AI Act 2026: cosa devono fare le aziende per essere in regola con l’intelligenza artificiale
Il 2 agosto 2026 segnerà per migliaia di organizzazioni italiane ed europee il momento in cui l’intelligenza artificiale smetterà di essere un tema di policy e diventerà un obbligo operativo con conseguenze concrete.
Da quella data, chiunque utilizzi sistemi AI classificati ad alto rischio – in ambiti che vanno dalla selezione del personale all’istruzione, dalle infrastrutture critiche all’amministrazione della giustizia – dovrà dimostrare di averli documentati, supervisionati e registrati secondo i requisiti del Regolamento Europeo sull’Intelligenza Artificiale (Reg. UE 2024/1689), noto come AI Act.
Il regolamento, adottato dal Parlamento Europeo nel maggio 2024 e pubblicato nella Gazzetta Ufficiale dell’Unione Europea il 12 luglio dello stesso anno, costituisce il primo quadro normativo organico al mondo dedicato all’intelligenza artificiale: disciplina lo sviluppo, la commercializzazione e l’utilizzo dei sistemi AI nell’Unione Europea, con l’obiettivo di garantirne la sicurezza, la trasparenza e il rispetto dei diritti fondamentali dei cittadini.
Gli obblighi già operativi
La scadenza del 2026 è solo una delle tappe dell’applicazione progressiva del regolamento: una parte significativa degli adempimenti è già esigibile.
Dal 2 febbraio 2025 è in vigore l’obbligo di AI literacy previsto dall’articolo 4, che richiede alle organizzazioni di garantire che il personale impiegato nell’uso di strumenti AI disponga di competenze sufficienti per comprenderne il funzionamento, i limiti e i rischi, commisurate al contesto specifico di utilizzo.
In termini pratici, i dipendenti devono essere in grado di riconoscere output non affidabili, gestire le situazioni che richiedono intervento umano e operare in modo conforme alle policy aziendali: ciò comporta un obbligo di aggiornamento continuo che segue l’evoluzione degli strumenti adottati dall’organizzazione.
Dal 2 agosto 2025 sono inoltre operativi gli obblighi per i modelli di AI a finalità generale, che riguardano trasparenza, documentazione tecnica e rispetto del copyright sui dati di addestramento: si tratta di requisiti che interessano direttamente le organizzazioni che utilizzano modelli linguistici di grandi dimensioni o altri sistemi AI di uso generale nei propri processi. Dalla stessa data è attivo il regime sanzionatorio, il che significa che le organizzazioni che non hanno ancora avviato la mappatura dei propri sistemi o la formazione del personale sono già esposte al rischio di contestazione da parte delle autorità competenti, indipendentemente dalla scadenza del 2026.
A chi si applica il Regolamento
Il campo di applicazione dell’AI Act abbraccia l’intera catena di sviluppo e utilizzo dei sistemi di intelligenza artificiale, coinvolgendo quattro categorie di soggetti con obblighi distinti.
I primi a essere interessati sono i provider, ovvero coloro che sviluppano o fanno sviluppare un sistema AI e lo immettono sul mercato con il proprio nome o marchio. A questi si affiancano i deployer, coloro che utilizzano un sistema AI nell’ambito di un’attività professionale o pubblica, indipendentemente dal fatto che lo abbiano sviluppato internamente o acquisito da terze parti: è questa la categoria che interessa il numero più ampio di organizzazioni, e nella quale rientrano agenzie di marketing che impiegano strumenti di generazione di contenuti, aziende che utilizzano chatbot per l’assistenza clienti, uffici HR che si avvalgono di sistemi di selezione automatizzata e imprese che hanno integrato API di modelli linguistici nei propri processi interni.
Rientrano nel perimetro del regolamento anche gli importatori, ovvero le persone fisiche o giuridiche stabilite nell’Unione che introducono nel mercato interno sistemi AI recanti il marchio di un soggetto extra-UE, e i distributori, coloro che mettono a disposizione un sistema AI sul mercato dell’Unione senza esserne il fornitore originario.
Il regolamento si applica inoltre, con effetto extraterritoriale, alle organizzazioni non europee i cui sistemi producono output utilizzati nel territorio dell’Unione. Gli obblighi specifici variano in funzione del ruolo ricoperto da ciascun soggetto e del livello di rischio associato ai sistemi utilizzati.
I provvedimenti per livello di rischio
Il regolamento non impone gli stessi obblighi a tutte le organizzazioni che rientrano nel suo campo di applicazione: la portata degli adempimenti dipende dalla natura dei sistemi AI utilizzati e dal livello di rischio che comportano. Al vertice della classificazione si collocano i sistemi a rischio inaccettabile, quelli che presentano una minaccia diretta ai diritti fondamentali e ai valori democratici – tra cui il social scoring, lo sfruttamento di vulnerabilità cognitive, il riconoscimento biometrico in tempo reale in spazi pubblici senza autorizzazione e i sistemi di predizione di reati basati esclusivamente sul profiling – e per i quali il regolamento prevede il divieto assoluto.
Seguono i sistemi ad alto rischio, quelli che operano in ambiti particolarmente sensibili come la selezione del personale, l’istruzione, le infrastrutture critiche e l’amministrazione della giustizia: per questi il regolamento impone una documentazione tecnica rigorosa, supervisione umana dei processi decisionali, valutazioni d’impatto sui diritti fondamentali e registrazione in un database europeo pubblico, ed è proprio per questa che il 2 agosto 2026 rappresenta il termine ultimo di adeguamento per la maggior parte dei sistemi ad alto rischio. Fanno eccezione i sistemi che rientrano nell’Allegato I del Regolamento – ovvero quelli già soggetti a normativa europea di sicurezza di prodotto, come dispositivi medici e macchinari – per i quali l’art. 111 del Regolamento prevede una proroga fino al 2 agosto 2027.
Vi sono poi i sistemi a rischio limitato, come i chatbot, soggetti a obblighi di trasparenza nei confronti dell’utente, che deve essere informato di stare interagendo con un sistema automatizzato.
Al di fuori di queste tre categorie si collocano i sistemi a rischio minimo – come i filtri antispam o i videogiochi con componenti AI – per i quali il regolamento non prevede vincoli aggiuntivi. La classificazione non viene assegnata da un’autorità esterna: spetta a ciascuna organizzazione determinare in quale categoria ricadono i propri sistemi e documentarlo in modo verificabile, con tutto ciò che ne consegue sul piano degli adempimenti.
L’integrazione tra AI Act e GDPR
L’adeguamento all’AI Act non può essere affrontato separatamente da un altro quadro normativo che le organizzazioni conoscono già: il GDPR. I due regolamenti si sovrappongono in modo strutturale, e una strategia di compliance che non li gestisca in modo integrato produce lacune su entrambi i fronti.
I sistemi AI che elaborano dati personali devono rispettare simultaneamente i principi di minimizzazione, limitazione della finalità e privacy by design previsti dal GDPR, e i requisiti di trasparenza, supervisione umana e documentazione tecnica richiesti dall’AI Act. I dipendenti che condividono dati personali o informazioni aziendali riservate con strumenti di terze parti generano flussi di trattamento che devono essere conformi a entrambe le normative, e i contratti con i fornitori di tecnologie AI devono includere clausole che regolino il trattamento dei dati su entrambi i fronti. Vale la pena precisare che i due strumenti di valutazione del rischio non sono sovrapponibili: la DPIA prevista dall’art. 35 GDPR e il Fundamental Rights Impact Assessment (FRIA) richiesto dall’art. 27 AI Act ai deployer di sistemi ad alto rischio hanno oggetto e perimetro diversi, e nessuno dei due sostituisce l’altro. Una compliance integrata richiede che siano condotti separatamente.
La compliance come leva competitiva: risponde l’Avvocato Alessandro Vercellotti di Legal for Digital
Un percorso di adeguamento strutturato all’AI Act produce effetti che si estendono alla gestione ordinaria dell’organizzazione. Un’organizzazione con processi AI documentati, policy operative e personale formato dispone di una base operativa più solida, gestisce i dati in modo più controllato e si presenta a clienti e partner con una posizione più definita.
Sul mercato, la capacità di dimostrare una gestione conforme dell’intelligenza artificiale sta assumendo un peso crescente nelle relazioni commerciali e nelle gare d’appalto, in particolare nei settori in cui il trattamento dei dati è centrale. Per approfondire le implicazioni operative e il valore strategico dell’adeguamento per le imprese italiane, abbiamo rivolto alcune domande ad Alessandro Vercellotti, avvocato specializzato in diritto digitale e fondatore di Legal for Digital, studio legale specializzato nel Legal Tech a partire dal 2018. Attraverso i servizi AI di Legal for Digital, Vercellotti accompagna imprese, agenzie e sviluppatori in ogni fase dell’adeguamento all’AI Act.
Dal punto di vista legale, quali vantaggi concreti acquisisce un’organizzazione che ha completato il percorso di adeguamento rispetto a una che non lo ha ancora avviato?
«Facciamola semplice: chi si è adeguato ha le carte in regola. E con “carte” intendo documentazione che ti tutela se qualcuno bussa alla porta, policy che abbattono il rischio di errori operativi con conseguenze legali e contratti che distribuiscono le responsabilità in modo chiaro lungo tutta la catena di fornitura. Attenzione, non parliamo solo di “superare un’ispezione”. Questi strumenti incidono sulla solidità complessiva della tua organizzazione: sulla gestione dei rapporti con fornitori e clienti, sull’esposizione al rischio in generale. Chi ha completato il percorso si trova in una posizione strutturalmente diversa da chi non l’ha ancora fatto. E questa differenza diventa molto concreta nel momento in cui arriva una verifica, una negoziazione importante o un contenzioso. A quel punto, chi è pronto gioca un’altra partita.»
Nei rapporti contrattuali tra aziende, la conformità all’AI Act sta già diventando un elemento che incide sulla negoziazione o sulla stipula degli accordi?
«Sì, e lo vediamo già tutti i giorni. Ci sono situazioni in cui una parte contrattuale chiede all’altra di dichiarare — o meglio, di dimostrare — la conformità ai requisiti dell’AI Act. Succede soprattutto quando il contratto prevede l’uso di sistemi AI che trattano dati sensibili o che incidono su processi decisionali rilevanti. In settori come il finanziario e il sanitario questa dinamica è già consolidata. In altri sta emergendo, ma la direzione è una sola. E qui il punto è strategico: le organizzazioni che non hanno ancora avviato l’adeguamento si trovano in una posizione di svantaggio negoziale. Uno svantaggio che diventerà sempre più evidente con l’avvicinarsi delle scadenze del 2026. Tradotto: se non sei a norma, il tuo potere contrattuale si riduce. E nel business, questo si traduce in soldi.»
Un’organizzazione che ha completato il percorso di adeguamento si trova in una posizione diversa anche rispetto a eventuali contenziosi o contestazioni: in che modo la documentazione prodotta durante il percorso diventa uno strumento di tutela?
«La documentazione che produci durante il percorso di adeguamento — mappatura dei sistemi, classificazione per livello di rischio, policy interne, contratti aggiornati, registri della formazione — è la prova concreta che la tua organizzazione ha operato con diligenza e in buona fede. Non è burocrazia: è il tuo scudo. Se arriva una contestazione da parte delle autorità, è il primo elemento che ti viene chiesto. Se nasce un contenzioso con un cliente o un fornitore, è quello che definisce con precisione chi è responsabile di cosa. La differenza tra chi può esibire questo sistema di evidenze e chi non lo ha costruito si misura in termini molto concreti, tanto sul piano sanzionatorio quanto su quello civilistico. È un po’ come il contratto: puoi lavorare senza, finché va tutto bene. Quando va male, è l’unica cosa che conta.».
