La legge sull’IA dell’UE è la storia più significativa in materia di regolamentazione dell’IA da anni. Ma ora che è realmente applicata, la domanda è passata da « cosa dice? » a « cosa significa per la mia azienda oggi? »
Dove Ci Troviamo Attualmente
La legge sull’IA dell’UE è entrata in vigore gradualmente, e da inizio 2026, le disposizioni più impattanti sono ora effettive:
Le pratiche di IA vietate sono ora proibite. I sistemi di rating sociale, la sorveglianza biometrica in tempo reale negli spazi pubblici (con eccezioni limitate), e l’IA che manipola le persone tramite tecniche subliminali sono tutte illegali nell’UE.
I sistemi di IA ad alto rischio devono conformarsi a requisiti rigorosi: valutazioni dei rischi, documentazione, meccanismi di controllo umano, norme di governance dei dati e monitoraggio dell’accuratezza. Questo riguarda l’IA nella salute, nell’istruzione, nell’occupazione, nell’applicazione della legge e nelle infrastrutture critiche.
I modelli di IA a uso generale (come GPT-4, Claude, Gemini) devono conformarsi ai requisiti di trasparenza. I fornitori devono pubblicare documentazione tecnica, rispettare le regole di copyright e fornire riepiloghi dei dati di addestramento.
I modelli di rischio sistemico — i sistemi di IA più potenti — affrontano obblighi aggiuntivi: test avversariali, report di incidenti, misure di cybersecurity e report sul consumo di energia.
Chi È Realmente Colpito
La risposta breve: quasi tutte le aziende che utilizzano l’IA sul mercato europeo.
I fornitori di IA (aziende che costruiscono e vendono sistemi di IA) portano il peso maggiore della conformità. Se vendi uno strumento di reclutamento basato su IA, un sistema di diagnosi medica o un modello di scoring del credito nell’UE, devi conformarti ai requisiti di alto rischio.
I deployer di IA (aziende che utilizzano sistemi di IA costruiti da altri) hanno obblighi più leggeri ma ugualmente significativi. Devi garantire un controllo umano adeguato, monitorare i problemi e tenere registri.
Le aziende al di fuori dell’UE sono interessate se offrono sistemi o servizi di IA ai clienti dell’UE. Ti sembra familiare? È la stessa portata extraterritoriale del GDPR.
La Realtà della Conformità
Ecco cosa devono realmente gestire le aziende:
Le esigenze di documentazione sono estese. Per i sistemi di IA ad alto rischio, hai bisogno di una documentazione tecnica dettagliata che copra l’obiettivo del sistema, la sua architettura, i dati di addestramento, le procedure di test, le metriche di precisione e le limitazioni note. La maggior parte delle aziende non ha questa documentazione e sta cercando di crearla.
Le valutazioni di rischio sono soggettive. La legge richiede « valutazioni di impatto sui diritti fondamentali » per i sistemi di IA ad alto rischio, ma c’è poca orientamento su cosa costituisca una valutazione adeguata. Le aziende fanno del loro meglio e sperano che i regolatori saranno d’accordo.
Le penali sono severe. Fino a 35 milioni di euro o 7% del fatturato annuale globale per le violazioni più gravi. Questo è sufficiente per attirare l’attenzione anche delle più grandi aziende tecnologiche.
L’applicazione è disomogenea. Ogni Stato membro dell’UE designa la propria autorità di applicazione, e alcune sono meglio dotate di altre. Questo crea incertezza su come le regole saranno applicate in modo coerente.
Cosa Fanno Reamente le Aziende
Sulla base di ciò che vedo sul mercato:
Le grandi aziende tecnologiche (Google, Microsoft, Meta, OpenAI, Anthropic) hanno team dedicati alla conformità con la legge sull’IA dell’UE e investono massivamente nella documentazione, nei test e nei processi di governance. Gestiscono questa situazione come il GDPR 2.0 — costoso ma gestibile.
Le aziende di IA di medio dimensionale hanno più difficoltà. Hanno gli obblighi di conformità ma non le risorse delle grandi aziende tecnologiche. Molti ingaggiano consulenti, il che è costoso. Alcuni si chiedono se il mercato dell’UE valga il costo della conformità.
Le startup si trovano nella situazione più difficile. I costi di conformità che sono gestibili per Google possono essere fatali per una startup di 10 persone. Alcuni scelgono di lanciarsi prima negli Stati Uniti o in Asia e affrontare la conformità dell’UE in seguito.
Le aziende non-IA che utilizzano strumenti di IA non sono spesso consapevoli delle proprie obbligazioni. Un’azienda che utilizza un chatbot IA per il servizio clienti o uno strumento di IA per le assunzioni potrebbe non rendersi conto di avere obbligazioni di dispiegamento in base alla legge.
Le Critiche
La legge sull’IA dell’UE non manca di detrattori:
« È troppo prescrittiva. » I requisiti dettagliati potrebbero diventare rapidamente obsoleti man mano che la tecnologia dell’IA evolve. Una regolamentazione progettata per l’IA di oggi potrebbe non avere senso per quella dell’anno prossimo.
« Soffoca l’innovazione. » Le aziende europee di IA sostengono di essere svantaggiate rispetto ai concorrenti americani e cinesi che affrontano regolamentazioni più leggere. Alcuni talenti e investimenti in IA si stanno dirigendo verso giurisdizioni con meno restrizioni.
« È troppo vaga in alcuni punti. » Sebbene faccia centinaia di pagine, la legge lascia molte domande importanti a documenti di orientamento futuri e a organismi di normalizzazione. Le aziende desiderano una chiarezza che ancora non esiste.
« Non va abbastanza lontano. » Le organizzazioni della società civile sostengono che le eccezioni (come le esclusioni per le forze dell’ordine riguardanti la sorveglianza biometrica) siano troppo ampie e che la legge dovrebbe proteggere meglio i diritti individuali.
Cosa Accadrà Dopo
Il Bureau dell’IA dell’UE sta elaborando linee guida dettagliate, standard armonizzati e codici di condotta che colmeranno le lacune. Le prime azioni di applicazione arriveranno probabilmente entro la fine del 2026 o l’inizio del 2027, e stabiliranno importanti precedenti.
Che ti piaccia o no, la legge sull’IA dell’UE è ora la regolamentazione dell’IA più completa al mondo, e sta plasmando il modo in cui l’IA è sviluppata e dispiegata a livello globale. Proprio come il GDPR è diventato lo standard globale di fatto sulla privacy, la legge sull’IA influenzerà probabilmente la regolamentazione dell’IA in tutto il mondo.
Le aziende che investono nella conformità fin da ora avranno un vantaggio. Quelle che lo ignorano affronteranno un duro risveglio quando l’applicazione inizierà realmente.
🕒 Published: