Il Regolamento sull’IA dell’UE è stata la notizia principale nella regolamentazione dell’IA per anni. Ma ora che è realmente in fase di attuazione, la questione è passata da “cosa dice?” a “cosa significa per la mia azienda oggi?”
La Situazione Attuale
Il Regolamento sull’IA dell’UE è entrato in vigore in fasi, e a partire da inizio 2026, le disposizioni più impattanti sono ora attive:
Le pratiche di IA vietate sono ora proibite. I sistemi di punteggio sociale, la sorveglianza biometrica in tempo reale negli spazi pubblici (con limitate eccezioni) e l’IA che manipola le persone attraverso tecniche subliminali sono tutti illegali nell’UE.
I sistemi di IA ad alto rischio devono soddisfare requisiti rigorosi: valutazioni del rischio, documentazione, meccanismi di supervisione umana, standard di governance dei dati e monitoraggio dell’accuratezza. Questo include l’IA nel settore sanitario, educativo, nell’occupazione, nell’applicazione della legge e nelle infrastrutture critiche.
I modelli di IA generica (come GPT-4, Claude, Gemini) devono rispettare i requisiti di trasparenza. I fornitori devono pubblicare documentazione tecnica, rispettare le norme sul copyright e fornire riepiloghi dei dati di addestramento.
I modelli di rischio sistemico — i sistemi di IA più potenti — affrontano obblighi aggiuntivi: test avversariali, segnalazione di incidenti, misure di cybersicurezza e report sul consumo energetico.
Chi è Realmente Colpito
La risposta breve: quasi ogni azienda che utilizza l’IA nel mercato europeo.
I fornitori di IA (aziende che costruiscono e vendono sistemi di IA) sopportano il carico di conformità più pesante. Se vendi uno strumento di assunzione basato su IA, un sistema di diagnosi medica o un modello di scoring creditizio nell’UE, devi conformarti ai requisiti ad alto rischio.
I distributori di IA (aziende che utilizzano sistemi di IA costruiti da altri) hanno obblighi più leggeri ma comunque significativi. Devi garantire una corretta supervisione umana, monitorare eventuali problemi e mantenere registri.
Le aziende al di fuori dell’UE sono coinvolte se offrono sistemi o servizi di IA ai clienti dell’UE. Ti sembra familiare? Ha la stessa portata extraterritoriale del GDPR.
La Realtà della Conformità
Ecco cosa stanno effettivamente affrontando le aziende:
I requisiti di documentazione sono estesi. Per i sistemi di IA ad alto rischio, hai bisogno di documentazione tecnica dettagliata che copra lo scopo del sistema, l’architettura, i dati di addestramento, le procedure di test, le metriche di accuratezza e le limitazioni conosciute. La maggior parte delle aziende non ha questa documentazione e sta cercando di crearla.
Le valutazioni del rischio sono soggettive. La legge richiede “valutazioni dell’impatto sui diritti fondamentali” per i sistemi di IA ad alto rischio, ma ci sono linee guida limitate su cosa costituisce una valutazione adeguata. Le aziende stanno facendo le loro migliori congetture e sperando che i regolatori siano d’accordo.
Le sanzioni sono serie. Fino a 35 milioni di euro o il 7% del fatturato annuo globale per le violazioni più gravi. Questo è sufficiente per attirare l’attenzione anche delle più grandi aziende tecnologiche.
L’applicazione è disomogenea. Ogni Stato membro dell’UE designa la propria autorità di enforcement, e alcune sono meglio dotate di risorse rispetto ad altre. Questo crea incertezza su quanto siano applicate in modo coerente le regole.
Cosa Stanno Facendo le Aziende
In base a ciò che vedo nel mercato:
Le grandi aziende tecnologiche (Google, Microsoft, Meta, OpenAI, Anthropic) hanno team dedicati alla conformità al Regolamento sull’IA dell’UE e stanno investendo molto nella documentazione, nei test e nei processi di governance. Stanno trattando questo come il GDPR 2.0 — costoso ma gestibile.
Le aziende di IA di medie dimensioni stanno avendo più difficoltà. Hanno gli obblighi di conformità ma non le risorse delle grandi aziende tecnologiche. Molte stanno assumendo consulenti, il che è costoso. Alcune stanno considerando se il mercato dell’UE valga il costo di conformità.
Le startup si trovano nella posizione più difficile. I costi di conformità che sono gestibili per Google possono essere potenzialmente letali per una startup di 10 persone. Alcune stanno scegliendo di lanciare prima negli Stati Uniti o in Asia e affrontare la conformità nell’UE in un secondo momento.
Le aziende non-IA che utilizzano strumenti di IA spesso non sono consapevoli dei loro obblighi. Un’azienda che utilizza un chatbot di IA per il servizio clienti o uno strumento di IA per le assunzioni potrebbe non rendersi conto di avere obblighi da distributore secondo la legge.
Le Critiche
Il Regolamento sull’IA dell’UE non manca di critiche:
“È troppo prescrittivo.” I requisiti dettagliati potrebbero diventare rapidamente obsoleti man mano che la tecnologia IA evolve. La regolamentazione progettata per l’IA odierna potrebbe non avere senso per quella dell’anno prossimo.
“Soffoca l’innovazione.” Le aziende europee di IA sostengono di essere svantaggiate rispetto ai concorrenti statunitensi e cinesi che affrontano una regolamentazione più leggera. Alcuni talenti e investimenti in IA stanno fluendo verso giurisdizioni con meno restrizioni.
“È troppo vago in alcuni punti.” Nonostante sia lungo centinaia di pagine, la legge lascia molte domande importanti a futuri documenti di orientamento e organismi di standardizzazione. Le aziende vogliono chiarezza che non esiste ancora.
“Non va abbastanza lontano.” Le organizzazioni della società civile sostengono che le eccezioni (come le esenzioni per l’applicazione della legge per la sorveglianza biometrica) siano troppo ampie e che la legge dovrebbe essere più protettiva dei diritti individuali.
Cosa Succederà Dopo
L’Ufficio dell’IA dell’UE sta sviluppando linee guida dettagliate, standard armonizzati e codici di condotta che riempiranno le lacune. Le prime azioni di enforcement arriveranno probabilmente alla fine del 2026 o all’inizio del 2027 e stabiliranno importanti precedenti.
Che tu lo ami o lo odi, il Regolamento sull’IA dell’UE è ora la regolamentazione sull’IA più completa al mondo, e sta plasmando il modo in cui l’IA viene sviluppata e implementata a livello globale. Proprio come il GDPR è diventato lo standard globale di privacy de facto, il Regolamento sull’IA influenzerà probabilmente anche la regolamentazione dell’IA a livello mondiale.
Le aziende che investono nella conformità ora avranno un vantaggio. Quelle che lo ignorano affronteranno un brusco risveglio quando l’applicazione inizierà seriamente.
🕒 Published: