Calendario AI Act: tutte le scadenze dal 2024 al 2027

Una conformità progressiva, non un big bang

L’AI Act non si applica tutto in una volta. Il legislatore europeo ha deliberatamente scaglionato gli obblighi su tre anni per dare alle organizzazioni il tempo di adeguarsi. Ma questa progressività è un’arma a doppio taglio: ogni scadenza passata diventa un rischio immediato di non conformità.

Comprendere questo calendario è indispensabile per pianificare le azioni, allocare i budget e mobilitare i team giusti al momento giusto.

1 août 2024

Entrée en vigueur du règlement

2 février 2025

Pratiques interdites

2 août 2025

Gouvernance & Article 4

2 août 2026

Systèmes à haut risque

2 août 2027

Application complète

Dettaglio di ogni fase

Fase 1 — 1° agosto 2024: entrata in vigore

Il Regolamento (UE) 2024/1689 è pubblicato nella Gazzetta Ufficiale ed entra in vigore. In questa fase, nessun obbligo concreto si applica ancora alle aziende. È il periodo di grazia — quello in cui le organizzazioni ben preparate prendono vantaggio.

Cosa devi fare: iniziare l’inventario dei tuoi sistemi di IA e nominare un responsabile della conformità all’AI Act. In Italia, valutare l’opportunità di coinvolgere fin da subito il DPO e il referente per la compliance, in dialogo con le autorità competenti (il Garante per la protezione dei dati personali, l’AgID e l’ACN).

Fase 2 — 2 febbraio 2025: pratiche vietate

È la prima scadenza vincolante. Quattro categorie di sistemi di IA sono ora vietate:

• Social scoring: qualsiasi sistema che classifica le persone sulla base del loro comportamento sociale
• Manipolazione subliminale: tecniche che influenzano le decisioni senza che la persona ne sia consapevole
• Sfruttamento delle vulnerabilità: sistemi rivolti a persone in posizione di debolezza (età, disabilità, situazione economica)
• Riconoscimento delle emozioni sul lavoro e a scuola: salvo casi medici o di sicurezza rigorosamente circoscritti

Articolo 5 — Règlement (UE) 2024/1689

Sono vietate le seguenti pratiche di intelligenza artificiale: […] l’immissione sul mercato, la messa in servizio o l’uso di un sistema di IA che sfrutti le eventuali vulnerabilità di una persona dovute alla sua età, disabilità o situazione sociale o economica.

Cosa devi fare: effettuare un audit di tutti gli strumenti di IA esistenti per verificare che nessuno rientri in queste categorie. Prestare particolare attenzione agli strumenti di recruiting, scoring clienti e sorveglianza.

Fase 3 — 2 agosto 2025: governance e obbligo di formazione

È la scadenza più sottovalutata — e la più urgente per la maggior parte delle aziende.

L’Articolo 4 richiede una formazione proporzionata al ruolo e all’esposizione di ciascuna persona. Non si tratta di un e-learning generico: le organizzazioni devono poter dimostrare che le competenze acquisite sono adeguate al contesto di utilizzo.

In parallelo, questa fase comprende:

• L’istituzione delle autorità nazionali di sorveglianza in ogni Stato membro
• La pubblicazione dei codici di buone pratiche per l’IA per finalità generali (modelli di base come GPT, Gemini, Claude)

📄AI Act Articolo 4: l'obbligo di formazione sull'IA spiegato→

Cosa devi fare:

• Implementare un programma di sviluppo delle competenze in IA che copra tutti i collaboratori esposti
• Documentare le formazioni completate e i livelli raggiunti (prove verificabili)
• Istituire una governance dell’IA con ruoli e responsabilità chiari

Fase 4 — 2 agosto 2026: sistemi ad alto rischio

Gli obblighi più stringenti del regolamento entrano in vigore. Ogni sistema di IA classificato come “alto rischio” (Allegato III) deve rispettare un rigoroso quadro di conformità:

• Valutazione di conformità documentata
• Sistema di gestione dei rischi
• Governance dei dati di addestramento
• Documentazione tecnica completa
• Supervisione umana integrata nel funzionamento del sistema
• Obblighi di trasparenza verso gli utenti

I settori più coinvolti: HR e recruiting, credito e assicurazioni, sanità, istruzione, giustizia, immigrazione, infrastrutture critiche. In Italia, ciò tocca direttamente banche come Intesa Sanpaolo e UniCredit, il Servizio Sanitario Nazionale (SSN), enti pubblici come INPS e Agenzia delle Entrate, e qualsiasi azienda che utilizzi IA per il credit scoring o la selezione del personale.

📄Governance IA in azienda: 5 passi per strutturarsi→

Cosa devi fare:

• Completare la classificazione di tutti i tuoi sistemi di IA secondo i livelli di rischio
• Per ogni sistema ad alto rischio, predisporre il dossier tecnico richiesto
• Integrare i meccanismi di supervisione umana nei tuoi processi

Fase 5 — 2 agosto 2027: applicazione completa

Tutte le disposizioni del regolamento diventano applicabili, compresi i sistemi di IA già sul mercato prima dell’entrata in vigore. Le sanzioni sono pienamente esecutive:

• Fino a 35 milioni di euro o il 7% del fatturato mondiale per le pratiche vietate
• Fino a 15 milioni di euro o il 3% del fatturato per le altre violazioni
• Fino a 7,5 milioni di euro o l’1,5% del fatturato per dichiarazioni inesatte

📄Regolamentazione dell'IA in Europa: la guida completa 2026→

Da dove iniziare adesso

Se stai leggendo nel 2026, la scadenza dell’Articolo 4 è già passata. La priorità assoluta è poter dimostrare che la tua organizzazione ha adottato misure concrete per formare i propri team.

Ecco l’ordine di priorità consigliato:

1. Immediato — Verificare l’assenza di pratiche vietate (già in vigore)
2. Immediato — Predisporre un programma di formazione sull’IA documentato (Articolo 4, in vigore da agosto 2025)
3. Entro 6 mesi — Classificare i tuoi sistemi di IA e preparare la conformità per l’alto rischio (agosto 2026)
4. Entro 18 mesi — Completare la conformità totale (agosto 2027)

Il calendario è serrato, ma l’approccio progressivo del legislatore è un vantaggio per le organizzazioni che iniziano adesso. Quelle che aspettano la scadenza finale rischiano di trovarsi di fronte a un muro di conformità impossibile da superare in pochi mesi.

📄Formazione IA per le aziende: la guida strategica 2026→