Perché una normativa IA? Obiettivi, ambito e definizioni chiave
L’ascesa dell’intelligenza artificiale promette di trasformare la nostra economia e società, ma porta con sé anche sfide significative. Per questo motivo, l’Unione Europea ha introdotto una normativa sull’intelligenza artificiale con un duplice obiettivo: da un lato, rafforzare la posizione dell’UE come hub globale per l’innovazione in campo IA e, dall’altro, garantire che le tecnologie sviluppate e utilizzate nel mercato unico siano sicure e rispettino i diritti fondamentali dei cittadini. L’intero impianto normativo si fonda su un pilastro fondamentale: l’approccio risk-based (basato sul rischio). Invece di applicare le stesse regole a tutte le applicazioni, il regolamento modula gli obblighi in base al potenziale livello di rischio che un sistema IA può rappresentare per la salute, la sicurezza o i diritti delle persone.
Ma cosa si intende esattamente per “sistema di IA” secondo il Regolamento UE sull’intelligenza artificiale? La definizione legale si riferisce a un sistema automatizzato progettato per operare con vari livelli di autonomia e che può, per obiettivi espliciti o impliciti, generare output come previsioni, raccomandazioni o decisioni che influenzano ambienti fisici o virtuali. È fondamentale distinguere questi sistemi da automazioni più semplici. Un comune script per l’invio di email o un flusso di lavoro che automatizza la fatturazione — come quelli che si possono creare con strumenti di workflow automation come n8n — opera seguendo regole logiche predefinite e raramente possiede l’autonomia e la capacità di apprendimento che caratterizzano un sistema IA regolamentato. Questa distinzione è cruciale per le aziende che vogliono innovare i propri processi senza incorrere negli obblighi più stringenti, riservati ai sistemi a più alto impatto.
L’ambito di applicazione della legge è ampio e ben definito, individuando una catena di responsabilità chiara. I soggetti coinvolti includono:
- Fornitori (Providers): Coloro che sviluppano un sistema di IA e lo immettono sul mercato o lo mettono in servizio.
- Utenti (Deployers): Qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che utilizza un sistema di IA sotto la propria autorità, a eccezione dell’uso personale e non professionale.
- Importatori e Distributori: Intermediari che rendono disponibili nel mercato UE sistemi di IA sviluppati da terzi.
Ciascuno di questi attori ha responsabilità specifiche per garantire che solo sistemi IA conformi e sicuri raggiungano il mercato e vengano utilizzati correttamente, creando un ecosistema di fiducia e accountability.
AI Act (Reg. UE 2024/1689): principi, ambito di applicazione e governance
Il Regolamento UE sull’intelligenza artificiale, noto come AI Act (Reg. UE 2024/1689), rappresenta il quadro normativo di riferimento per l’intero mercato unico. Il suo obiettivo non è frenare l’innovazione, ma incanalarla verso uno sviluppo etico e affidabile. L’intera struttura si basa su alcuni principi cardine:
- Approccio basato sul rischio (risk-based approach): Gli obblighi normativi sono proporzionali al rischio che un sistema IA pone per la salute, la sicurezza e i diritti fondamentali.
- Centralità dell’uomo (Human-centricity): I sistemi IA devono essere progettati per essere controllabili e supervisionati da esseri umani, garantendo che la decisione finale spetti sempre a una persona, specialmente in contesti critici.
- Robustezza tecnica e sicurezza: I sistemi devono essere resilienti, sicuri e precisi per tutto il loro ciclo di vita.
- Trasparenza: Gli utenti devono essere informati quando interagiscono con un sistema IA, e deve essere garantita la tracciabilità dei dati e dei processi decisionali.
L’ambito di applicazione è estremamente ampio. Dal punto di vista materiale, copre la maggior parte dei sistemi di IA immessi sul mercato o messi in servizio nell’Unione, indipendentemente dal luogo in cui sono stati sviluppati. Questo introduce un principio di extraterritorialità: il regolamento si applica anche a fornitori e utenti extra-UE se l’output prodotto dal sistema IA è utilizzato nel territorio dell’Unione. È fondamentale notare, tuttavia, che non ogni forma di automazione è un “sistema di IA” ai sensi della legge. Soluzioni di workflow automation come n8n, che operano principalmente seguendo logiche predefinite per connettere diverse applicazioni, restano generalmente fuori dal perimetro dei sistemi a rischio, a meno che non vengano usate per integrare componenti IA specifiche e ad alto impatto.
Per garantire un’applicazione uniforme, è stata definita una chiara struttura di governance. A livello europeo, l’European AI Office funge da centro di competenza, monitorando l’applicazione delle regole, specialmente per i modelli di uso generale (GPAI). Sarà affiancato da un Comitato europeo per l’intelligenza artificiale, composto da rappresentanti degli Stati membri. A livello nazionale, ogni paese designerà una o più autorità nazionali di vigilanza del mercato con il compito di sorvegliare l’applicazione del regolamento. Questa architettura è la chiave per dare vita alla classificazione del rischio IA, che analizzeremo nel dettaglio di seguito.
Livelli di rischio, pratiche vietate e requisiti di trasparenza
Il cuore del Regolamento UE sull’intelligenza artificiale è la classificazione del rischio IA, una piramide a quattro livelli che modula gli obblighi in base all’impatto potenziale di un sistema. Questo approccio risk-based è la chiave per bilanciare innovazione e sicurezza.

-
Rischio Inaccettabile: le Pratiche Vietate
Al vertice si trovano le pratiche vietate IA (Art. 5), considerate una minaccia inaccettabile per i diritti e i valori dell’UE. Sono pertanto bandite dal mercato unico. Tra queste rientrano:- Social scoring governativo: Sistemi che valutano o classificano le persone in base al loro comportamento sociale o caratteristiche personali, portando a trattamenti sfavorevoli.
- Manipolazione comportamentale subliminale: Tecniche che sfruttano le vulnerabilità delle persone (età, disabilità) per distorcerne il comportamento in modo dannoso.
- Sistemi di identificazione biometrica remota “in tempo reale” in spazi pubblici per finalità di ordine pubblico, salvo eccezioni rigorosamente definite (es. ricerca di vittime o minacce terroristiche imminenti).
- Categorizzazione biometrica basata su dati sensibili come opinioni politiche, orientamento sessuale o credo religioso.
-
Rischio Alto: Requisiti Rigorosi
Subito sotto si collocano i sistemi ad alto rischio. Non sono vietati, ma sono soggetti a requisiti molto severi prima e dopo l’immissione sul mercato. Rientrano qui i sistemi il cui malfunzionamento può avere gravi conseguenze sulla salute, sicurezza o diritti fondamentali. L’Allegato III dell’AI Act 2024/1689 ne fornisce un elenco preciso, che include sistemi usati per:- La selezione del personale e la gestione dei lavoratori.
- La valutazione del merito creditizio e l’accesso al credito.
- L’accesso a prestazioni di assistenza sociale e servizi pubblici essenziali.
- La gestione di infrastrutture critiche come acqua, gas ed elettricità.
- L’amministrazione della giustizia e i processi democratici.
Per questi sistemi, sono obbligatori una rigorosa valutazione di conformità e marcatura CE, una costante sorveglianza post-market e gestione del ciclo di vita, e la tenuta di registri e tracciabilità dei dati.
-
Rischio Limitato: Obblighi di Trasparenza
Per i sistemi a rischio limitato, la normativa impone principalmente requisiti di trasparenza IA. L’obiettivo è garantire che gli utenti siano sempre consapevoli di interagire con un sistema artificiale e non siano ingannati. Ad esempio, i chatbot devono dichiarare la loro natura non umana, e i contenuti generati o manipolati da IA (come i deepfake) devono essere chiaramente etichettati come tali. -
Rischio Minimo o Nullo: la Maggior Parte delle Applicazioni
Alla base della piramide si trova la stragrande maggioranza delle applicazioni IA, considerate a rischio minimo o nullo. Per queste non sono previsti obblighi specifici. In questa categoria rientrano moltissimi strumenti di uso quotidiano, come filtri anti-spam, sistemi di raccomandazione nei videogiochi e la maggior parte delle automazioni di processo create con piattaforme come n8n per ottimizzare i flussi di lavoro aziendali. L’innovazione in questi ambiti è incoraggiata e può procedere senza il peso degli obblighi più stringenti, promuovendo l’efficienza e la produttività.
Obblighi per i sistemi ad alto rischio e i modelli di uso generale (GPAI)
Mentre le pratiche a rischio inaccettabile sono bandite, i sistemi ad alto rischio e i modelli di uso generale (GPAI) sono permessi ma soggetti a un quadro di obblighi rigoroso, pensato per garantire sicurezza e affidabilità lungo tutto il loro ciclo di vita. La responsabilità ricade principalmente sui fornitori, che devono dimostrare la conformità del sistema prima di immetterlo sul mercato.
Per i fornitori di sistemi ad alto rischio, l’AI Act impone una serie di doveri inderogabili, che possono essere riassunti in questa checklist:
- Sistema di gestione dei rischi: Istituire, implementare e mantenere un processo continuo per identificare, analizzare e mitigare i rischi del sistema IA per tutto il suo ciclo di vita.
- Data governance e qualità: Garantire che i dati di addestramento, convalida e test siano pertinenti, rappresentativi, privi di errori e il più possibile completi, gestendo e documentando eventuali bias.
- Documentazione tecnica: Preparare una documentazione tecnica dettagliata (prima dell’immissione sul mercato) che spieghi le caratteristiche, lo scopo, le capacità e i limiti del sistema, rendendola disponibile alle autorità di vigilanza.
- Registrazione e tracciabilità dei dati: Garantire che il sistema sia in grado di registrare automaticamente gli eventi (logs) per assicurare un alto livello di registri e tracciabilità dei dati sul suo funzionamento.
- Valutazione di conformità e marcatura CE: Eseguire una valutazione di conformità (autovalutazione o tramite organismo notificato, a seconda del caso) per dimostrare il rispetto dei requisiti e apporre la marcatura CE.
- Sorveglianza post-market e gestione del ciclo di vita: Implementare un sistema di sorveglianza post-market per monitorare le prestazioni del sistema una volta in uso e adottare misure correttive se emergono rischi non previsti.
Una novità fondamentale del regolamento è l’introduzione di regole specifiche per i modelli di uso generale (GPAI), noti anche come foundation models (es. le famiglie di modelli come GPT di OpenAI, Llama di Meta o Gemini di Google). Questi modelli non sono progettati per uno scopo specifico ma possono essere adattati a innumerevoli applicazioni. I loro fornitori hanno obblighi principalmente incentrati sulla trasparenza nei confronti degli utenti a valle, ovvero chi, come AI Automation Italia, utilizza le loro API per costruire applicazioni specifiche. Devono fornire documentazione tecnica chiara sulle capacità, limitazioni e risultati dei test del modello.
Questo crea una catena di responsabilità chiara: se AI Automation Italia utilizza un GPAI di terze parti per costruire un’applicazione per un cliente (ad esempio, un sistema di analisi CV per le risorse umane), la qualificazione del rischio dipende dall’applicazione finale. Se tale sistema è classificato come ad alto rischio, AI Automation Italia assume il ruolo di “fornitore” dell’applicazione finale e deve adempiere a tutti gli obblighi sopra elencati, inclusa la marcatura CE, utilizzando la documentazione del fornitore del GPAI come base per la propria valutazione di conformità.
Tempistiche di adozione ed entrata in vigore: cosa scatta quando
L’AI Act (Reg. UE 2024/1689) è stato formalmente pubblicato sulla Gazzetta Ufficiale dell’Unione Europea ed è entrato in vigore a luglio 2024. Tuttavia, la sua piena applicazione non è immediata. Il legislatore ha previsto un approccio graduale per dare tempo a imprese, sviluppatori e autorità di adeguarsi. Comprendere questa timeline è fondamentale per pianificare una strategia di conformità senza farsi cogliere impreparati.

Il calendario di applicazione si articola in diverse fasi chiave:
- Dopo 6 mesi (inizio 2025): Scatta il divieto per tutte le pratiche vietate IA (Art. 5). Da questo momento, i sistemi considerati a rischio inaccettabile, come il social scoring governativo o la manipolazione comportamentale, dovranno essere dismessi e non potranno essere immessi sul mercato.
- Dopo 12 mesi (metà 2025): Entrano in vigore gli obblighi specifici per i modelli di uso generale (GPAI). I fornitori di foundation models dovranno adeguarsi ai requisiti di trasparenza e documentazione.
- Dopo 24 mesi (metà 2026): Questa è la data cruciale per la maggior parte delle aziende. Diventano applicabili tutte le regole per i sistemi ad alto rischio, inclusi gli obblighi di valutazione di conformità e marcatura CE, la sorveglianza post-market e la tenuta dei registri.
- Dopo 36 mesi (metà 2027): È previsto un periodo di transizione più lungo per i sistemi ad alto rischio che rientrano in ambiti già regolamentati da normative di armonizzazione dell’UE (es. dispositivi medici).
Questa applicazione scaglionata non deve essere vista come un motivo per rimandare, ma come un’opportunità per le aziende di analizzare i propri sistemi, qualificarne il rischio e avviare per tempo il percorso di adeguamento.
Italia: Legge 23 settembre 2025 n. 132 e coordinamento con l’AI Act
Mentre l’AI Act (Reg. UE 2024/1689) stabilisce un quadro giuridico armonizzato per tutta l’Unione Europea, gli Stati membri mantengono la facoltà di legiferare su aspetti specifici non coperti dal regolamento o per i quali è richiesta un’attuazione nazionale. In questo contesto si inserisce la Legge 23 settembre 2025, n. 132, il provvedimento con cui l’Italia integra e adatta il proprio ordinamento alla nuova normativa sull’intelligenza artificiale.

È fondamentale comprendere la relazione tra le due fonti. L’AI Act, in quanto Regolamento UE, è direttamente applicabile e prevale sulla normativa nazionale in caso di conflitto. La legge italiana non lo sostituisce, ma ne specifica l’applicazione sul territorio nazionale, intervenendo su ambiti cruciali:
- Governance e Autorità Nazionali IA: La legge individua le autorità nazionali di vigilanza del mercato che avranno il compito di sorvegliare l’applicazione del regolamento, svolgere indagini e irrogare sanzioni. Questo definisce la struttura di governance a livello italiano, garantendo un punto di riferimento chiaro per imprese e cittadini.
- Regime Sanzionatorio: Anche se l’AI Act delinea i massimali, la legge italiana specifica il quadro delle sanzioni amministrative AI Act applicabili in caso di violazione, adattandole al contesto nazionale.
- Promozione e Innovazione: Vengono definite misure strategiche per sostenere la ricerca, lo sviluppo e l’adozione dell’IA da parte delle imprese italiane, con un focus sulla competitività del tessuto produttivo e sulla formazione di competenze, in linea con standard come la norma UNI 11621-8 sui profili professionali dell’IA.
- Tutela del Diritto d’Autore: La legge affronta il delicato tema della protezione delle opere dell’ingegno utilizzate per addestrare i modelli IA e della titolarità dei contenuti generati, una delle sfide più sentite del settore.
Questa architettura a due livelli, con il Regolamento UE sull’intelligenza artificiale come cornice generale e la legge nazionale come strumento di attuazione, mira a creare un ecosistema legale coerente e robusto, capace di bilanciare innovazione e tutela dei diritti.
Autorità competenti, sanzioni, tutele degli utenti e diritto d’autore
L’efficacia della normativa sull’intelligenza artificiale dipende da un solido apparato di vigilanza e da sanzioni dissuasive. La legge italiana n. 132/2025 definisce proprio questi aspetti, istituendo una chiara struttura di governance e autorità nazionali IA e implementando il regime sanzionatorio delineato dal regolamento europeo.
Le autorità designate in Italia per la vigilanza sono due, con competenze complementari:
- AGID (Agenzia per l’Italia Digitale): Funge da autorità di coordinamento e supervisione per gli aspetti più tecnici e di mercato dell’AI Act.
- Garante per la protezione dei dati personali: Si occupa della vigilanza per le implicazioni sui diritti fondamentali e sulla privacy, in particolare quando i sistemi IA trattano dati personali.
Il regime delle sanzioni amministrative AI Act è concepito per essere rigoroso e proporzionale alla gravità della violazione. Le multe possono raggiungere cifre molto elevate:
- Fino a 35 milioni di euro o il 7% del fatturato mondiale annuo (a seconda di quale sia maggiore) per la violazione delle pratiche vietate IA.
- Fino a 15 milioni di euro o il 3% del fatturato mondiale annuo per l’inadempienza degli obblighi previsti per i sistemi ad alto rischio (es. carenze nel sistema di gestione dei rischi, nella data governance o nella documentazione tecnica).
- Fino a 7,5 milioni di euro o l’1,5% del fatturato mondiale annuo per la fornitura di informazioni inesatte o fuorvianti alle autorità.
Sul fronte della tutela degli utenti, il regolamento introduce il diritto a ricevere una spiegazione significativa sulle decisioni prese da sistemi ad alto rischio che hanno un impatto rilevante sulla vita delle persone (es. una bocciatura in una candidatura lavorativa o la negazione di un prestito). Gli utenti hanno inoltre il diritto di presentare un reclamo all’autorità nazionale competente.
Infine, viene affrontato il delicato tema del diritto d’autore. I fornitori di modelli di uso generale (GPAI) devono documentare e rendere disponibile una sintesi dei contenuti protetti da copyright usati per l’addestramento. Il regolamento conferma l’eccezione per il Text and Data Mining (TDM), consentendo l’uso di opere per addestrare i modelli, a meno che i titolari dei diritti non abbiano esplicitamente espresso una riserva in un formato leggibile meccanicamente (opt-out). Questo obbligo di rendicontazione, unito ai requisiti di trasparenza IA, mira a creare un equilibrio tra innovazione e protezione delle opere dell’ingegno.
Standard e competenze: UNI 11621-8:2026 e i 12 profili professionali dell’IA
Oltre agli obblighi normativi, l’efficace adozione dell’IA dipende da un fattore cruciale: le competenze umane. Per rispondere a questa esigenza, l’Italia ha introdotto la norma UNI 11621-8, uno standard tecnico che definisce per la prima volta i profili professionali legati all’intelligenza artificiale, in armonia con l’e-Competence Framework (UNI EN 16234-1) europeo. Questo strumento è fondamentale per le organizzazioni che vogliono strutturare team competenti e allineati alla nuova normativa sull’intelligenza artificiale.
La norma identifica 12 ruoli chiave, creando un vocabolario comune e un riferimento per il mercato del lavoro. Questi profili coprono l’intero ciclo di vita di un sistema IA, dalle fasi strategiche a quelle operative:
- Figure strategiche e di governance: AI Business Analyst, AI Strategist, AI Ethics Officer, AI Legal & Compliance Specialist.
- Figure tecniche e di sviluppo: AI Developer, Machine Learning Engineer, Data Scientist, Data Engineer.
- Figure gestionali e di qualità: AI Project Manager, AI Operations Manager, AI Quality Assurance Specialist, AI Security Specialist.
Avere questi ruoli ben definiti non è un mero esercizio formale. Un AI Ethics Officer è essenziale per la supervisione dei sistemi ad alto rischio, mentre un AI Developer deve sapere come implementare by-design i requisiti di registri e tracciabilità dei dati richiesti dal Regolamento UE sull’intelligenza artificiale. Per le aziende, investire in queste competenze, attraverso la formazione interna o affidandosi a partner qualificati, diventa un fattore strategico. Permette di garantire che l’implementazione di un sistema IA rispetti tutti i requisiti di legge, dalla progettazione alla sorveglianza post-market e gestione del ciclo di vita, trasformando gli obblighi dell’AI Act 2024/1689 in un vantaggio competitivo e un sigillo di affidabilità.
Roadmap di conformità per imprese e PA: checklist operativa passo‑passo
Affrontare la nuova normativa sull’intelligenza artificiale può sembrare un’impresa complessa, ma con un approccio strutturato diventa un percorso gestibile e un’opportunità per rafforzare la fiducia nei propri servizi. Per imprese e Pubblica Amministrazione, l’adeguamento non è solo un obbligo, ma un investimento strategico. Ecco una roadmap operativa in cinque passi per navigare il processo di conformità all’AI Act 2024/1689.
Passo 1: Mappatura e Inventario dei Sistemi IA
Il primo passo è la consapevolezza. È impossibile gestire ciò che non si conosce. Create un inventario completo di tutti gli strumenti, le piattaforme e i processi che utilizzano componenti di intelligenza artificiale. Questo registro deve includere software commerciali, modelli open-source, API di terze parti e anche i processi interni automatizzati — persino quelli realizzati con strumenti di workflow automation come n8n, se integrano o orchestrano sistemi IA. L’obiettivo è avere una visione chiara e documentata di dove e come l’IA opera all’interno dell’organizzazione.
Passo 2: Classificazione del Rischio
Una volta mappati i sistemi, è necessario valutarli secondo l’approccio risk-based del regolamento. Per ogni sistema, determinate il livello di rischio: inaccettabile (e quindi da dismettere), alto, limitato o minimo. Questa classificazione del rischio IA è il cardine dell’intero impianto normativo e determina l’entità degli obblighi successivi. Ad esempio, un workflow n8n che automatizza la creazione di report interni da dati strutturati sarà quasi certamente a rischio minimo. Se lo stesso strumento viene usato per integrare un GPAI che analizza e preseleziona curriculum, il sistema finale ricadrà probabilmente tra i sistemi ad alto rischio.
Passo 3: Gap Analysis
Per tutti i sistemi classificati a rischio alto o limitato, è il momento di condurre un’analisi delle lacune (Gap Analysis). Confrontate lo stato attuale del sistema con i requisiti specifici del Regolamento UE sull’intelligenza artificiale. Le carenze potrebbero riguardare la qualità dei dati, la mancanza di registri e tracciabilità dei dati sul funzionamento, l’assenza di documentazione tecnica adeguata o l’inadeguatezza dei meccanismi di supervisione umana. Questo audit interno è fondamentale per capire cosa serve per colmare il divario.
Passo 4: Piano di Adeguamento
Sulla base della Gap Analysis, definite un piano d’azione dettagliato. Questo piano deve specificare le azioni correttive (tecniche, organizzative e documentali), assegnare responsabilità chiare all’interno del team e stabilire una timeline realistica. Le azioni potrebbero includere l’aggiornamento di un sistema per migliorare la tracciabilità, la redazione della documentazione tecnica o la nomina di figure responsabili della conformità, in linea con i profili definiti dalla norma UNI 11621-8.
Passo 5: Documentazione e Monitoraggio Continuo
La conformità non è un traguardo, ma un processo continuo. Una volta implementate le azioni correttive, è essenziale creare e mantenere tutta la documentazione richiesta per la valutazione di conformità e marcatura CE (per i sistemi ad alto rischio). Inoltre, bisogna implementare un sistema di sorveglianza post-market e gestione del ciclo di vita, monitorando costantemente le prestazioni e i rischi del sistema in uso e intervenendo se necessario. Questo approccio proattivo non solo garantisce la conformità legale, ma trasforma gli obblighi normativi in un vantaggio competitivo basato su affidabilità e trasparenza.

Scopri la consulenza →

