EU AI Act: Modifiche 2025 spiegate
Le aziende investono in progetti pilota di IA, spesso senza considerare il quadro giuridico in evoluzione. Domande su sistemi di IA ad alto rischio o obblighi di notifica per i modelli di base sorgono solo in seguito. Questo articolo esamina le modifiche all'EU AI Act e ai piani nazionali sull'IA, come quello australiano, per fornire un orientamento.
EU AI Act: Fondamenti e modifiche
L'EU AI Act è in vigore dal 2024 e diventerà gradualmente effettivo entro agosto 2027. Si basa su un modello basato sul rischio con quattro livelli di rischio e una categoria aggiuntiva per i modelli di Intelligenza Artificiale di Scopo Generale (GPAI), noti anche come modelli di base. Sportello di assistenza AI Act, ECNL
Nel 2025, questo quadro verrà ulteriormente definito. L'UE pubblicherà linee guida e un Codice di condotta per l'Intelligenza Artificiale di Scopo Generale. Allo stesso tempo, nel quadro di un "Digital Omnibus", proporrà una proroga delle scadenze per i sistemi ad alto rischio da agosto 2026 a fine 2027. Strategia digitale Europa, Strategia digitale Europa, Reuters, OneTrust
Per le aziende, ciò significa che la conformità all'IA è un compito strategico, in particolare nei settori come i servizi finanziari, la sanità o la pubblica amministrazione, dove molti casi d'uso rientrano nella categoria "sistema di IA ad alto rischio". Legge intelligenza artificiale UE, Sportello di assistenza AI Act
Comprendere le modifiche all'EU AI Act del 2025
L'EU AI Act regola l'IA sulla base di livelli di rischio: rischio inaccettabile, alto, limitato e minimo, integrato da una categoria separata per i modelli di Intelligenza Artificiale di Scopo Generale. ECNL
La timeline ufficiale di attuazione della Commissione europea prevede quattro fasi centrali:
- Dal 2 febbraio 2025, si applicheranno disposizioni generali (definizioni, alfabetizzazione sull'IA) e il divieto di pratiche di IA "inaccettabili", come determinate forme di valutazione sociale. Sportello di assistenza AI Act
- Dal 2 agosto 2025, entreranno in vigore le norme sui modelli di Intelligenza Artificiale di Scopo Generale (GPAI) e dovrà essere definita la struttura di governance (comitato IA, comitato scientifico, ecc.). Sportello di assistenza AI Act, Strategia digitale Europa
- Dal 2 agosto 2026, dovrebbero originariamente entrare in vigore la maggior parte delle norme, inclusi gli allegati sull'alto rischio (Allegato III) e gli obblighi di trasparenza, insieme alle sandbox nazionali sull'IA e alla supervisione operativa. Sportello di assistenza AI Act
- Dal 2 agosto 2027, si applicheranno inoltre le norme per i sistemi di IA ad alto rischio integrati in prodotti regolamentati (ad es. dispositivi medici, veicoli). Sportello di assistenza AI Act
Nel 2025, l'attenzione si sposterà sull'Intelligenza Artificiale di Scopo Generale e sulla questione di quanto velocemente gli obblighi ad alto rischio verranno effettivamente implementati.

Fonte: mindfoundry.ai
Milestone e scadenze chiave dell'EU AI Act che illustrano l'introduzione graduale del regolamento fino al 2027.
Linee guida e Codice di condotta per l'Intelligenza Artificiale di Scopo Generale
Nel luglio 2025, la Commissione europea pubblicherà tre strumenti chiave per la regolamentazione dei modelli di base: linee guida per i fornitori di GPAI, un Codice di condotta GPAI e ulteriori aiuti interpretativi. Strategia digitale Europa
Le linee guida GPAI e le FAQ ufficiali chiariscono quando un modello è considerato Intelligenza Artificiale di Scopo Generale (ampia gamma di compiti, elevato sforzo di addestramento, versatilità d'uso) e quando una modifica giustifica un fornitore separato con obblighi. Strategia digitale Europa
Il Codice di condotta GPAI è uno strumento volontario che fornisce raccomandazioni concrete ai fornitori sull'organizzazione della documentazione, della trasparenza e dei processi relativi al copyright, al fine di preparare i requisiti legali. Strategia digitale Europa
La Commissione ammette che il Codice di condotta è stato completato più tardi del previsto (fine 2025 anziché maggio). Ciò ha prolungato l'incertezza per i fornitori di modelli di base ed è stato uno dei motivi delle richieste di "pausa" per l'AI Act da parte delle grandi aziende tecnologiche. Reuters, Reuters
Digital Omnibus: scadenze prorogate per i sistemi ad alto rischio
Nel novembre 2025, la Commissione presenterà un pacchetto intitolato "Digital Omnibus". Un punto chiave è lo spostamento dell'applicazione degli obblighi ad alto rischio da agosto 2026 a fine 2027. Reuters, euronews, OneTrust
Sarebbero interessate applicazioni quali l'identificazione biometrica in spazi pubblici, IA per candidature di lavoro e esami, IA nelle reti di energia e trasporti, valutazione dell'affidabilità creditizia o decisioni basate sull'IA nel settore sanitario e nell'applicazione della legge. Reuters, Sportello di assistenza AI Act
Il ritardo proposto è uno spostamento per completare gli standard, le linee guida e le strutture di supervisione, non un passo indietro nella regolamentazione. ONG e alcuni parlamentari parlano comunque di un "rollback" dei meccanismi di protezione digitale, poiché vengono discusse contemporaneamente agevolazioni alle norme sulla privacy e sui cookie. The Guardian
Le aziende dovrebbero utilizzare questo periodo come intervallo per costruire strutture di governance. Ciò viene sottolineato anche dalle analisi di conformità, ad esempio di Nemko o Compliance & Risks. digital.nemko.com, complianceandrisks.com
Piani nazionali sull'IA
Parallelamente all'UE, l'Australia persegue un approccio diverso: con un Piano Nazionale per l'IA, vengono mobilitati investimenti in data center, infrastrutture dati e formazione. L'IA dovrebbe essere regolamentata in gran parte attraverso le leggi esistenti, affiancata da un proprio AI Safety Institute dal 2026. Pagina industria, ABC, Reuters
Piano Nazionale Intelligenza Artificiale Australia: infrastrutture, dati, persone
Mentre l'UE perfeziona l'EU AI Act, l'Australia con il suo Piano Nazionale per l'IA 2025 pone un'enfasi diversa: meno nuovi divieti, ma un potenziamento coordinato dell'infrastruttura, dell'accesso ai dati e delle competenze. Pagina industria
Il piano persegue tre linee centrali:
- Data center e infrastrutture: Il governo federale sostiene gli investimenti in data center moderni ottimizzati per GPU e capacità dati sovrane, al fine di mantenere i carichi di lavoro IA nel paese. Reuters, Daily Telegraph
- Formazione e competenze: Un obiettivo centrale è consentire ai dipendenti a tutti i livelli di utilizzare l'IA in modo sicuro e produttivo, dalla pubblica amministrazione (APS AI Plan) all'industria. finance.gov.au, go8.edu.au
- Sicurezza e governance: Un AI Safety Institute, finanziato con 30 milioni di AUD, dovrebbe essere istituito entro il 2026 e servire come centro di competenza per lo sviluppo sicuro dell'IA, in particolare per quanto riguarda la sicurezza nazionale e la sovranità. News.com.au
Il governo australiano sottolinea che, per ora, intende basarsi sulle leggi esistenti - ad esempio in materia di protezione dei dati, diritto della concorrenza e protezione dei consumatori - piuttosto che creare un proprio AI Act. ABC, The Guardian
Per le aziende che operano in più giurisdizioni, si crea un contrasto: nell'UE, la conformità all'IA è legata a un quadro specifico (EU AI Act), mentre l'Australia lavora maggiormente con autorità di vigilanza settoriali e strumenti giuridici esistenti, affiancati da un programma nazionale di investimenti e competenze.
Conformità all'IA per le aziende
Il dibattito si riduce alla domanda: come costruire una strategia di conformità all'IA che affronti sia l'EU AI Act che i piani nazionali sull'IA? Un approccio pragmatico è trattare l'IA come un'estensione delle strutture di governance esistenti, simile agli approcci di conformità "by design". complianceandrisks.com
Cosa significa concretamente "sistema di IA ad alto rischio" nell'UE?
La domanda centrale di molti progetti è: "Cosa significa sistema di IA ad alto rischio nell'UE? Si applica al nostro progetto?"
L'AI Act definisce i sistemi ad alto rischio attraverso due approcci: in primo luogo, l'IA che fa parte o è una componente di sicurezza di un prodotto già regolamentato (ad es. dispositivi medici, veicoli). In secondo luogo, sistemi di IA in determinate aree di applicazione sensibili elencate nell'Allegato III. Legge intelligenza artificiale UE, Legge intelligenza artificiale UE
L'Allegato III comprende, tra l'altro: biometria (ad es. riconoscimento facciale a distanza in spazi pubblici), infrastrutture critiche (energia, trasporti, acqua), istruzione (ammissione, monitoraggio degli esami), occupazione e risorse umane (selezione e valutazione dei candidati), accesso a servizi essenziali (ad es. crediti, assicurazioni), applicazione della legge, migrazione e giustizia. Legge intelligenza artificiale UE, Sportello di assistenza AI Act
Esempi pratici:
- Banca: Un modello di scoring che decide automaticamente limiti di credito e condizioni per i clienti privati viene classificato come ad alto rischio, in quanto interviene nelle opportunità finanziarie. eyreACT
- Ospedale: Un sistema di triage che dà priorità ai pazienti in emergenza in base all'analisi IA dei dati vitali è ad alto rischio a causa del rischio per la salute e la vita. twobirds.com
- Ufficio governativo: Un'agenzia per l'impiego che utilizza un modello per valutare la capacità di un candidato di trovare lavoro, rientra tipicamente nell'Allegato III a causa dell'intervento sui diritti sociali. Stibbe
Ciò che è giuridicamente decisivo è se un sistema crea un rischio significativo per la salute, la sicurezza o i diritti fondamentali. L'AI Act consente eccezioni per alcuni casi dell'Allegato III se non vi è "rischio significativo", ad esempio in scenari limitati di rilevamento frodi. Al Act, dpo-consulting.com
Per i sistemi di IA ad alto rischio si applicano requisiti severi: gestione del rischio documentata, governance dei dati solida, documentazione tecnica, registrazione, concetti di supervisione umana e requisiti di accuratezza, robustezza e sicurezza informatica. Legge intelligenza artificiale UE
Le aziende che utilizzano l'IA in questi settori dovrebbero analizzare precocemente quali progetti rientrano nella categoria ad alto rischio e iniziare la documentazione.

Fonte: ctol.digital
La classificazione del rischio dei sistemi di IA secondo l'EU AI Act, dal rischio minimo a quello inaccettabile.
Modelli di Intelligenza Artificiale di Scopo Generale: nuove direttive UE per i modelli di base
Il secondo grande cantiere sono i modelli di Intelligenza Artificiale di Scopo Generale (GPAI), spesso chiamati modelli di base. L'AI Act definisce un "modello di intelligenza artificiale di scopo generale" come un modello addestrato su grandi quantità di dati, che mostra una vasta generalità e può svolgere una moltitudine di compiti diversi in modo competente. Legge intelligenza artificiale UE
Esempi sono modelli come GPT-4, DALL·E o BERT, che diventano specifici del dominio solo attraverso la loro integrazione in sistemi concreti. Taylor Wessing
Dal 2 agosto 2025 si applicano obblighi specifici per i fornitori di tali modelli di Intelligenza Artificiale di Scopo Generale:
- Requisiti di trasparenza (tra cui documentazione tecnica, descrizione delle capacità, limitazioni note, riepiloghi dei dati di addestramento).
- Norme sul trattamento del diritto d'autore, ad esempio tramite politiche e meccanismi per il rispetto delle catene di diritti.
- Per i modelli con rischio sistemico, obblighi aggiuntivi come valutazioni del modello, mitigazione dei rischi, test avversari e segnalazione di incidenti. Strategia digitale Europa, Strategia digitale Europa, Reuters
I modelli con rischio sistemico vengono classificati, tra l'altro, sulla base di soglie tecniche (potenza di calcolo per l'addestramento) e del loro impatto potenziale. Legge intelligenza artificiale UE, Stibbe
Il quadro GPAI è praticamente rilevante per due gruppi nelle aziende:
- Fornitori di modelli – team che addestrano i propri modelli di base e li rendono disponibili "as-a-service" o internamente in modo diffuso.
- Utenti downstream, che integrano un modello di base esterno in un sistema concreto, assumendo così il ruolo di fornitori di sistemi o di deployer. Eipa, EY
La proroga proposta nel Digital Omnibus riguarda principalmente i requisiti per l'alto rischio, non in modo generalizzato gli obblighi GPAI, che entrano in vigore nell'agosto 2025. OneTrust
Chi già oggi automatizza processi decisionali interni con un modello di base dovrebbe verificare se la propria configurazione debba essere considerata come fornitore GPAI, come sistema ad alto rischio o come combinazione di entrambi i ruoli.
Tre osservazioni pratiche per la strategia di conformità all'IA
- Nessuna strategia senza inventario: Le aziende che creano precocemente una mappa dell'IA – quali sistemi sono in uso dove, quali dati utilizzano e quali decisioni influenzano – possono identificare più rapidamente quali casi d'uso rientrano potenzialmente nell'Allegato III o includono modelli di base. eyreACT, dpo-consulting.com
- Chiarire la classe di rischio + ruolo: La combinazione della classe di rischio (alto rischio vs. rischio limitato) e del ruolo (fornitore vs. deployer) determinano gli obblighi. Ad esempio, chi utilizza un modello di base statunitense in un contesto bancario europeo, può essere contemporaneamente deployer di un sistema ad alto rischio e "utente downstream" di un modello GPAI, con obblighi diversi e sovrapposti. Legge intelligenza artificiale UE
- Pensare alla conformità come a una funzionalità del prodotto: Soprattutto nei settori regolamentati, la conformità all'IA diventa un argomento di vendita. Una fintech che ha implementato una gestione del rischio IA secondo l'EU AI Act trova più facilmente clienti B2B. Valutazioni d'impatto strutturate (ad es. valutazioni d'impatto sui diritti umani o sui diritti fondamentali) rendono visibili i rischi. arXiv, arXiv
Chi utilizza la scadenza più lunga per i sistemi ad alto rischio fino al 2027 per stabilire tali processi, si troverà in una posizione migliore quando la supervisione formale aumenterà, e beneficerà prima di un bonus di fiducia.
Definizioni importanti
- EU AI Act: Un regolamento dell'Unione Europea per la regolamentazione dell'intelligenza artificiale, che persegue un approccio basato sul rischio.
- Intelligenza Artificiale di Scopo Generale (GPAI) / Modelli di base: Modelli di IA addestrati su grandi quantità di dati, che mostrano una vasta generalità e possono svolgere una moltitudine di compiti diversi.
- Sistema di IA ad alto rischio: Sistemi di IA che presentano un rischio significativo per la salute, la sicurezza o i diritti fondamentali, sia come parte di prodotti regolamentati, sia in specifiche aree di applicazione sensibili (Allegato III).
- Digital Omnibus: Un pacchetto di proposte della Commissione UE che, tra l'altro, prevede uno spostamento delle scadenze per i sistemi di IA ad alto rischio.
- Piano Nazionale IA (Australia): La strategia australiana per la promozione dell'IA attraverso investimenti in infrastrutture, accesso ai dati e formazione, dove la regolamentazione avviene principalmente attraverso leggi esistenti.

Fonte: user-added
Un diagramma mostra sette principi per l'uso dell'IA, disposti in cerchio con descrizioni testuali.
Risorse e prospettive
Per coloro che preferiscono avere i temi spiegati, alcuni video sono molto adatti, sempre come integrazione ai testi originali.:
- Un'introduzione compatta alla struttura, alle classi di rischio e alla portata globale offre „EU AI Act Explained 2025“.
- Una panoramica più generale fornisce „The EU’s AI Act Explained“.
- Chi già lavora con modelli di base, ottiene una visione pratica del Codice di condotta GPAI nel colloquio „Unpacking the EU AI Act Code of Practice with Marietje Schaake“ al Codice di condotta GPAI..
- Per il contesto australiano, vale la pena dare un'occhiata alle discussioni sulla strategia IA del paese e sull'ecosistema IA, ad esempio nel formato „Australia’s AI ecosystem growth and opportunities“ del National AI Centre..
Gli stati stanno inasprendo le regole sull'IA, ma non lo fanno ovunque allo stesso modo. In Europa, l'EU AI Act viene precisato e in parte diluito nel tempo, senza rinunciare alla sua logica fondamentale di regolamentazione rigorosamente basata sul rischio. In Australia, esiste un Piano Nazionale IA per le infrastrutture, le competenze e la sicurezza, che si basa maggiormente sulle leggi esistenti e sulla vigilanza settoriale. Sportello di assistenza AI Act, Pagina industria
Per le aziende, ciò significa: non scegliere tra innovazione e regolamentazione, ma impostare la propria strategia IA in modo che supporti entrambe. Chi identifica i propri sistemi di IA ad alto rischio, inquadra correttamente i modelli di base e integra la governance dell'IA come parte integrante dello sviluppo di prodotti e processi, sfrutta l'attuale "cambio di regolamentazione" come un'opportunità.