Ambito di applicazione e obiettivi
La legge sull'IA è la prima legge globale al mondo per l'IA. Essa mira ad affrontare i rischi per la salute, la sicurezza e i diritti fondamentali. Il regolamento mira inoltre a proteggere la democrazia, lo Stato di diritto e l'ambiente.
La diffusione dei sistemi di IA e dei modelli di IA per finalità generali ha un forte potenziale per apportare benefici sociali e crescita economica e per rafforzare l'innovazione dell'UE e la competitività globale. Tuttavia, in alcuni casi, le caratteristiche specifiche di determinati sistemi di IA e modelli di IA per finalità generali possono creare nuovi rischi relativi alla sicurezza degli utenti, compresa la sicurezza fisica, e ai diritti fondamentali. Alcuni modelli di IA per finalità generali, i più avanzati, potrebbero persino comportare i cosiddetti "rischi sistemici".
Ciò comporta incertezza giuridica e un'adozione potenzialmente più lenta delle tecnologie di IA da parte delle autorità pubbliche, delle imprese e dei cittadini, a causa della mancanza di fiducia. Risposte normative divergenti da parte delle autorità nazionali potrebbero rischiare di frammentare il mercato interno.
In risposta a tali sfide, era necessaria un'azione legislativa per garantire il buon funzionamento del mercato interno dei sistemi di IA e dei modelli di IA per finalità generali, nell'ambito dei quali i rischi siano adeguatamente affrontati e i benefici siano presi in considerazione.
Il quadro giuridico si applica agli attori sia pubblici che privati all'interno e all'esterno dell'UE, che immettono un sistema di IA o un modello di IA per finalità generali sul mercato dell'UE, o mettono in servizio o utilizzano un sistema di IA nell'UE.
Gli obblighi si applicano, tra l'altro, ai fornitori (ad esempio, uno sviluppatore di uno strumento di screening dei CV) e ai deployer di sistemi di IA (ad esempio, una banca che utilizza tale strumento di screening), nonché ai fornitori di modelli di IA per finalità generali. Vi sono alcune deroghe al regolamento. Le attività di ricerca, sviluppo e prototipazione che si svolgono prima dell'immissione sul mercato di un sistema o modello di IA non sono soggette al presente regolamento. Sono altresì esentati i sistemi di IA progettati esclusivamente a fini militari, di difesa o di sicurezza nazionale, indipendentemente dal tipo di soggetto che svolge tali attività.
La legge sull'IA introduce un quadro uniforme in tutti gli Stati membri dell'UE, basato su un approccio basato sul rischio.
Sistemi di IA vietati
Una serie molto limitata di usi particolarmente dannosi dei sistemi di IA che violano i valori dell'UE perché violano i diritti fondamentali e saranno pertanto vietati:
- Sfruttamento delle vulnerabilità delle persone, manipolazione e uso di tecniche subliminali
- Punteggio sociale per scopi pubblici e privati
- Polizia predittiva individuale basata esclusivamente sulla profilazione delle persone
- Raschiamento non mirato di Internet o CCTV per immagini facciali per costruire o espandere database
- Riconoscimento delle emozioni sul luogo di lavoro e negli istituti di istruzione, salvo per motivi medici o di sicurezza (ossia monitoraggio dei livelli di stanchezza di un pilota)
- Classificazione biometrica delle persone fisiche per dedurre o dedurre la razza, le opinioni politiche, l'appartenenza sindacale, le convinzioni religiose o filosofiche o l'orientamento sessuale. L'etichettatura o il filtraggio delle serie di dati e la categorizzazione dei dati saranno ancora possibili
- Identificazione biometrica remota in tempo reale in spazi accessibili al pubblico a fini di contrasto, fatte salve limitate eccezioni (cfr. di seguito)
La Commissione ha pubblicato orientamenti sulle pratiche di IA vietate e orientamenti sulla definizione di sistema di IA della legge sull'IA. che forniscono spiegazioni giuridiche ed esempi pratici per aiutare le parti interessate a conformarsi a tali norme.
Sistemi di IA ad alto rischio
La legge sull'IA considera ad alto rischio un numero limitato di sistemi di IA, in quanto potrebbero avere un impatto negativo sulla sicurezza delle persone o sui loro diritti fondamentali (protetti dalla Carta dei diritti fondamentali dell'UE). Alla legge sono allegati gli elenchi dei sistemi di IA ad alto rischio, che possono essere riesaminati per allinearsi all'evoluzione dei casi d'uso dell'IA.
I sistemi di IA ad alto rischio includono, ad esempio, sistemi di IA che valutano se qualcuno è in grado di ricevere un determinato trattamento medico, di ottenere un determinato lavoro o un prestito per acquistare un appartamento. Altri sistemi di IA ad alto rischio sono quelli utilizzati dalla polizia per valutare il rischio che qualcuno commetta un reato (a meno che non sia vietato ai sensi dell'articolo 5).
I sistemi di IA ad alto rischio comprendono anche i componenti di sicurezza dei prodotti disciplinati dalla legislazione settoriale dell'Unione o dei sistemi di IA che costituiscono tali prodotti stessi. Essi saranno sempre considerati ad alto rischio quando sono soggetti a una valutazione della conformità da parte di terzi ai sensi di tale legislazione settoriale. Ciò potrebbe includere, ad esempio, sistemi di IA che gestiscono robot, droni o dispositivi medici.
Requisiti di trasparenza per determinati sistemi di IA
Per promuovere la fiducia, è importante garantire la trasparenza in merito all'origine artificiale di determinati contenuti o interazioni dell'IA. Pertanto, la legge sull'IA introduce requisiti specifici di trasparenza per i fornitori o gli operatori di determinati sistemi di IA interattivi o generativi (ad esempio chatbot o deep fake). Tali obblighi di trasparenza mirano ad affrontare i rischi di disinformazione e manipolazione, frode, finzione e inganno dei consumatori.
Sistemi di IA con rischio minimo
La maggior parte dei sistemi di IA può essere sviluppata e utilizzata nel rispetto della legislazione vigente senza ulteriori obblighi giuridici.
Modelli di IA per finalità generali
La legge sull'IA disciplina anche i modelli di IA per finalità generali. Questi possono essere utilizzati per una serie di compiti e stanno diventando la base di molti sistemi di IA nell'UE. I fornitori di modelli di IA per finalità generali devono documentare determinate informazioni (a meno che non abbiano diritto all'esenzione open source) e adottare misure che garantiscano il rispetto del diritto d'autore e dei diritti connessi dell'UE.
Anche i modelli GPAI più avanzati potrebbero presentare rischi sistemici. Ad esempio, modelli potenti potrebbero consentire attacchi chimici, biologici, radiologici o nucleari (CBRN) o sofisticati attacchi informatici su larga scala, sfuggire al controllo umano o consentire la distorsione strategica del comportamento o delle convinzioni umane. I fornitori di modelli di IA per finalità generali con rischi sistemici devono inoltre valutare e mitigare i rischi sistemici.
La legge sull'IA crea un quadro giuridico che risponde ai nuovi sviluppi, è facile e rapido da adattare e consente una valutazione frequente. Il regolamento stabilisce requisiti e obblighi orientati ai risultati, ma lascia le soluzioni tecniche concrete e l'operatività a norme e codici di condotta orientati all'industria che sono flessibili per essere adattati ai diversi casi d'uso e per consentire nuove soluzioni tecnologiche.
La legge sull'IA può essere modificata mediante atti delegati e atti di esecuzione, ad esempio per rivedere l'elenco dei casi d'uso ad alto rischio di cui all'allegato III. Ci saranno frequenti valutazioni di alcune parti della legge sull'IA e, infine, dell'intero regolamento, assicurandosi che sia individuata qualsiasi necessità di revisione e modifica.
A norma della legge sull'IA, i sistemi di IA ad alto rischio saranno soggetti a requisiti specifici. Le norme armonizzate europee forniranno specifiche dettagliate per l'attuazione e la conformità ai requisiti ad alto rischio. I fornitori che sviluppano un sistema di IA ad alto rischio conformemente alle norme armonizzate beneficeranno di una presunzione di conformità.
Nel maggio 2023 la Commissione europea ha incaricato le organizzazioni europee di normazione CEN e CENELEC di elaborare norme per tali requisiti ad alto rischio. Tale mandato è stato modificato nel giugno 2025 per allinearsi al testo finale della legge sull'IA. Il CEN e il CENELEC non sono stati in grado di elaborare le norme nel calendario richiesto dell'agosto 2025. I lavori di normazione sono ancora in corso.
Le norme sono volontarie, ma decisive per la certezza del diritto. Aiutano le aziende a capire cosa devono fare e le autorità a sapere cosa devono controllare. Il ritardo nella disponibilità delle norme mette a repentaglio l'efficace entrata in applicazione delle norme ad alto rischio il 2 agosto 2026. La Commissione ritiene pertanto che sia opportuno concedere più tempo per l'efficace attuazione delle norme per le quali le norme sono di notevole importanza (cfr. proposta Omnibus digitale).
Le opportunità e l'impatto dell'IA trascendono i confini. Le sfide sono globali, motivo per cui la cooperazione è importante e necessaria. L'Ufficio per l'IA guida l'impegno internazionale della Commissione nel settore dell'IA, sulla base della legge sull'IA e del piano coordinato sull'IA. L'UE intende:
- Guidare gli sforzi globali sull'IA sostenendo l'innovazione, istituendo guardie adeguate sull'IA e sviluppando la governance globale sull'IA
- Promuovere la gestione responsabile e il buon governo dell'IA
- Garantire che gli accordi internazionali siano in linea con il nostro approccio
Con il mutare del panorama globale, l'impegno proattivo in materia di IA, strettamente coordinato con i nostri alleati, è diventato una priorità essenziale e crescente. L'UE è un partner proattivo, cooperativo e affidabile che dà l'esempio e collabora a livello internazionale proteggendo nel contempo i suoi interessi, la sua sicurezza e i suoi valori.
Si impegna a livello bilaterale e multilaterale per promuovere un'IA affidabile e antropocentrica. A livello bilaterale, l'UE coopera con un numero crescente di paesi e regioni come il Canada, gli Stati Uniti, l'India, il Giappone, la Repubblica di Corea, Singapore, l'Australia, il Regno Unito, la regione dell'America latina e dei Caraibi, l'Africa, ecc. A livello multilaterale, l'UE partecipa a forum e iniziative chiave in cui viene discussa l'IA, in particolare il G7, il G20, l'OCSE e il partenariato globale sull'IA, il Consiglio d'Europa, la rete internazionale per la misurazione, la valutazione e la scienza avanzate dell'IA, ma anche nel contesto delle Nazioni Unite.
L'UE si basa su risorse e punti di forza strategici - come il talento, la ricerca, la forza industriale e il grande mercato unico con norme uniformi - e li utilizza a livello internazionale nell'ambito dell'offerta tecnologica dell'UE per costruire partenariati e alleanze reciprocamente vantaggiosi in tutto il mondo.
Sistemi di IA ad alto rischio
La legge sull'IA stabilisce una solida metodologia per la classificazione dei sistemi di IA come ad alto rischio. Ciò mira a garantire la certezza del diritto per le imprese e gli altri operatori.
La classificazione del rischio si basa sulla finalità prevista del sistema di IA, in linea con la vigente legislazione dell'UE in materia di sicurezza dei prodotti. Ciò significa che la classificazione dipende dalla funzione svolta dal sistema di IA e dalla finalità e dalle modalità specifiche per le quali il sistema è utilizzato.
I sistemi di IA possono essere classificati come ad alto rischio in due casi:
- Se il sistema di IA è incorporato come componente di sicurezza in prodotti disciplinati dalla legislazione vigente sui prodotti (allegato I) o costituisce tali prodotti stessi. Potrebbe trattarsi, ad esempio, di software medico basato sull'IA.
- Se il sistema di IA è destinato a essere utilizzato per un caso d'uso ad alto rischio, elencato nell'allegato III della legge sull'IA. L'elenco comprende casi d'uso in settori quali l'istruzione, l'occupazione, l'applicazione della legge o la migrazione. Essa è riesaminata annualmente dalla Commissione e può essere aggiornata.
La Commissione sta elaborando orientamenti per la classificazione ad alto rischio, che saranno pubblicati prima della data di applicazione di tali norme.
L'allegato III della legge sull'IA comprende 8 settori in cui l'uso dell'IA può essere particolarmente sensibile ed elenca casi d'uso concreti per ciascun settore. Un sistema di IA classifica come ad alto rischio se è destinato a essere utilizzato per uno di questi casi d'uso. Alcuni esempi:
- sistemi di IA utilizzati come componenti di sicurezza in determinate infrastrutture critiche. Ad esempio nei settori del traffico stradale e della fornitura di acqua, gas, riscaldamento ed elettricità.
- sistemi di IA utilizzati per determinati compiti nell'istruzione e nella formazione professionale. Ad esempio, per valutare i risultati dell'apprendimento e guidare il processo di apprendimento e il monitoraggio degli imbrogli.
- sistemi di IA utilizzati per determinati compiti nella gestione dell'occupazione e dei lavoratori e nell'accesso al lavoro autonomo. Ad esempio, per inserire annunci di lavoro mirati, analizzare e filtrare le domande di lavoro e valutare i candidati.
- i sistemi di IA utilizzati per l'accesso ai servizi e alle prestazioni essenziali pubblici e privati (ad esempio l'assistenza sanitaria), la valutazione del merito creditizio delle persone fisiche e la valutazione del rischio e la fissazione dei prezzi in relazione all'assicurazione sulla vita e all'assicurazione sanitaria.
- sistemi di IA utilizzati per determinati compiti nei settori dell'applicazione della legge, della migrazione e del controllo delle frontiere, nella misura in cui non siano già vietati, nonché nell'amministrazione della giustizia e dei processi democratici.
- i sistemi di IA utilizzati per l'identificazione biometrica, la categorizzazione biometrica e il riconoscimento delle emozioni, nella misura in cui non siano vietati.
Prima di immettere un sistema di IA ad alto rischio sul mercato dell'UE o di metterlo in servizio in altro modo, i fornitori devono sottoporlo a una valutazione della conformità. Ciò consentirà loro di dimostrare che il loro sistema è conforme ai requisiti obbligatori per un'IA affidabile (ad esempio gestione del rischio, qualità dei dati, documentazione e tracciabilità, trasparenza, sorveglianza umana, accuratezza, cibersicurezza e solidità). Tale valutazione deve essere ripetuta se il sistema o il suo scopo sono sostanzialmente modificati. A seconda del tipo di sistema di IA ad alto rischio, la valutazione della conformità può essere effettuata da un organismo indipendente di valutazione della conformità. I fornitori di sistemi di IA ad alto rischio dovranno inoltre attuare sistemi di gestione della qualità per garantire la loro conformità ai nuovi requisiti e ridurre al minimo i rischi per gli utenti e le persone interessate durante l'intero ciclo di vita del sistema di IA.
Per consentire la vigilanza e garantire la trasparenza pubblica, i fornitori di sistemi di IA ad alto rischio devono registrare il sistema in una banca dati pubblica dell'UE.
I fornitori di sistemi di IA ad alto rischio rimangono responsabili della sicurezza e della conformità del sistema durante tutto il suo ciclo di vita. Se necessario, devono segnalare e rispondere a incidenti gravi, adottare misure correttive in caso di rischi individuati o di non conformità, fornire informazioni e cooperare con le autorità di vigilanza del mercato.
Come base di riferimento, i deployer devono utilizzare il sistema di IA ad alto rischio conformemente alle istruzioni per l'uso e devono adottare tutti i mezzi tecnici a tal fine. Sulla base delle istruzioni per l'uso, i deployer di sistemi di IA ad alto rischio devono monitorare il funzionamento del sistema di IA e intervenire in caso di rischi o incidenti gravi individuati. I deployer devono assegnare la supervisione umana a una persona nella loro organizzazione. Tale persona o tali persone devono essere sufficientemente attrezzate e abilitate a esercitare il controllo umano. Quando un deployer fornisce dati di input per un sistema di IA ad alto rischio, la legge sull'IA richiede che i dati di input siano pertinenti e sufficientemente rappresentativi per la finalità prevista del sistema di IA.
I datori di lavoro che sono autorità pubbliche o che forniscono servizi pubblici devono effettuare una valutazione d'impatto sui diritti fondamentali prima del primo utilizzo.
Inoltre, il deployer può avere obblighi di informazione:
- I sistemi di IA ad alto rischio utilizzati dalle autorità pubbliche o da entità che agiscono per loro conto dovranno essere registrati in una banca dati pubblica dell'UE, ad eccezione dei sistemi di IA ad alto rischio per le infrastrutture critiche. I sistemi di IA utilizzati per le attività di contrasto e la migrazione devono essere registrati in una parte non pubblica della banca dati che sarà accessibile solo alle autorità di controllo competenti.
- Se il sistema di IA ad alto rischio è installato sul luogo di lavoro, i deployer devono informare preventivamente i dipendenti e i rappresentanti dei lavoratori interessati. Ciò va ad aggiungersi alle eventuali norme in materia di consultazione dei lavoratori già applicabili.
- Se il sistema di IA ad alto rischio è progettato per prendere decisioni o contribuire a prendere decisioni sulle persone fisiche, l'operatore deve informarne la persona interessata.
La legge sull'IA introduce anche il diritto a una spiegazione per le persone fisiche. Ciò si applica quando l'output di un sistema di IA ad alto rischio è stato utilizzato per prendere una decisione su una persona fisica e tale decisione produce effetti giuridici. I dispiegatori di sistemi di IA ad alto rischio devono tener conto di tale possibilità e, in caso di richiesta, fornire una spiegazione chiara e significativa alla persona interessata.
I test nel mondo reale dei sistemi di IA ad alto rischio possono essere condotti per un massimo di 6 mesi (questo può essere prolungato di altri 6 mesi). Prima delle prove, un piano deve essere elaborato e presentato a un'autorità di vigilanza del mercato, che deve approvare il piano e le condizioni di prova specifiche, con approvazione tacita predefinita se non è stata fornita alcuna risposta entro 30 giorni. I test possono essere soggetti a ispezioni senza preavviso da parte dell'autorità.
I test nel mondo reale possono essere condotti solo a fronte di garanzie specifiche, ad esempio gli utenti dei sistemi sottoposti a test nel mondo reale devono fornire il consenso informato, i test non devono avere alcun effetto negativo su di essi, i risultati devono essere reversibili o ignorabili e i loro dati devono essere cancellati dopo la conclusione dei test. Una protezione speciale deve essere concessa ai gruppi vulnerabili, ad esempio a causa della loro età, disabilità fisica o mentale.
I sistemi di IA non creano o riproducono distorsioni. Piuttosto, se adeguatamente progettati e utilizzati, i sistemi di IA possono contribuire a ridurre i pregiudizi e la discriminazione strutturale esistente e quindi portare a decisioni più eque e non discriminatorie (ad esempio nelle assunzioni).
I nuovi requisiti obbligatori per tutti i sistemi di IA ad alto rischio serviranno a tale scopo. I sistemi di IA devono essere tecnicamente solidi per garantire che siano adatti allo scopo e non producano risultati distorti, come falsi positivi o negativi, che colpiscono in modo sproporzionato i gruppi emarginati, compresi quelli basati su origine razziale o etnica, sesso, età e altre caratteristiche protette.
I sistemi ad alto rischio dovranno inoltre essere formati e testati con serie di dati sufficientemente rappresentative per ridurre al minimo il rischio di distorsioni sleali incorporate nel modello e garantire che queste possano essere affrontate attraverso adeguate misure di individuazione, correzione e attenuazione delle distorsioni. Devono inoltre essere tracciabili e verificabili, garantendo che sia conservata un'adeguata documentazione, compresi i dati utilizzati per addestrare l'algoritmo che sarebbe fondamentale nelle indagini ex post.
I sistemi di conformità devono essere monitorati regolarmente e i rischi potenziali devono essere affrontati tempestivamente, prima e dopo la loro immissione sul mercato.
L'identificazione biometrica può assumere forme diverse. L'autenticazione e la verifica biometrica, vale a dire lo sblocco di uno smartphone o la verifica/autenticazione ai valichi di frontiera per verificare l'identità di una persona rispetto ai suoi documenti di viaggio (corrispondenza uno a uno), rimangono non regolamentate, in quanto non rappresentano un rischio significativo per i diritti fondamentali.
Al contrario, l'identificazione biometrica remota (ad esempio per identificare le persone in una folla) può avere un impatto significativo sulla privacy nello spazio pubblico. L'accuratezza dei sistemi di riconoscimento facciale può essere significativamente influenzata da una vasta gamma di fattori, come la qualità della fotocamera, la luce, la distanza, il database, l'algoritmo e l'etnia, l'età o il sesso del soggetto. Lo stesso vale per il riconoscimento dell'andatura e della voce e per altri sistemi biometrici.
Mentre un tasso di precisione del 99% può sembrare buono in generale, è considerevolmente rischioso quando il risultato può portare al sospetto di una persona innocente. Anche un tasso di errore dello 0,1% può avere un impatto significativo se applicato a grandi popolazioni, ad esempio nelle stazioni ferroviarie.
È vietato l'uso dell'identificazione biometrica remota in tempo reale in spazi accessibili al pubblico (ossia il riconoscimento facciale mediante telecamere a circuito chiuso) a fini di contrasto. Gli Stati membri possono introdurre per legge eccezioni che consentirebbero l'uso dell'identificazione biometrica remota in tempo reale nei seguenti casi:
- Attività di contrasto relative a 16 reati molto gravi specificati
- Ricerca mirata di vittime specifiche, rapimenti, tratta e sfruttamento sessuale di esseri umani e persone scomparse
- Prevenzione della minaccia alla vita o alla sicurezza fisica delle persone o di un attacco terroristico
Qualsiasi uso eccezionale dovrebbe essere necessario e proporzionato ed essere soggetto all'autorizzazione preventiva di un'autorità giudiziaria o amministrativa indipendente la cui decisione è vincolante. In caso di urgenza, l'approvazione può essere richiesta entro 24 ore. In caso di rifiuto dell'autorizzazione, tutti i dati e i risultati dell'uso devono essere cancellati.
L'uso dell'identificazione biometrica remota in tempo reale dovrebbe essere notificato alla pertinente autorità di vigilanza del mercato e all'autorità di protezione dei dati.
L'uso di sistemi di IA per l'identificazione biometrica remota (identificazione delle persone in materiale precedentemente raccolto) delle persone oggetto di indagine non è vietato, ma richiede l'autorizzazione preventiva di un'autorità giudiziaria o di un'autorità amministrativa, nonché la notifica all'autorità competente per la protezione dei dati e la vigilanza del mercato.
Esiste già una forte protezione dei diritti fondamentali e della non discriminazione a livello dell'UE e degli Stati membri, ma la complessità e l'opacità di alcune applicazioni di IA ("scatole nere") possono rappresentare un problema.
Un approccio antropocentrico all'IA significa garantire che le applicazioni di IA siano conformi alla legislazione in materia di diritti fondamentali. Integrando i requisiti di responsabilità e trasparenza nello sviluppo di sistemi di IA ad alto rischio e migliorando le capacità di applicazione, possiamo garantire che tali sistemi siano progettati tenendo presente la conformità giuridica fin dall'inizio. Qualora si verifichino violazioni, tali requisiti consentiranno alle autorità nazionali di avere accesso alle informazioni necessarie per indagare se l'uso dell'IA sia conforme al diritto dell'UE.
La legge sull'IA richiede che determinati operatori di sistemi di IA ad alto rischio conducano una valutazione d'impatto sui diritti fondamentali.
I fornitori di sistemi di IA ad alto rischio devono effettuare una valutazione dei rischi e progettare il sistema in modo da ridurre al minimo i rischi per la salute, la sicurezza e i diritti fondamentali.
Tuttavia, alcuni rischi per i diritti fondamentali possono essere pienamente identificati solo conoscendo il contesto di utilizzo del sistema di IA ad alto rischio. Quando i sistemi di IA ad alto rischio sono utilizzati in settori particolarmente sensibili di possibile asimmetria di potenza, sono necessarie ulteriori considerazioni su tali rischi.
Pertanto, i deployer che sono organismi di diritto pubblico o operatori privati che forniscono servizi pubblici, nonché gli operatori che forniscono sistemi di IA ad alto rischio che effettuano valutazioni del merito creditizio o valutazioni del prezzo e del rischio nell'assicurazione vita e malattia, effettuano una valutazione dell'impatto sui diritti fondamentali e notificano i risultati all'autorità nazionale.
In pratica, molti deployer dovranno anche effettuare una valutazione d'impatto sulla protezione dei dati. Per evitare sovrapposizioni sostanziali in tali casi, la valutazione d'impatto sui diritti fondamentali è condotta congiuntamente a tale valutazione d'impatto sulla protezione dei dati.
Modelli di IA per finalità generali (GPAI)
I modelli di IA per finalità generali, compresi i modelli di IA generativa, possono essere utilizzati per una varietà di compiti. Possono essere integrati in un gran numero di sistemi di IA.
Un fornitore di un sistema di IA che integra un modello di IA per finalità generali deve avere accesso alle informazioni necessarie per farlo e garantire che il sistema sia conforme alla legge sull'IA. La legge sull'IA obbliga i fornitori di tali modelli a documentare le informazioni tecniche sui modelli e a divulgare determinate informazioni ai fornitori di sistemi a valle. Tale trasparenza consente una migliore comprensione di questi modelli.
I fornitori di modelli devono disporre di politiche atte a garantire il rispetto della legislazione dell'UE in materia di diritto d'autore e diritti connessi. In particolare, individuare e rispettare le riserve sui diritti nell'ambito dell'eccezione relativa all'estrazione di testo e di dati. I fornitori devono inoltre pubblicare una sintesi dei contenuti utilizzati per formare il modello, sulla base di un modello dell'ufficio per l'IA.
Il più avanzato di questi modelli potrebbe comportare rischi sistemici. Attualmente, si presume che i modelli di IA per finalità generali addestrati utilizzando una quantità totale di risorse computazionali superiore a 10^25 FLOP (operazioni in punti fluttuanti) comportino rischi sistemici. La Commissione può aggiornare tale soglia alla luce degli sviluppi tecnologici. Su richiesta di un fornitore, la Commissione può anche confutare la presunzione che un modello al di sopra della soglia FLOP presenti un rischio sistemico, se il modello non è considerato tra i più avanzati. La Commissione può anche designare modelli al di sotto della soglia FLOP come modelli di IA per finalità generali con rischio sistemico, sulla base dei criteri specificati nell'allegato XIII della legge sull'IA.
I fornitori di modelli con rischio sistemico devono valutare e attenuare tali rischi, anche effettuando valutazioni dei modelli all'avanguardia, segnalando incidenti gravi e garantendo un'adeguata cibersicurezza dei loro modelli e della loro infrastruttura fisica.
Per aiutare i fornitori a rispettare tali obblighi, la Commissione ha agevolato lo sviluppo del codice di buone pratiche sull'IA per finalità generali (GPAI). Il codice di buone pratiche GPAI è uno strumento volontario, preparato da esperti indipendenti nell'ambito di un processo multilaterale, concepito per aiutare l'industria a rispettare gli obblighi della legge sull'IA per i fornitori di modelli di IA per finalità generali. Il codice è integrato dagli orientamenti della Commissione sulla portata degli obblighi per i fornitori di modelli di IA per finalità generali a norma della legge sull'IA.
Il primo codice di buone pratiche sull'IA per finalità generali (GPAI) illustra in dettaglio le norme della legge sull'IA per i fornitori di modelli di IA per finalità generali e di modelli di IA per finalità generali con rischi sistemici. Il codice di buone pratiche GPAI è uno strumento volontario, preparato da esperti indipendenti nell'ambito di un processo multilaterale, concepito per aiutare l'industria a rispettare gli obblighi della legge sull'IA per i fornitori di modelli di IA per finalità generali.
L'ufficio per l'IA ha facilitato l'elaborazione del codice. Il processo è stato presieduto da esperti indipendenti, che hanno coinvolto quasi 1 000 portatori di interessi, nonché rappresentanti degli Stati membri dell'UE e osservatori europei e internazionali. La Commissione e il comitato per l'IA hanno confermato che il codice è uno strumento volontario adeguato affinché i fornitori di modelli GPAI dimostrino la conformità alla legge sull'IA.
A seguito dell'approvazione, i fornitori di modelli GPAI che lo firmano volontariamente possono dimostrare di rispettare la legge sull'IA aderendo al codice. Ciò ridurrà i loro oneri amministrativi e garantirà loro una maggiore certezza del diritto rispetto a quanto accadrebbe se dimostrassero la conformità con altri metodi. Il codice è integrato da orientamenti della Commissione sui concetti chiave relativi ai modelli di IA per finalità generali.
Se del caso, l'ufficio per l'IA incoraggerà e agevolerà il riesame e l'adattamento del codice per tenere conto dei progressi tecnologici e dello stato dell'arte. Una volta che una norma armonizzata è pubblicata e valutata idonea a coprire i pertinenti obblighi da parte dell'ufficio per l'IA, la conformità a una norma armonizzata europea dovrebbe concedere ai fornitori la presunzione di conformità.
I fornitori di modelli di IA per finalità generali dovrebbero essere in grado di dimostrare la conformità utilizzando mezzi alternativi adeguati, se non sono disponibili codici di buone pratiche o norme armonizzate, o scelgono di non fare affidamento su di essi.
La legge sull'IA introduce requisiti specifici di trasparenza per i fornitori e gli operatori di determinati sistemi di IA interattivi o generativi (compresi i chatbot o i deep fake). Tali obblighi di trasparenza mirano ad affrontare i rischi di disinformazione e manipolazione, frode, finzione e inganno dei consumatori:
- I fornitori di sistemi di IA che interagiscono direttamente con persone fisiche devono essere progettati e sviluppati in modo tale che le persone fisiche interessate siano informate del fatto che interagiscono con un sistema di IA.
- I fornitori di sistemi di IA generativa devono contrassegnare gli output di IA in un formato leggibile meccanicamente e garantire che siano rilevabili come generati artificialmente o manipolati. Le soluzioni tecniche devono essere efficaci, interoperabili, solide e affidabili nella misura in cui ciò sia tecnicamente fattibile, tenendo conto delle specificità e dei limiti dei vari tipi di contenuti, dei costi di attuazione e dello stato dell'arte generalmente riconosciuto, come può riflettersi nelle pertinenti norme tecniche.
- I fornitori di sistemi di riconoscimento delle emozioni o di categorizzazione biometrica devono garantire che le persone esposte a tali sistemi siano informate
- I dispiegatori di sistemi di IA generativi che generano o manipolano contenuti di immagini, audio o video, costituendo un falso profondo, devono visibilmente sapere che il contenuto è stato generato o manipolato artificialmente. Analogamente, i deployer di sistemi di IA che generano o manipolano testo pubblicato allo scopo di informare il pubblico su questioni di interesse pubblico devono anche rivelare che il testo è stato generato o manipolato artificialmente.
Deroghe specifiche si applicano a tutti gli obblighi di trasparenza menzionati.
L'Ufficio per l'IA pubblicherà orientamenti per fornire ulteriori orientamenti ai fornitori e ai deployer sugli obblighi di cui all'articolo 50, che diventeranno applicabili il 2 agosto 2026.
Per contribuire al rispetto di alcuni di questi obblighi di trasparenza, l'Ufficio per l'IA ha avviato il processo di elaborazione di un codice di buone pratiche sulla trasparenza dei contenuti generati dall'IA. Il codice sarà redatto da esperti indipendenti nominati dall'Ufficio per l'IA, sulla base di un processo inclusivo. Più di 200 portatori di interessi di tutti i settori contribuiscono all'elaborazione del codice. Se approvato dalla Commissione, il codice definitivo fungerà da strumento volontario per i fornitori e gli operatori di sistemi di IA generativa al fine di dimostrare il rispetto dei rispettivi obblighi.
Governance, applicazione e attuazione
La legge sull'IA si applicherà due anni dopo l'entrata in vigore il 2 agosto 2026, ad eccezione delle seguenti disposizioni specifiche:
- I divieti, le definizioni e le disposizioni relativi all'alfabetizzazione in materia di IA si applicano dal 2 febbraio 2025. La Commissione ha pubblicato orientamenti sui divieti e sulle definizioni, nonché un archivio vivente delle pratiche di alfabetizzazione in materia di IA e un'apposita FAQ.
- Le norme sulla governance e gli obblighi per l'IA per finalità generali sono diventate applicabili il 2 agosto 2025.
- Gli obblighi per i sistemi di IA ad alto rischio che si classificano come ad alto rischio perché incorporati in prodotti regolamentati, elencati nell'allegato II (elenco della normativa di armonizzazione dell'UE), si applicano 36 mesi dopo l'entrata in vigore il 2 agosto 2027.
Il 19 novembre 2025, nell'ambito della proposta sull'omnibus digitale, la Commissione ha proposto di adeguare il calendario per l'applicazione delle norme ad alto rischio collegando la data di applicazione alla disponibilità di misure di sostegno quali norme armonizzate, specifiche comuni o orientamenti della Commissione.
La presente proposta nel contesto di un ritardo nella preparazione delle norme a sostegno dell'applicazione dei requisiti ad alto rischio e dell'istituzione di autorità competenti negli Stati membri dell'UE. Ciò mette a rischio un'agevole entrata in vigore il 2 agosto 2026. L'omnibus digitale è attualmente all'esame del Parlamento europeo e del Consiglio dell'UE.
La legge sull'IA istituisce un sistema di governance a due livelli, in cui le autorità nazionali competenti sono responsabili della supervisione e dell'applicazione delle norme per i sistemi di IA, mentre l'ufficio per l'IA è responsabile della gestione e dell'applicazione degli obblighi per i fornitori di modelli di IA per finalità generali e per un sottoinsieme di determinati sistemi di IA.
Il comitato europeo per l'intelligenza artificiale (comitato per l'IA) è stato istituito per garantire la coerenza e la cooperazione a livello dell'UE. Comprende rappresentanti di alto livello degli Stati membri e sottogruppi specializzati per le autorità nazionali di regolamentazione e altre autorità competenti.
La legge sull'IA istituisce due organi consultivi incaricati di fornire contributi di esperti: il gruppo di esperti scientifici e il forum consultivo. Questi organismi offriranno preziose informazioni da parte delle parti interessate e delle comunità scientifiche interdisciplinari, informando il processo decisionale e garantendo un approccio equilibrato allo sviluppo dell'IA.
Il comitato europeo per l'intelligenza artificiale comprende rappresentanti ad alto livello degli Stati membri e il Garante europeo della protezione dei dati (GEPD). In qualità di consulente chiave, il comitato per l'IA fornisce orientamenti su tutte le questioni relative alla politica in materia di IA, in particolare la regolamentazione dell'IA, la politica in materia di innovazione ed eccellenza e la cooperazione internazionale in materia di IA.
Il comitato per l'IA svolge un ruolo cruciale nel garantire un'attuazione agevole, efficace e armonizzata della legge sull'IA. Dispone di sottogruppi specializzati composti da esperti tecnici, autorità nazionali di regolamentazione e altre autorità competenti. Il comitato è un forum in cui le autorità di regolamentazione dell'IA possono coordinare l'applicazione coerente della legge sull'IA.
Gli Stati membri devono stabilire sanzioni effettive, proporzionate e dissuasive in caso di violazione delle norme per i sistemi di IA. Il regolamento stabilisce soglie che devono essere prese in considerazione:
- Fino a 35 milioni di euro o al 7% del fatturato mondiale totale annuo dell'esercizio precedente (se superiore) per violazioni di pratiche vietate o inadempienze relative ai requisiti in materia di dati
- Fino a 15 milioni di EUR o al 3% del fatturato mondiale totale annuo dell'esercizio precedente per inosservanza di uno qualsiasi degli altri requisiti o obblighi del regolamento
- Fino a 7,5 milioni di euro, pari all'1,5% del fatturato mondiale totale annuo dell'esercizio precedente, per la fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati e alle autorità nazionali competenti in risposta a una richiesta
- Per ciascuna categoria di infrazione, la soglia sarebbe la più bassa tra i due importi per le PMI e la più alta per le altre imprese.
La Commissione può inoltre applicare le norme sui fornitori di modelli di IA per finalità generali mediante ammende, tenendo conto della soglia:
- fino a 15 milioni di euro, pari al 3% del fatturato mondiale totale annuo dell'esercizio precedente, per l'inosservanza di uno qualsiasi degli obblighi o delle misure richiesti dalla Commissione a norma del regolamento.
Le istituzioni, le agenzie o gli organi dell'UE dovrebbero dare l'esempio, motivo per cui saranno anche soggetti alle norme e alle eventuali sanzioni. Il Garante europeo della protezione dei dati (GEPD) avrà il potere di infliggere loro ammende in caso di inosservanza.
Avviato nel maggio 2023, il patto per l'IA promuove l'impegno tra l'ufficio per l'IA e le organizzazioni (pilastro I) e incoraggia l'impegno volontario dell'industria ad avviare l'attuazione dei requisiti della legge sull'IA prima della scadenza legale (pilastro II).
Nell'ambito del primo pilastro, i partecipanti contribuiscono alla creazione di una comunità collaborativa, condividendo le loro esperienze e conoscenze. Ciò comprende webinar organizzati dall'Ufficio per l'IA che forniscono ai partecipanti una migliore comprensione della legge sull'IA, delle loro responsabilità e di come prepararsi alla sua attuazione. A loro volta, questi webinar consentono all'Ufficio per l'IA di raccogliere informazioni sulle migliori pratiche e sulle sfide affrontate dai partecipanti.
Nell'ambito del secondo pilastro, le organizzazioni sono incoraggiate a divulgare in modo proattivo i processi e le pratiche che stanno attuando per anticipare la conformità, attraverso impegni volontari (.PDF). Gli impegni sono intesi come "dichiarazioni di impegno" e conterranno azioni (pianificate o in corso) per soddisfare alcuni dei requisiti della legge sull'IA.
La maggior parte delle norme della legge sull'IA (ad esempio, alcuni requisiti sui sistemi di IA ad alto rischio) si applicheranno al termine di un periodo transitorio (ossia il periodo compreso tra l'entrata in vigore e la data di applicabilità). In tale contesto e nel quadro del patto per l'IA, l'Ufficio per l'IA ha invitato tutte le organizzazioni ad anticipare e attuare in modo proattivo alcune delle disposizioni chiave della legge sull'IA, con l'obiettivo di attenuare quanto prima i rischi per la salute, la sicurezza e i diritti fondamentali.
Oltre 3 000 organizzazioni hanno già espresso il loro interesse ad aderire all'iniziativa del patto per l'IA, a seguito di un invito lanciato nel novembre 2023. Una prima sessione informativa si è tenuta online il 6 maggio, con 300 partecipanti. La firma ufficiale degli impegni volontari ha avuto luogo per l'autunno 2024 e ad oggi oltre 230 imprese hanno firmato gli impegni. Il 15 dicembre 2025 l'Ufficio per l'IA ha riunito i promotori del patto per l'IA per fare il punto sui progressi compiuti.
La Commissione ha istituito lo sportello di servizio della legge sull'IA e una piattaforma unica d'informazione (SIP). Entrambi sono stati lanciati insieme alla strategia Applica l'IA ed erano già stati annunciati nel piano d'azione per il continente dell'IA. Il SIP fornisce tutte le informazioni pertinenti, gli strumenti di conformità e orientamenti su misura sulla legge sull'IA. Offre:
- Domande frequenti e risorse sulla legge sull'IA
- un controllo di conformità, uno strumento predisposto per aiutare le parti interessate a determinare se sono soggette a obblighi giuridici e a comprendere le misure da adottare per conformarsi
- un AI Act Explorer, uno strumento online progettato per aiutare gli utenti a navigare tra diversi capitoli, allegati e considerando della legge sull'IA in modo intuitivo
- un modulo online consente alle parti interessate di presentare domande al Service Desk della legge sull'IA, un team di professionisti esperti che lavora in stretta collaborazione con l'ufficio per l'IA
Innovazione e Sostenibilità
La legge sull'IA può migliorare la diffusione dell'IA in due modi:
- Aumentare la fiducia degli utenti aumenterà la domanda di IA utilizzata da aziende e autorità pubbliche
- armonizzando le norme in tutti gli Stati membri dell'UE, i fornitori di IA accederanno a mercati più grandi, con prodotti che utenti e consumatori apprezzano e acquistano
La legge sull'IA è favorevole all'innovazione. Le norme si applicheranno solo se strettamente necessarie e in modo da ridurre al minimo l'onere per gli operatori economici, con una struttura di governance leggera. Per le PMI, la legge sull'IA prevede percorsi di conformità semplificati per determinati obblighi onerosi, come la documentazione tecnica. Per lasciare spazio agli innovatori, sono previste esenzioni per le attività di ricerca e sviluppo.
La legge sull'IA consente inoltre la creazione di spazi di sperimentazione normativa e di test nel mondo reale, che forniscono un ambiente controllato per testare tecnologie innovative per un periodo di tempo limitato. Tali misure promuovono l'innovazione da parte delle imprese, delle PMI e delle start-up e contribuiranno a creare le giuste condizioni quadro per lo sviluppo e la diffusione dell'IA. Tra le altre iniziative a sostegno dell'innovazione figurano:
L'obiettivo della legge sull'IA è affrontare i rischi per la sicurezza e i diritti fondamentali, compreso il diritto fondamentale a una protezione ambientale di alto livello. L'ambiente è anche uno degli interessi giuridici esplicitamente menzionati e tutelati.
Nel 2026 la Commissione intende chiedere alle organizzazioni europee di normazione di produrre un prodotto della normazione sui processi di comunicazione e documentazione per migliorare le prestazioni delle risorse dei sistemi di IA. Ciò comprende la riduzione del consumo di energia e di altre risorse del sistema di IA ad alto rischio durante il suo ciclo di vita e lo sviluppo efficiente sotto il profilo energetico di modelli di IA per finalità generali.
La Commissione è invitata a presentare una relazione sullo stato di avanzamento dello sviluppo di prodotti della normazione sullo sviluppo efficiente sotto il profilo energetico di modelli per finalità generali e valuta la necessità di ulteriori misure o azioni (comprese quelle vincolanti). Tale obbligo inizia due anni dopo la data di applicazione della legge sull'IA e si verifica successivamente ogni quattro anni.
I fornitori di modelli di IA per finalità generali, che sono formati su grandi quantità di dati e quindi soggetti a un elevato consumo di energia, sono tenuti a comunicare il consumo di energia. Nel caso di modelli di IA per finalità generali con rischi sistemici, è necessario valutare l'efficienza energetica.
Alla Commissione è conferito il potere di elaborare una metodologia con misurazioni adeguate e comparabili per tali obblighi di informativa.
Related content
La legge sull'IA è il primo quadro giuridico in assoluto in materia di IA, che affronta i rischi dell'IA e posiziona l'Europa a svolgere un ruolo guida a livello mondiale.