AI Act e Governance: l'Europa ridisegna le regole dell'intelligenza artificiale

Questa settimana, il 19 e 20 maggio 2026, Milano ospita la AI Week 2026, il più grande evento europeo dedicato all'intelligenza artificiale. Fiera Rho, 25.000 partecipanti, 700 speaker internazionali, 17 palchi tematici: dal marketing alla cybersecurity, dalla healthcare alle startup. 

Il segnale è chiaro: l'AI non è più un tema da convegno di nicchia. È diventata l'agenda principale di manager, imprenditori e professionisti in tutta Europa. E con essa, la domanda che sempre più spesso sentiamo nelle sale: ma cosa ci obbliga davvero a fare questa normativa?

Proviamo a rispondere nel modo più diretto possibile.

Il primo grande esperimento europeo sull'AI

Il 1° agosto 2024 è entrato in vigore il Regolamento (UE) 2024/1689 (quello che tutti chiamano semplicemente AI Act) diventando il primo quadro normativo organico sull'intelligenza artificiale al mondo (noi ne avevamo già parlato qui).

Non è una legge pensata per bloccare l'innovazione. È, almeno nelle intenzioni, il tentativo dell'Europa di dire: vogliamo essere noi a definire le regole del gioco, non subirle.
L'obiettivo dichiarato è duplice: limitare gli usi pericolosi dell'AI e promuovere un utilizzo fondato su sicurezza, trasparenza e supervisione umana.

Per le organizzazioni, questo significa fare un salto di maturità: passare dall'approccio "sperimentiamo e vediamo" a un modello strutturato di governo dell'intelligenza artificiale.

Come funziona: tutto parte dal rischio

L'AI Act non si applica allo stesso modo a tutti. Il suo meccanismo centrale è una classificazione per livello di rischio, che divide i sistemi AI in quattro categorie: vietati, ad alto rischio, a rischio limitato e a rischio minimo.

1.  Sistemi vietati

Quelli che l'Europa ha deciso non devono esistere. Tra questi: il social scoring da parte dei governi (pensiamo al modello cinese), le tecniche di manipolazione subliminale, e (salvo eccezioni strettamente definite) il riconoscimento biometrico in tempo reale negli spazi pubblici.

2. Sistemi ad alto rischio

Qui le cose si fanno più complesse per le aziende. Ricadono in questa categoria i sistemi AI applicati a infrastrutture critiche, selezione del personale, erogazione di credito, istruzione, attività giudiziaria e forze dell'ordine. Un software di screening dei CV, per esempio, è ad alto rischio. Un chatbot per il customer service, generalmente, no.

Attenzione: questa classificazione ha logiche diverse, corrispondenti a due specifici allegati del Regolamento. L'Allegato I riguarda i sistemi AI integrati in prodotti già regolamentati (macchinari industriali, dispositivi medici, veicoli). L'Allegato III elenca, invece, i casi d'uso standalone considerati sensibili. Non è un dettaglio: gli obblighi e le scadenze variano significativamente tra i due.

3. Sistemi a rischio limitato 

Chatbot, sistemi che generano testi o immagini sintetiche, deepfake: tutti questi strumenti hanno obblighi di trasparenza verso gli utenti. In parole semplici, se stai interagendo con un'AI, devi saperlo. Se un contenuto è generato artificialmente, deve essere dichiarato.

4. Sistemi a rischio minimo 

Filtri antispam, motori di raccomandazione per contenuti, sistemi di gioco. Obblighi praticamente nulli.

Due domande che ogni azienda dovrebbe farsi subito

Prima di tutto: sei un provider o un deployer?

Questa distinzione è il cuore del Regolamento ed è quella che più spesso viene ignorata. Il provider è chi sviluppa o commercializza un sistema AI. Il deployer è chi lo utilizza in un contesto professionale. Gli obblighi sono profondamente diversi e molte organizzazioni ricadono in entrambe le categorie.

Un'azienda manifatturiera che usa un software di terze parti per selezionare i candidati in fase di recruiting è un deployer. L'azienda che ha sviluppato quel software è il provider. Entrambe hanno responsabilità, ma di natura diversa.

La seconda domanda è: in quale categoria di rischio rientrano i sistemi che usi? Non è un esercizio formale: da questa valutazione dipende tutto il percorso di compliance.

Il calendario: non tutto scatta insieme

Una delle caratteristiche più particolari dell'AI Act è la sua implementazione graduale. Non c'è un singolo "giorno X" dopo il quale sei in regola o fuori legge.
Le scadenze sono differenziate per categoria e ruolo:

• 2 febbraio 2025. Sono entrati in vigore i divieti assoluti e gli obblighi di AI literacy: chiunque utilizzi sistemi AI in ambito professionale deve garantire un livello adeguato di comprensione della tecnologia tra il proprio personale.
• 2 agosto 2025. Applicabili le norme di governance e gli obblighi per i modelli GPAI (di cui parliamo nel prossimo paragrafo).
• 2 agosto 2026. La scadenza più rilevante per la maggior parte delle aziende. Gli obblighi per i sistemi ad alto rischio standalone (Allegato III) diventano pienamente operativi: gestione del rischio lungo il ciclo di vita, qualità dei dati di addestramento, supervisione umana, cybersecurity, documentazione tecnica.
• 2 agosto 2027. Scadenza originaria per i sistemi ad alto rischio integrati in prodotti regolamentati (Allegato I).

Su quest'ultima data pesa però un'incognita: il Digital Omnibus, pacchetto di riforma presentato dalla Commissione a novembre 2025, propone nuove scadenze (dicembre 2027 per i sistemi Allegato III, agosto 2028 per l'Allegato I) e affronta la questione spinosa dell'intersezione tra AI Act e normative settoriali già esistenti. Il punto controverso è questo: un dispositivo medico già certificato CE deve davvero soddisfare anche tutti gli obblighi aggiuntivi del Regolamento AI? Diversi Stati membri vogliono evitare la doppia regolamentazione. Il trilogo si è arenato proprio su questo nodo il 28 aprile 2026, senza accordo definitivo. Fino a nuovi sviluppi, le scadenze originarie restano valide.

GPAI: i grandi modelli linguistici sotto esame

Una delle novità più significative dell'AI Act riguarda i modelli GPAI — General Purpose AI — ovvero i grandi modelli fondazionali alla base di strumenti come ChatGPT, Gemini o Claude.

Cosa significa in pratica? I provider di questi modelli hanno obblighi specifici: documentazione tecnica dettagliata sui dati di addestramento, valutazioni del rischio sistemico per i modelli più potenti, e rispetto del diritto d'autore. A luglio 2025 la Commissione Europea ha pubblicato il Codice di buone pratiche GPAI, uno strumento volontario ma con un effetto importante: chi vi aderisce è presunto conforme agli obblighi del Regolamento.

Perché interessa alle aziende che non sviluppano modelli AI? Perché chi usa modelli GPAI di terze parti (oggi sono praticamente tutti) ha un interesse diretto a verificare che i propri fornitori abbiano aderito al Codice o rispettino comunque gli obblighi. È una questione contrattuale prima ancora che normativa.

L'Italia: non solo adeguamento europeo

Sul piano nazionale, l'Italia si è mossa con la Legge n. 132/2025, pubblicata in Gazzetta Ufficiale il 23 settembre 2025 e in vigore dal 10 ottobre 2025. Il titolo formale è "Disposizioni e deleghe al Governo in materia di intelligenza artificiale".

Il passaggio più rilevante per le imprese riguarda la responsabilità penale: la Legge 132/2025 ha inasprito i reati esistenti nell'ambito del D.Lgs. 231 quando vengono commessi con il supporto di sistemi AI e ha introdotto nuove fattispecie in materia di protezione del diritto d'autore. Questo significa che la compliance AI non è più solo una questione di regole europee: è entrata nel perimetro del diritto penale italiano.

Da tenere d'occhio anche le deleghe al Governo contenute nella stessa legge, che riguardano l'autorità nazionale competente per la vigilanza, l'uso dell'AI nel settore pubblico e il tema della responsabilità civile, aspetti ancora in evoluzione, ma che definiranno il quadro operativo nei prossimi mesi.

Una nota per le PMI

L'AI Act non è pensato solo per le grandi corporation. Il Regolamento prevede esplicitamente misure proporzionate per le piccole e medie imprese: procedure semplificate, documentazione ridotta, accesso prioritario alle regulatory sandbox (ambienti controllati dove testare sistemi AI sotto la supervisione delle autorità nazionali prima del lancio sul mercato). Alcune autorità europee le stanno già attivando. Per startup e PMI innovative, è uno strumento che vale la pena esplorare.

Chi controlla e quanto si rischia

La vigilanza è affidata all'Ufficio europeo per l'AI e alle autorità nazionali di vigilanza del mercato. A supportarli, tre organi consultivi: il Comitato europeo per l'intelligenza artificiale (rappresentanti degli Stati membri), il Gruppo di esperti scientifici e il Forum consultivo (stakeholder pubblici e privati).

Le sanzioni non lasciano spazio all'ambiguità: fino a 35 milioni di euro o il 7% del fatturato globale per le violazioni più gravi (pratiche vietate), fino a 15 milioni o il 3% per il mancato rispetto degli obblighi. Numeri che ricordano quelli del GDPR . Non a caso l'AI Act viene già definito "il GDPR dell'intelligenza artificiale".

Cosa fare adesso, concretamente

L'adeguamento all'AI Act non è un progetto IT. È una trasformazione organizzativa che coinvolge procurement, HR, legal, compliance e management. Da dove cominciare?

Fai l'inventario. Molte organizzazioni non sanno con precisione quali sistemi AI stanno usando, spesso perché l'AI è incorporata in software di terze parti. Prima di tutto, bisogna sapere cosa c'è in casa.

Classifica i casi d'uso per livello di rischio. Non tutti i sistemi richiedono lo stesso trattamento. Identificare correttamente la categoria e il proprio ruolo come provider o deployer è il punto di partenza per qualunque piano di compliance.

Rivedi i contratti con i fornitori tecnologici. Il Regolamento redistribuisce le responsabilità lungo l'intera catena del valore. I contratti in essere raramente riflettono questa nuova realtà. È il momento di aggiornarli.

Investi nella formazione. Gli obblighi di AI literacy sono già in vigore dal febbraio 2025. Un programma formativo efficace è differenziato per ruolo: una base comune per tutti, moduli più approfonditi per le funzioni più esposte: management, HR, legale, IT, sicurezza, procurement.

Valuta la nomina di un AI Supervisor. Non è un obbligo normativo diretto, ma una raccomandazione organizzativa concreta: una figura che coordini compliance, gestione del rischio, governance e utilizzo operativo dell'AI, garantendo coerenza tra gli adempimenti e le attività quotidiane. In realtà più strutturate, questo ruolo sta diventando una presenza stabile nell'organigramma.

Perché conviene prendere sul serio queste scadenze

L'AI Act non è una burocrazia da assorbire passivamente. Per le organizzazioni che scelgono di affrontarlo con metodo, è un'occasione per costruire processi decisionali più solidi, ridurre i rischi legali e reputazionali e posizionarsi con credibilità in un mercato dove la fiducia nell'AI diventa sempre di più un fattore competitivo.

È ormai palese che che il tema non è più "se" adottare l'AI, ma "come" farlo in modo responsabile e sostenibile. La compliance non è il freno all'innovazione ma la condizione per renderla duratura.

La scadenza del 2 agosto 2026 si avvicina. Il momento di iniziare a pensarci non è domani, è adesso.