AI Sigil Logo
Contact Us
Back to all insights
A compass

Sections

Avviare la Conformità con il Regolamento UE sull’IA

Quattro Modi per Avviare la Conformità con il Regolamento UE sull’IA

Il Regolamento sull’Intelligenza Artificiale (AI Act) dell’Unione Europea rappresenta la prima regolamentazione completa al mondo riguardante l’IA, destinata a influenzare le aziende ben oltre i confini europei. Questa legge complessa governa lo sviluppo, l’implementazione e l’uso di sistemi di intelligenza artificiale e modelli di IA di uso generale all’interno dell’UE. Tuttavia, ha anche una portata extraterritoriale e imporrà obblighi a molte organizzazioni con sede negli Stati Uniti che sviluppano, vendono o utilizzano tecnologie di IA.

Come Prepararsi alla Conformità negli Stati Uniti

Il Regolamento sull’IA adotta un approccio a fasi. Il primo insieme di obblighi, riguardanti l’uso di pratiche di IA proibite e la alfabetizzazione nell’IA, è entrato in vigore a febbraio 2025. I requisiti per i fornitori di modelli di IA di uso generale (GPAI) entreranno in vigore il 2 agosto 2025, mentre molte delle regole restanti sono programmate per entrare in vigore il 2 agosto 2026. È ora di dare il via al percorso di conformità delle aziende statunitensi. Di seguito sono elencati quattro passi chiave per prepararsi a questa nuova legge.

1. Determinare se la propria organizzazione rientra nell’ambito di applicazione

Il primo passo consiste nel determinare se la propria organizzazione rientra nell’ambito di applicazione del Regolamento sull’IA. Questo regolamento si applica ampiamente ai fornitori, distributori e utilizzatori di sistemi di IA che operano nell’UE. Ha anche una portata extraterritoriale, estendendosi alle organizzazioni al di fuori dell’UE che (1) immettono sistemi di IA nel mercato dell’UE o li mettono in servizio all’interno dell’UE, oppure (2) consentono l’uso di output di IA da parte di individui situati nell’UE (fatti salvi alcuni eccezioni). Data questa ampia portata, gli obblighi di conformità possono applicarsi a un’ampia gamma di entità statunitensi in vari settori, inclusi fornitori di servizi cloud, fornitori di sicurezza e aziende che offrono servizi come verifiche di identità, strumenti HR, chatbot per il servizio clienti, rilevamento delle minacce e sistemi decisionali guidati dall’IA.

2. Identificare dove si collocano i sistemi di IA nel panorama del rischio e se sono GPAI

Se la propria organizzazione è coperta, il passo successivo è comprendere come il proprio prodotto si inserisce nel panorama del rischio delineato dal Regolamento sull’IA, che classifica i sistemi di IA in base al rischio inaccettabile, alto, limitato o minimo. Questa classificazione è essenziale poiché ogni livello ha obblighi distinti. Le organizzazioni dovrebbero fare un inventario dei sistemi di IA attualmente in uso o in fase di sviluppo e valutare quali sistemi rientrano in quale categoria per identificare i requisiti applicabili. Le organizzazioni dovrebbero prestare particolare attenzione a identificare i prodotti che potrebbero essere considerati ad alto rischio o potenzialmente proibiti ai sensi della legge.

Una breve descrizione dei livelli e dei loro rispettivi obblighi è la seguente:

  • Il Regolamento proibisce l’uso di sistemi di IA in relazione a pratiche specifiche che comportano un rischio inaccettabile, come la valutazione sociale da parte dei governi o la sorveglianza biometrica in tempo reale.
  • I sistemi ad alto rischio, come quelli utilizzati nelle infrastrutture critiche, nel reclutamento, nell’istruzione, nelle assicurazioni sulla vita, nell’applicazione della legge o nella verifica dell’identità, sono soggetti a rigorosi requisiti normativi. Gli obblighi per i fornitori di questi sistemi includono valutazioni obbligatorie dei rischi, documentazione tecnica dettagliata, meccanismi di supervisione umana e controlli di sicurezza informatica e governance dei dati.
  • Alcuni sistemi di IA a rischio limitato devono conformarsi a requisiti minimi di trasparenza e/o marcatura. Questi obblighi ricadono principalmente sui sistemi di IA progettati per interagire direttamente con le persone.
  • I sistemi di IA a rischio minimo potrebbero essere coperti da futuri codici di condotta volontari da stabilire.

Il Regolamento ha anche regole specifiche per i GPAI, che entreranno in vigore il 2 agosto 2025 e si applicano anche a quei modelli immessi sul mercato o messi in servizio prima di tale data. Questi modelli sono addestrati con una grande quantità di dati utilizzando l’auto-supervisione su larga scala, mostrando una significativa generalità e capaci di svolgere in modo competente una vasta gamma di compiti distinti. Il Regolamento impone regole più severe (ad esempio, valutazioni dei modelli, piani di mitigazione dei rischi, segnalazione di incidenti e misure di sicurezza informatica migliorate) per i modelli che comportano rischi sistemici.

3. Progettare un programma di governance e adottare misure verso la conformità

Completata l’analisi di applicabilità e l’inventario dei sistemi di IA, la propria organizzazione dovrebbe eseguire una valutazione delle lacune rispetto alle misure di conformità esistenti. Da lì, è possibile identificare i passi che devono ancora essere compiuti. Creare playbook interfunzionali per la classificazione, la trasparenza e la supervisione porterà vantaggi man mano che il Regolamento entrerà in vigore e l’applicazione avrà inizio. Esempi delle misure che le organizzazioni dovrebbero intraprendere per prontezza alla conformità includono:

  • Governance Interna: Costituire comitati di governance interna per l’IA per monitorare i casi d’uso, aggiornare i registri dei rischi e coinvolgere i team legali, di conformità e di sicurezza.
  • Documentazione dei Rischi e Controlli Tecnici: Mantenere una documentazione dettagliata per i sistemi di IA, in particolare per quelli categorizzati come ad alto rischio. Implementare controlli tecnici ed eseguire regolari valutazioni dei rischi in linea con i requisiti del Regolamento.
  • Meccanismi di Supervisione Umana: Garantire che il personale qualificato possa comprendere, monitorare e, se necessario, sovrascrivere i processi decisionali automatizzati per soddisfare i requisiti di supervisione umana del Regolamento.
  • Supervisione dei Terzi e Alfabetizzazione nell’IA: Coinvolgere fornitori, partner e appaltatori per confermare che mantengano livelli appropriati di governance e alfabetizzazione nell’IA, specialmente dove i loro strumenti o servizi sono coperti dal Regolamento o sono integrati nei propri sistemi di IA o GPAI.
  • Programmi di Formazione e Sensibilizzazione: Implementare un programma di formazione sull’IA a livello organizzativo con moduli avanzati dedicati ai dipendenti direttamente coinvolti nello sviluppo, nell’implementazione o nella supervisione dell’IA.
  • Prontezza Cyber: Sebbene il Regolamento non specifichi misure di protezione dei dati specifiche, questo esercizio fornisce una buona opportunità per rivedere e aggiornare le pratiche di dati e sicurezza informatica dell’organizzazione. Le organizzazioni potrebbero avere obblighi esistenti riguardo ai principi di protezione dei dati dell’UE, come la minimizzazione dei dati, la limitazione della finalità e la raccolta lecita dei dati, in particolare quando gestiscono dati di residenti nell’UE. Aggiungere l’IA al mix di prodotti e servizi potrebbe aggiungere complessità, poiché potrebbero essere necessarie misure di sicurezza aggiuntive per prevenire attacchi avversari, manipolazione dei modelli e accesso non autorizzato, in particolare per i sistemi ad alto rischio.

4. Tenere d’occhio gli Stati Uniti (e altre giurisdizioni)

Negli Stati Uniti non esiste ancora una regolamentazione nazionale sull’IA analoga al Regolamento sull’IA; tuttavia, ciò non significa che le aziende possano ignorare gli sviluppi domestici. Sebbene sia l’Amministrazione Biden che quella Trump abbiano emesso ordini esecutivi sull’IA, la formulazione delle politiche federali è ancora nelle fasi iniziali. Tuttavia, ci sono molte attività a livello statale. Un robusto programma di conformità dovrebbe monitorare le leggi federali e statali emergenti e considerare come interagiscono con il Regolamento sull’IA.

Un esempio notevole di legge statale statunitense è il Colorado Artificial Intelligence Act, approvato nel 2024 e programmato per entrare in vigore nel 2026. Come il Regolamento sull’IA, utilizza un approccio basato sul rischio e impone obblighi ai sviluppatori e ai distributori di sistemi di IA ad alto rischio. Ma ci sono anche differenze chiave rispetto al Regolamento, come il fatto che la legge del Colorado sia più limitata nella portata e definisca il rischio alto in modo più generale, piuttosto che codificare usi specifici come ad alto rischio.

Le organizzazioni dovrebbero anche tenere d’occhio altri mercati, poiché altre giurisdizioni potrebbero seguire l’esempio dell’UE nella regolamentazione dell’IA.

Conclusione

La preparazione dovrebbe iniziare ora, poiché la data di entrata in vigore del 2 agosto 2025 si avvicina rapidamente. Questi passi aiuteranno i professionisti interni a rendere operative queste esigenze legali e garantire la conformità, anche in un panorama legale in rapida evoluzione.

More Insights

A blueprint of a university campus integrating AI technology.

Politica AI del Quebec per Università e Cégeps

Settembre 24, 2025 Conformità IA dell'UE,Conformità IA per le imprese,Éducation à l'IA,Governance dell'IA,IA,Intelligenza Artificiale,Regolamento dell'IA,Régulation IA
Il governo del Quebec ha recentemente rilasciato una politica sull'intelligenza artificiale per le università e i CÉGEP, quasi tre anni dopo il lancio di ChatGPT. Le linee guida includono principi...
Read More
A magnifying glass focusing on a document labeled "AI Guidelines."

L’alfabetizzazione AI: la nuova sfida per la conformità aziendale

Settembre 24, 2025 Alfabetizzazione sull'IA,Conformità Regolatoria,Conformité des pratiques IA,Consapevolezza sulla Regolamentazione dell'IA,Consapevolezza sulla regolamentazione IA,Éducation à l'IA,IA,Intelligenza Artificiale
L'adozione dell'IA nelle aziende sta accelerando, ma con essa emerge la sfida dell'alfabetizzazione all'IA. La legislazione dell'UE richiede che tutti i dipendenti comprendano gli strumenti che...
Read More
A network server illustrating the infrastructure behind AI and its regulation.

Legge sull’IA: Germania avvia consultazioni per l’attuazione

Settembre 24, 2025 Conformità Regolatoria,IA,Intelligenza Artificiale,Regolamentazione dell'Intelligenza Artificiale,Régulation IA,Régulation IA EU,Strutture Regolatorie per l'IA
I regolatori esistenti assumeranno la responsabilità di monitorare la conformità delle aziende tedesche con l'AI Act dell'UE, con un ruolo potenziato per l'Agenzia Federale di Rete (BNetzA). Il...
Read More
A smart home device

Governare l’AI nell’Economia Zero Trust

Settembre 23, 2025 Governance dell'IA,IA,Intelligenza Artificiale,Regolamento dell'IA,Régulation de la sécurité numérique IA,Sicurezza dei sistemi IA
Nel 2025, l'intelligenza artificiale non è più solo un concetto astratto, ma è diventata una realtà operativa che richiede un governance rigorosa. In un'economia a zero fiducia, le organizzazioni...
Read More
A blueprint to illustrate the planning and framework needed for AI governance.

Il nuovo segretariato tecnico per l’IA: un cambiamento nella governance

Settembre 23, 2025 Cadre éthique IA,IA,Intelligenza Artificiale,Politica Tecnologica,Regolamento dell'IA,Régulation IA,Régulation technologique IA,Strutture Regolatorie per l'IA
Il prossimo quadro di governance sull'intelligenza artificiale potrebbe prevedere un "segreteria tecnica" per coordinare le politiche sull'IA tra i vari dipartimenti governativi. Questo rappresenta un...
Read More
A lock shaped like a computer chip to illustrate the concept of securing AI systems.

Innovazione sostenibile attraverso la sicurezza dell’IA nei Paesi in via di sviluppo

Settembre 23, 2025 Etica dell'IA,IA,Innovation technologique IA,Intelligenza Artificiale,Politica Globale sull'IA,Regolamento dell'IA,Régulation IA
Un crescente tensione si è sviluppata tra i sostenitori della regolamentazione dei rischi legati all'IA e coloro che desiderano liberare l'IA per l'innovazione. Gli investimenti in sicurezza e...
Read More
A magnifying glass illustrating the importance of scrutiny and transparency in AI governance.

Verso un approccio armonioso alla governance dell’IA in ASEAN

Settembre 23, 2025 Conformità IA,Consapevolezza sulla Regolamentazione dell'IA,Éthique IA,Governance dell'IA,IA,Intelligenza Artificiale,Politica Globale sull'IA,Régulation internationale IA
Quando si tratta di intelligenza artificiale, l'ASEAN adotta un approccio consensuale. Mentre i membri seguono percorsi diversi nella governance dell'IA, è fondamentale che questi principi volontari...
Read More
A map of Italy with an AI circuit design overlay.

Italia guida l’UE con una legge innovativa sull’IA

Settembre 22, 2025 Conformità Regolatoria,Conformité IA EU,IA,Intelligenza Artificiale,Regolamento dell'IA,Régulation de l'IA,Régulation IA EU,Strutture Regolatorie per l'IA
L'Italia è diventata il primo paese nell'UE ad approvare una legge completa che regola l'uso dell'intelligenza artificiale, imponendo pene detentive a chi utilizza la tecnologia per causare danni. La...
Read More
A puzzle piece representing the integration of AI into society and the need for careful consideration in its implementation.

Regolamentare l’Intelligenza Artificiale in Ucraina: Verso un Futuro Etico

Settembre 22, 2025 Conformità IA,Consapevolezza sulla Regolamentazione dell'IA,Éthique IA,Etica dell'IA,IA,Intelligenza Artificiale,Regolamento dell'IA,Régulation IA
Nel giugno del 2024, quattordici aziende IT ucraine hanno creato un'organizzazione di autoregolamentazione per sostenere approcci etici nell'implementazione dell'intelligenza artificiale in Ucraina...
Read More