Come l’AI Act impatta sulle aziende digitali: guida alla conformità 2026

L’intelligenza artificiale è entrata prepotentemente nel quotidiano delle aziende digitali italiane. Dal chatbot che risponde ai clienti sul sito e-commerce agli algoritmi che ottimizzano le campagne marketing, dalla generazione automatica di contenuti ai sistemi di raccomandazione prodotti: l’AI è ovunque. Ma proprio quando questa tecnologia è diventata indispensabile per competere nel mercato digitale, l’Unione Europea ha introdotto la prima normativa al mondo che regola in modo sistematico l’uso dell’intelligenza artificiale.

Il Regolamento europeo sull’intelligenza artificiale, UE 2024/1689, meglio noto come AI Act, rappresenta una svolta epocale in ambito di regole per il digitale. Il Digital Intelligence Act è una legge che ridefinirà profondamente come le aziende potranno utilizzare l’AI nei prossimi anni. E contrariamente a quanto molti pensano, non riguarda solo Google o Meta: se la tua azienda usa qualsiasi forma di intelligenza artificiale, anche “solo” ChatGPT per scrivere testi, sei soggetto a obblighi specifici già operativi.

Dal 2 febbraio 2025 sono infatti entrati in vigore i primi obblighi dell’AI Act: il divieto di utilizzo per determinati sistemi AI considerati inaccettabili e l’obbligo di garantire un’adeguata alfabetizzazione AI per il personale. Le sanzioni? Fino a 35 milioni di euro o il 7% del fatturato globale annuo. Numeri che fanno riflettere anche le PMI più scettiche verso la compliance.

Ma in Legal for Digital crediamo che vedere l’AI Act solo come un rischio sia un errore strategico. Questa normativa, se compresa e applicata correttamente, può trasformarsi in un formidabile vantaggio competitivo. Le aziende che sapranno adeguarsi per prime e meglio potranno accedere a mercati preclusi ai non compliant, differenziarsi dalla concorrenza e costruire un rapporto di fiducia più solido con i propri clienti.

Cos’è l’AI Act: la prima legge europea sull’intelligenza artificiale

L’intelligenza artificiale ha trasformato radicalmente ogni settore del business digitale, dalla personalizzazione dell’e-commerce all’automazione del customer service, dal content marketing predittivo all’analisi dei dati in tempo reale. Ma proprio questa pervasività ha reso necessario un framework normativo che garantisse sviluppo responsabile e tutela dei diritti fondamentali.

Il Regolamento UE 2024/1689 sull’intelligenza artificiale, noto come AI Act, è la risposta europea a questa esigenza. Approvato definitivamente nel 2024 ed entrato in vigore il 1° agosto dello stesso anno, rappresenta il primo tentativo al mondo di regolamentare in modo organico l’intelligenza artificiale.

Perché serviva una legge sull’intelligenza artificiale?

L’aumento esponenziale dell’adozione di sistemi AI ha sollevato questioni fondamentali su etica, privacy e sicurezza. Senza regole chiare, i rischi erano evidenti: compromissione della sicurezza dei dati personali, discriminazione algoritmica, utilizzi dell’AI potenzialmente dannosi per persone e società.

Ma l’AI Act non nasce per bloccare l’innovazione. Al contrario, la normativa europea crea un ambiente di fiducia che favorisce lo sviluppo sostenibile della tecnologia. Le aziende che operano nel rispetto delle regole possono accedere a un mercato di 450 milioni di consumatori con la certezza di operare in un quadro giuridico stabile e uniforme in tutti gli Stati membri.

L’approccio innovativo basato sul rischio

L’AI Act introduce un sistema di classificazione rivoluzionario: invece di vietare o permettere tout court, categorizza i sistemi AI in base al rischio che rappresentano. Questo approccio permette di mantenere la libertà di innovazione per la maggior parte delle applicazioni, concentrando controlli e requisiti solo dove realmente necessario.

I quattro livelli di rischio vanno dal minimo, dove non ci sono obblighi specifici, all’inaccettabile, dove determinati utilizzi sono completamente vietati. La maggior parte delle applicazioni aziendali, inclusi chatbot, sistemi di raccomandazione e tool di content generation, ricade nella categoria di rischio limitato, con obblighi principalmente legati alla trasparenza.

Gli obiettivi strategici del regolamento

L’AI Act persegue quattro obiettivi fondamentali:

1. Garantire che l’AI utilizzata nell’UE sia sicura e rispetti i diritti fondamentali delle persone. Questo significa che ogni sistema deve essere progettato e utilizzato nel rispetto della dignità umana, della privacy e della non discriminazione.
2. Creare certezza giuridica per favorire investimenti e innovazione. Le aziende possono finalmente pianificare strategie di lungo termine sapendo esattamente quali sono i limiti e le opportunità normative.
3. Migliorare la governance e l’applicazione effettiva delle norme sull’AI esistenti. Il regolamento crea un sistema di autorità competenti e meccanismi di enforcement chiari e uniformi.
4. Facilitare lo sviluppo di un mercato unico per applicazioni AI legittime e affidabili. La conformità all’AI Act diventa un passaporto per operare in tutta l’Unione Europea, eliminando barriere e frammentazioni nazionali.

Come l’AI Act trasforma il mercato digitale europeo

Il regolamento non è solo compliance, ma opportunità strategica. Le aziende conformi all’AI Act potranno vantare un livello di affidabilità e trasparenza che diventerà sempre più un criterio di scelta per consumatori e partner commerciali. La trasparenza diventa elemento di differenziazione competitiva, la documentazione tecnica si trasforma in asset aziendale, la formazione del personale in investimento strategico.

I 4 livelli di rischio dell’AI Act spiegati per chi fa business online

L’AI Act classifica ogni sistema di intelligenza artificiale in quattro categorie di rischio, dal minimo all’inaccettabile. Questa classificazione determina quali obblighi la tua azienda deve rispettare: più alto è il rischio, maggiori sono i requisiti di conformità. Comprendere in quale categoria ricadono i tuoi sistemi AI è fondamentale per pianificare le azioni necessarie e trasformare la compliance in vantaggio competitivo.

Rischio inaccettabile: i sistemi AI completamente vietati

Dal 2 febbraio 2025, alcuni utilizzi dell’intelligenza artificiale sono illegali nell’Unione Europea. L’articolo 5 dell’AI Act stabilisce un elenco tassativo di pratiche vietate che le aziende devono conoscere per evitare violazioni involontarie.

• Il social scoring basato su AI è vietato in qualsiasi forma. Se il tuo e-commerce stava pensando di creare un sistema che assegna punteggi ai clienti basandosi sul loro comportamento sociale, recensioni negative o interazioni sui social media per poi discriminarli nell’accesso a servizi o prezzi, devi abbandonare immediatamente questo progetto. La norma vieta qualsiasi sistema che classifichi le persone fisiche sulla base del comportamento sociale o caratteristiche personali in modo da causare trattamenti sfavorevoli.

• I sistemi di riconoscimento emotivo nei luoghi di lavoro sono fuorilegge. Le aziende che utilizzavano software per analizzare le espressioni facciali dei dipendenti durante le videocall, monitorare il loro stato emotivo o valutare l’engagement attraverso l’AI devono cessare immediatamente queste pratiche. Il divieto si estende anche ai sistemi utilizzati in ambito educativo.
• Le tecniche subliminali o manipolative attraverso AI sono proibite. Qualsiasi sistema progettato per distorcere materialmente il comportamento di una persona sfruttando vulnerabilità legate all’età, disabilità o situazione economica è illegale. Questo include algoritmi di marketing predatorio che targetizzano deliberatamente persone vulnerabili per spingerle a decisioni dannose.
• Lo scraping biometrico non mirato è vietato. La creazione di database di riconoscimento facciale attraverso la raccolta massiva e indiscriminata di immagini da internet o CCTV è illegale. Le aziende che utilizzano servizi di terze parti basati su questi database devono verificare la conformità dei loro fornitori.

Alto rischio: quando l’AI richiede requisiti stringenti

I sistemi AI ad alto rischio non sono vietati ma soggetti a obblighi così complessi che molte aziende preferiscono alternative. Dal 2 agosto 2026, questi sistemi dovranno rispettare requisiti dettagliati di conformità, documentazione e supervisione umana.

L’AI nel recruiting e HR è territorio ad alto rischio. Se la tua azienda utilizza sistemi automatizzati per lo screening dei CV, software che conducono video-interviste con analisi automatica delle risposte, algoritmi che suggeriscono promozioni o licenziamenti, dovrai implementare misure rigorose. Questi includono: documentazione tecnica dettagliata del funzionamento del sistema, test periodici per identificare e correggere bias discriminatori, meccanismi di supervisione umana sempre attiva, possibilità per i candidati di richiedere revisione umana delle decisioni.

I sistemi AI nel credito e servizi finanziari ricadono in questa categoria. Algoritmi di credit scoring, valutazione automatica per prestiti o mutui, sistemi di pricing assicurativo basati su AI richiedono trasparenza algoritmica completa. Le aziende devono garantire spiegabilità delle decisioni, audit periodici certificati, meccanismi di contestazione per i clienti.

L’AI per l’accesso a servizi essenziali è ad alto rischio. Se il tuo sistema decide chi può accedere a servizi sanitari, prestazioni sociali, istruzione o servizi pubblici essenziali, gli obblighi sono massimi. Anche piattaforme private che gestiscono servizi considerati essenziali ricadono in questa categoria.

La biometria per identificazione è generalmente ad alto rischio. Sistemi di riconoscimento facciale per l’accesso, identificazione biometrica dei clienti, verifica dell’identità attraverso caratteristiche biometriche richiedono conformità rigorosa, salvo eccezioni specifiche per verifica uno-a-uno con consenso esplicito.

Rischio limitato: la categoria della maggior parte delle AI aziendali

Qui ricade il 70% dei sistemi AI utilizzati dalle aziende digitali italiane. Gli obblighi si concentrano principalmente sulla trasparenza e sono già applicabili dal 2 febbraio 2025.

• I chatbot devono dichiararsi immediatamente come AI. Se il tuo sito e-commerce, la tua agenzia o il tuo SaaS utilizza assistenti virtuali, il sistema deve informare chiaramente l’utente che sta interagendo con un’AI fin dal primo messaggio. Non sono ammesse formulazioni ambigue: il messaggio deve essere chiaro, visibile e comprensibile. Best practice: “Ciao! Sono l’assistente virtuale di Nome Azienda, un sistema di intelligenza artificiale progettato per aiutarti”.
• I sistemi di content generation richiedono watermarking. Ogni contenuto generato da AI, che sia testo, immagine, audio o video, deve essere identificabile come tale. Per i testi, è sufficiente una dichiarazione chiara. Per contenuti multimediali, servono watermark tecnici che permettano l’identificazione automatica. Questo vale anche se usi l’AI solo per assistenza nella creazione: se ChatGPT ti aiuta a scrivere un articolo che poi modifichi, va comunque dichiarato.
• I sistemi di raccomandazione devono essere trasparenti. Gli algoritmi che suggeriscono prodotti, contenuti o servizi devono spiegare la logica generale delle raccomandazioni. Non serve rivelare l’algoritmo proprietario, ma l’utente deve capire perché vede certi suggerimenti. Esempio di conformità: “Questi prodotti sono consigliati in base ai tuoi acquisti precedenti e a quelli di clienti con interessi simili”.
• L’emotion recognition per scopi commerciali richiede trasparenza. Se analizzi le reazioni degli utenti ai contenuti, monitori il sentiment sui social o usi AI per capire le emozioni dei clienti, devi informarli e ottenere consenso specifico. Questo si aggiunge agli obblighi GDPR già esistenti.

Rischio minimo: dove la compliance è semplice

I sistemi AI a rischio minimo non hanno obblighi specifici secondo l’AI Act, ma questo non significa zero responsabilità. Il GDPR continua ad applicarsi, così come la normativa generale sulla responsabilità d’impresa.

• Filtri antispam e sistemi di moderazione automatica ricadono tipicamente in questa categoria. Se utilizzi AI per filtrare email indesiderate, moderare commenti palesemente spam o identificare contenuti inappropriati, non hai obblighi aggiuntivi AI Act.
• Strumenti di ottimizzazione e automazione interna sono generalmente a rischio minimo. Algoritmi per l’ottimizzazione delle scorte di magazzino, sistemi di routing per le consegne, AI per la manutenzione predittiva non richiedono misure specifiche se non processano dati personali in modo significativo.
• Traduttori automatici e correttori ortografici basati su AI sono considerati rischio minimo. Tuttavia, attenzione all’uso dei dati: se il sistema apprende dai testi degli utenti, potrebbero applicarsi obblighi GDPR.
• Gaming e entertainment AI sono generalmente a rischio minimo. Nemici controllati da AI nei videogiochi, generatori procedurali di livelli, sistemi di matchmaking nei giochi online non hanno obblighi specifici, salvo casi particolari di manipolazione o dipendenza.

Come determinare il livello di rischio dei tuoi sistemi?

Per ogni sistema AI che utilizzi, poniti queste domande in sequenza:

1. Il sistema prende decisioni automatizzate che impattano significativamente le persone? Se sì, valuta se riguarda ambiti sensibili come lavoro, credito, servizi essenziali. Questi sono segnali di alto rischio.
2. Il sistema interagisce direttamente con le persone? Se sì, probabilmente ricade nel rischio limitato con obblighi di trasparenza immediati.
3. Il sistema usa tecniche manipolative o processa dati biometrici per identificazione? Se sì, verifica attentamente l’articolo 5: potresti essere in zona vietata.
4. Il sistema opera solo internamente senza impatto diretto su persone esterne? Probabilmente è a rischio minimo, ma verifica sempre gli aspetti GDPR.

La classificazione corretta è fondamentale: sottostimare il rischio espone a sanzioni, sovrastimarlo crea costi di compliance non necessari. In Legal for Digital analizziamo ogni sistema nel contesto specifico del tuo business, perché la stessa tecnologia può avere classificazioni diverse in base all’uso concreto che ne fai.

Obblighi immediati e timeline: cosa devi fare subito

L’AI Act non è una normativa che entrerà in vigore in futuro: alcuni obblighi sono già pienamente operativi dal 2 febbraio 2025. Mentre molte aziende pensano di avere tempo fino al 2026 o 2027, la realtà è che chi non si adegua oggi sta già violando la legge.

Gli obblighi già attivi dal 2 febbraio 2025

Due categorie di norme sono immediatamente vincolanti e richiedono azione immediata da parte di tutte le aziende che utilizzano sistemi AI.

1. Stop ai sistemi vietati: se la tua azienda utilizza uno dei sistemi AI classificati come “rischio inaccettabile” dall’articolo 5, deve cessarne immediatamente l’utilizzo. Non esistono periodi di grazia o eccezioni: questi sistemi sono illegali dal 2 febbraio 2025. La violazione comporta le sanzioni più severe previste dal regolamento.
2. Alfabetizzazione AI del personale. L’articolo 4 dell’AI Act introduce un concetto rivoluzionario: fornitori e deployer di sistemi AI devono garantire che il loro personale e le altre persone che operano per loro conto abbiano un livello sufficiente di alfabetizzazione in materia di IA. Questo non significa trasformare tutti in ingegneri AI, ma assicurare che chi lavora con sistemi di intelligenza artificiale comprenda:

• I principi base di funzionamento dell’AI utilizzata
• I rischi potenziali e le limitazioni del sistema
• Le implicazioni etiche e legali dell’uso dell’AI
• Le procedure corrette per l’utilizzo responsabile

La formazione deve essere proporzionata al ruolo: un social media manager che usa ChatGPT per creare contenuti avrà bisogno di una formazione diversa da un developer che integra API di AI nel software aziendale. L’importante è documentare tutto: programmi formativi, partecipanti, contenuti, valutazioni di apprendimento.

Cosa succede dal 2 agosto 2025: il sistema di governance

Dal 2 agosto 2025 l’AI Act diventa pienamente operativo con l’attivazione del sistema di governance europeo e nazionale.

A livello europeo entrerà in funzione l’AI Board, che coordinerà l’applicazione uniforme del regolamento. Ogni Stato membro dovrà designare autorità nazionali competenti per la vigilanza e l’enforcement.

In Italia si delineano competenze distribuite tra AgID per gli aspetti tecnici, Garante Privacy per i dati personali, ACN per la cybersecurity. Le aziende dovranno interfacciarsi con multiple autorità a seconda del tipo di sistema AI.

Obblighi specifici per modelli general-purpose: se la tua azienda usa API di OpenAI, Anthropic, Google o simili, dovrai verificare la conformità del fornitore e implementare misure aggiuntive per il tuo use case specifico. Non potrai più dire “è responsabilità di OpenAI”: come deployer hai obblighi propri.

Sistema di notifiche e registrazioni: alcuni sistemi AI dovranno essere notificati alle autorità prima dell’immissione sul mercato. La mancata notifica equivale a commercializzazione illegale.

Roadmap delle scadenze fino al 2027

L’AI Act prevede un’implementazione graduale che dà alle aziende tempo per adeguarsi ai requisiti più complessi. Ma attenzione: ogni scadenza è perentoria.

2 febbraio 2026: scatta l’obbligo di conformità per tutti gli altri sistemi AI non ad alto rischio. La maggior parte delle aziende dovrà essere pienamente conforme entro questa data.

2 agosto 2026: entrano in vigore i requisiti stringenti per i sistemi ad alto rischio. Se fai recruiting con AI, credit scoring o gestisci servizi essenziali, questa è la tua deadline.

2 agosto 2027: ultima fase per i sistemi AI già disciplinati da normative settoriali. Principalmente dispositivi medici, automotive, aviazione.

2 agosto 2030: termine ultimo per la conformità di sistemi AI ad alto rischio già immessi sul mercato prima dell’entrata in vigore dell’AI Act.

Le sanzioni operative: come calcolarle per la tua azienda

Il regime sanzionatorio dell’AI Act è strutturato su tre livelli e le sanzioni sono già applicabili per le violazioni degli obblighi in vigore.

1. Violazioni di massima gravità (sistemi vietati, mancata collaborazione con autorità): fino a 35 milioni di euro o 7% del fatturato mondiale annuo, si applica l’importo più elevato. Per una PMI con 10 milioni di fatturato, la sanzione massima sarebbe 700.000 euro. Per una grande azienda con 1 miliardo di fatturato, si arriverebbe a 70 milioni.
2. Violazioni degli obblighi principali (inclusa la mancata AI literacy): fino a 15 milioni o 3% del fatturato. Questo è il livello che rischia la maggior parte delle aziende che non si adeguano agli obblighi immediati.
3. Violazioni procedurali (informazioni inesatte, mancata documentazione): fino a 7,5 milioni o 1,5% del fatturato. Anche qui, per una PMI parliamo di cifre che possono compromettere la sopravvivenza aziendale.

Fattori che influenzano l’importo finale:

• Dimensione dell’impresa: le PMI beneficiano di riduzioni
• Intenzionalità: violazioni dolose sono punite più severamente
• Durata della violazione: più tempo passa, peggio è
• Collaborazione: chi collabora e rimedia rapidamente può vedere riduzioni significative
• Precedenti: la recidiva aggrava sempre la sanzione

Come adeguarsi all’AI Act valorizzando il tuo business

La conformità all’AI Act richiede un percorso strutturato che parte da una domanda: quali sistemi di intelligenza artificiale utilizza la mia azienda? 

La risposta è sempre più complessa del previsto. L’AI non è solo ChatGPT o il chatbot sul sito: si nasconde nelle funzionalità di molti software che utilizziamo quotidianamente, dalle piattaforme di email marketing ai CRM, dai tool di analisi dati ai sistemi di gestione documentale.

La mappatura dei sistemi AI: primo passo fondamentale

Identificare tutti i sistemi di intelligenza artificiale presenti in azienda è più complesso di quanto sembri. Marketing, vendite, customer service, risorse umane: ogni area può utilizzare AI senza nemmeno esserne pienamente consapevole. Questa fase di discovery rivela spesso sorprese e permette di avere finalmente una visione d’insieme di come l’intelligenza artificiale permea i processi aziendali.

Classificazione del rischio

Una volta mappati i sistemi, serve classificarli secondo i quattro livelli di rischio dell’AI Act. Questa classificazione determina quali obblighi applicare e con quale priorità.

La documentazione strategica: dalla FRIA al registro AI

La documentazione richiesta dall’AI Act può sembrare un peso burocratico, ma in realtà è un’opportunità per creare governance e valore aziendale. Al centro di questa documentazione, per i sistemi ad alto rischio, c’è la Valutazione d’Impatto sui Diritti Fondamentali (FRIA).

La FRIA non è una semplice checklist ma un’analisi approfondita di come il sistema AI impatta i diritti delle persone. Diversamente dalla DPIA che conosciamo per il GDPR, la FRIA valuta un spettro più ampio di diritti: dalla non discriminazione alla dignità umana, dalla libertà di espressione all’accesso ai servizi. Per i sistemi ad alto rischio, la FRIA è obbligatoria e deve essere completata prima della messa in produzione.

Gli elementi essenziali di una FRIA includono:

• Descrizione dettagliata del sistema AI e delle sue finalità
• Identificazione dei diritti fondamentali potenzialmente impattati
• Valutazione della probabilità e gravità degli impatti negativi
• Misure di mitigazione implementate o pianificate
• Piano di monitoraggio continuo post-deployment

Per approfondire come condurre una FRIA efficace, consulta la nostra guida completa alla Valutazione d’Impatto sui Diritti Fondamentali.

Oltre alla FRIA, il registro dei sistemi AI diventa il cuore della documentazione aziendale. Non si tratta di un elenco statico ma di un documento vivo che racconta come l’azienda governa l’intelligenza artificiale. Per ogni sistema documentato servono informazioni pratiche: chi lo usa, per fare cosa, con quali dati, producendo quali output. Ma anche elementi di governance: chi ne è responsabile, come viene monitorato, quali controlli sono in atto.

Le misure di trasparenza, come informare gli utenti quando interagiscono con un’AI, possono diventare elementi di differenziazione. Invece del minimo disclaimer legale, un’azienda può utilizzare la trasparenza per educare, rassicurare e costruire fiducia. Un chatbot che si presenta chiaramente come AI ma spiega anche come può essere utile crea un’esperienza migliore di uno che tenta maldestramente di sembrare umano.

Parallelamente, l’azienda deve organizzare la formazione obbligatoria prevista dall’articolo 4. Non si tratta di trasformare tutti in esperti di AI, ma di garantire che chi utilizza questi strumenti comprenda opportunità e limiti, sappia riconoscere potenziali problemi e conosca le procedure aziendali per un uso responsabile.

AI Act e GDPR: gestione integrata della compliance

L’AI Act non sostituisce il GDPR ma si integra con esso creando un doppio binario normativo. Quando un sistema AI processa dati personali, cosa che accade nella quasi totalità dei casi aziendali, entrambe le normative si applicano contemporaneamente. Questa sovrapposizione non è una complicazione burocratica ma un’opportunità per creare un sistema di governance digitale unificato.

Il GDPR resta la base per la legittimità del trattamento dati. Prima ancora di chiedersi se un sistema AI è conforme all’AI Act, l’azienda deve verificare di avere una base giuridica valida per processare i dati che alimentano l’algoritmo. Consenso, legittimo interesse, esecuzione contrattuale: le basi del GDPR rimangono invariate, ma vanno reinterpretate nel contesto AI.

L’AI Act aggiunge requisiti specifici che il GDPR non copre. Mentre il GDPR si concentra sulla protezione dei dati, l’AI Act regola il sistema che li processa. Un chatbot può essere perfettamente conforme al GDPR per la gestione dei dati utente, ma violare l’AI Act se non dichiara di essere un’intelligenza artificiale. Viceversa, un sistema AI trasparente secondo l’AI Act può violare il GDPR se raccoglie dati senza base giuridica.

La valutazione d’impatto diventa uno strumento unificato. Le DPIA richieste dal GDPR per trattamenti ad alto rischio devono ora includere anche la valutazione del rischio AI. Un unico documento può coprire entrambi gli aspetti, analizzando sia l’impatto privacy che i rischi specifici dell’intelligenza artificiale. Questo approccio integrato riduce la burocrazia e fornisce una visione completa dei rischi.

I diritti degli interessati si espandono. Oltre ai diritti GDPR già noti, l’AI Act introduce il diritto alla supervisione umana per decisioni automatizzate ad alto rischio e requisiti rafforzati di spiegabilità. Un utente può chiedere non solo quali dati sono stati usati, ma anche come l’AI ha preso una specifica decisione. Le aziende devono prepararsi a rispondere a richieste più complesse.

Hai perfettamente ragione! L’articolo è già molto corposo e completo. Direi di chiudere con FAQ pratiche e mirate al target LFD, poi una conclusione breve e incisiva.

AI Act e contesto normativo italiano: cosa devono sapere le aziende

L’Italia non si è limitata a recepire passivamente il regolamento europeo ma sta sviluppando un proprio framework normativo complementare. Il disegno di legge 1146/24, approvato dal Senato della Repubblica il 20 marzo 2025 e successivamente trasmesso alla Camera dei Deputati, introduce elementi specifici che le aziende devono conoscere per operare in piena conformità.

Il DDL italiano non sostituisce l’AI Act, ma lo affianca per disciplinare materie lasciate alla competenza degli Stati membri o considerate di particolare interesse nazionale.

La scelta del legislatore italiano di intervenire in modo specifico su ambiti come il diritto penale, la pubblica amministrazione e le professioni regolamentate, anziché limitarsi alle regole di mercato dell’AI Act, rivela una decisione strategica. Il DDL non è solo un’implementazione tecnica, ma un atto politico e giuridico volto a salvaguardare i pilastri della sovranità nazionale e della struttura sociale contro il potenziale dirompente dell’IA. Per le aziende, questo approccio proattivo segnala che l’Italia sarà un mercato caratterizzato da un grado di scrutinio legale superiore alla media in questi settori sensibili, richiedendo un impegno normativo più robusto e anticipato.

Tra le novità più rilevanti per le aziende digitali, il disegno di legge prevede aggravanti penali specifiche per reati commessi mediante AI, con aumenti di pena fino a un terzo per

• Diffamazione online
• Truffe tramite deepfake
• Manipolazione di mercato attraverso algoritmi.

Questo significa che utilizzare l’AI per attività illecite non solo viola l’AI Act ma comporta conseguenze penali aggravate nel nostro ordinamento.

Per le aziende che lavorano con minori o soggetti vulnerabili, il DDL italiano impone requisiti aggiuntivi. Piattaforme educative, app per bambini, servizi sanitari digitali dovranno implementare salvaguardie specifiche che vanno oltre quanto previsto dal regolamento europeo. La norma italiana è particolarmente stringente sulla verifica dell’età e sul consenso parentale quando l’AI interagisce con minori.

Un aspetto fondamentale riguarda la Pubblica Amministrazione. Se la tua azienda fornisce soluzioni AI a enti pubblici italiani, dovrai garantire livelli di trasparenza rafforzati quando il sistema prende decisioni amministrative. Ogni algoritmo utilizzato dalla PA per valutazioni, graduatorie o assegnazione di benefici dovrà essere spiegabile nel dettaglio.

Il sistema di governance italiano prevede competenze distribuite tra diverse autorità:

• AgID coordinerà l’applicazione dell’AI Act per gli aspetti tecnici e definirà standard nazionali per la PA
• Il Garante Privacy manterrà competenze su tutti i sistemi che trattano dati personali, richiedendo una gestione integrata GDPR-AI Act
• ACN interverrà per sistemi che impattano la sicurezza nazionale o le infrastrutture critiche.

Sebbene non siano esplicitamente nominate nel capitolo del DDL sulla governance, le autorità di settore come l’Autorità per le Garanzie nelle Comunicazioni (AGCOM) e la Banca d’Italia manterranno de facto un ruolo regolatorio cruciale per l’applicazione dell’IA nei rispettivi ambiti.

Questa frammentazione delle competenze significa che le aziende dovranno interfacciarsi con autorità multiple. Un e-commerce che usa AI per personalizzazione e chatbot dovrà dialogare con il Garante per gli aspetti privacy e potenzialmente con AGCOM se fa pubblicità programmatica. Una fintech che utilizza AI per valutazioni creditizie dovrà coordinarsi con Banca d’Italia oltre che con le autorità AI.

Il DDL affida ad AgID e ACN il compito di istituire congiuntamente delle sandbox regolamentari. Si tratta di spazi di sperimentazione controllata dove le aziende possono testare sistemi di IA innovativi per un periodo limitato, beneficiando di un dialogo costante con le autorità e di potenziali deroghe a specifici requisiti normativi. L’accesso a queste sandbox sarà verosimilmente riservato a progetti genuinamente innovativi, dotati di solidi piani di gestione del rischio e di un impegno alla condivisione dei risultati, in linea con le prassi internazionali.

Un elemento distintivo del DDL italiano riguarda le professioni regolamentate. Software AI per ambito legale, medico o ingegneristico dovranno sempre prevedere la supervisione e responsabilità finale di un professionista iscritto all’albo. Questo impatta direttamente le legaltech e healthtech che dovranno riprogettare i loro sistemi per garantire che ogni output sia validabile da un professionista abilitato.

L’AI Act come opportunità per il business digitale italiano

L’AI Act è già realtà. Non è più tempo di chiedersi se adeguarsi, ma come farlo nel modo più efficiente e strategico per il proprio business. Le aziende digitali italiane che vedono questa normativa solo come un costo stanno perdendo un’opportunità unica: quella di differenziarsi in un mercato che premierà sempre più trasparenza, affidabilità e uso responsabile dell’AI.

I prossimi mesi saranno decisivi. Chi si muove ora può trasformare l’obbligo in vantaggio competitivo. Chi aspetta rischia non solo sanzioni, ma soprattutto di perdere la fiducia di clienti sempre più attenti e consapevoli.

In Legal for Digital crediamo che la conformità all’AI Act non sia un punto di arrivo ma di partenza. È l’occasione per ripensare come l’intelligenza artificiale crea valore nel tuo business, per costruire processi più solidi e per dimostrare ai tuoi clienti che la loro fiducia è ben riposta.

Il futuro del business digitale appartiene a chi saprà coniugare innovazione e responsabilità. L’AI Act fornisce la roadmap. Sta a te decidere se subirla o cavalcarla.

Scopri come possiamo supportarti nel percorso di conformità all’AI Act.

FAQ: le domande più frequenti delle aziende digitali sull’AI Act