EU AI Act: Modifiche 2025 spiegate

Avatar
Lisa Ernst · 02.12.2025 · Tecnologia · 10 min

Le aziende investono in progetti pilota di IA, spesso senza considerare il quadro giuridico in evoluzione. Domande su sistemi di IA ad alto rischio o obblighi di notifica per i modelli di base sorgono solo in seguito. Questo articolo esamina le modifiche all'EU AI Act e ai piani nazionali sull'IA, come quello australiano, per fornire un orientamento.

EU AI Act: Fondamenti e modifiche

L'EU AI Act è in vigore dal 2024 e diventerà gradualmente effettivo entro agosto 2027. Si basa su un modello basato sul rischio con quattro livelli di rischio e una categoria aggiuntiva per i modelli di Intelligenza Artificiale di Scopo Generale (GPAI), noti anche come modelli di base. Sportello di assistenza AI Act, ECNL

Nel 2025, questo quadro verrà ulteriormente definito. L'UE pubblicherà linee guida e un Codice di condotta per l'Intelligenza Artificiale di Scopo Generale. Allo stesso tempo, nel quadro di un "Digital Omnibus", proporrà una proroga delle scadenze per i sistemi ad alto rischio da agosto 2026 a fine 2027. Strategia digitale Europa, Strategia digitale Europa, Reuters, OneTrust

Per le aziende, ciò significa che la conformità all'IA è un compito strategico, in particolare nei settori come i servizi finanziari, la sanità o la pubblica amministrazione, dove molti casi d'uso rientrano nella categoria "sistema di IA ad alto rischio". Legge intelligenza artificiale UE, Sportello di assistenza AI Act

Comprendere le modifiche all'EU AI Act del 2025

L'EU AI Act regola l'IA sulla base di livelli di rischio: rischio inaccettabile, alto, limitato e minimo, integrato da una categoria separata per i modelli di Intelligenza Artificiale di Scopo Generale. ECNL

La timeline ufficiale di attuazione della Commissione europea prevede quattro fasi centrali:

Nel 2025, l'attenzione si sposterà sull'Intelligenza Artificiale di Scopo Generale e sulla questione di quanto velocemente gli obblighi ad alto rischio verranno effettivamente implementati.

Milestone e scadenze chiave dell'EU AI Act che illustrano l'introduzione graduale del regolamento fino al 2027.

Fonte: mindfoundry.ai

Milestone e scadenze chiave dell'EU AI Act che illustrano l'introduzione graduale del regolamento fino al 2027.

Linee guida e Codice di condotta per l'Intelligenza Artificiale di Scopo Generale

Nel luglio 2025, la Commissione europea pubblicherà tre strumenti chiave per la regolamentazione dei modelli di base: linee guida per i fornitori di GPAI, un Codice di condotta GPAI e ulteriori aiuti interpretativi. Strategia digitale Europa

Le linee guida GPAI e le FAQ ufficiali chiariscono quando un modello è considerato Intelligenza Artificiale di Scopo Generale (ampia gamma di compiti, elevato sforzo di addestramento, versatilità d'uso) e quando una modifica giustifica un fornitore separato con obblighi. Strategia digitale Europa

Il Codice di condotta GPAI è uno strumento volontario che fornisce raccomandazioni concrete ai fornitori sull'organizzazione della documentazione, della trasparenza e dei processi relativi al copyright, al fine di preparare i requisiti legali. Strategia digitale Europa

La Commissione ammette che il Codice di condotta è stato completato più tardi del previsto (fine 2025 anziché maggio). Ciò ha prolungato l'incertezza per i fornitori di modelli di base ed è stato uno dei motivi delle richieste di "pausa" per l'AI Act da parte delle grandi aziende tecnologiche. Reuters, Reuters

Digital Omnibus: scadenze prorogate per i sistemi ad alto rischio

Nel novembre 2025, la Commissione presenterà un pacchetto intitolato "Digital Omnibus". Un punto chiave è lo spostamento dell'applicazione degli obblighi ad alto rischio da agosto 2026 a fine 2027. Reuters, euronews, OneTrust

Sarebbero interessate applicazioni quali l'identificazione biometrica in spazi pubblici, IA per candidature di lavoro e esami, IA nelle reti di energia e trasporti, valutazione dell'affidabilità creditizia o decisioni basate sull'IA nel settore sanitario e nell'applicazione della legge. Reuters, Sportello di assistenza AI Act

Il ritardo proposto è uno spostamento per completare gli standard, le linee guida e le strutture di supervisione, non un passo indietro nella regolamentazione. ONG e alcuni parlamentari parlano comunque di un "rollback" dei meccanismi di protezione digitale, poiché vengono discusse contemporaneamente agevolazioni alle norme sulla privacy e sui cookie. The Guardian

Le aziende dovrebbero utilizzare questo periodo come intervallo per costruire strutture di governance. Ciò viene sottolineato anche dalle analisi di conformità, ad esempio di Nemko o Compliance & Risks. digital.nemko.com, complianceandrisks.com

Piani nazionali sull'IA

Parallelamente all'UE, l'Australia persegue un approccio diverso: con un Piano Nazionale per l'IA, vengono mobilitati investimenti in data center, infrastrutture dati e formazione. L'IA dovrebbe essere regolamentata in gran parte attraverso le leggi esistenti, affiancata da un proprio AI Safety Institute dal 2026. Pagina industria, ABC, Reuters

Piano Nazionale Intelligenza Artificiale Australia: infrastrutture, dati, persone

Mentre l'UE perfeziona l'EU AI Act, l'Australia con il suo Piano Nazionale per l'IA 2025 pone un'enfasi diversa: meno nuovi divieti, ma un potenziamento coordinato dell'infrastruttura, dell'accesso ai dati e delle competenze. Pagina industria

Il piano persegue tre linee centrali:

Il governo australiano sottolinea che, per ora, intende basarsi sulle leggi esistenti - ad esempio in materia di protezione dei dati, diritto della concorrenza e protezione dei consumatori - piuttosto che creare un proprio AI Act. ABC, The Guardian

Per le aziende che operano in più giurisdizioni, si crea un contrasto: nell'UE, la conformità all'IA è legata a un quadro specifico (EU AI Act), mentre l'Australia lavora maggiormente con autorità di vigilanza settoriali e strumenti giuridici esistenti, affiancati da un programma nazionale di investimenti e competenze.

Conformità all'IA per le aziende

Il dibattito si riduce alla domanda: come costruire una strategia di conformità all'IA che affronti sia l'EU AI Act che i piani nazionali sull'IA? Un approccio pragmatico è trattare l'IA come un'estensione delle strutture di governance esistenti, simile agli approcci di conformità "by design". complianceandrisks.com

Cosa significa concretamente "sistema di IA ad alto rischio" nell'UE?

La domanda centrale di molti progetti è: "Cosa significa sistema di IA ad alto rischio nell'UE? Si applica al nostro progetto?"

L'AI Act definisce i sistemi ad alto rischio attraverso due approcci: in primo luogo, l'IA che fa parte o è una componente di sicurezza di un prodotto già regolamentato (ad es. dispositivi medici, veicoli). In secondo luogo, sistemi di IA in determinate aree di applicazione sensibili elencate nell'Allegato III. Legge intelligenza artificiale UE, Legge intelligenza artificiale UE

L'Allegato III comprende, tra l'altro: biometria (ad es. riconoscimento facciale a distanza in spazi pubblici), infrastrutture critiche (energia, trasporti, acqua), istruzione (ammissione, monitoraggio degli esami), occupazione e risorse umane (selezione e valutazione dei candidati), accesso a servizi essenziali (ad es. crediti, assicurazioni), applicazione della legge, migrazione e giustizia. Legge intelligenza artificiale UE, Sportello di assistenza AI Act

Esempi pratici:

Ciò che è giuridicamente decisivo è se un sistema crea un rischio significativo per la salute, la sicurezza o i diritti fondamentali. L'AI Act consente eccezioni per alcuni casi dell'Allegato III se non vi è "rischio significativo", ad esempio in scenari limitati di rilevamento frodi. Al Act, dpo-consulting.com

Per i sistemi di IA ad alto rischio si applicano requisiti severi: gestione del rischio documentata, governance dei dati solida, documentazione tecnica, registrazione, concetti di supervisione umana e requisiti di accuratezza, robustezza e sicurezza informatica. Legge intelligenza artificiale UE

Le aziende che utilizzano l'IA in questi settori dovrebbero analizzare precocemente quali progetti rientrano nella categoria ad alto rischio e iniziare la documentazione.

La classificazione del rischio dei sistemi di IA secondo l'EU AI Act, dal rischio minimo a quello inaccettabile.

Fonte: ctol.digital

La classificazione del rischio dei sistemi di IA secondo l'EU AI Act, dal rischio minimo a quello inaccettabile.

Modelli di Intelligenza Artificiale di Scopo Generale: nuove direttive UE per i modelli di base

Il secondo grande cantiere sono i modelli di Intelligenza Artificiale di Scopo Generale (GPAI), spesso chiamati modelli di base. L'AI Act definisce un "modello di intelligenza artificiale di scopo generale" come un modello addestrato su grandi quantità di dati, che mostra una vasta generalità e può svolgere una moltitudine di compiti diversi in modo competente. Legge intelligenza artificiale UE

Esempi sono modelli come GPT-4, DALL·E o BERT, che diventano specifici del dominio solo attraverso la loro integrazione in sistemi concreti. Taylor Wessing

Dal 2 agosto 2025 si applicano obblighi specifici per i fornitori di tali modelli di Intelligenza Artificiale di Scopo Generale:

I modelli con rischio sistemico vengono classificati, tra l'altro, sulla base di soglie tecniche (potenza di calcolo per l'addestramento) e del loro impatto potenziale. Legge intelligenza artificiale UE, Stibbe

Il quadro GPAI è praticamente rilevante per due gruppi nelle aziende:

La proroga proposta nel Digital Omnibus riguarda principalmente i requisiti per l'alto rischio, non in modo generalizzato gli obblighi GPAI, che entrano in vigore nell'agosto 2025. OneTrust

Chi già oggi automatizza processi decisionali interni con un modello di base dovrebbe verificare se la propria configurazione debba essere considerata come fornitore GPAI, come sistema ad alto rischio o come combinazione di entrambi i ruoli.

Tre osservazioni pratiche per la strategia di conformità all'IA

  1. Nessuna strategia senza inventario: Le aziende che creano precocemente una mappa dell'IA – quali sistemi sono in uso dove, quali dati utilizzano e quali decisioni influenzano – possono identificare più rapidamente quali casi d'uso rientrano potenzialmente nell'Allegato III o includono modelli di base. eyreACT, dpo-consulting.com
  2. Chiarire la classe di rischio + ruolo: La combinazione della classe di rischio (alto rischio vs. rischio limitato) e del ruolo (fornitore vs. deployer) determinano gli obblighi. Ad esempio, chi utilizza un modello di base statunitense in un contesto bancario europeo, può essere contemporaneamente deployer di un sistema ad alto rischio e "utente downstream" di un modello GPAI, con obblighi diversi e sovrapposti. Legge intelligenza artificiale UE
  3. Pensare alla conformità come a una funzionalità del prodotto: Soprattutto nei settori regolamentati, la conformità all'IA diventa un argomento di vendita. Una fintech che ha implementato una gestione del rischio IA secondo l'EU AI Act trova più facilmente clienti B2B. Valutazioni d'impatto strutturate (ad es. valutazioni d'impatto sui diritti umani o sui diritti fondamentali) rendono visibili i rischi. arXiv, arXiv

Chi utilizza la scadenza più lunga per i sistemi ad alto rischio fino al 2027 per stabilire tali processi, si troverà in una posizione migliore quando la supervisione formale aumenterà, e beneficerà prima di un bonus di fiducia.

Definizioni importanti

Un diagramma mostra sette principi per l'uso dell'IA, disposti in cerchio con descrizioni testuali.

Fonte: user-added

Un diagramma mostra sette principi per l'uso dell'IA, disposti in cerchio con descrizioni testuali.

Risorse e prospettive

Per coloro che preferiscono avere i temi spiegati, alcuni video sono molto adatti, sempre come integrazione ai testi originali.:

Gli stati stanno inasprendo le regole sull'IA, ma non lo fanno ovunque allo stesso modo. In Europa, l'EU AI Act viene precisato e in parte diluito nel tempo, senza rinunciare alla sua logica fondamentale di regolamentazione rigorosamente basata sul rischio. In Australia, esiste un Piano Nazionale IA per le infrastrutture, le competenze e la sicurezza, che si basa maggiormente sulle leggi esistenti e sulla vigilanza settoriale. Sportello di assistenza AI Act, Pagina industria

Per le aziende, ciò significa: non scegliere tra innovazione e regolamentazione, ma impostare la propria strategia IA in modo che supporti entrambe. Chi identifica i propri sistemi di IA ad alto rischio, inquadra correttamente i modelli di base e integra la governance dell'IA come parte integrante dello sviluppo di prodotti e processi, sfrutta l'attuale "cambio di regolamentazione" come un'opportunità.

Condividi il nostro articolo!