ComunicazioneTempistiche di attuazione dell'EU AI Act: le date chiave per i deployer
KLA Digital Logo
KLA Digital
EU AI Act2 gennaio 202625 min di lettura

Requisiti del Regolamento europeo sull'IA: cosa devono sapere i Compliance Officer nel 2026

La guida definitiva per i compliance officer: tempistiche di applicazione graduale, classificazione ad alto rischio, documentazione dell'Allegato IV, requisiti di sorveglianza umana, regime sanzionatorio e strategie pratiche di implementazione.

Antonella Serine

Il Regolamento europeo sull'intelligenza artificiale è ora applicabile e i compliance officer devono agire con determinazione: le pratiche di IA vietate sono sanzionabili dal 2 febbraio 2025, con sanzioni che raggiungono 35 milioni di EUR o il 7% del fatturato globale. La finestra temporale per la preparazione si sta riducendo rapidamente, poiché i requisiti completi per i sistemi di IA ad alto rischio entrano in vigore il 2 agosto 2026. Questa guida completa fornisce il quadro autorevole e operativo di cui i compliance officer necessitano per orientarsi nella regolamentazione sull'IA più ambiziosa al mondo.

Il calendario di attuazione graduale impone un'azione immediata

Comprendere con precisione il calendario di conformità è essenziale per l'allocazione delle risorse e la progettazione dei programmi. Il Regolamento europeo sull'IA (Regolamento 2024/1689) è entrato in vigore il 1° agosto 2024, ma opera attraverso un'attuazione scaglionata che richiede risposte organizzative differenti in ciascuna fase.

Già in vigore dal 2 febbraio 2025, tutte le otto categorie di pratiche di IA vietate sono applicabili. Queste comprendono i sistemi di social scoring, l'IA che sfrutta vulnerabilità legate all'età o alla disabilità, la categorizzazione biometrica che inferisce attributi sensibili, l'identificazione biometrica remota in tempo reale in spazi pubblici (con limitate eccezioni per le forze dell'ordine), il riconoscimento delle emozioni nei luoghi di lavoro e negli istituti di istruzione, la raccolta massiva di immagini facciali, e le tecniche di IA manipolative o ingannevoli.

La scadenza del 2 agosto 2025 ha reso operativi gli obblighi relativi ai modelli di IA per finalità generali (GPAI), imponendo ai fornitori di modelli fondazionali di mantenere la documentazione tecnica, definire politiche di conformità al diritto d'autore e pubblicare sintesi dei dati di addestramento. I modelli che superano 10^25 FLOP di calcolo per l'addestramento sono classificati come portatori di rischio sistemico e soggetti a obblighi aggiuntivi.

La scadenza critica del 2 agosto 2026 attiva il quadro normativo completo per i sistemi di IA ad alto rischio elencati nell'Allegato III, che coprono biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali, attività di contrasto, migrazione e processi democratici. Le organizzazioni devono completare le valutazioni di conformità, implementare sistemi di gestione della qualità, istituire quadri di gestione del rischio e registrare i sistemi nella banca dati dell'UE prima di mettere in servizio sistemi di IA ad alto rischio dopo tale data.

  • 2 febbraio 2025: pratiche di IA vietate applicabili con sanzioni massime
  • 2 agosto 2025: obblighi per i modelli GPAI in vigore; autorità nazionali designate
  • 2 agosto 2026: requisiti completi per i sistemi di IA ad alto rischio ai sensi dell'Allegato III in vigore
  • 2 agosto 2027: periodo transitorio esteso per l'IA ad alto rischio nei prodotti regolamentati (dispositivi medici, macchinari, veicoli)

Il ruolo del Compliance Officer richiede un riposizionamento organizzativo

Il Regolamento europeo sull'IA non prescrive una specifica posizione di «AI Compliance Officer», ma crea strutture di responsabilità che richiedono di fatto una governance centralizzata dell'IA. L'Articolo 17, paragrafo 1, lettera m) impone ai fornitori di istituire «un quadro di responsabilità che definisca le responsabilità della dirigenza e di altro personale» per la conformità in materia di IA — un linguaggio che implica ruoli di supervisione dedicati.

Le principali società di consulenza raccomandano di istituire strutture formali di governance dell'IA che includano un Chief AI Officer o Responsabile della Governance dell'IA a livello dirigenziale, un comitato consultivo sull'IA interfunzionale che coinvolga le funzioni legale, compliance, prodotto e tecnica, e linee di riporto chiare verso la supervisione a livello di consiglio di amministrazione.

  • I fornitori sviluppano sistemi di IA o li immettono sul mercato — assumendo la responsabilità primaria di conformità
  • I deployer utilizzano sistemi di IA sotto la propria autorità — con obblighi più leggeri ma comunque significativi
  • I deployer possono diventare fornitori attraverso il rebranding, modifiche sostanziali o il riutilizzo di IA per finalità generali in applicazioni ad alto rischio
  • I contratti con i fornitori e le procedure di controllo delle modifiche devono gestire attivamente il rischio di provider creep

I requisiti di alfabetizzazione in materia di IA impongono investimenti immediati nella formazione

Gli obblighi di alfabetizzazione in materia di IA previsti dall'Articolo 4 si applicano dal 2 febbraio 2025, imponendo sia ai fornitori che ai deployer di garantire «un livello sufficiente di alfabetizzazione in materia di IA del proprio personale e di altre persone che si occupano del funzionamento e dell'uso dei sistemi di IA per loro conto». La Commissione europea ha chiarito che ciò si estende a contraenti, fornitori di servizi e potenzialmente anche ai clienti che utilizzano i sistemi di IA dell'organizzazione.

I programmi di formazione devono affrontare la comprensione generale dell'IA, gli obblighi specifici per ruolo, la consapevolezza dei rischi per i sistemi in uso e l'applicazione pratica alle responsabilità quotidiane. La mancata conformità ai requisiti di alfabetizzazione in materia di IA non comporta sanzioni dirette, ma una formazione inadeguata costituisce un fattore aggravante che incrementa le sanzioni per altre violazioni del Regolamento sull'IA.

  • Membri del consiglio di amministrazione e dirigenti: formazione sulla governance strategica dell'IA e sulla supervisione dei rischi
  • Personale operativo: linee guida pratiche di utilizzo e procedure di sorveglianza umana
  • Personale addetto al rischio e alla conformità: metodologia di classificazione e requisiti documentali
  • Team tecnici: formazione approfondita sulla governance dei dati e sulla validazione dei modelli

La classificazione del rischio determina l'intero carico di conformità

Il sistema di classificazione del rischio a quattro livelli del Regolamento — vietato, alto rischio, rischio limitato e rischio minimo — definisce in modo sostanziale gli obblighi di conformità. Gli errori di classificazione rappresentano quello che numerose società di consulenza definiscono «l'errore più fondamentale e consequenziale» nella conformità al Regolamento sull'IA.

La classificazione ad alto rischio si attiva attraverso due percorsi. Il primo riguarda i sistemi di IA utilizzati come componenti di sicurezza di prodotti, o che sono essi stessi prodotti, coperti dalla vigente legislazione di armonizzazione dell'UE. Il secondo riguarda i sistemi di IA in otto categorie di casi d'uso specificate nell'Allegato III.

L'eccezione di cui all'Articolo 6, paragrafo 3 consente ai sistemi che altrimenti sarebbero classificati come ad alto rischio di sottrarsi alla classificazione se svolgono compiti procedurali circoscritti, migliorano attività umane precedentemente completate, rilevano modelli decisionali senza sostituire la valutazione umana o svolgono compiti preparatori. Tuttavia, questa eccezione non si applica se il sistema effettua la profilazione di individui.

  • Biometria: identificazione remota, riconoscimento delle emozioni
  • Infrastrutture critiche: sistemi digitali, trasporti, servizi di pubblica utilità
  • Istruzione: ammissione, valutazione, sorveglianza degli esami
  • Occupazione: selezione del personale, monitoraggio delle prestazioni, decisioni di cessazione del rapporto di lavoro
  • Servizi essenziali: valutazione del merito creditizio, valutazione del rischio assicurativo, gestione delle emergenze
  • Attività di contrasto: valutazione delle prove, valutazione del rischio
  • Migrazione e controllo delle frontiere
  • Amministrazione della giustizia e processi democratici

Documentazione tecnica e sistemi di gestione della qualità

I fornitori di sistemi di IA ad alto rischio devono mantenere una documentazione tecnica completa che copra nove categorie specificate nell'Allegato IV: descrizione generale del sistema, metodologia di progettazione e sviluppo, requisiti relativi ai dati, informazioni di monitoraggio e controllo, documentazione sulla gestione del rischio, registrazioni delle modifiche nel ciclo di vita, norme armonizzate applicate, documentazione di conformità e piani di sorveglianza post-commercializzazione.

L'Articolo 17 impone sistemi di gestione della qualità con politiche, procedure e istruzioni documentate che comprendano la strategia di conformità normativa, le procedure di progettazione e sviluppo, i requisiti di test e validazione, i sistemi di gestione dei dati, l'integrazione della gestione del rischio, la sorveglianza post-commercializzazione, la segnalazione degli incidenti e i quadri di responsabilità.

L'analisi degli esperti indica che oltre il 70% dei casi di non conformità deriva da errori documentali piuttosto che da carenze tecniche — rendendo le pratiche documentali sistematiche l'investimento a più alto impatto per la conformità.

  • La documentazione deve essere conservata per 10 anni dopo l'immissione del sistema sul mercato
  • I log automatici generati dai sistemi ad alto rischio devono essere conservati per almeno 6 mesi
  • Gli istituti finanziari possono soddisfare i requisiti del SGQ attraverso gli assetti di governance esistenti
  • La Commissione si è impegnata a fornire modelli semplificati per PMI e startup

Gli obblighi di sorveglianza umana creano requisiti operativi

L'Articolo 14 impone che i sistemi di IA ad alto rischio siano progettati in modo da consentire una sorveglianza efficace da parte di persone fisiche durante l'uso, con strumenti appropriati di interfaccia uomo-macchina. Il Regolamento riconosce diversi modelli di sorveglianza: human-in-command, human-in-the-loop, human-on-the-loop e human-over-the-loop.

Gli strumenti tecnici abilitanti devono consentire ai deployer di comprendere le capacità e i limiti del sistema, monitorare le operazioni incluso il rilevamento di anomalie, riconoscere i rischi di distorsione da automazione, interpretare correttamente gli output, decidere di non utilizzare gli output in qualsiasi situazione, e intervenire o interrompere il funzionamento attraverso meccanismi di arresto.

Per i sistemi di identificazione biometrica remota, il Regolamento richiede la verifica a doppio controllo: l'identificazione deve essere confermata da almeno due persone qualificate dotate di competenza, formazione e autorità appropriate.

  • Il personale addetto alla sorveglianza umana deve possedere la competenza e l'autorità necessarie
  • Le responsabilità di sorveglianza non devono ostacolare altri compiti operativi
  • La documentazione delle misure di sorveglianza deve essere inclusa nella documentazione tecnica
  • Devono essere mantenuti log pronti per l'audit degli interventi di sorveglianza

Le procedure di valutazione della conformità variano in base alla categoria del sistema

I sistemi di IA ad alto rischio richiedono una valutazione di conformità prima dell'immissione sul mercato attraverso uno dei due percorsi possibili. L'autovalutazione basata sul controllo interno (Allegato VI) è consentita per i sistemi di cui all'Allegato III, punti da 2 a 8 (istruzione, occupazione, servizi essenziali, attività di contrasto, migrazione, processi democratici).

La valutazione da parte di terzi tramite organismi notificati (Allegato VII) è richiesta per i sistemi di identificazione biometrica ai sensi dell'Allegato III, punto 1, quando le norme armonizzate non esistono o non sono pienamente applicate, e quando le specifiche comuni esistono ma non sono applicate.

Per i sistemi di IA integrati in prodotti regolamentati ai sensi della legislazione dell'Allegato I (dispositivi medici, macchinari), i fornitori seguono la procedura di valutazione della conformità prevista dalla legislazione pertinente, integrata con i requisiti del Regolamento sull'IA.

I requisiti di governance dei dati impongono controlli sistematici sulla qualità

L'Articolo 10 stabilisce requisiti di qualità dei dati per i sistemi di IA ad alto rischio che utilizzano tecniche basate su dati di addestramento. Le pratiche di governance dei dati richieste comprendono scelte progettuali documentate che dimostrino la pertinenza, documentazione dei processi di raccolta dei dati, assunzioni esplicite su ciò che i dati misurano, processi di preparazione documentati, valutazioni della disponibilità, esame dei bias e identificazione delle lacune nei dati.

I dataset devono essere pertinenti, sufficientemente rappresentativi, privi di errori nella misura più ampia possibile, completi rispetto alla finalità prevista e dotati di proprietà statistiche appropriate per le popolazioni di destinazione.

La relazione con il GDPR genera sia sinergie che tensioni. I principi di minimizzazione dei dati del GDPR devono essere bilanciati con i requisiti di completezza previsti dal Regolamento sull'IA — una tensione che richiede un'attenta documentazione delle determinazioni di necessità.

Sorveglianza post-commercializzazione e segnalazione degli incidenti

L'Articolo 72 impone ai fornitori di istituire sistemi di sorveglianza post-commercializzazione proporzionati ai rischi del sistema, che raccolgano, documentino e analizzino attivamente i dati sulle prestazioni pertinenti durante l'intero ciclo di vita del sistema.

La segnalazione di incidenti gravi ai sensi dell'Articolo 73 impone tempistiche rigorose: in caso di decesso la notifica deve avvenire entro 10 giorni; in caso di violazione diffusa o interruzione di infrastrutture critiche la notifica deve avvenire entro 2 giorni; gli altri incidenti gravi richiedono la notifica entro 15 giorni.

  • Non esiste un meccanismo di sportello unico: i fornitori devono segnalare a ciascuno Stato membro interessato
  • I deployer devono informare immediatamente i fornitori degli incidenti gravi
  • Qualora i fornitori non siano raggiungibili, gli obblighi di segnalazione si applicano direttamente ai deployer
  • Modelli di piani di sorveglianza post-commercializzazione attesi dalla Commissione entro febbraio 2026

Il regime sanzionatorio genera un'esposizione finanziaria significativa

Il Regolamento stabilisce tre livelli sanzionatori che creano un rischio finanziario rilevante. Le violazioni relative alle pratiche di IA vietate prevedono sanzioni fino a 35 milioni di EUR o il 7% del fatturato mondiale annuo, a seconda di quale importo sia superiore. La maggior parte delle altre violazioni del Regolamento sull'IA prevede sanzioni fino a 15 milioni di EUR o il 3% del fatturato. La fornitura di informazioni inesatte o fuorvianti prevede sanzioni fino a 7,5 milioni di EUR o l'1% del fatturato.

Per le PMI e le startup si applicano le medesime percentuali e importi massimi, ma si considera l'importo inferiore (non superiore) — creando un'effettiva attenuazione per le organizzazioni di dimensioni minori.

  • I fattori per la determinazione delle sanzioni includono la natura, la gravità, la durata dell'infrazione e il numero di persone interessate
  • La cooperazione con le autorità e le misure di attenuazione incidono sulla valutazione della sanzione
  • L'Articolo 99 consente agli Stati membri di stabilire norme sulla responsabilità delle persone fisiche
  • Le sanzioni per i fornitori di modelli GPAI sono rinviate ad agosto 2026

Il panorama dell'applicazione è ancora in fase di definizione

L'Ufficio europeo per l'IA, istituito all'interno della DG CNECT con oltre 125 dipendenti, detiene la competenza esclusiva sull'applicazione delle norme relative ai modelli di IA per finalità generali e si coordina con le autorità nazionali attraverso il Comitato per l'IA.

La designazione delle autorità nazionali resta incompleta: a metà 2025 solo tre Stati membri avevano pienamente designato sia le autorità di notifica che le autorità di vigilanza del mercato. Gli approcci attuativi variano da modelli centralizzati con un'unica agenzia a modelli distribuiti tra i regolatori settoriali esistenti.

Alla data di inizio 2026 non sono state pubblicamente segnalate azioni di enforcement o sanzioni rilevanti. Tuttavia, i segnali regolatori suggeriscono che le aree prioritarie iniziali saranno le pratiche vietate, la trasparenza dei modelli GPAI e — da agosto 2026 — l'IA nell'ambito occupazionale e della selezione del personale, il credit scoring e le applicazioni sanitarie.

Considerazioni settoriali che condizionano le strategie di conformità

I servizi finanziari affrontano una complessità particolare, con il credit scoring e la valutazione del rischio assicurativo vita/salute esplicitamente classificati come ad alto rischio. I regolatori finanziari nazionali fungono da autorità di vigilanza del mercato. Il Regolamento consente di sfruttare i quadri esistenti di gestione del rischio di modello e di governance interna per la conformità al SGQ.

L'IA in ambito sanitario e nei dispositivi medici beneficia di un periodo transitorio esteso fino ad agosto 2027 per i sistemi integrati in prodotti regolamentati. Gli obblighi per i deployer presentano sfide per ospedali e cliniche che potrebbero non disporre delle risorse tecniche necessarie.

Le applicazioni di IA per le risorse umane e la selezione del personale sono esplicitamente ad alto rischio e richiedono trasparenza nei confronti dei candidati, dati di addestramento privi di bias, sorveglianza umana sulle decisioni e monitoraggio continuo. Il divieto di riconoscimento delle emozioni sul luogo di lavoro si applica immediatamente.

Integrazione con i quadri normativi di conformità esistenti

L'integrazione con il GDPR presenta sinergie naturali in materia di trasparenza, accuratezza, responsabilità, governance dei dati e principi di non discriminazione. I Registri delle attività di trattamento dovrebbero essere ampliati per includere gli inventari dei sistemi di IA. Le Valutazioni d'impatto sulla protezione dei dati dovrebbero integrarsi con le Valutazioni d'impatto sui diritti fondamentali.

L'infrastruttura GRC esistente può incorporare i requisiti del Regolamento sull'IA attraverso quadri consolidati tra cui il NIST AI Risk Management Framework, lo standard ISO/IEC 42001 per i sistemi di gestione dell'IA, e le pratiche settoriali di gestione del rischio di modello.

  • La certificazione ISO/IEC 42001 non conferisce di per sé la presunzione di conformità
  • Il modello delle tre linee di difesa si applica naturalmente alla governance dell'IA
  • Il Framework di Audit dell'IA di ISACA fornisce librerie di controlli per governance e operazioni
  • La prima linea operativa crea i processi per l'identificazione e il trattamento del rischio IA

Domande frequenti

Il Regolamento europeo sull'IA si applica alle aziende extra-UE?

Sì, la portata extraterritoriale implica che le aziende extra-UE i cui output di sistemi di IA producono effetti sulle persone nell'UE sono soggette a tutti gli obblighi di conformità, compreso il requisito di un rappresentante autorizzato per i fornitori stabiliti al di fuori dell'UE.

Quali sono le sanzioni per la non conformità?

Le violazioni relative alle pratiche di IA vietate prevedono sanzioni fino a 35 milioni di EUR o il 7% del fatturato mondiale annuo. Le violazioni per i sistemi ad alto rischio prevedono sanzioni fino a 15 milioni di EUR o il 3% del fatturato. La fornitura di informazioni fuorvianti prevede sanzioni fino a 7,5 milioni di EUR o l'1%.

Come si dimostra la sorveglianza umana a un revisore?

I revisori cercano evidenze che le persone possano e intervengano effettivamente nelle decisioni dell'IA. Ciò significa procedure di sorveglianza documentate, evidenza delle capacità di intervento umano, registrazioni di approvazioni e override, e log pronti per l'audit che dimostrino il funzionamento concreto del sistema di sorveglianza.

Quando entrano in vigore i requisiti per i sistemi di IA ad alto rischio?

I requisiti completi di conformità per i sistemi di IA ad alto rischio ai sensi dell'Allegato III entrano in vigore il 2 agosto 2026. L'IA ad alto rischio integrata in prodotti già regolamentati dalla legislazione di armonizzazione dell'UE beneficia di un periodo transitorio esteso fino al 2 agosto 2027.

Qual è la differenza tra fornitore e deployer?

I fornitori sviluppano sistemi di IA o li immettono sul mercato con il proprio nome, assumendo la responsabilità primaria di conformità. I deployer utilizzano sistemi di IA sotto la propria autorità con obblighi più leggeri. Un aspetto cruciale è che i deployer possono diventare fornitori attraverso il rebranding, modifiche sostanziali o il riutilizzo dei sistemi per applicazioni ad alto rischio.

Punti chiave

Il Regolamento europeo sull'IA rappresenta un cambiamento fondamentale nelle aspettative di governance dell'IA, imponendo obblighi specifici supportati da sanzioni significative. I compliance officer si trovano di fronte a una finestra temporale che si restringe — con l'applicazione delle pratiche vietate già attiva, gli obblighi GPAI in vigore e i requisiti completi per l'alto rischio in arrivo ad agosto 2026 — rendendo urgente l'investimento strategico nei programmi di conformità. Le organizzazioni che attuano con efficacia ottengono un vantaggio competitivo attraverso una conformità dimostrabile che diventa un elemento di differenziazione sul mercato. Chi ritarda affronta non solo il rischio di sanzioni, ma anche interruzioni operative poiché i requisiti si comprimono in tempistiche sempre più strette. Il momento per un impegno strategico è adesso.

Risorse correlate

Guida alla classificazione dell'IA ad alto rischioGuida alla documentazione dell'Allegato IVChecklist di audit per l'IATimeline di attuazione del Regolamento europeo sull'IAGeneratore di template per l'Allegato IVHub sul Regolamento europeo sull'IAEsempio di pacchetto probatorioPrenota una demo

Articoli correlati

Approfondimenti su EU AI Act

Francia e prEN 18286: cosa significa il dibattito nazionale per i fornitori UE

Un'analisi obiettiva del dibattito del comitato mirror nazionale francese sulla prEN 18286 e le implicazioni per la proporzionalità delle PMI, la qualità degli standard e la strategia di implementazione negli Stati membri dell'UE.

Ecosistema di norme per l'AI Act: perché la prEN 18286 non è uno standard isolato

Una mappa pratica delle norme di supporto alla prEN 18286: gestione del rischio, affidabilità, cibersicurezza, governance dei dati e dipendenze per la valutazione della conformità.

Mappatura dell'Articolo 17 nel prEN 18286: copertura, lacune e implicazioni per l'audit

Come leggere la mappatura dell'Annex ZA nella bozza d'inchiesta prEN 18286, dove la copertura è solida, dove permangono dipendenze e come costruire evidenze di conformità difendibili.

Articolo precedente

Classificazione dell'IA ad Alto Rischio ai Sensi del Regolamento Europeo sull'Intelligenza Artificiale

Guardalo in azione

Pronti ad automatizzare la raccolta delle evidenze di compliance?

Prenotate una demo di 20 minuti per scoprire come KLA vi aiuta a dimostrare la supervisione umana e ad esportare documentazione Annex IV pronta per l'audit.

Prenota una demo Visualizza l'Evidence Pack