Il Regolamento (UE) 2024/1689, noto come AI Act o Regolamento IA, è la prima legislazione completa sull’intelligenza artificiale al mondo. Pubblicato nella Gazzetta Ufficiale dell’UE il 12 luglio 2024 ed entrato in vigore il 1° agosto 2024, si applica progressivamente a tutte le aziende che sviluppano, distribuiscono o utilizzano sistemi di IA nell’Unione Europea.
Per le aziende italiane, il Regolamento IA non è un tema futuro — è un obbligo presente. L’Articolo 4, relativo all’alfabetizzazione in materia di IA, è applicabile dal 2 febbraio 2025. La classificazione dei sistemi ad alto rischio e i relativi obblighi si applicano dal 2 agosto 2026. Questa guida spiega cosa fare, quando e come — con riferimenti specifici al contesto italiano.
À retenir
- L'Articolo 4 del Regolamento IA è già applicabile: le aziende devono garantire competenze IA sufficienti al proprio personale
- Le sanzioni raggiungono i 35 milioni di euro o il 7 % del fatturato globale per le violazioni più gravi
- L'Italia ha nominato l'AgID e il Garante Privacy come autorità competenti per la vigilanza
- La formazione documentata del personale è il primo passo di conformità — e il più urgente
Vedi anche la nostra guida completa all’AI Act — 7 capitoli dettagliati.
Cosa prevede il Regolamento IA: struttura e approccio
Il Regolamento IA adotta un approccio basato sul rischio. Non vieta l’IA in generale — classifica gli usi in quattro categorie con obblighi proporzionati.
Pratiche vietate (Articolo 5)
Alcuni usi dell’IA sono completamente proibiti nell’UE:
- Punteggio sociale (social scoring) da parte delle autorità pubbliche
- Manipolazione subliminale che causa o rischia di causare danni
- Sfruttamento delle vulnerabilità di gruppi specifici (età, disabilità)
- Identificazione biometrica in tempo reale negli spazi pubblici (con eccezioni limitate per le forze dell’ordine)
- Inferenza delle emozioni sul luogo di lavoro e nelle istituzioni educative
- Categorizzazione biometrica basata su dati sensibili
Questi divieti sono applicabili dal 2 febbraio 2025.
Sistemi ad alto rischio (Allegato III)
I sistemi di IA che operano in ambiti sensibili sono classificati come ad alto rischio e soggetti a requisiti stringenti:
- Gestione delle risorse umane: selezione del personale, valutazione delle prestazioni, monitoraggio dei dipendenti
- Accesso ai servizi essenziali: credito, assicurazioni, servizi pubblici
- Istruzione e formazione: valutazione, ammissione, orientamento
- Infrastrutture critiche: energia, trasporti, approvvigionamento idrico
- Applicazione della legge: valutazione del rischio di recidiva, polizia predittiva
- Ambito giuridico: strumenti di IA usati per l’interpretazione e l’applicazione della legge — per approfondire, consultate la nostra guida sull’IA per avvocati
Per i sistemi ad alto rischio, le aziende devono garantire: gestione del rischio, qualità dei dati, documentazione tecnica, trasparenza, supervisione umana e cybersicurezza.
78%
delle aziende italiane non ha ancora avviato un percorso di adeguamento al Regolamento IA
Source : Osservatorio Artificial Intelligence, Politecnico di Milano, 2025
Rischio limitato (Articolo 50)
I sistemi con rischio limitato (chatbot, generazione di contenuti, deepfake) sono soggetti a obblighi di trasparenza: l’utente deve sapere che sta interagendo con un sistema di IA o che il contenuto è generato artificialmente.
Rischio minimo
La maggior parte dei sistemi di IA (filtri antispam, sistemi di raccomandazione, assistenti virtuali per compiti generici) è classificata a rischio minimo e non è soggetta a obblighi specifici oltre all’Articolo 4.
L’Articolo 4: l’obbligo più urgente
L’Articolo 4 del Regolamento IA è probabilmente la disposizione con l’impatto più ampio e immediato. In vigore dal 2 febbraio 2025, stabilisce che:
«I fornitori e i deployer di sistemi di IA adottano misure per garantire, nella misura del possibile, un livello sufficiente di alfabetizzazione in materia di IA del loro personale e di altre persone che si occupano del funzionamento e dell’utilizzo dei sistemi di IA per loro conto.»
Cosa significa concretamente:
- Ogni azienda che utilizza ChatGPT, Copilot, Gemini o qualsiasi altro sistema di IA deve formare il proprio personale
- Il livello di formazione deve essere adeguato alla conoscenza tecnica, all’esperienza e al contesto d’uso di ciascun dipendente
- La formazione deve essere documentata e aggiornata nel tempo
- Non è richiesto un certificato specifico, ma la capacità di dimostrare le misure adottate
Le sanzioni per inadempimento dell’Articolo 4 possono raggiungere i 15 milioni di euro o il 3 % del fatturato globale annuo.
L’Articolo 4 è già in vigore. Non esistono periodi di grazia aggiuntivi. Le aziende che utilizzano sistemi di IA senza aver formato il proprio personale sono già in una situazione di potenziale inadempimento.
Il contesto italiano: autorità e vigilanza
L’Italia ha un quadro istituzionale specifico per l’applicazione del Regolamento IA.
AgID (Agenzia per l’Italia Digitale). Designata come una delle autorità nazionali competenti per la vigilanza sul Regolamento IA, con competenze tecniche sulla classificazione e conformità dei sistemi.
Garante per la protezione dei dati personali. Il Garante mantiene le proprie competenze su tutti gli aspetti relativi al trattamento dei dati personali da parte dei sistemi di IA. L’Italia è stata tra i primi Paesi UE a intervenire su ChatGPT nel marzo 2023, imponendo un blocco temporaneo e condizioni specifiche per la ripresa del servizio. Questo precedente indica un approccio di vigilanza attiva.
ACN (Agenzia per la Cybersicurezza Nazionale). Competente per gli aspetti di cybersicurezza dei sistemi di IA, in particolare quelli classificati ad alto rischio.
Il DDL italiano sull’IA. L’Italia ha anche approvato un disegno di legge nazionale sull’IA (DDL 1146) che integra il Regolamento europeo con disposizioni specifiche nazionali, tra cui la creazione di una Fondazione per l’Intelligenza Artificiale e misure per la tutela dei lavoratori.
35M€
sanzione massima prevista dal Regolamento IA per le violazioni più gravi (o il 7% del fatturato globale)
Source : Regolamento (UE) 2024/1689, Articolo 99
Le scadenze: cronologia completa
Il Regolamento IA si applica progressivamente:
| Data | Obbligo |
|---|---|
| 2 febbraio 2025 | Divieto delle pratiche proibite (Art. 5) + Obbligo di alfabetizzazione IA (Art. 4) |
| 2 agosto 2025 | Obblighi per i modelli di IA per finalità generali (GPAI) |
| 2 agosto 2026 | Obblighi per i sistemi ad alto rischio (Allegato III) + Governance e sanzioni |
| 2 agosto 2027 | Obblighi per i sistemi ad alto rischio integrati in prodotti regolamentati (Allegato I) |
Come adeguarsi: piano d’azione in 6 passi
1. Mappare i sistemi di IA in uso
Identificare tutti i sistemi di IA utilizzati nell’organizzazione: ChatGPT, Copilot, Gemini, strumenti di CRM con IA, chatbot, sistemi di analisi automatica. Per ciascuno, determinare: chi lo usa, per quale scopo, con quali dati, con quale livello di supervisione.
2. Classificare il livello di rischio
Per ogni sistema identificato, determinare la categoria di rischio secondo il Regolamento. La maggior parte degli usi aziendali rientra nel rischio minimo o limitato, ma i sistemi usati per la gestione HR, il credito o la sorveglianza possono essere ad alto rischio.
3. Formare il personale (Articolo 4)
L’obbligo più urgente e più accessibile. Una formazione strutturata che copra: come funzionano i sistemi di IA, i loro limiti, i rischi (allucinazioni, bias, riservatezza), le regole d’uso aziendali e le responsabilità individuali.
4. Redigere una policy aziendale sull’IA
Stabilire regole chiare: quali strumenti sono autorizzati, quali dati possono essere trattati, quali verifiche sono obbligatorie, chi è responsabile. La policy deve essere comunicata, compresa e accessibile a tutti i dipendenti.
5. Implementare la supervisione umana
Per i sistemi ad alto rischio, garantire che esista sempre un meccanismo di supervisione umana efficace. Per tutti i sistemi, definire processi di verifica e validazione dei risultati generati dall’IA.
6. Documentare tutto
Il Regolamento richiede la capacità di dimostrare la conformità. Conservare la documentazione delle formazioni, delle policy, delle valutazioni di rischio e delle misure tecniche adottate.
La formazione del personale è il primo passo — e il più urgente. Brain offre programmi di formazione in IA conformi all’Articolo 4 del Regolamento, adattati al contesto italiano e alle esigenze specifiche di ogni settore. Scoprite i nostri piani →
Le domande più frequenti
La mia azienda usa solo ChatGPT per compiti semplici. Il Regolamento si applica? Sì. L’Articolo 4 si applica a qualsiasi organizzazione che utilizzi sistemi di IA, indipendentemente dalla complessità dell’uso. ChatGPT è un sistema di IA secondo la definizione del Regolamento.
Devo certificare la formazione dei miei dipendenti? Il Regolamento non impone un certificato specifico, ma richiede la capacità di dimostrare le misure adottate. Una formazione documentata con registrazione delle partecipazioni è la soluzione più sicura.
Chi controlla la conformità in Italia? AgID, il Garante Privacy e l’ACN, ciascuno per le proprie competenze. Le prime attività di controllo sono attese nella seconda metà del 2026.
Le PMI hanno obblighi ridotti? Il Regolamento prevede alcune misure di sostegno per le PMI (sandbox regolamentari, tariffe ridotte), ma gli obblighi sostanziali — incluso l’Articolo 4 — si applicano a tutte le imprese senza distinzione di dimensione. Per un confronto con altri Paesi, consultate la versione in spagnolo di questa guida o la nostra guida alla conformità per aziende europee.
La conformità al Regolamento IA non è un esercizio burocratico — è un’opportunità per strutturare l’uso dell’IA in azienda in modo responsabile, efficace e competitivo. Le aziende che si muovono ora avranno un vantaggio significativo su quelle che aspettano l’ultimo momento.
Volete adeguare la vostra azienda al Regolamento IA? Brain offre programmi di formazione e accompagnamento alla conformità, progettati per le aziende italiane. Scoprite i nostri piani →
Articoli correlati
AI Act Italia: obblighi + piano conformità (2026)
Regolamento IA per aziende italiane: Articolo 4, AGID, Garante, sanzioni, scadenze e piano di conformità step by step.
AI Act Articolo 4: obblighi e scadenze per le aziende
Articolo 4 del Regolamento IA: obbligo di formazione, scadenze, sanzioni fino a 15M€ e come adeguarsi. Guida pratica per le aziende.
Compliance IA in azienda: guida al Regolamento 2026
Adeguate la vostra azienda all'AI Act e al GDPR. Audit, documentazione e formazione obbligatoria in una guida pratica.