La legge sull’IA dell’UE è la storia più significativa in materia di regolamentazione dell’IA da anni. Ma ora che è realmente in vigore, la questione è passata da “cosa dice?” a “cosa significa per la mia azienda oggi?”
Da Dove Partiamo
La legge sull’IA dell’UE è entrata in vigore progressivamente, e da inizio 2026, le disposizioni più impattanti sono ormai effettive:
Le pratiche di IA vietate sono ora proibite. I sistemi di rating sociale, la sorveglianza biometrica in tempo reale negli spazi pubblici (con eccezioni limitate) e l’IA che manipola le persone tramite tecniche subliminali sono tutte illegali nell’UE.
I sistemi di IA ad alto rischio devono conformarsi a requisiti rigorosi: valutazioni del rischio, documentazione, meccanismi di controllo umano, standard di governance dei dati e monitoraggio dell’accuratezza. Questo riguarda l’IA in sanità, istruzione, occupazione, applicazione della legge e infrastrutture critiche.
I modelli di IA a uso generale (come GPT-4, Claude, Gemini) devono rispettare i requisiti di trasparenza. I fornitori devono pubblicare una documentazione tecnica, rispettare le norme sul copyright e fornire riassunti dei dati di addestramento.
I modelli di rischio sistemico — i sistemi di IA più potenti — affrontano obblighi aggiuntivi: test avversariali, rapporti sugli incidenti, misure di cybersecurity e rapporto sul consumo energetico.
Chi è Davvero Coinvolto
La risposta breve: quasi tutte le aziende che utilizzano l’IA sul mercato europeo.
I fornitori di IA (aziende che costruiscono e vendono sistemi di IA) portano il peso maggiore della conformità. Se vendi uno strumento di reclutamento basato sull’IA, un sistema di diagnostica medica o un modello di scoring del credito nell’UE, devi conformarti ai requisiti ad alto rischio.
I deployatori di IA (aziende che utilizzano sistemi di IA costruiti da altri) hanno obblighi più leggeri ma comunque significativi. Devi garantire un controllo umano adeguato, monitorare i problemi e tenere registri.
Le aziende al di fuori dell’UE sono colpite se offrono sistemi o servizi di IA ai clienti dell’UE. Ti sembra familiare? È la stessa portata extraterritoriale del GDPR.
La Realtà della Conformità
Ecco cosa devono realmente affrontare le aziende:
Le richieste di documentazione sono ampie. Per i sistemi di IA ad alto rischio, hai bisogno di una documentazione tecnica dettagliata che copra l’obiettivo del sistema, la sua architettura, i dati di addestramento, le procedure di test, le metriche di precisione e le limitazioni note. La maggior parte delle aziende non ha questa documentazione e si sta sforzando di crearla.
Le valutazioni di rischio sono soggettive. La legge richiede “valutazioni di impatto sui diritti fondamentali” per i sistemi di IA ad alto rischio, ma ci sono poche indicazioni su cosa costituisca una valutazione adeguata. Le aziende fanno del loro meglio e sperano che i regolatori siano d’accordo.
Le penalità sono severe. Fino a 35 milioni di euro o il 7% del fatturato annuale globale per le violazioni più gravi. Questo è sufficiente per attirare l’attenzione anche delle più grandi aziende tecnologiche.
La sua applicazione è disomogenea. Ogni Stato membro dell’UE designa la propria autorità di applicazione, e alcune sono meglio dotate di altre. Questo crea incertezza su come le regole saranno applicate in modo coerente.
Cosa Fanno Davvero le Aziende
Basandomi su ciò che vedo sul mercato:
Le grandi aziende tecnologiche (Google, Microsoft, Meta, OpenAI, Anthropic) hanno team dedicati alla conformità con la legge sull’IA dell’UE e investono massicciamente in documentazione, test e processi di governance. Trattano questo come il GDPR 2.0 — costoso ma gestibile.
Le aziende di IA di medie dimensioni hanno più difficoltà. Hanno gli obblighi di conformità ma non le risorse delle grandi aziende tecnologiche. Molte assumono consulenti, il che è costoso. Alcune si chiedono se il mercato dell’UE valga il costo della conformità.
Le startup si trovano nella situazione più difficile. I costi di conformità che sono gestibili per Google possono essere fatali per una startup di 10 persone. Alcune scelgono di lanciarsi prima negli Stati Uniti o in Asia e di affrontare la conformità dell’UE in un secondo momento.
Le aziende non-IA che utilizzano strumenti di IA spesso non sono consapevoli delle loro obbligazioni. Un’azienda che utilizza un chatbot IA per il servizio clienti o uno strumento di IA per le assunzioni potrebbe non rendersi conto di avere obblighi di deployment ai sensi della legge.
Le Critiche
La legge sull’IA dell’UE non manca di critici:
“È troppo prescrittiva.” I requisiti dettagliati potrebbero rapidamente diventare obsoleti man mano che la tecnologia dell’IA evolve. Una regolamentazione pensata per l’IA di oggi potrebbe non avere senso per quella dell’anno prossimo.
“Stifola l’innovazione.” Le aziende europee di IA sostengono di essere svantaggiate rispetto ai concorrenti americani e cinesi che affrontano regolamenti più leggeri. Talenti e investimenti in IA si dirigono verso giurisdizioni con meno restrizioni.
“È troppo vaga in certi punti.” Anche se conta centinaia di pagine, la legge lascia molte domande importanti a documenti di orientamento futuri e a organismi di normalizzazione. Le aziende vogliono una chiarezza che non esiste ancora.
“Non va abbastanza lontano.” Le organizzazioni della società civile sostengono che le eccezioni (come le esclusioni per le forze dell’ordine riguardo la sorveglianza biometrica) sono troppo ampie e che la legge dovrebbe proteggere meglio i diritti individuali.
Cosa Succederà Dopo
Il Bureau dell’IA dell’UE sta elaborando linee guida dettagliate, standard armonizzati e codici di pratica che colmeranno le lacune. Le prime azioni di enforcement arriveranno probabilmente alla fine del 2026 o all’inizio del 2027, e stabiliranno importanti precedenti.
Che ti piaccia o meno, la legge sull’IA dell’UE è ora la regolamentazione dell’IA più completa al mondo, e sta plasmando il modo in cui l’IA è sviluppata e distribuita a livello globale. Proprio come il GDPR è diventato il norma mondiale di privacy di fatto, la legge sull’IA influenzerà probabilmente la regolazione dell’IA in tutto il mondo.
Le aziende che investono nella conformità sin da ora avranno un vantaggio. Quelle che ignoreranno lo faranno di fronte a un duro risveglio quando l’applicazione inizierà realmente.
🕒 Published: