Se hai seguito il dibattito sull’EU AI Act nell’ultimo anno, probabilmente ti starai chiedendo quali siano le disposizioni che si applicano alla tua organizzazione e quando.
Alcuni titoli hanno suggerito che le aziende debbano prepararsi da un giorno all’altro a nuove normative di ampia portata, mentre altri si sono concentrati sui rinvii delle date di entrata in vigore, lasciando intendere che non ci sia nulla di cui preoccuparsi fino al 2027 o addirittura oltre.
La realtà è un po’ più complessa.

Anche se molti dei requisiti di conformità più importanti dell’AI Act sono stati rinviati, tra cui gli obblighi per molti sistemi di IA ad alto rischio e alcuni requisiti di trasparenza per i modelli di IA a uso generico (GPAI), il 22 agosto 2026 rimane comunque una data importante: è il momento in cui gran parte della normativa entrerà in vigore, le autorità di regolamentazione acquisiranno nuovi poteri di vigilanza e le organizzazioni dovrebbero iniziare a esaminare più da vicino come l’IA viene già utilizzata in tutta l’azienda.
Per la maggior parte delle persone, questa scadenza non è motivo di panico dell’ultimo minuto. È un’opportunità per capire cosa sta cambiando, rivedere il tuo attuale approccio alla governance dell’IA e assicurarti di gettare le basi giuste prima che entrino in vigore ulteriori requisiti nei prossimi anni.
Cos’è la legge dell’UE sull’IA e perché è importante?
La legge dell’UE sull’IA è il primo quadro normativo completo al mondo in materia di intelligenza artificiale. Il suo scopo è sostenere l’innovazione, garantendo al contempo che l’IA venga sviluppata e utilizzata in modo sicuro, trasparente e responsabile.
Anziché regolamentare tutti i sistemi di IA allo stesso modo, la legge adotta un approccio basato sul rischio. I sistemi di IA che presentano un rischio limitato sono soggetti a obblighi relativamente pochi, mentre quelli utilizzati in settori ad alto rischio, come il reclutamento, la sanità, i servizi finanziari e le forze dell’ordine, sono soggetti a requisiti molto più rigorosi a causa del potenziale impatto che possono avere sulla vita delle persone.
La normativa vieta inoltre alcune pratiche di intelligenza artificiale ritenute tali da comportare un rischio inaccettabile per i diritti e la sicurezza delle persone.
Anche se gran parte dell’attenzione si è concentrata sulle organizzazioni che sviluppano l’IA, la legge riguarda anche le aziende che la utilizzano nelle loro attività quotidiane. Man mano che l’IA diventa sempre più parte integrante dell’ambiente di lavoro, ci si aspetta che le organizzazioni mettano in atto adeguati meccanismi di governance, supervisione e misure di salvaguardia per favorirne un uso responsabile.
Perché il 2 agosto è una data importante?
Uno dei motivi per cui la legge sull’IA ha creato tanta confusione è che non entra in vigore tutta in una volta. Le diverse parti della normativa vengono introdotte nell’arco di diversi anni, dando così alle organizzazioni, agli sviluppatori di IA e alle autorità di regolamentazione il tempo di prepararsi.
Le fasi precedenti della legge hanno già introdotto divieti su alcune pratiche inaccettabili nell’ambito dell’intelligenza artificiale, il che significa che alcune disposizioni sono già legalmente vincolanti. Tuttavia, 2 nd agosto 2026 segna la prossima tappa importante del lancio.
A partire da questa data, gran parte del resto della legge sull’IA entrerà in vigore. Anche l’Ufficio europeo per l’IA inizierà a esercitare i propri poteri di vigilanza e di applicazione, contribuendo a supervisionare l’attuazione della normativa negli Stati membri. Si prevede inoltre che i governi nazionali mettano a disposizione dei “sandbox” normativi per l’IA, consentendo alle organizzazioni di testare e sviluppare sistemi di IA innovativi in un ambiente controllato.
La data è importante anche per le organizzazioni che gestiscono sistemi di IA ad alto rischio già presenti sul mercato prima di allora. Se quei sistemi subiscono modifiche significative alla progettazione dopo il 2 nd agosto 2026, dovranno conformarsi ai requisiti previsti dalla legge sull’IA.
Anche se alcuni degli obblighi di conformità più importanti sono stati rinviati, il 22 agosto non va considerato una data ormai irrilevante, poiché segna il passaggio della normativa dalla fase di pianificazione a quella di attuazione concreta, con le autorità di regolamentazione che iniziano ad assumere un ruolo molto più visibile.
Cosa è cambiato da quando è stata approvata la legge sull’IA?
Uno dei principali sviluppi dell’ultimo anno è stata la decisione di prorogare diverse scadenze fondamentali in materia di conformità previste dal pacchetto “Digital Omnibus”. Queste modifiche sono pensate per dare alle organizzazioni e ai fornitori di IA più tempo per prepararsi, pur mantenendo l’orientamento generale della normativa.
Ecco come si presenta la tempistica attuale:
- 2° agosto 2026: Anche se alcuni dei principali obblighi di conformità previsti dall’AI Act sono stati rinviati, il 22 Il mese di agosto segna comunque una tappa importante nell’entrata in vigore della normativa. A partire da questa data, l’Ufficio europeo per l’IA assumerà la responsabilità di supervisionare e garantire l’applicazione di molti aspetti della legge sull’IA, mentre gli Stati membri dovrebbero mettere a disposizione dei “sandbox” normativi dedicati all’IA per supportare le organizzazioni che sviluppano questa tecnologia. Per la maggior parte delle aziende, questa scadenza non comporta l’introduzione improvvisa di nuovi requisiti tecnici significativi. Tuttavia, segnala che le autorità di regolamentazione stanno passando dalla fase di preparazione a quella di vigilanza attiva. Le organizzazioni che già utilizzano l’IA dovrebbero cogliere questa occasione per capire dove viene impiegata, rivedere la governance interna e assicurarsi che siano in atto politiche adeguate e linee guida per i dipendenti prima che arrivino le future scadenze di conformità.
- 2 dicembre 2026: I fornitori di modelli di IA per uso generico (GPAI) devono rispettare i nuovi obblighi di trasparenza. Questi sono pensati per aiutare gli utenti a capire quando stanno interagendo con l’IA o visualizzando contenuti generati dall’IA. I fornitori dovranno tenere a disposizione la documentazione tecnica e, in determinate circostanze, identificare chiaramente i contenuti generati dall’IA o sintetici, in modo che le persone non vengano indotte in errore su ciò che stanno vedendo.
- 2 dicembre 2027: Sistemi di IA autonomi ad alto rischio elencati nell’ Allegato III, tra cui l’IA utilizzata in settori quali il reclutamento, la valutazione del merito creditizio e l’applicazione della legge, saranno soggetti ai requisiti di conformità completi.
- 2 agosto 2028: i sistemi di intelligenza artificiale ad alto rischio integrati in prodotti soggetti a regolamentazione, tra cui alcuni dispositivi medici, veicoli e sistemi aeronautici, diventano soggetti alle disposizioni pertinenti della legge.
Queste nuove scadenze offrono un po’ di respiro, ma non vanno viste come un motivo per rimandare la pianificazione. L’adozione dell’IA continua ad accelerare e mettere in atto fin da ora una solida governance renderà molto più facile garantire la conformità in futuro.
Cosa significa questo per la tua organizzazione?
Se i tuoi dipendenti stanno già usando strumenti come ChatGPT, Microsoft Copilot o altre piattaforme di IA generativa, non devi smettere all’improvviso di usarli solo perché il calendario arriva al 2agosto agosto.
Quello che l’AI Act sta promuovendo è un approccio più strutturato alla governance dell’IA.
Molte organizzazioni stanno ancora scoprendo quanto sia diffusa l’adozione dell’IA all’interno dell’azienda. È possibile che i vari reparti utilizzino strumenti diversi, che i dipendenti abbiano integrato l’IA nei propri flussi di lavoro e che le informazioni vengano condivise con piattaforme di IA esterne senza che nessuno comprenda appieno i rischi associati.
Questo rende la trasparenza incredibilmente importante. Prima che le organizzazioni possano gestire l’IA in modo responsabile, devono innanzitutto capire dove viene utilizzata, quali dati i dipendenti inseriscono nei sistemi di IA e se è in atto un adeguato controllo.
Vale anche la pena ricordare che la tecnologia è solo una parte del quadro. Sono ancora i dipendenti a decidere quali informazioni condividere con gli strumenti di IA, se fidarsi dei risultati generati dall’IA e quando il giudizio umano debba avere la precedenza. Linee guida chiare, politiche ragionevoli e formazione continua giocano tutte un ruolo importante nell’aiutare i dipendenti a prendere decisioni informate.
Come possono prepararsi le organizzazioni?
Anche se 2nd Il mese di agosto non introduce tutti gli obblighi previsti dall’AI Act, ma segna il momento in cui le autorità di regolamentazione iniziano a vigilare attivamente su gran parte della normativa. Per le organizzazioni, questo rende il momento particolarmente opportuno per valutare come viene utilizzata l’IA in tutta l’azienda e se sia già in atto una governance adeguata. Aspettare che arrivino le scadenze successive potrebbe costringere le organizzazioni a implementare in fretta politiche, processi e formazione dei dipendenti che sarebbe molto più facile mettere a punto adesso.
Una delle sfide più grandi per le aziende è capire dove viene già utilizzata l’IA. Spesso i dipendenti adottano nuovi strumenti di IA per conto proprio, il che significa che i team addetti alla sicurezza e alla conformità non hanno un quadro completo di ciò che sta succedendo in tutta l’organizzazione. Effettuare una verifica interna adesso può aiutare a capire quali strumenti di IA sono in uso, quali informazioni i dipendenti condividono con essi e se ci sono casi d’uso a rischio più elevato che richiedono una supervisione aggiuntiva, man mano che l’AI Act continua a essere implementato.
È altrettanto importante rivedere la tua politica sull’uso corretto dell’IA. Man mano che l’IA diventa sempre più parte integrante del lavoro quotidiano, i dipendenti hanno bisogno di indicazioni chiare su quali strumenti possono usare, quali informazioni non devono mai essere inserite nelle piattaforme pubbliche di IA e quando i contenuti generati dall’IA devono essere controllati da una persona prima di essere condivisi all’esterno.
È fondamentale anche sensibilizzare i dipendenti sui rischi legati all’uso dell’IA. L’IA offre enormi opportunità, ma comporta anche nuovi rischi. Informazioni inventate, attacchi di “prompt injection”, deepfake, preoccupazioni sulla privacy dei dati e attacchi di phishing sempre più sofisticati basati sull’IA richiedono ai dipendenti di riflettere in modo critico su come interagiscono con queste tecnologie.
Organizzare regolarmente corsi di formazione sull’IA aiuterà i dipendenti a capire le opportunità e i rischi legati al suo utilizzo sul lavoro. Oltre a rafforzare la fiducia, questo riduce la probabilità che i dipendenti divulghino informazioni sensibili, si affidino a contenuti imprecisi generati dall’IA o cadano vittime di sofisticati attacchi informatici basati sull’IA, contribuendo così a proteggere l’organizzazione e i suoi dati.
Infine, la governance dell’IA non dovrebbe essere di competenza di un solo reparto. I team di sicurezza, IT, conformità, risorse umane e l’ufficio legale hanno tutti un ruolo importante da svolgere nello sviluppo delle politiche, nel supporto ai dipendenti e nel garantire che l’IA venga adottata in modo responsabile in tutta l’organizzazione. Riunire questi team sin dall’inizio per definire le responsabilità, concordare i processi di governance e stabilire linee guida chiare per i dipendenti renderà molto più facile reagire quando entreranno in vigore i requisiti futuri.
La scadenza del 2 agosto riguarda tutte le organizzazioni?
La risposta breve è sì, anche se non tutte le organizzazioni ne risentiranno allo stesso modo.
Se la tua organizzazione sviluppa, fornisce o immette sul mercato dell’UE sistemi di IA, la legge sull’IA potrebbe comportare obblighi giuridici diretti a seconda del tipo di IA che offri. Per le organizzazioni che sviluppano sistemi di IA ad alto rischio o modelli di IA per scopi generali (GPAI), i requisiti di conformità sono più ampi e continueranno ad essere introdotti nei prossimi anni, man mano che entreranno in vigore le restanti scadenze.
Per molte organizzazioni, però, l’impatto riguarda soprattutto il modo in cui l’IA viene utilizzata in tutta l’azienda. I dipendenti si affidano sempre di più agli strumenti di IA per scrivere contenuti, analizzare informazioni, generare codice e supportare il processo decisionale quotidiano. Anche se questi casi d’uso potrebbero non comportare immediatamente nuovi obblighi legali ai sensi della legge sull’IA, evidenziano comunque la necessità di una governance chiara, di politiche sensate e di una maggiore consapevolezza da parte dei dipendenti.
Il 2° La scadenza di agosto dovrebbe essere vista come uno spunto per fare il punto sull’approccio della tua organizzazione all’IA. Le autorità di regolamentazione stanno passando alla fase successiva della vigilanza, le aspettative riguardo a un uso responsabile dell’IA continuano a crescere e le organizzazioni che rafforzano la propria governance adesso saranno molto meglio preparate quando entreranno in vigore ulteriori requisiti.
Anche le organizzazioni con sede al di fuori dell’UE non dovrebbero dare per scontato che la normativa possa essere ignorata. L’AI Act ha un ambito di applicazione extraterritoriale, il che significa che può applicarsi alle organizzazioni i cui sistemi di IA o i cui risultati generati dall’IA siano immessi sul mercato dell’UE o utilizzati all’interno dell’UE. Se la tua organizzazione opera a livello internazionale, questo è il momento giusto per capire se qualche parte della normativa si applica alla tua attività.
Uno sguardo oltre il 2 agosto
È facile pensare alle scadenze di conformità come a dei traguardi da raggiungere, ma l’AI Act va visto piuttosto come un percorso in continua evoluzione. L’intelligenza artificiale continua a evolversi a un ritmo straordinario e le organizzazioni scoprono ogni settimana nuovi modi per usarla.
Il calendario di attuazione rivisto concede alle organizzazioni più tempo per prepararsi, ma offre anche l’opportunità di rafforzare la governance prima che la conformità diventi più complessa. Chi investe adesso per capire come viene utilizzata l’IA, formare i dipendenti e definire politiche chiare si troverà in una posizione di gran lunga più solida rispetto a chi aspetta le scadenze future.
Un’IA responsabile non significa solo rispettare le nuove normative. Significa dare ai dipendenti la sicurezza necessaria per utilizzare l’IA in modo sicuro, proteggendo al contempo la tua organizzazione, i tuoi clienti e i tuoi dati.
Come MetaCompliance può aiutarti nel tuo percorso di governance dell’IA
Prepararsi all’AI Act significa assicurarsi che i tuoi dipendenti capiscano come usare l’IA in modo sicuro, responsabile e con fiducia nel loro lavoro quotidiano.
Noi di MetaCompliance aiutiamo le organizzazioni a creare una cultura in cui i dipendenti possano adottare l’IA senza correre rischi inutili. I nostri corsi di formazione sulla consapevolezza dell’IA e le nostre soluzioni per la gestione delle politiche aiutano le organizzazioni a istruire i dipendenti su un uso responsabile dell’IA e a rafforzare le migliori pratiche.
Che tu stia rivedendo il tuo quadro di governance sull’IA, introducendo una politica di utilizzo accettabile dell’IA o cercando di sensibilizzare i dipendenti in vista delle scadenze previste dall’AI Act, il nostro team può aiutarti a creare un approccio pratico che favorisca sia la conformità che l’innovazione.
Vuoi saperne di più? Contatta il team di MetaCompliance per scoprire come possiamo aiutare la tua organizzazione a prepararsi con fiducia al futuro dell’IA.
Domande frequenti sulla legge dell'UE sull'IA
La legge sull'IA si applica alle organizzazioni al di fuori dell'UE?
Sì, in alcuni casi. La legge sull’IA può applicarsi alle organizzazioni con sede al di fuori dell’UE se sviluppano, forniscono o utilizzano sistemi di IA immessi sul mercato dell’UE o i cui risultati vengono utilizzati all’interno dell’UE. Se la tua organizzazione intrattiene rapporti commerciali con clienti o dipendenti nell’UE, È vale la pena capire se qualcuno dei tuoi sistemi di IA rientri nell’ambito di applicazione della normativa.
Dobbiamo smettere di usare strumenti come ChatGPT o Microsoft Copilot?
No. La legge sull’intelligenza artificiale non vietare l’uso di strumenti di IA generativa come ChatGPT, Microsoft Copilot o piattaforme simili. Incoraggia invece le organizzazioni a usare l’IA in modo responsabile, mettendo una governance adeguata, supervisione e le misure di sicurezza in atto. Questo significa capire come viene usata l’IA, proteggere le informazioni sensibili e dare ai dipendenti indicazioni chiare su come usarla in modo corretto.
Cosa dovrebbero fare le organizzazioni prima del 2 agosto 2026?
Per la maggior parte delle organizzazioni, la priorità dovrebbe essere la preparazione piuttosto che grandi cambiamenti tecnici. Adesso è un bel momento per capire quali strumenti di IA vengono utilizzati in tutta l’azienda, rivedere o creare una politica di utilizzo accettabile dell’IA, informare i dipendenti sui rischi e le opportunità dell’IA e stabilire una governance chiara su come viene adottata l’IA.
I dipendenti avranno bisogno di una formazione sulla consapevolezza dell'IA?
Anche se la legge sull’IA non prevede un programma di formazione specifico, è importante aiutare i dipendenti a capire come usare l’IA in modo sicuro.
Ogni giorno i dipendenti decidono quali informazioni condividere con gli strumenti di IA, se fidarsi dei contenuti generati dall’IA e come reagire alle minacce legate all’IA, come il phishing e i deepfake. Regolarmente formazione sulla consapevolezza aiuta a ridurre i rischi e allo stesso tempo dà ai dipendenti la sicurezza necessaria per usare l’IA in modo responsabile.
Cosa succede se le organizzazioni non rispettano la legge sull'IA?
La legge sull’IA prevede sanzioni pecuniarie significative per alcune violazioni; quelle più gravi comportano multe fino a 35 milioni di euro o al 7% del fatturato annuo mondiale, a seconda di quale dei due importi sia maggiore. Tuttavia, l’applicazione della legge avverrà in modo graduale, poiché parti diverse della normativa entrino in vigore. Anziché aspettare che scadano i termini, le organizzazioni dovrebbero approfittare del periodo di attuazione graduale per rafforzare la propria governance dell’IA, formare dipendenti e prepararsi ai futuri requisiti di conformità.