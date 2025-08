Il 2 agosto 2025 segna un nuovo passaggio cruciale per l’attuazione del Regolamento europeo sull’Intelligenza Artificiale (AI Act). Oltre alla designazione delle autorità nazionali competenti, scattano nuovi obblighi per i fornitori di modelli di intelligenza artificiale di uso generale (GPAI). Le aziende, le startup e gli operatori legali devono attivarsi immediatamente per non trovarsi impreparati di fronte a sanzioni elevate e controlli più stringenti.

Di seguito una checklist operativa per comprendere cosa cambia, chi è soggetto agli adempimenti e come organizzarsi per tempo.

Di seguito una checklist operativa per comprendere cosa cambia, chi è soggetto agli adempimenti e come organizzarsi per tempo.

1. Designazione delle Autorità di vigilanza: cosa significa per le imprese

Ogni Stato membro UE dovrà nominare entro il 2 agosto le proprie autorità di controllo. In Italia, la proposta di legge individua l’Agenzia per l’Italia digitale (AgID) e l’Agenzia per la Cybersicurezza nazionale (ACN) come enti responsabili della supervisione del rispetto dell’AI Act.



Cosa comporta per le aziende: Le imprese che sviluppano o utilizzano sistemi di IA, soprattutto ad alto rischio o GPAI, dovranno relazionarsi con queste autorità per eventuali notifiche, richieste di chiarimento e verifiche di conformità.

Gli organismi notificati incaricati delle valutazioni di conformità saranno sottoposti a controlli periodici da AgID e ACN, aumentando il numero di audit sulle imprese che impiegano sistemi di IA complessi.

È consigliabile individuare un referente interno per la compliance AI, in grado di gestire le comunicazioni con le autorità e predisporre la documentazione necessaria.

2. Obblighi per i fornitori di modelli GPAI: cosa fare subito

Dal 2 agosto 2025 entrano in vigore obblighi specifici per chi sviluppa, fornisce o mette sul mercato modelli di IA di uso generale. Le novità riguardano in particolare: Documentazione tecnica: ogni modello GPAI dovrà essere accompagnato da informazioni dettagliate su architettura, dati di addestramento, capacità e limiti del sistema.

ogni modello GPAI dovrà essere accompagnato da informazioni dettagliate su architettura, dati di addestramento, capacità e limiti del sistema. Trasparenza sui dataset: sarà obbligatorio pubblicare un riepilogo dei dati utilizzati per l’addestramento, con attenzione particolare alle fonti protette dal diritto d’autore.

sarà obbligatorio pubblicare un riepilogo dei dati utilizzati per l’addestramento, con attenzione particolare alle fonti protette dal diritto d’autore. Notifica per modelli ad alto impatto: i modelli classificati a rischio sistemico (ad esempio con potenza di calcolo superiore a 10^23 FLOP e potenziale impatto su diritti fondamentali, sicurezza o democrazia) dovranno essere notificati all’AI Office europeo.

i modelli classificati a rischio sistemico (ad esempio con potenza di calcolo superiore a 10^23 FLOP e potenziale impatto su diritti fondamentali, sicurezza o democrazia) dovranno essere notificati all’AI Office europeo. Misure di mitigazione del rischio: per i modelli più avanzati, è richiesta una valutazione preventiva dei rischi sistemici, il monitoraggio continuo e la predisposizione di meccanismi di audit indipendenti. Suggerimento operativo: avviare subito una mappatura interna dei modelli AI sviluppati o utilizzati, classificandoli secondo i criteri dell’AI Act (standard, alto rischio, GPAI, GPAI ad alto impatto) per predisporre la documentazione richiesta.



3. Sistemi ad alto rischio: coordinamento con gli organismi notificati

Chi sviluppa o impiega sistemi di IA ad alto rischio (ad esempio nei settori bancario, sanitario, infrastrutturale o di sicurezza) dovrà sottoporre tali sistemi a procedure di valutazione della conformità.

Le aziende devono: Verificare quali organismi notificati potranno svolgere le valutazioni in Italia.

Preparare in anticipo la documentazione di conformità (test di sicurezza, tracciabilità dei dati, gestione degli incidenti).

(test di sicurezza, tracciabilità dei dati, gestione degli incidenti). Implementare sistemi di monitoraggio post-commercializzazione, con obbligo di segnalare incidenti gravi o malfunzionamenti.

4. Sanzioni e responsabilità: perché è urgente agire

Le sanzioni previste sono molto elevate: Fino a 35 milioni di euro o 7% del fatturato annuo globale per violazioni gravi.

per violazioni gravi. Fino a 15 milioni di euro o 3% del fatturato per inosservanza dei requisiti sui sistemi ad alto rischio.

per inosservanza dei requisiti sui sistemi ad alto rischio. Fino a 7,5 milioni di euro o 1% del fatturato per informazioni false o incomplete. Le PMI e le startup beneficiano di una riduzione proporzionale, ma non di esenzioni.

È quindi fondamentale documentare in modo accurato i processi di sviluppo e utilizzo dei sistemi di IA, così da dimostrare la diligenza richiesta in caso di controlli.

5. Prossimi step e scadenze future 2 agosto 2025: entrano in vigore gli obblighi per i modelli GPAI introdotti dopo tale data.

entrano in vigore gli obblighi per i modelli GPAI introdotti dopo tale data. 2 agosto 2026: la Commissione europea avrà pieni poteri sanzionatori e di vigilanza.

la Commissione europea avrà pieni poteri sanzionatori e di vigilanza. 2 agosto 2027: obbligo di conformità anche per i modelli immessi sul mercato prima del 2025. Le imprese che iniziano oggi a implementare sistemi di gestione della compliance AI ridurranno il rischio di sanzioni e potranno utilizzare l’IA in modo conforme e sicuro.

