La legge sull’IA dell’UE è stata la storia più importante nella regolamentazione dell’IA per anni. Ma ora che viene effettivamente applicata, la domanda si è spostata da “cosa dice?” a “cosa significa per la mia azienda oggi?”
Dove ci troviamo attualmente
La legge sull’IA dell’UE è entrata in piena applicazione in fasi e, all’inizio del 2026, le disposizioni più impattanti sono già attive:
Pratiche di IA vietate sono ora proibite. I sistemi di scoring sociale, la sorveglianza biometrica in tempo reale negli spazi pubblici (con eccezioni limitate) e l’IA che manipola le persone attraverso tecniche subliminali sono tutti illegali nell’UE.
I sistemi di IA ad alto rischio devono rispettare requisiti rigorosi: valutazioni del rischio, documentazione, meccanismi di supervisione umana, standard di governance dei dati e monitoraggio dell’accuratezza. Questo include l’IA nella sanità, nell’istruzione, nell’occupazione, nell’applicazione della legge e nelle infrastrutture critiche.
I modelli di IA di uso generale (come GPT-4, Claude, Gemini) devono rispettare i requisiti di trasparenza. I fornitori devono pubblicare documentazione tecnica, rispettare le normative sul copyright e fornire riassunti dei dati di addestramento.
I modelli di rischio sistemico — i sistemi di IA più potenti — affrontano obblighi aggiuntivi: test avversariali, segnalazione di incidenti, misure di sicurezza informatica e report sul consumo energetico.
Chi è effettivamente interessato
La risposta breve: quasi tutte le aziende che utilizzano l’IA nel mercato europeo.
I fornitori di IA (aziende che costruiscono e vendono sistemi di IA) sopportano il peso maggiore della compliance. Se vendi uno strumento di assunzione basato su IA, un sistema di diagnosi medica o un modello di scoring creditizio nell’UE, devi rispettare i requisiti ad alto rischio.
Gli utilizzatori di IA (aziende che utilizzano sistemi di IA costruiti da altri) hanno obblighi più leggeri ma comunque significativi. Devi garantire una corretta supervisione umana, monitorare eventuali problemi e mantenere registri.
Le aziende al di fuori dell’UE sono interessate se offrono sistemi o servizi di IA ai clienti dell’UE. Ti suona familiare? Ha la stessa portata extraterritoriale del GDPR.
La realtà della compliance
Ecco cosa stanno affrontando le aziende:
I requisiti di documentazione sono estesi. Per i sistemi di IA ad alto rischio, hai bisogno di documentazione tecnica dettagliata che copra lo scopo del sistema, l’architettura, i dati di addestramento, le procedure di test, le metriche di accuratezza e le limitazioni note. La maggior parte delle aziende non possiede questa documentazione e si sta affannando per crearla.
Le valutazioni del rischio sono soggettive. La legge richiede “valutazioni d’impatto sui diritti fondamentali” per i sistemi di IA ad alto rischio, ma ci sono poche indicazioni su cosa costituisca una valutazione adeguata. Le aziende stanno facendo le loro migliori stime e sperando che i regolatori siano d’accordo.
Le penali sono serie. Fino a 35 milioni di euro o il 7% del fatturato annuo globale per le violazioni più gravi. È sufficiente a catturare l’attenzione anche delle più grandi aziende tecnologiche.
l’applicazione è diseguale. Ogni stato membro dell’UE designa la propria autorità di enforcement, e alcune hanno risorse migliori di altre. Questo crea incertezza su quanto in modo coerente verranno applicate le regole.
Cosa stanno realmente facendo le aziende
Basandomi su ciò che vedo nel mercato:
Le grandi aziende tecnologiche (Google, Microsoft, Meta, OpenAI, Anthropic) hanno team dedicati alla compliance con la legge sull’IA dell’UE e stanno investendo molto nella documentazione, nei test e nei processi di governance. Stanno trattando questa situazione come se fosse il GDPR 2.0: costosa ma gestibile.
Le aziende di IA di medie dimensioni stanno affrontando maggiori difficoltà. Hanno obblighi di compliance ma non le risorse delle grandi aziende tech. Molte stanno assumendo consulenti, il che è costoso. Alcune stanno considerando se vale la pena affrontare i costi di compliance nel mercato dell’UE.
Le startup si trovano nella posizione più difficile. I costi di compliance che sono gestibili per Google possono risultare fatali per una startup di 10 persone. Alcune stanno scegliendo di lanciare prima negli Stati Uniti o in Asia e affrontare la compliance dell’UE in un secondo momento.
Aziende non IA che utilizzano strumenti di IA spesso non sono consapevoli dei propri obblighi. Un’azienda che utilizza un chatbot IA per il servizio clienti o uno strumento IA per le assunzioni potrebbe non rendersi conto di avere obblighi di utilizzatore secondo la legge.
Le critiche
La legge sull’IA dell’UE ha numerosi critici:
“È troppo prescrittiva.” I requisiti dettagliati potrebbero rapidamente diventare obsoleti man mano che la tecnologia IA evolve. La regolamentazione pensata per l’IA di oggi potrebbe non avere senso per quella di next year.
“Soffoca l’innovazione.” Le aziende europee di IA sostengono di essere svantaggiate rispetto ai concorrenti statunitensi e cinesi che affrontano una regolamentazione più leggera. Parte del talento e degli investimenti in IA sta affluendo verso giurisdizioni con meno restrizioni.
“È troppo vaga in alcuni punti.” Nonostante sia lunga centinaia di pagine, la legge lascia molte domande importanti ai futuri documenti di orientamento e agli organismi di standardizzazione. Le aziende vogliono chiarezza che ancora non esiste.
“Non va abbastanza lontano.” Le organizzazioni della società civile sostengono che le eccezioni (come le esenzioni per le forze dell’ordine relative alla sorveglianza biometrica) siano troppo ampie e che la legge dovrebbe essere più protettiva nei confronti dei diritti individuali.
Cosa succede adesso
L’Ufficio dell’IA dell’UE sta sviluppando linee guida dettagliate, standard armonizzati e codici di comportamento che colmeranno le lacune. Le prime azioni di enforcement arriveranno probabilmente alla fine del 2026 o all’inizio del 2027 e stabiliranno importanti precedenti.
Sia che tu lo ami o lo odi, la legge sull’IA dell’UE è ora la regolamentazione dell’IA più completa al mondo e sta modellando come l’IA viene sviluppata e utilizzata a livello globale. Proprio come il GDPR è diventato lo standard globale di privacy de facto, la legge sull’IA influenzerà probabilmente la regolamentazione dell’IA in tutto il mondo.
Le aziende che investono nella compliance ora avranno un vantaggio. Quelli che la ignorano affronteranno un brusco risveglio quando l’applicazione inizierà sul serio.
🕒 Published: