Si applica dal giorno 1, in tutti gli Stati membri, senza bisogno di alcuna legge italiana di recepimento. Questa è la differenza che molti imprenditori e manager non hanno ancora messo a fuoco.
Quando parlo con le aziende, sento spesso la stessa frase: “Aspettiamo che l’Italia lo recepisca”. Non funziona così. Il Regolamento (UE) 2024/1689 è già diritto vigente, con effetti diretti su chi sviluppa, distribuisce o utilizza sistemi di intelligenza artificiale.
Capire questa distinzione giuridica non è un esercizio accademico. È il punto da cui dipendono le scelte operative dei prossimi mesi: chi non si muove ora rischia di trovarsi in violazione senza nemmeno sapere quali obblighi lo riguardano.
La differenza tra Regolamento e Direttiva, in pratica
Una Direttiva europea fissa obiettivi che gli Stati membri devono raggiungere, ma lascia a ciascun Paese la libertà di scegliere come tradurli nel proprio ordinamento. Serve una legge nazionale di recepimento. I tempi si allungano, le interpretazioni cambiano da Stato a Stato.
Un Regolamento è diritto direttamente applicabile. Non passa dal Parlamento italiano. Vincola aziende, professionisti e pubbliche amministrazioni dal momento della sua entrata in vigore, con lo stesso testo in tutta l’Unione. L’AI Act appartiene a questa seconda categoria.
Cosa significa per la tua azienda
Significa che le scadenze previste dall’AI Act valgono as is. Non c’è una norma italiana che le posticipa, le ammorbidisce o le riscrive in chiave locale. Le date pubblicate nel testo europeo sono quelle con cui devi fare i conti, indipendentemente dal settore in cui operi.
Le tappe operative da tenere a mente:
- 2 febbraio 2025: divieto dei sistemi di IA a rischio inaccettabile e obbligo di alfabetizzazione del personale che usa sistemi di IA.
- 2 agosto 2025: applicazione delle regole sui modelli di IA per finalità generali (GPAI) e nomina delle autorità nazionali competenti.
- 2 agosto 2026: piena applicazione degli obblighi sui sistemi ad alto rischio elencati nell’Allegato III.
- 2 agosto 2027: applicazione completa per i sistemi ad alto rischio integrati in prodotti regolamentati.
- Sanzioni: fino a 35 milioni di euro o al 7% del fatturato mondiale annuo, a seconda di quale importo sia superiore.
Il punto è che gli obblighi non si attivano tutti insieme. Ogni azienda deve mappare quali sistemi di IA usa, in quale categoria di rischio rientrano e a quale scadenza è esposta. Senza questa mappa, ogni decisione successiva è cieca.
L’errore più comune che vedo nelle PMI
Il primo errore è pensare che l’AI Act riguardi solo chi sviluppa intelligenza artificiale. Non è così. Il Regolamento si applica anche ai deployer, cioè a chi utilizza sistemi di IA all’interno dei propri processi. La maggior parte delle PMI italiane rientra in questa categoria, spesso senza saperlo.
Il secondo errore è confondere l’AI Act con il GDPR. Sono due regolamenti complementari ma distinti. L’uno tutela i dati personali, l’altro disciplina i sistemi di IA in base al rischio. Se usi un software di selezione del personale basato su IA, devi rispettare entrambi.
Da dove iniziare, concretamente
Il primo passo è un inventario reale di ciò che usi. Quali strumenti di IA hai introdotto nei processi aziendali? Includono sistemi di scoring, automazione HR, chatbot, software di analisi predittiva, generatori di contenuti? Ogni voce va classificata secondo le categorie di rischio previste dal Regolamento.
Il secondo passo è la formazione. L’obbligo di AI literacy previsto dall’articolo 4 è già in vigore dal 2 febbraio 2025 e riguarda chiunque utilizzi sistemi di IA per conto dell’azienda. Su questo lavoro spesso con le imprese attraverso percorsi di Formazione AI mirati ai ruoli operativi.
Domande frequenti
L’AI Act si applica anche se la mia azienda non sviluppa software?
Sì. Il Regolamento riguarda sviluppatori, distributori, importatori e deployer, cioè chi utilizza sistemi di IA. Una PMI che adotta uno strumento di IA per la selezione del personale, per il customer service o per l’analisi di dati operativi è soggetta agli obblighi previsti per i deployer. La distinzione tra chi crea e chi usa non esonera nessuno dei due dal rispetto delle regole.
Cosa rischio se ignoro il Regolamento?
Le sanzioni sono pesanti: fino a 35 milioni di euro o al 7% del fatturato mondiale annuo per le violazioni più gravi, come l’uso di sistemi a rischio inaccettabile. Per altre violazioni, le soglie scendono ma restano significative. A questo si aggiunge il rischio reputazionale e la possibilità di azioni civili da parte di soggetti danneggiati.
Quanto tempo serve per mettersi in regola?
Dipende dalla complessità dell’azienda e dal numero di sistemi di IA in uso. Un assessment iniziale richiede in genere alcune settimane: serve a mappare gli strumenti, classificarli per rischio e identificare le azioni prioritarie. La parte operativa, fatta di policy, formazione e adeguamenti tecnici, si distribuisce sui mesi successivi seguendo il calendario delle scadenze.
Cosa cambia rispetto al GDPR che già applichiamo?
Il GDPR tutela i dati personali. L’AI Act disciplina i sistemi di IA in base al loro livello di rischio, indipendentemente dal trattamento di dati personali. Sono regolamenti complementari: un sistema di IA che tratta dati dei dipendenti deve rispettare entrambi. Le procedure GDPR esistenti non coprono automaticamente gli obblighi dell’AI Act, ma forniscono una base organizzativa utile.
Da dove conviene partire se non abbiamo mai affrontato il tema?
Dall’inventario. Capire esattamente quali strumenti di IA sono già in uso in azienda, anche quelli introdotti dai singoli reparti senza una scelta strutturata. Spesso le aziende scoprono di usare più sistemi di quanti pensassero. Da lì si classifica il rischio, si individuano le priorità e si costruisce un piano realistico, allineato alle scadenze del Regolamento.
Parliamone prima che le scadenze diventino un problema
L’AI Act non è un tema che puoi rimandare al prossimo trimestre. Le scadenze sono fissate nel testo europeo e non dipendono da decisioni nazionali.
Se nella tua azienda usate già strumenti di intelligenza artificiale, anche solo per attività di marketing, HR o customer service, è il momento giusto per fare il punto. Un primo confronto serve a capire dove sei esposto e dove no, senza partire da soluzioni preconfezionate che non tengono conto del tuo contesto.
Se vuoi capire come muoverti, scrivimi dalla pagina contatti e organizziamo una prima chiamata.