Il Regolamento (UE) 2024/1689, conosciuto come AI Act o Regolamento IA, è entrato in vigore il 1° agosto 2024. Per le aziende italiane non è più una questione di “se” ma di “come” adeguarsi. L’Articolo 4 sull’alfabetizzazione IA è già applicabile dal 2 febbraio 2025. I requisiti per i sistemi ad alto rischio scattano il 2 agosto 2026. Chi non si prepara ora rischia sanzioni fino a 35 milioni di euro.
Questa guida completa copre tutto ciò che un’azienda italiana deve sapere: cosa prevede il Regolamento, quali obblighi si applicano già oggi, come funziona la vigilanza in Italia, quali sono le scadenze e come costruire un piano di conformità efficace.
À retenir
- L'Articolo 4 sull'alfabetizzazione IA è già applicabile dal 2 febbraio 2025 — non esistono proroghe
- In Italia la vigilanza è affidata ad AGID, Garante Privacy e ACN, ciascuno per le proprie competenze
- Le sanzioni arrivano fino a 35 milioni di euro o il 7% del fatturato globale annuo
- La formazione documentata del personale è l'azione più urgente e il primo passo verso la conformità
Vedi anche la nostra guida completa all’AI Act — 7 capitoli dettagliati.
Cos’è l’AI Act: panoramica del Regolamento IA europeo
L’AI Act è la prima legislazione completa al mondo sull’intelligenza artificiale. Adotta un approccio basato sul rischio: non vieta l’IA, ma classifica gli usi in quattro categorie con obblighi proporzionati.
Rischio inaccettabile (Articolo 5). Pratiche completamente vietate: social scoring, manipolazione subliminale, sfruttamento delle vulnerabilità, identificazione biometrica in tempo reale negli spazi pubblici (con eccezioni limitate), inferenza delle emozioni sul luogo di lavoro, categorizzazione biometrica basata su dati sensibili. Questi divieti sono applicabili dal 2 febbraio 2025.
Alto rischio (Allegato III). Sistemi di IA che operano in ambiti sensibili — gestione delle risorse umane, accesso al credito e ai servizi essenziali, istruzione, infrastrutture critiche, applicazione della legge. Per questi sistemi, il Regolamento impone requisiti stringenti: gestione del rischio, qualità dei dati, documentazione tecnica, trasparenza, supervisione umana e cybersicurezza. Per approfondire l’uso dell’IA in ambito legale, consultate la nostra guida sull’IA per avvocati.
Rischio limitato (Articolo 50). Chatbot, generatori di contenuti, deepfake — soggetti a obblighi di trasparenza: l’utente deve sapere che interagisce con un sistema di IA.
Rischio minimo. La maggior parte dei sistemi di IA (filtri antispam, raccomandazioni, assistenti generici) non è soggetta a obblighi specifici oltre all’Articolo 4. Per capire i rischi dell’intelligenza artificiale in generale, leggete la nostra analisi dedicata.
78%
delle aziende italiane non ha ancora avviato un percorso di adeguamento al Regolamento IA
Source : Osservatorio Artificial Intelligence, Politecnico di Milano, 2025
Articolo 4: l’obbligo che riguarda tutte le aziende italiane
L’Articolo 4 è la disposizione con l’impatto più ampio e immediato del Regolamento IA. In vigore dal 2 febbraio 2025, stabilisce che fornitori e deployer di sistemi di IA devono garantire un livello sufficiente di alfabetizzazione IA del proprio personale.
Cosa significa in pratica per un’azienda italiana:
- Ogni organizzazione che utilizza ChatGPT, Copilot, Gemini o qualsiasi altro strumento di IA deve formare i propri dipendenti. Per un confronto tra gli strumenti disponibili, consultate la nostra guida alla formazione ChatGPT in azienda.
- Il livello di formazione deve essere proporzionato alla conoscenza tecnica, all’esperienza e al contesto d’uso di ciascun collaboratore
- La formazione deve essere documentata, aggiornata e verificabile
- Non è richiesto un certificato specifico, ma la capacità di dimostrare le misure adottate in caso di controllo
L’Articolo 4 non distingue tra grandi imprese e PMI. Si applica a tutti, senza eccezioni di dimensione o settore. Un’azienda di 15 dipendenti che usa ChatGPT per redigere email ha gli stessi obblighi di una multinazionale con migliaia di utenti IA.
L’Articolo 4 è già in vigore. Non esistono periodi di grazia. Le aziende italiane che utilizzano strumenti di IA senza aver formato e documentato la formazione del proprio personale sono già in una situazione di potenziale inadempimento.
Il quadro italiano: AGID, Garante e ACN
L’Italia ha un quadro istituzionale articolato per l’applicazione del Regolamento IA. Tre autorità si dividono le competenze.
AGID — Agenzia per l’Italia Digitale
Designata come autorità nazionale competente per la vigilanza tecnica sul Regolamento IA. AGID si occupa della classificazione dei sistemi, della verifica della conformità tecnica e del supporto alle imprese attraverso linee guida e sandbox regolamentari. Il suo ruolo è centrale per le aziende che devono valutare se i propri sistemi rientrano nella categoria ad alto rischio.
Garante per la protezione dei dati personali
Il Garante mantiene le proprie competenze su tutti gli aspetti relativi al trattamento dei dati personali da parte dei sistemi di IA. L’Italia è stata tra i primi Paesi UE a intervenire su ChatGPT nel marzo 2023, imponendo un blocco temporaneo. Questo precedente segnala un approccio di vigilanza particolarmente attivo sul fronte privacy-IA. Le aziende devono considerare gli obblighi del Regolamento IA in combinazione con quelli del GDPR — per una visione d’insieme, consultate la nostra guida sulla formazione IA in azienda.
ACN — Agenzia per la Cybersicurezza Nazionale
Competente per gli aspetti di cybersicurezza dei sistemi di IA, in particolare quelli classificati ad alto rischio. L’ACN interviene sulla resilienza, la protezione dei dati e la sicurezza delle infrastrutture che supportano i sistemi di IA. Chi vuole approfondire i rischi legati all’uso non autorizzato dell’IA, legga la nostra analisi sul shadow AI in azienda.
Il DDL italiano sull’IA
L’Italia ha approvato il DDL 1146, un disegno di legge nazionale che integra il Regolamento europeo con disposizioni specifiche: creazione della Fondazione per l’Intelligenza Artificiale, misure per la tutela dei lavoratori, disposizioni sulla proprietà intellettuale e sull’uso dell’IA nella pubblica amministrazione.
Sanzioni: cosa rischia chi non si adegua
Il Regolamento IA prevede un sistema sanzionatorio graduato e severo:
| Violazione | Sanzione massima |
|---|---|
| Pratiche vietate (Art. 5) | 35 milioni di euro o 7% del fatturato globale |
| Sistemi ad alto rischio — requisiti | 15 milioni di euro o 3% del fatturato globale |
| Articolo 4 — alfabetizzazione IA | 15 milioni di euro o 3% del fatturato globale |
| Informazioni false alle autorità | 7,5 milioni di euro o 1% del fatturato globale |
Per le PMI e le startup, il Regolamento prevede che le sanzioni siano proporzionate, con massimali adeguati alla dimensione dell’impresa. Ma gli obblighi sostanziali restano identici.
35M€
sanzione massima per le violazioni più gravi del Regolamento IA — o il 7% del fatturato globale annuo
Source : Regolamento (UE) 2024/1689, Articolo 99
Calendario di conformità: tutte le scadenze
Il Regolamento IA si applica progressivamente. Ecco le date che ogni azienda italiana deve segnare:
| Data | Obbligo |
|---|---|
| 1 agosto 2024 | Entrata in vigore del Regolamento |
| 2 febbraio 2025 | Divieto delle pratiche proibite (Art. 5) + Obbligo di alfabetizzazione IA (Art. 4) |
| 2 agosto 2025 | Obblighi per i modelli di IA per finalità generali (GPAI) — trasparenza, documentazione, valutazione |
| 2 agosto 2026 | Obblighi per i sistemi ad alto rischio (Allegato III) + piena operatività del sistema di governance e sanzioni |
| 2 agosto 2027 | Obblighi per i sistemi ad alto rischio integrati in prodotti già regolamentati (Allegato I) |
Le aziende italiane che non hanno ancora avviato la formazione del personale sono già in ritardo rispetto alla prima scadenza. Per chi parte da zero, un corso gratuito sull’IA può essere un primo passo, ma non sostituisce un programma strutturato conforme all’Articolo 4.
Piano di conformità: 7 azioni concrete
1. Mappare tutti i sistemi di IA in uso
Censire ogni strumento di IA utilizzato nell’organizzazione: ChatGPT, Copilot, Gemini, chatbot di servizio clienti, CRM con funzionalità IA, strumenti di analisi predittiva. Per ciascuno, documentare: chi lo usa, per quale scopo, con quali dati, con quale supervisione. Per una panoramica degli strumenti, consultate la nostra presentazione sugli strumenti IA.
2. Classificare il livello di rischio
Determinare per ogni sistema la categoria di rischio secondo il Regolamento. La maggior parte degli usi aziendali generici rientra nel rischio minimo o limitato. Ma i sistemi usati per la selezione del personale, la valutazione del credito o il monitoraggio dei dipendenti possono essere ad alto rischio.
3. Formare il personale — subito
L’obbligo più urgente. Un programma di formazione IA strutturato deve coprire: funzionamento dei sistemi di IA, limiti e rischi (allucinazioni, bias, riservatezza dei dati), regole d’uso aziendali, responsabilità individuali. La formazione deve essere adattata ai diversi profili professionali.
4. Redigere una policy aziendale sull’IA
Definire regole chiare: strumenti autorizzati, dati che possono essere trattati, verifiche obbligatorie, responsabilità. La policy deve essere comunicata, compresa e accessibile a tutto il personale.
5. Implementare la supervisione umana
Per i sistemi ad alto rischio, garantire meccanismi di supervisione umana efficaci. Per tutti i sistemi, definire processi di verifica e validazione dei risultati. Il prompt engineering è una competenza chiave per ottenere risultati affidabili.
6. Valutare l’impatto sulla protezione dei dati
Incrociare gli obblighi del Regolamento IA con quelli del GDPR. Per i sistemi che trattano dati personali, valutare la necessità di una DPIA (valutazione d’impatto). Il Garante italiano è particolarmente attento a questo aspetto.
7. Documentare tutto
Il Regolamento richiede la capacità di dimostrare la conformità in caso di controllo. Conservare: registri delle formazioni effettuate, policy aziendali, valutazioni di rischio, misure tecniche adottate, aggiornamenti nel tempo.
Domande frequenti sull’AI Act in Italia
La mia azienda usa solo ChatGPT per compiti semplici. Il Regolamento si applica? Sì. L’Articolo 4 si applica a qualsiasi organizzazione che utilizzi sistemi di IA, indipendentemente dalla complessità dell’uso. Anche un uso basilare di ChatGPT rientra nel perimetro del Regolamento. Per approfondire, leggete la nostra guida gratuita all’intelligenza artificiale.
Le PMI italiane hanno obblighi ridotti? Gli obblighi sostanziali sono identici per tutte le imprese. Il Regolamento prevede alcune agevolazioni per le PMI — sandbox regolamentari, tariffe ridotte per la conformità, proporzionalità delle sanzioni — ma l’Articolo 4 si applica senza distinzione di dimensione.
Quando inizieranno i controlli in Italia? Le prime attività di verifica da parte di AGID e Garante sono attese nella seconda metà del 2026, in concomitanza con la piena operatività del sistema sanzionatorio. Ma l’Articolo 4 è già applicabile: un’eventuale segnalazione o ispezione può avvenire in qualsiasi momento.
Devo certificare la formazione dei dipendenti? Non esiste un obbligo di certificazione specifica. Il Regolamento richiede di dimostrare le misure adottate. Una formazione documentata con registrazione delle partecipazioni, contenuti erogati e valutazione delle competenze acquisite è la soluzione più solida.
Come si coordina l’AI Act con il GDPR? I due regolamenti si applicano in parallelo. Se un sistema di IA tratta dati personali, devono essere rispettati entrambi. Il Garante italiano ha già dimostrato di intervenire con decisione sull’intersezione tra IA e protezione dei dati.
La conformità al Regolamento IA inizia dalla formazione del personale. Brain offre programmi di formazione IA conformi all’Articolo 4, progettati per le aziende italiane e adattabili a ogni settore e dimensione. Scoprite i nostri piani →
Volete adeguare la vostra azienda al Regolamento IA? Brain offre formazione e accompagnamento alla conformità per le aziende italiane — dall’Articolo 4 alla governance dei sistemi ad alto rischio. Iniziate ora →
Articoli correlati
AI Act Italia: guida pratica + Articolo 4
Regolamento IA per le aziende italiane — Articolo 4, scadenze, obblighi, sanzioni e indicazioni del Garante in un'unica guida.
AI Act Articolo 4: obblighi e scadenze per le aziende
Articolo 4 del Regolamento IA: obbligo di formazione, scadenze, sanzioni fino a 15M€ e come adeguarsi. Guida pratica per le aziende.
Compliance IA in azienda: guida al Regolamento 2026
Adeguate la vostra azienda all'AI Act e al GDPR. Audit, documentazione e formazione obbligatoria in una guida pratica.