sanzioni che possono arrivare fino al 7% del fatturato globale, rappresenta un cambio di paradigma.

Oltre al lobbying diretto a Bruxelles, la questione si inserisce nel più ampio contesto delle tensioni commerciali tra USA e UE. Tra le pieghe delle discussioni sui dazi per le merci, emerge la richiesta americana di poter vendere servizi e operare sul mercato unico digitale europeo senza troppi vincoli, ma secondo l’approccio americano basato sull’autoregolamentazione.

C’è appena stato un precedente che mostra il potere d’influenza delle Big Tech americane: l’accordo del G7 di giugno 2025 ha stabilito che le multinazionali con sede negli Stati Uniti saranno esentate dalla Global Minimum Tax del 15% sui profitti (Amazon e Meta festeggiano).

Sebbene la Commissione Europea abbia ufficialmente dichiarato che l’AI Act non è merce di scambio, la pressione politica resta forte.

AI Act 2025, Europa al bivio: sì alle regole, ma più semplici

L’opinione pubblica e le aziende europee sono largamente favorevoli a un’intelligenza artificiale regolamentata, secondo un modello europeo che ponga al centro la sicurezza e i diritti fondamentali delle persone.

Tuttavia, il timore diffuso è che l’eccessiva complessità e onerosità delle norme possa soffocare l’innovazione e porre le aziende europee, in particolare le PMI, in una posizione di svantaggio competitivo.

La tradizione regolatoria dell’Unione, spesso caratterizzata da un elevato livello di dettaglio, viene percepita come un freno in un settore che evolve a velocità vertiginosa.

Il Codice di Condotta 2025: un tentativo di semplificazione oneroso

Consapevole di queste criticità, la Commissione Europea ha cercato un dialogo con le parti interessate. Il risultato più significativo di questo sforzo è il Codice di Condotta, “Code of Practice”, per i modelli GPAI, la cui versione finale è stata pubblicata il 10 luglio 2025.

Il Code of Conduct prevede due sezioni:

  • sezione per i fornitori di tutti i modelli di IA per finalità generali;
  • sezione specifica per i fornitori di modelli di IA per finalità generali con rischio sistemico (applicazioni che potrebbero causare danni su vasta scala alla società, all’economia, alla salute pubblica, alla sicurezza o ai diritti fondamentali).

Questo strumento, frutto di un anno di consultazioni che hanno coinvolto circa 1.000 stakeholder, mira a fornire linee guida pratiche per aiutare l’industria ad adempiere agli obblighi di legge su trasparenza, copyright e sicurezza.

L’adesione volontaria al Codice dovrebbe ridurre l’onere amministrativo e aumentare la certezza del diritto, in attesa dell’entrata in vigore degli standard obbligatori.

Nonostante l’intento, anche questo strumento è percepito da molti operatori come complesso e l’orizzonte temporale di un anno per l’adeguamento appare estremamente ridotto.

Come deve organizzarsi un’azienda per adeguarsi all’AI Act?

Per un’azienda che desidera adeguarsi a questo regolamento, è essenziale comprendere e implementare una serie di misure e procedure specifiche. Di seguito, vengono delineati i principali aspetti a cui prestare attenzione e le misure da adottare.

1. Classificazione dei Sistemi di IA
L’azienda deve innanzitutto determinare se i suoi sistemi di IA rientrano nella categoria di “alto rischio” o meno. I sistemi di IA ad alto rischio sono soggetti a requisiti più stringenti rispetto a quelli non ad alto rischio [AI ACT / Articolo 1][AI ACT / Premessa 64].

2. Sistema di Gestione della Qualità
Per i sistemi di IA ad alto rischio, l’azienda deve istituire un sistema di gestione della qualità che garantisca la conformità al regolamento. Questo sistema deve essere documentato in modo sistematico e ordinato e deve includere politiche, procedure e istruzioni scritte che coprano vari aspetti come la progettazione, lo sviluppo, il controllo della qualità, la gestione dei dati e la gestione dei rischi [AI ACT / Articolo 17].

3. Gestione dei Rischi
L’azienda deve implementare un sistema di gestione dei rischi per identificare, valutare e gestire i rischi connessi all’uso dei sistemi di IA ad alto rischio. Questo processo deve essere iterativo e continuo, coprendo l’intero ciclo di vita del sistema di IA. Le misure di gestione dei rischi devono considerare le conoscenze tecniche, l’esperienza, l’istruzione e la formazione del deployer, nonché il contesto di utilizzo del sistema [AI ACT / Articolo 9].

4. Valutazione d’Impatto sui Diritti Fondamentali

Prima di utilizzare un sistema di IA ad alto rischio, l’azienda deve effettuare una valutazione dell’impatto sui diritti fondamentali. Questa valutazione deve includere una descrizione dei processi, del periodo di utilizzo, delle categorie di persone interessate, dei rischi specifici e delle misure da adottare in caso di rischi concretizzati. I risultati della valutazione devono essere notificati all’autorità di vigilanza del mercato e aggiornati se necessario [AI ACT / Articolo 27][AI ACT / Premessa 96].

5. Sorveglianza Umana

I sistemi di IA ad alto rischio devono essere progettati e sviluppati in modo tale da poter essere efficacemente supervisionati da persone fisiche durante il periodo in cui sono in uso. Le persone fisiche incaricate della sorveglianza devono avere le competenze, la formazione e l’autorità necessarie per svolgere tale ruolo. Devono essere in grado di comprendere le capacità e i limiti del sistema, monitorarne il funzionamento, interpretare correttamente l’output e intervenire se necessario [AI ACT / Articolo 14][AI ACT / Premessa 73].

6. Trasparenza e Informazione

L’azienda deve garantire che i sistemi di IA destinati a interagire direttamente con le persone fisiche siano progettati in modo tale che le persone siano informate del fatto di stare interagendo con un sistema di IA. Inoltre, gli output generati artificialmente devono essere marcati come tali. Le informazioni devono essere fornite in maniera chiara e accessibile alle persone interessate [AI ACT / Articolo 50][AI ACT / Premessa 132].

7. Codici di Buone Pratiche

L’azienda dovrebbe partecipare all’elaborazione e all’adozione di codici di buone pratiche, che possono aiutare a garantire la conformità al regolamento. Questi codici dovrebbero definire chiaramente gli obiettivi specifici e contenere impegni o misure per assicurare il conseguimento di tali obiettivi [AI ACT / Articolo 56][AI ACT / Premessa 116].

8. Monitoraggio e Aggiornamento

L’azienda deve monitorare continuamente il funzionamento dei sistemi di IA ad alto rischio e informare i fornitori in caso di problemi. Deve inoltre conservare i log generati automaticamente dai sistemi di IA per un periodo adeguato e cooperare con le autorità competenti per l’attuazione del regolamento [AI ACT / Articolo 26].

9. Misure Correttive

Se un sistema di IA ad alto rischio rappresenta un pericolo per la salute, la sicurezza delle persone o i diritti fondamentali, l’azienda deve adottare misure correttive nei confronti di tutti i sistemi di IA interessati. Queste misure devono essere adottate entro il termine prescritto dall’autorità di vigilanza del mercato [AI ACT / Articolo 82][AI ACT / Articolo 79].

10. Protezione dei Dati Personali

L’azienda deve garantire che il trattamento dei dati personali sia conforme ai regolamenti UE sulla protezione dei dati personali, come il GDPR. Questo include la gestione dei dati utilizzati per l’addestramento, la convalida e la prova dei sistemi di IA, nonché la protezione della riservatezza delle informazioni [AI ACT / Premessa 10][AI ACT / Articolo 78][AI ACT / Articolo 10].

11. Spazi di Sperimentazione Normativa

L’azienda può partecipare agli spazi di sperimentazione normativa per l’IA, che offrono un ambiente controllato per la sperimentazione e la prova dei sistemi di IA innovativi. Questi spazi aiutano a garantire la conformità ai regolamenti vigenti e a promuovere l’innovazione [AI ACT / Premessa 139][AI ACT / Premessa 138].

Quali sono le sanzioni previste?

Nella prima fase di attuazione dell’AI Act le sanzioni per le aziende che non rispettano le norme le sanzioni sono significative.

Le violazioni del divieto delle pratiche di IA di cui all’articolo 5 possono comportare sanzioni amministrative pecuniarie fino a 35 milioni di euro o fino al 7% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore [AI ACT / Articolo 99].

La fornitura di informazioni inesatte, incomplete o fuorvianti può essere sanzionata fino a 7,5 milioni di euro o fino all’1% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore [AI ACT / Articolo 99].

Per le PMI, le sanzioni sono proporzionate e possono essere inferiori [AI ACT / Articolo 99]. Le sanzioni devono essere effettive, proporzionate e dissuasive [AI ACT / Articolo 101].

Cosa è successo nel 2025: l‘appello delle imprese

Di fronte a questo scenario, è cresciuta la richiesta delle aziende europee di posticipare l’entrata in vigore degli obblighi più stringenti dell’AI Act, sul modello di quanto avvenuto pochi mesi fa per alcune normative sulla sostenibilità.

In tal senso si è anche mossa la “EU AI Champions Initiative” una lettera aperta lanciata da General Catalyst insieme a oltre 60 aziende europee, da startup a grandi imprese, con l’obiettivo accelerare l’adozione dell’IA, di mobilitare talenti e capitali e aumentare la competitività delle aziende europee.

La richiesta è uno Stop-the-Clock di 2 anni per la normativa dell’AI Act, per permettere un’ulteriore semplificazione delle regole e concedere tempo ragionevole alle aziende per un’implementazione corretta.

Una pausa, sostengono i firmatari, per non trasformare una giusta ambizione di bilanciare innovazione e regolamentazione in un autogol per la competitività europea nell’era dell’intelligenza artificiale.

Ai Act 2025: l’Europa va avanti

Ma la Commissione Europea ha respinto con fermezza ogni richiesta di rinvio nell’implementazione dell’AI Act, nonostante le pressioni crescenti. Durante una conferenza stampa a inizio luglio 2025, il portavoce della Commissione Thomas Regnier ha chiarito: “Abbiamo scadenze legali già in vigore, stabilite in un testo normativo. Alcune disposizioni sono attive da febbraio. Gli obblighi per i modelli di IA a uso generale entreranno in vigore ad agosto 2025, mentre quelli per i modelli ad alto rischio a partire da agosto 2026.”

(Articolo aggiornato al 25/11/2025)

Originariamente pubblicato il 14 lug 2025
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Silvia Pugi
vicesegretario CEC European Managers
Silvia Pugi nella sua attività unisce innovazione e sostenibilità. Lavora in venture capital e private equity, come managing partner, membro comitato di investimento, comitato di sostenibilità, in fondi, SGR e startup club deal. È vice segretario di CEC (federazione che rappresenta un milione di manager presso le istituzioni europee) con delega all’innovazione. Siede in alcuni board.
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Articoli correlati

  • Tuidi-5 (3)

  • STARTUP B2B

    Tuidi: come una startup pugliese risolve lo spreco alimentare grazie all’intelligenza artificiale

    07 Ott 2025

    di Stefania Barbato

    Condividi
  • MICS-Made in Italy Circolare e Sostenibile

  • sostenibilità

    Economia circolare per il Made in Italy: verso un bando per startup da 1 milione di euro

    18 Apr 2025

    Condividi
  • Logistic tech

  • L'INTERVENTO

    Logistic tech tra Europa e Italia: così le tecnologie possono ridisegnare un settore chiave

    23 Lug 2025

    di Luca Lorenzini

    Condividi
0
Lascia un commento, la tua opinione conta.x