Il Regolamento UE 2024/1689 è il primo tentativo organico di disciplinare l’intelligenza artificiale a livello sovranazionale. È entrato in vigore il 1° agosto 2024 e sta già modificando il modo in cui progettiamo, acquistiamo e usiamo sistemi di AI nelle aziende europee.
Lavoro ogni giorno con imprenditori e direzioni operative che si trovano davanti a un quadro normativo articolato, in parte ancora da consolidare. Le domande ricorrenti sono concrete: cosa devo fare adesso, cosa posso rimandare, dove rischio sanzioni.
In questa pagina chiarisco le principali criticità dell’AI Act, il perimetro reale dei divieti e le novità introdotte dal Digital Omnibus di novembre 2025, che ridisegna tempi e modalità di applicazione.
Dove l’AI Act fa fatica: i nodi che vedo nelle aziende
Il regolamento si basa su un approccio risk-based: gli obblighi crescono in funzione dell’impatto potenziale del sistema. Il principio è solido, ma l’applicazione concreta solleva diverse perplessità, soprattutto per PMI e mid-cap che non hanno strutture legali interne dedicate.
Il primo nodo è il costo di compliance. Per una start-up o una media impresa, dotarsi di documentazione tecnica, valutazioni d’impatto e procedure di monitoraggio significa distogliere risorse dallo sviluppo. È un onere che pesa di più dove le risorse sono già contate.
Costi, incertezza normativa e competitività
A questo si somma l’incertezza interpretativa. Diverse definizioni del regolamento non sono ancora pienamente operative, e il quadro richiede numerosi atti attuativi e linee guida che arriveranno nei prossimi mesi. Significa lavorare su un terreno che si sta ancora assestando.
Le criticità più ricorrenti che incontro nei progetti aziendali:
- Costi di conformità sproporzionati rispetto alla dimensione dell’impresa, con effetti diretti sulla capacità di investire in R&S.
- Classificazione ad alto rischio troppo ampia, che porta a includere sistemi con impatti reali limitati.
- Sovrapposizione con GDPR, DSA, Data Act e NIS2, con duplicazioni di obblighi documentali.
- Tempistiche regolatorie disallineate rispetto all’evoluzione tecnologica, soprattutto sull’AI generativa.
- Difficoltà nel reperire standard tecnici chiari per dimostrare la conformità dei sistemi.
Il rischio competitivo è concreto: mentre in Europa si investe in compliance, in altri mercati le stesse risorse vanno sullo sviluppo. Non è una giustificazione per ignorare le regole, ma un dato da considerare quando si pianificano i tempi di adozione dell’AI in azienda.
Divieti, biometria e pratiche escluse a priori
Una parte del dibattito pubblico ha letto l’AI Act come una legittimazione della sorveglianza biometrica. È una semplificazione. Il regolamento introduce divieti netti su pratiche considerate incompatibili con i diritti fondamentali: creazione di database facciali tramite scraping indiscriminato, categorizzazione biometrica basata su dati sensibili, riconoscimento delle emozioni in contesti lavorativi ed educativi.
Sull’identificazione biometrica remota in tempo reale negli spazi pubblici la regola generale è il divieto. Le eccezioni esistono — ricerca di persone scomparse, minacce gravi imminenti, reati specifici — ma sono tassative, limitate nel tempo e nello spazio, e richiedono autorizzazione di un’autorità giudiziaria indipendente.
Digital Omnibus: più tempo, meno carta, stessi principi
A novembre 2025 la Commissione Europea ha presentato il pacchetto Digital Omnibus, che interviene su AI Act, GDPR, DSA, DMA, Data Act e NIS2. L’approccio è pragmatico: non si toccano i principi del regolamento, ma si lavora su tempi e modalità di applicazione.
L’intervento più rilevante è lo slittamento degli obblighi per i sistemi ad alto rischio, fino a 16 mesi rispetto alle scadenze originarie. Le disposizioni entreranno in vigore quando saranno disponibili gli standard tecnici e gli strumenti operativi necessari. È un riconoscimento esplicito di quanto segnalato dalle imprese: non si può pretendere conformità senza fornire i mezzi per costruirla.
Cosa significa tutto questo per chi decide in azienda
Non consiglio mai di aspettare passivamente l’evoluzione normativa. Il rinvio degli obblighi non equivale a un’assenza di obblighi: significa avere più tempo per impostare bene il lavoro. Le aziende che si muovono ora arrivano alle scadenze con processi rodati, non con corse dell’ultimo minuto.
Il mio lavoro come AI Manager Esterno parte sempre da una mappatura concreta: quali sistemi di AI sono già in uso, quali sono in valutazione, dove si colloca ciascuno nella classificazione di rischio. Da lì costruiamo un piano di adeguamento sostenibile, integrato con i processi esistenti e calibrato sulla dimensione reale dell’impresa.
Domande frequenti
L’AI Act si applica anche se uso solo strumenti di AI generativa di terzi, come ChatGPT o Copilot?
Sì, anche l’uso di sistemi sviluppati da terzi rientra nel perimetro del regolamento, con obblighi diversi a seconda del ruolo. Se la tua azienda è deployer di un sistema, devi garantire un uso conforme, informare gli utenti finali quando previsto e mantenere tracciabilità. Gli obblighi più pesanti restano in capo ai fornitori dei modelli, ma il deployer ha comunque responsabilità operative da gestire.
Quali sono le sanzioni previste in caso di non conformità?
Il regolamento prevede sanzioni amministrative che possono arrivare fino a 35 milioni di euro o al 7% del fatturato mondiale annuo per le violazioni più gravi, come l’uso di pratiche vietate. Per altre violazioni gli importi sono inferiori ma comunque significativi. Il Digital Omnibus introduce maggiore proporzionalità rispetto alla capacità economica delle PMI, ma non azzera il rischio sanzionatorio.
La mia azienda è una PMI: da dove conviene partire concretamente?
Dal censimento dei sistemi di AI già presenti, anche quelli integrati in software gestionali o piattaforme di marketing. Spesso le aziende sottovalutano quanta AI stanno già usando. Da lì si valuta la classificazione di rischio di ciascun sistema, si individuano i casi ad alto rischio e si imposta un piano di compliance proporzionato. Il mio AI Assessment parte esattamente da qui.
Cosa succede ai sistemi di AI che sono già in produzione prima dell’entrata in vigore degli obblighi?
Il regolamento prevede regimi transitori specifici per i sistemi già sul mercato. Non tutti gli obblighi si applicano retroattivamente nello stesso modo, e il Digital Omnibus ha esteso alcune finestre temporali. Va comunque fatta una verifica caso per caso, perché modifiche sostanziali a un sistema esistente possono farlo rientrare nelle regole come se fosse nuovo.
L’AI Act blocca davvero l’innovazione o è una preoccupazione esagerata?
Dipende da come la singola azienda affronta il tema. Trattare la compliance come adempimento burocratico genera costi e rallentamenti. Integrarla nella progettazione dei sistemi fin dall’inizio — compliance by design — riduce gli oneri e migliora la qualità delle soluzioni. Le sandbox regolatorie previste dal regolamento, inoltre, permettono di sperimentare in contesti controllati senza rischi sanzionatori immediati.
Parliamo del tuo contesto specifico
Ogni azienda ha un punto di partenza diverso. Sistemi diversi, livelli di maturità diversi, vincoli operativi diversi. Per questo non lavoro con checklist standard ma con analisi calibrate sul caso concreto.
Se stai valutando come muoverti sull’AI Act, se hai dubbi sulla classificazione dei tuoi sistemi o se vuoi capire come integrare l’AI nei processi senza creare problemi di conformità, il primo passo è una conversazione.
Un confronto iniziale serve a capire se ha senso approfondire insieme. Scrivimi dalla pagina contatti e definiamo un primo incontro.