Il 2 agosto 2025 ha preso avvio una nuova fase di attuazione del Regolamento europeo sull’Intelligenza Artificiale (AI Act), che ha introdotto adempimenti rilevanti per le autorità nazionali, per le imprese e i professionisti del settore legale e tecnologico. Oltre alla nomina delle autorità di vigilanza, sono divenuti pienamente efficaci gli obblighi per i fornitori di modelli di intelligenza artificiale di uso generale (GPAI). Il volume “Ai Act – Principi, regole ed applicazioni pratiche del Reg. UE 1689/2024”, acquistabile cliccando su Shop Maggioli o su Amazon, si propone di rispondere proprio a queste sfide, offrendo ai professionisti del diritto un quadro completo e aggiornato delle nuove responsabilità giuridiche legate all’uso dell’Intelligenza Artificiale.
Autorità di vigilanza nazionali: il nuovo interlocutore delle imprese
Entro il 2 agosto ogni Stato membro dell’UE ha dovuto designare le proprie autorità di controllo. In Italia, la proposta di legge indicava l’Agenzia per l’Italia Digitale (AgID) e l’Agenzia per la Cybersicurezza Nazionale (ACN) quali organi responsabili della supervisione sull’applicazione dell’AI Act.
Implicazioni pratiche per le aziende:
-
Necessità di interfacciarsi con AgID e ACN per comunicazioni, notifiche e verifiche di conformità, in particolare per sistemi ad alto rischio e GPAI.
-
Maggiori controlli sugli organismi notificati incaricati delle valutazioni di conformità, con conseguente intensificazione degli audit alle imprese.
-
Opportunità di nominare un responsabile interno della compliance AI, incaricato di gestire rapporti con le autorità e predisporre la documentazione richiesta.
Fornitori di modelli GPAI: adempimenti immediati
Dal 2 agosto 2025, chi sviluppa o commercializza modelli di IA di uso generale dovrà rispettare nuovi requisiti, tra cui:
-
Documentazione tecnica dettagliata su architettura, dati di addestramento, capacità e limiti del sistema.
-
Trasparenza sui dataset, con sintesi delle fonti utilizzate e indicazione di eventuali dati protetti da diritto d’autore.
-
Notifica obbligatoria per i modelli a rischio sistemico (es. potenza di calcolo > 10^23 FLOP e potenziale impatto su diritti fondamentali o sicurezza).
-
Misure di mitigazione come valutazioni preventive dei rischi, monitoraggio continuo e audit indipendenti.
Suggerimento operativo: avviare subito una mappatura interna dei modelli IA utilizzati o sviluppati, classificandoli secondo le categorie previste dall’AI Act (standard, alto rischio, GPAI, GPAI ad alto impatto).
Sistemi di IA ad alto rischio: procedure e coordinamento
Per i sistemi ad alto rischio (es. in ambito sanitario, finanziario, infrastrutturale o di sicurezza), il regolamento impone procedure di valutazione di conformità con il supporto di organismi notificati.
Le imprese devono:
-
Identificare gli organismi notificati competenti in Italia.
-
Preparare la documentazione di conformità (test di sicurezza, tracciabilità dati, piani di gestione incidenti).
-
Attivare sistemi di monitoraggio post-commercializzazione e segnalazione di incidenti gravi o malfunzionamenti.
Leggi anche:
Sanzioni e responsabilità: un quadro severo
Le sanzioni previste sono tra le più elevate nel panorama europeo:
-
Fino a 35 milioni di euro o 7% del fatturato annuo globale per violazioni gravi.
-
Fino a 15 milioni di euro o 3% per inosservanza dei requisiti sui sistemi ad alto rischio.
-
Fino a 7,5 milioni di euro o 1% per informazioni false o incomplete.
PMI e startup beneficiano di riduzioni proporzionali, ma non di esenzioni. È quindi indispensabile documentare accuratamente i processi di sviluppo e utilizzo, per dimostrare la dovuta diligenza in caso di ispezioni.
Calendario delle prossime scadenze
- 2 agosto 2026 – Pieni poteri sanzionatori e di vigilanza alla Commissione europea.
-
2 agosto 2027 – Conformità obbligatoria anche per modelli già presenti sul mercato prima del 2025.
Le imprese che avviano oggi un piano strutturato di compliance AI non solo ridurranno i rischi sanzionatori, ma potranno anche valorizzare l’uso dell’IA in un contesto normativo chiaro e sicuro.
Formazione in materia: master in Cybersecurity e compliance integrata
Il Master in Cybersecurity e compliance integrata è un percorso formativo avanzato per imprese e pubbliche amministrazioni, professionisti, DPO e consulenti legali che operano nel settore della sicurezza informatica e della governance normativa delle tecnologie digitali.
L’obiettivo del programma è fornire una visione sistematica e integrata della normativa europea e italiana in materia di cybersicurezza, affrontando in chiave applicativa gli step degli adempimenti richiesti, e la complessa interazione delle normative di riferimento, dalla Direttiva NIS 2 al GDPR, alla regolamentazione dei sistemi di intelligenza artificiale, passando per i regolamenti complementari e gli atti attuativi nazionali.
Attraverso un approccio teorico-pratico, il Master esplora:
- L’evoluzione della strategia europea di cybersicurezza
- L’impianto della Direttiva NIS 2 e il D.lgs. 138/2024, con approfondimento su soggetti obbligati, misure tecniche e regimi sanzionatori
- Il perimetro nazionale di sicurezza cibernetica e la Legge n. 90/2024 come strumenti di difesa strategica dello Stato
- Le interazioni con normative chiave come il GDPR, il Cybersecurity Act, il Digital Operational Resilience Act (DORA) e il Cyber Resilience Act (CRA)
- Il nuovo AI Act, che disciplina lo sviluppo, l’uso e il controllo dei sistemi di intelligenza artificiale in Europa
- Ruoli e poteri dell’ACN: atti attuativi e misure tecniche
- Le responsabilità aziendali e degli amministratori, la governance interna della cybersicurezza e le strategie di compliance integrata
Il percorso è arricchito da esempi pratici, simulazioni di audit, check list operative e riferimenti normativi aggiornati, utili per implementare con efficacia le disposizioni di legge nei diversi contesti organizzativi <<<clicca qui per iscriverti>>>.
