Guida Completa

AI Act in Italia: guida completa per aziende, deployer e fornitori

Articoli, scadenze, sanzioni, autorità competenti. Aggiornato maggio 2026.

Il Regolamento UE 2024/1689 (AI Act) è il quadro normativo europeo per l'intelligenza artificiale. Entrato in vigore il 1 agosto 2024 con applicazione progressiva: alfabetizzazione obbligatoria già attiva, regime pieno dal 3 agosto 2026. Questa guida copre articoli, sanzioni, autorità competenti, percorso operativo.

Vai al servizio compliance

Cos'è l'AI Act in 60 secondi

Il primo regolamento orizzontale al mondo sull'intelligenza artificiale.

L'AI Act (Regolamento UE 2024/1689) è il primo quadro normativo orizzontale al mondo dedicato all'intelligenza artificiale. È stato approvato dal Parlamento Europeo il 13 marzo 2024, pubblicato in Gazzetta Ufficiale UE il 12 luglio 2024, entrato in vigore il 1 agosto 2024 con applicazione progressiva. Il regime pieno è atteso al 2 agosto 2026 per i sistemi alto rischio, con vigilanza ACN attiva in Italia dal 3 agosto 2026.

Il Regolamento adotta un approccio basato sul rischio: i sistemi AI sono classificati in quattro livelli (rischio inaccettabile vietato, alto rischio sottoposto a obblighi stringenti, rischio limitato con obblighi di trasparenza, rischio minimo libero). Si applica direttamente in tutti gli Stati membri senza necessità di recepimento, ed è territorialmente vincolante per chiunque immetta sistemi AI sul mercato UE o usi sistemi AI il cui output è utilizzato nell'Unione.

Per la maggioranza delle aziende italiane il punto di contatto immediato è l'art. 4 sull'alfabetizzazione, già in vigore dal 2 febbraio 2025. Per chi usa sistemi alto rischio (HR, credito, sicurezza, biometria) si aggiungono gli obblighi documentali degli artt. 6-49. Il GDPR resta applicabile in parallelo per i dati personali processati dai sistemi AI: le due compliance vanno gestite in modo integrato.

Le scadenze che contano

Cinque date che cambiano gli obblighi delle aziende italiane.

2024 1 ago

Entrata in vigore

Il Regolamento entra in vigore. Da questo momento decorrono i termini per le applicazioni progressive dei singoli obblighi.
2025 2 feb

Articoli 4 e 5 attivi

Alfabetizzazione obbligatoria del personale (art. 4) e divieto delle pratiche AI inaccettabili (art. 5: social scoring, manipolazione, biometria sensibile). Da qui le aziende sono già esposte.
2025 2 ago

Obblighi modelli GPAI

Si applicano gli obblighi specifici per i fornitori di modelli AI di uso generale (GPAI): trasparenza, documentazione tecnica, copyright disclosure, valutazione del rischio sistemico per modelli più potenti.
2026 2 ago

Regime pieno sistemi alto rischio

Entrano in vigore tutti gli obblighi degli artt. 6-49 per i sistemi alto rischio dell'allegato III. Si applica anche l'art. 50 sulla trasparenza degli output AI generati.
2026 3 ago

Italia: vigilanza ACN attiva

ACN — Agenzia per la Cybersicurezza Nazionale — diventa formalmente operativa come autorità di vigilanza nazionale. Da questa data partono i controlli e le sanzioni dell'art. 99.

A chi si applica

Quattro categorie di soggetti coinvolti dall'AI Act.

Il Regolamento adotta una nozione ampia per estendere il perimetro a tutti i soggetti rilevanti nella catena del valore AI. La distinzione fornitore/deployer è centrale: gli obblighi cambiano significativamente.

Fornitori (chi sviluppa sistemi AI)

Aziende che sviluppano e immettono sul mercato UE sistemi AI con marchio proprio: software houses, scale-up AI, vendor enterprise. Obblighi più estesi: valutazione di conformità, marchio CE per sistemi alto rischio, documentazione tecnica completa, obblighi di trasparenza verso i deployer.
Deployer (chi usa sistemi AI per fini professionali)

La maggioranza delle aziende italiane: chi integra ChatGPT, Copilot, Claude o tool AI verticali nei processi aziendali è deployer. Obblighi principali: art. 4 (alfabetizzazione), art. 50 (trasparenza output AI), valutazione di impatto per sistemi alto rischio, monitoraggio post-market e segnalazione incidenti.
Importatori e distributori

Chi importa o distribuisce sistemi AI sviluppati fuori UE. Obbligo di verifica della conformità del fornitore extra-UE prima dell'immissione sul mercato. Responsabilità in caso di immissione di sistema non conforme. Tracciabilità della catena distributiva.
Esclusioni (chi non rientra)

Ricerca scientifica e sviluppo pre-deployment, uso militare e di sicurezza nazionale, sistemi AI con licenza open source non immessi sul mercato a fini commerciali (con eccezioni). L'esclusione cessa nel momento in cui il sistema entra in uso operativo o commerciale.

Articoli chiave

Cinque articoli che le aziende devono conoscere.

L'AI Act ha 113 articoli e 13 allegati: questa è la selezione operativa per il deployer aziendale italiano medio. Per approfondire l'art. 4, vedere la pagina dedicata.

Articolo 4 — Alfabetizzazione

In vigore dal 2 febbraio 2025. Obbliga fornitori e deployer a garantire un livello sufficiente di alfabetizzazione AI del personale. Approfondimento dedicato: vedi pagina articolo 4.
Articolo 5 — Pratiche vietate

In vigore dal 2 febbraio 2025. Vieta pratiche AI inaccettabili: manipolazione comportamentale, social scoring, categorizzazione biometrica per dati sensibili, scraping massivo immagini facciali, riconoscimento emozioni in luogo di lavoro/scuola. Sanzione massima art. 99: €35M o 7% fatturato.
Articoli 6-49 — Sistemi alto rischio

Disciplina dei sistemi rientranti nell'allegato III: HR (screening CV, valutazione performance), credito (scoring), istruzione (assegnazione esami), sicurezza critica, biometria, applicazione della legge. Obblighi di valutazione conformità, registrazione sistema, controllo umano, monitoraggio post-market, valutazione di impatto sui diritti fondamentali.
Articolo 50 — Trasparenza obblighi

Obbligo di disclosure per output AI generati o modificati: deepfake, contenuti sintetici, chatbot identificabili come tali, watermarking machine-readable per generative AI. Si applica a deployer di GPAI integrate in prodotti consumer e B2B. In vigore dal 2 agosto 2026.
Articolo 99 — Sanzioni

Tre fasce sanzionatorie: fino a €35M o 7% fatturato per pratiche vietate (art. 5), fino a €15M o 3% per non conformità sistemi alto rischio, fino a €7,5M o 1% per informazioni non corrette ad autorità. Sanzioni ridotte per PMI e startup. In Italia l'autorità è ACN.

Approfondisci articolo 4 nel dettaglio

Autorità competenti in Italia

Quattro istituzioni con competenze diverse sull'AI Act.

Il modello italiano combina vigilanza generale (ACN), governance e promozione (AgID), interfaccia GDPR (Garante Privacy), competenze settoriali (Banca d'Italia, IVASS, AGCOM). In caso di controllo le aziende possono trovarsi davanti a più di un'autorità.

ACN — Agenzia per la Cybersicurezza Nazionale

Autorità nazionale di vigilanza generale designata per l'AI Act in Italia. Competente per controlli, sanzioni, ricezione segnalazioni di incidenti. Dal 3 agosto 2026 attiva il regime di vigilanza piena su sistemi alto rischio e violazioni dell'art. 5.
AgID — Agenzia per l'Italia Digitale

Promozione e governance dell'adozione AI nella PA italiana. Linee guida tecniche, supporto a enti pubblici nei progetti AI, coordinamento con la Strategia Italiana per l'AI 2024-2026. Non ha potere sanzionatorio diretto AI Act, ma è punto di riferimento operativo.
Garante Privacy

Autorità competente per l'interfaccia AI Act / GDPR. Quando un sistema AI tratta dati personali, il Garante interviene su violazioni GDPR potenzialmente cumulative con quelle AI Act. Cooperazione con ACN per casi cross-normativa.
Banca d'Italia, IVASS, AGCOM

Autorità di settore competenti rispettivamente per banche/intermediari finanziari, imprese assicurative, comunicazioni elettroniche e media. Vigilano sui sistemi AI ad alto rischio nei rispettivi ambiti regolati, in coordinamento con ACN.

Come prepararsi entro agosto 2026

Cinque passaggi operativi prima della vigilanza ACN.

Il tempo utile per arrivare pronti al regime pieno è limitato: 15 mesi a maggio 2026. Per PMI con uso AI standard il percorso completo richiede 6-10 settimane di lavoro consulenziale, più i tempi interni di adeguamento.

Mappatura sistemi AI usati in azienda

Inventario completo di tool AI espliciti (Copilot 365, ChatGPT Enterprise, tool verticali) e shadow (account ChatGPT personali usati al lavoro). Classificazione per livello di rischio AI Act e flussi dati associati.
Gap analysis articoli 4, 5, 50

Verifica strutturata della conformità delle prassi attuali agli obblighi specifici. Output: report di non-conformità prioritizzato per impatto sanzionatorio e tempo di remediation richiesto.
Formazione personale art. 4 con EDC eIDAS

Percorso formativo strutturato, documentato e verificabile. La European Digital Credential rilasciata da enti accreditati UE costituisce l'evidenza documentale più solida per il fascicolo tecnico.
Fascicolo tecnico documentato

Pacchetto documentale unico contenente registri sistemi AI, valutazioni di rischio, evidenze formative, policy interne, procedure di incident response, audit trail decisioni di governance AI.
Audit ricorrenti per nuove implementazioni

Verifica annuale dello stato di conformità per le nuove implementazioni AI introdotte. Aggiornamento fascicolo, refresher formativo per nuovi assunti, gap analysis incrementale.

Vedi servizio Compliance AI Act

FAQ AI Act

Le domande chiave sul Regolamento UE 2024/1689.

L'articolo 4 ha sanzioni dirette?

No, l'articolo 4 non prevede sanzioni dirette. Tuttavia, la mancata alfabetizzazione del personale è considerata aggravante in caso di altre violazioni del Regolamento UE 2024/1689. L'articolo 99 prevede sanzioni fino a €35 milioni o il 7% del fatturato annuo mondiale per pratiche AI vietate (art. 5), fino a €15 milioni o il 3% per non conformità degli obblighi sui sistemi ad alto rischio. Documentare un percorso formativo strutturato riduce in modo significativo l'esposizione sanzionatoria complessiva.

Possiamo gestire la compliance internamente senza consulenti?

Tecnicamente sì, se in azienda sono disponibili competenze legali specifiche sull'AI Act, expertise tecnica sui sistemi adottati e capacità di mantenere documentazione tracciabile nel tempo. Nella pratica, per PMI sotto i 500 dipendenti il time-to-compliance gestito internamente è 3-4 volte più lungo rispetto a un percorso con consulente esterno specializzato. Il rischio principale del fai-da-te è produrre fascicoli tecnici che ACN può contestare in fase di controllo.

Quanto costa una compliance AI Act per una PMI 100 dipendenti?

Il range tipico è €5.000-€15.000 per progetto completo, in funzione del numero di sistemi AI in uso, della complessità dei flussi dati e della profondità della formazione richiesta. Il costo include audit, gap analysis, remediation plan, formazione del personale con EDC eIDAS e fascicolo tecnico finale. La prima call costa €240 (no IVA, Intarget DMCC Dubai) e viene compensata se il preventivo successivo viene accettato.

ChatGPT Enterprise è compliant by design?

No. ChatGPT, anche nella versione Enterprise con data protection, è uno strumento. La compliance al Regolamento UE 2024/1689 dipende dal modo in cui viene utilizzato in azienda: presenza di policy interne, formazione documentata del personale (art. 4), valutazione del rischio per i casi d'uso ad alto rischio, tracciabilità del flusso dati ai sensi del GDPR. Senza queste evidenze documentali, l'azienda resta esposta in caso di controllo ACN.

Cosa succede se non siamo pronti al 3 agosto 2026?

Il 3 agosto 2026 è la data in cui ACN attiva i controlli nel regime pieno. Le sanzioni dell'art. 99 sono cumulative con quelle GDPR: in scenari peggiori una violazione AI Act + GDPR può superare i €50 milioni complessivi per imprese di grandi dimensioni. Esistono anche conseguenze reputazionali (pubblicazione delle decisioni sanzionatorie) e civili (responsabilità verso terzi danneggiati). Per PMI il rischio principale è la perdita di clienti enterprise che richiedono fornitori AI-Act compliant come prerequisito contrattuale.

Quale formato ha l'EDC eIDAS rilasciata al termine della formazione?

La European Digital Credential è una credenziale digitale ufficiale UE con sigillo elettronico eIDAS. È verificabile online in 30 secondi tramite il portale Europass della Commissione Europea, machine-readable per ATS aziendali e sistemi HR, riconosciuta in tutti i 27 paesi membri UE. Per l'azienda costituisce evidenza documentale dell'alfabetizzazione del personale richiesta dall'art. 4, parte integrante del fascicolo tecnico.

Differenza tra AI Act e GDPR per AI?

GDPR e AI Act sono normative complementari, non alternative. Il GDPR (Regolamento UE 2016/679) disciplina il trattamento dei dati personali, inclusi quelli processati da sistemi AI. L'AI Act (Regolamento UE 2024/1689) disciplina i sistemi AI nel loro complesso, inclusi quelli che non trattano dati personali. Un chatbot aziendale che usa LLM è soggetto a entrambi: GDPR per i dati conversazionali degli utenti, AI Act per il sistema AI in sé. Il fascicolo aziendale conforme integra entrambe le dimensioni.

Posso essere sanzionato due volte (AI Act + GDPR)?

Sì, le sanzioni sono cumulative quando la violazione interessa entrambi gli ambiti normativi. Esempio: un sistema AI di scoring HR senza valutazione di conformità (art. 6 AI Act) che tratta dati personali senza base giuridica adeguata (art. 6 GDPR) può ricevere due sanzioni indipendenti, una da ACN e una da Garante Privacy. Per questo le due compliance vanno gestite in modo integrato: il fascicolo AI Act deve includere la documentazione GDPR rilevante e viceversa.

Iniziamo da una conversazione di un'ora.

Una call di un'ora per capire le priorità della vostra azienda, valutare il livello di maturità AI e definire l'eventuale percorso. Costo: €240, compensato in caso di accettazione del preventivo successivo.

info@prompti.it

Tutte le call si svolgono in videoconferenza, in italiano, inglese o spagnolo.

AI Act in Italia: guida completa per aziende, deployer e fornitori

Il primo regolamento orizzontale al mondo sull'intelligenza artificiale.

Cinque date che cambiano gli obblighi delle aziende italiane.

Entrata in vigore

Articoli 4 e 5 attivi

Obblighi modelli GPAI

Regime pieno sistemi alto rischio

Italia: vigilanza ACN attiva

Quattro categorie di soggetti coinvolti dall'AI Act.

Fornitori (chi sviluppa sistemi AI)

Deployer (chi usa sistemi AI per fini professionali)

Importatori e distributori

Esclusioni (chi non rientra)

Cinque articoli che le aziende devono conoscere.

Articolo 4 — Alfabetizzazione

Articolo 5 — Pratiche vietate

Articoli 6-49 — Sistemi alto rischio

Articolo 50 — Trasparenza obblighi

Articolo 99 — Sanzioni

Quattro istituzioni con competenze diverse sull'AI Act.

ACN — Agenzia per la Cybersicurezza Nazionale

AgID — Agenzia per l'Italia Digitale

Garante Privacy

Banca d'Italia, IVASS, AGCOM

Cinque passaggi operativi prima della vigilanza ACN.

Mappatura sistemi AI usati in azienda

Gap analysis articoli 4, 5, 50

Formazione personale art. 4 con EDC eIDAS

Fascicolo tecnico documentato

Audit ricorrenti per nuove implementazioni