Guida AI Act·startbrain.ai
Guida AI Act: la guida completa per le aziende Articolo 4: l'obbligo di formare tutti i collaboratori sull'IA Classificazione dei sistemi di IA: sei coinvolto nell'alto rischio? Pratiche IA vietate: cosa la tua azienda non può più fare Sanzioni AI Act: multe fino a 35 milioni di euro Calendario AI Act: tutte le scadenze dal 2024 al 2027 Checklist di conformità AI Act per ruolo: DPO, HR, CIO, Consiglio di Amministrazione

Sanzioni AI Act: multe fino a 35 milioni di euro

Le sanzioni dell'AI Act possono raggiungere 35 milioni di euro o il 7% del fatturato mondiale. Dettaglio delle multe per tipo di violazione e confronto con il GDPR.

Un regime sanzionatorio senza precedenti

Il Regolamento Europeo sull’Intelligenza Artificiale (Regolamento 2024/1689) introduce uno dei sistemi sanzionatori più severi del diritto digitale europeo. Con sanzioni fino a 35 milioni di euro o il 7% del fatturato mondiale, l’AI Act invia un segnale chiaro: la non conformità in materia di IA non è un rischio astratto — è un rischio finanziario di primo piano.

Articolo 99Règlement (UE) 2024/1689

Gli Stati membri stabiliscono le norme relative alle sanzioni e ad altre misure di esecuzione, che possono includere anche avvertimenti e misure non pecuniarie, applicabili alle violazioni del presente regolamento da parte degli operatori, e adottano tutte le misure necessarie per garantirne l’attuazione corretta ed efficace […].

I tre livelli di sanzioni

L’Articolo 99 del regolamento definisce tre livelli di sanzioni, in base alla gravità della violazione.

Livello 1 — Pratiche vietate: 35 milioni di euro o 7% del fatturato mondiale

Il livello sanzionatorio più elevato si applica alle violazioni dell’Articolo 5 (pratiche vietate):

  • Social scoring
  • Manipolazione subliminale o tecniche ingannevoli
  • Sfruttamento delle vulnerabilità delle persone
  • Identificazione biometrica in tempo reale negli spazi pubblici (salvo eccezioni ammesse)
  • Riconoscimento delle emozioni sul lavoro e nell’istruzione
  • Creazione di database facciali tramite scraping

La sanzione può raggiungere 35 milioni di euro o il 7% del fatturato annuo mondiale, prevalendo l’importo più elevato.

Per un’azienda con 500 milioni di euro di fatturato, questo significa potenzialmente 35 milioni di euro di sanzione. Per un gruppo mondiale con 10 miliardi di euro di fatturato, la sanzione teorica sale a 700 milioni di euro.

Livello 2 — Non conformità dei sistemi ad alto rischio: 15 milioni di euro o 3% del fatturato mondiale

Il secondo livello sanziona le violazioni degli obblighi relativi ai sistemi di IA ad alto rischio e ai modelli di IA per finalità generali:

  • Mancato rispetto dei requisiti di gestione dei rischi (Articolo 9)
  • Carenze nella governance dei dati (Articolo 10)
  • Assenza di documentazione tecnica (Articolo 11)
  • Insufficiente trasparenza verso gli utenti (Articolo 13)
  • Inadeguatezza della supervisione umana (Articolo 14)
  • Non conformità dei modelli di IA per finalità generali (Articoli da 51 a 56)
  • Mancato rispetto dell’obbligo di competenza in IA (Articolo 4)

Quest’ultimo punto è cruciale: la mancata formazione dei collaboratori sull’IA rientra in questo livello. Un’azienda che non ha adottato alcuna misura per garantire un livello sufficiente di competenza in IA del proprio personale rischia sanzioni fino a 15 milioni di euro o il 3% del fatturato mondiale.

Livello 3 — Informazioni inesatte: 7,5 milioni di euro o 1,5% del fatturato mondiale

Il terzo livello si applica quando un’azienda fornisce informazioni inesatte, incomplete o fuorvianti alle autorità competenti o agli organismi notificati:

  • Dichiarazioni di conformità false
  • Documenti tecnici falsificati o incompleti
  • Risposte inesatte alle richieste di informazione delle autorità
  • Occultamento di incidenti o malfunzionamenti

La sanzione può raggiungere 7,5 milioni di euro o l’1,5% del fatturato annuo mondiale.

Confronto con il GDPR: sanzioni più pesanti

Per misurare la severità del regime dell’AI Act, il confronto con il GDPR è illuminante:

CriterioGDPRAI Act
Sanzione massima (importo fisso)20 milioni di euro35 milioni di euro
Sanzione massima (% del fatturato)4% del fatturato mondiale7% del fatturato mondiale
Numero di livelli23
In vigore dalMaggio 2018Progressivo (2025-2027)
Autorità di controlloAutorità per la protezione dei datiAutorità nazionali + Ufficio europeo per l’IA

Il legislatore europeo ha deliberatamente fissato le sanzioni dell’AI Act al di sopra di quelle del GDPR. Il messaggio è chiaro: i rischi legati a un’IA mal gestita sono considerati almeno altrettanto gravi di quelli legati alla protezione dei dati — e le aziende saranno sanzionate di conseguenza.

Per riferimento, le sanzioni del GDPR non sono rimaste teoriche. Nel 2023, Meta ha ricevuto una sanzione di 1,2 miliardi di euro dall’autorità irlandese. Amazon è stata multata per 746 milioni di euro in Lussemburgo nel 2021. Le autorità europee hanno dimostrato di non esitare ad applicare le sanzioni massime alle grandi aziende. In Italia, il Garante per la protezione dei dati personali si è distinto per la sua attività sanzionatoria, avendo già comminato sanzioni significative a grandi piattaforme tecnologiche, inclusa la sanzione a Clearview AI (20 milioni di euro) e le misure restrittive nei confronti di ChatGPT nel 2023.

Regimi speciali per le PMI

Il regolamento prevede un trattamento adeguato per le piccole imprese. L’Articolo 99(6) precisa che le sanzioni devono essere “effettive, proporzionate e dissuasive”. Per le PMI e le startup, le autorità devono tener conto della sostenibilità economica dell’impresa.

Concretamente:

  • Le percentuali sul fatturato si applicano allo stesso modo, ma gli importi fissi (35 milioni, 15 milioni, 7,5 milioni di euro) costituiscono un tetto massimo assoluto
  • Le autorità devono considerare le dimensioni dell’impresa, la gravità della violazione, il suo carattere intenzionale o meno e le misure adottate per attenuare i danni
  • I sandbox regolatori (Articolo 57) offrono un contesto in cui le PMI possono testare i propri sistemi di IA in condizioni reali con il supporto delle autorità

Chi controlla e chi sanziona?

Le autorità nazionali competenti

Ogni Stato membro deve designare una o più autorità nazionali competenti incaricate della sorveglianza del mercato e dell’applicazione del regolamento. In Italia, questa responsabilità è condivisa tra diversi soggetti istituzionali:

  • Il Garante per la protezione dei dati personali — già competente in materia di protezione dei dati, con competenza naturale sui sistemi di IA che trattano dati personali. Il Garante italiano si è già distinto come uno dei più attivi in Europa, con interventi tempestivi su ChatGPT e Clearview AI.
  • L’AgID (Agenzia per l’Italia Digitale) — responsabile della trasformazione digitale della pubblica amministrazione, con un ruolo chiave nella governance dell’IA nel settore pubblico, incluse le piattaforme digitali utilizzate da enti come INPS e Agenzia delle Entrate.
  • L’ACN (Agenzia per la Cybersicurezza Nazionale) — competente per gli aspetti di cybersicurezza dei sistemi di IA, in particolare quelli legati alle infrastrutture critiche.
  • Le autorità settoriali esistenti — come la Banca d’Italia e l’IVASS per la finanza e le assicurazioni, e le autorità sanitarie per i sistemi di IA utilizzati nel Servizio Sanitario Nazionale (SSN).

L’Ufficio europeo per l’IA (AI Office)

Istituito all’interno della Commissione europea, l’Ufficio europeo per l’IA svolge un ruolo di coordinamento e dispone di competenze dirette sui modelli di IA per finalità generali. Può:

  • Valutare la conformità dei modelli di IA per finalità generali
  • Richiedere misure correttive ai fornitori
  • Imporre sanzioni per le violazioni relative ai modelli per finalità generali
📄AI Act Articolo 4: l'obbligo di formazione sull'IA spiegato

L’importanza di poter dimostrare la conformità

Al di là delle sanzioni, il meccanismo dell’AI Act si basa su un principio fondamentale: l’onere della prova spetta all’azienda. Non è l’autorità a dover dimostrare che non sei conforme — sei tu a dover dimostrare che lo sei.

Cosa significa “dimostrare la conformità” concretamente

  1. Documentazione tecnica: per ogni sistema di IA ad alto rischio, un dossier completo che descrive il sistema, le sue finalità, le prestazioni, i limiti e i dati di addestramento utilizzati
  2. Registri di conformità: cronologia delle valutazioni di conformità, degli audit interni e degli aggiornamenti
  3. Log di utilizzo: registri automatizzati che tracciano le decisioni prese dai sistemi di IA (conservazione minima di sei mesi)
  4. Prove di formazione: attestati, risultati delle valutazioni, tassi di partecipazione — a dimostrazione che il personale raggiunge il livello di competenza richiesto dall’Articolo 4
  5. Procedure di segnalazione: meccanismi documentati che consentono agli utenti di segnalare malfunzionamenti o risultati problematici

Un punteggio di competenza misurabile e tracciabile per ogni collaboratore costituisce una prova particolarmente solida per l’Articolo 4. Allo stesso modo, uno storico completo delle formazioni completate, con date, contenuti e risultati, permette di dimostrare la conformità in modo oggettivo.

Il fattore aggravante: l’assenza di misure

In caso di ispezione, la situazione più sfavorevole non è avere un programma di conformità imperfetto — è non averne affatto. Le autorità terranno conto degli sforzi compiuti dall’azienda. Aver avviato un approccio strutturato, anche incompleto, è sempre preferibile all’inazione totale.

📄Audit IA in azienda: guida pratica passo dopo passo

Il calendario dei rischi

Le sanzioni si applicano progressivamente, in linea con l’entrata in vigore dei diversi obblighi:

DataObblighi in vigoreSanzioni applicabili
1° febbraio 2025Pratiche vietate (Articolo 5)Fino a 35 milioni / 7%
2 agosto 2025Competenza in IA (Articolo 4) + Modelli per finalità generaliFino a 15 milioni / 3%
2 agosto 2026Sistemi di IA ad alto rischioFino a 15 milioni / 3%
2 agosto 2027Sistemi ad alto rischio integrati in prodotti regolamentatiFino a 15 milioni / 3%

Le prime due scadenze sono già passate. Le aziende che non hanno ancora adottato misure sulle pratiche vietate e sulla competenza in IA si trovano già nella zona di rischio.

Oltre le sanzioni: i rischi indiretti

Le sanzioni finanziarie sono solo la parte visibile. La non conformità all’AI Act espone ad altri rischi altrettanto importanti:

  • Rischio reputazionale: essere identificati pubblicamente come non conformi alla regolamentazione sull’IA invia un segnale disastroso a clienti, partner e investitori
  • Rischio commerciale: le aziende conformi esigeranno che anche i loro fornitori e partner lo siano — un effetto a cascata paragonabile a quello del GDPR
  • Rischio operativo: le autorità possono ordinare il ritiro dal mercato di un sistema di IA non conforme o vietarne l’uso — paralizzando potenzialmente processi aziendali critici
  • Rischio contenzioso: le persone colpite da un sistema di IA non conforme possono avviare azioni legali, con i relativi costi giuridici e risarcitori

Ce que ça implique pour vous

L’AI Act introduce le sanzioni più pesanti del diritto digitale europeo: 35 milioni di euro o il 7% del fatturato mondiale per le pratiche vietate, 15 milioni per i sistemi ad alto rischio e la mancata formazione. La chiave per minimizzare il rischio: dimostrare la conformità attraverso una documentazione rigorosa, formazioni tracciate e valutazioni misurabili. Le prime scadenze sono già passate — ogni giorno senza azione aumenta l’esposizione.