Checklist di conformità al Regolamento IA UE per il 2026
Il Regolamento IA UE (Regolamento 2024/1689) è il primo quadro giuridico completo al mondo per l'intelligenza artificiale. È entrato in vigore il 1° agosto 2024 con un calendario di attuazione graduale. Questa guida illustra ogni obbligo per ruolo, livello di rischio e scadenza.
Scadenze chiave
| Data | Cosa si applica |
|---|---|
| 2 feb 2025 | Pratiche di IA vietate (Articolo 5) e alfabetizzazione sull'IA (Articolo 4) |
| 2 ago 2025 | Obblighi sui modelli di IA per finalità generali, struttura di governance, regole di riservatezza, quadro sanzionatorio |
| 2 dic 2027 | Piena applicazione — tutti gli obblighi sui sistemi di IA ad alto rischio, valutazione della conformità, marcatura CE, registrazione, doveri del deployer |
| 2 ago 2028 | Obblighi dell'Articolo 6(1) — sistemi di IA ad alto rischio che sono componenti di sicurezza di prodotti coperti dalla legislazione di armonizzazione UE |
| 31 dic 2030 | I sistemi di IA legacy nei sistemi IT su larga scala dell'UE (Allegato X) devono essere portati in conformità |
Pratiche di IA vietate (Articolo 5)
Le seguenti pratiche di IA sono vietate, con sanzioni fino a 35 milioni di EUR o 7% del fatturato annuo globale:
- Manipolazione subliminale o tecniche ingannevoli che causano danni significativi
- Sfruttamento di vulnerabilità dovute a età, disabilità o situazione sociale/economica
- Social scoring da parte di autorità pubbliche che porta a trattamenti pregiudizievoli
- Identificazione biometrica remota in tempo reale in spazi pubblici per attività di contrasto (con eccezioni ristrette)
- Scraping non mirato di immagini facciali da Internet o telecamere a circuito chiuso per database di riconoscimento facciale
- Riconoscimento delle emozioni nei luoghi di lavoro e negli istituti di istruzione (con eccezioni ristrette)
- Categorizzazione biometrica per inferire razza, opinioni politiche, appartenenza sindacale, convinzioni religiose o orientamento sessuale
- Polizia predittiva individuale basata esclusivamente sulla profilazione
Obblighi del fornitore (Articolo 16)
I fornitori di sistemi di IA ad alto rischio sopportano l'onere di conformità più gravoso. Prima di immettere un sistema sul mercato o metterlo in servizio, i fornitori devono:
- Sistema di gestione dei rischi (Art. 9) — Stabilire un processo continuo e iterativo per l'intero ciclo di vita del sistema di IA
- Data governance (Art. 10) — Garantire che i dataset di addestramento, convalida e prova soddisfino criteri di qualità con proprietà statistiche adeguate
- Documentazione tecnica (Art. 11, Allegato IV) — Predisporre documentazione completa che copra tutte le 9 sezioni richieste prima dell'immissione sul mercato
- Tenuta dei registri (Art. 12) — Integrare capacità di logging automatico proporzionate alla finalità prevista del sistema
- Trasparenza (Art. 13) — Progettare il sistema affinché i deployer possano interpretare l'output e usarlo in modo appropriato
- Sorveglianza umana (Art. 14) — Implementare misure che consentano una sorveglianza umana efficace durante l'uso del sistema
- Accuratezza, robustezza e cybersicurezza (Art. 15) — Raggiungere livelli adeguati per tutto il ciclo di vita
- Sistema di gestione della qualità (Art. 17) — Documentare politiche e procedure che garantiscano la conformità continua
- Valutazione della conformità (Art. 43) — Completare la procedura di valutazione adeguata prima dell'immissione sul mercato
- Dichiarazione UE di conformità (Art. 47) — Redigere e tenere aggiornata per ogni sistema di IA ad alto rischio
- Marcatura CE (Art. 48) — Apporla in modo visibile, leggibile e indelebile sul sistema
- Registrazione database UE (Art. 49) — Registrare il sistema e il fornitore nel database UE prima dell'immissione sul mercato
Obblighi del deployer (Articolo 26)
Le organizzazioni che usano sistemi di IA ad alto rischio (deployer) hanno il proprio set di obblighi:
- Uso secondo le istruzioni — Implementare misure tecniche e organizzative adeguate per usare il sistema secondo le istruzioni per l'uso del fornitore
- Sorveglianza umana — Assegnare persone qualificate con la competenza, la formazione, l'autorità e il supporto necessari per supervisionare il funzionamento del sistema
- Pertinenza dei dati di input — Quando il deployer controlla i dati di input, garantirne la pertinenza e la sufficiente rappresentatività rispetto alla finalità prevista
- Monitoraggio — Monitorare il funzionamento del sistema sulla base delle istruzioni per l'uso e informare il fornitore di eventuali rischi o incidenti gravi
- Conservazione dei log — Conservare i log generati automaticamente per almeno 6 mesi
- Notifica ai lavoratori — Informare i rappresentanti dei lavoratori e i lavoratori interessati prima del deployment di un sistema di IA ad alto rischio sul posto di lavoro
- Valutazione d'impatto sui diritti fondamentali — Per alcuni deployer (enti pubblici, soggetti privati che erogano servizi pubblici), eseguire una valutazione dell'impatto del sistema sui diritti fondamentali prima dell'uso
Obblighi di importatore e distributore
Gli importatori (Articolo 23) devono verificare che il fornitore abbia completato la valutazione della conformità, predisposto la documentazione tecnica, apposto la marcatura CE e nominato un rappresentante autorizzato. Non possono immettere sul mercato un sistema non conforme.
I distributori (Articolo 24) devono verificare la presenza di marcatura CE, dichiarazione UE di conformità e istruzioni per l'uso. Devono garantire che le condizioni di stoccaggio e trasporto non compromettano la conformità.
Struttura sanzionatoria (Articolo 99)
| Violazione | Sanzione massima |
|---|---|
| Pratiche di IA vietate (Art. 5) | 35M EUR o 7% del fatturato globale |
| Obblighi di fornitore, deployer, importatore, distributore | 15M EUR o 3% del fatturato globale |
| Informazioni inesatte o fuorvianti alle autorità | 7,5M EUR o 1% del fatturato globale |
Per le PMI e le start-up, le sanzioni sono limitate al minore tra la percentuale e l'importo fisso. Tra i fattori attenuanti rientrano l'autodenuncia, il grado di cooperazione e le misure tecniche già attuate.
In sintesi: l'EU AI Act non è facoltativo. Se sviluppi, utilizzi, importi o distribuisci sistemi di IA nell'UE, devi mappare subito i tuoi obblighi. Le regole sulle pratiche vietate sono già in vigore e gli obblighi completi per i sistemi ad alto rischio si applicano da dicembre 2027 (rinviati da agosto 2026 dal Digital Omnibus).
LandingRed automatizza tutto questo
Smetti di gestire la conformità in fogli di calcolo. Classifica, documenta, valuta e monitora i tuoi sistemi di IA da un'unica piattaforma.