In sintesi
- La query «ai regulatory» raccoglie due significati distinti: la regolazione pubblica dell’intelligenza artificiale, da un lato, e l’utilizzo dell’IA nelle funzioni di compliance, dall’altro. Questa guida tratta il primo, che oggi domina quasi tutti i risultati di ricerca.
- Quattro regimi di ancoraggio determinano la maggior parte degli obblighi operativi: il regolamento europeo sull’IA (Regolamento 2024/1689), l’ecosistema statunitense (indirizzi federali e leggi statali), l’approccio britannico pro-innovazione e settoriale, e il quadro cinese guidato dalla Cyberspace Administration of China.
- Al di sopra dei regimi nazionali si è ora aggiunto uno strato convenzionale: la Convenzione quadro del Consiglio d’Europa sull’IA, primo trattato internazionale giuridicamente vincolante in materia di IA, ratificato dall’Unione europea il 15 maggio 2026.
- Due standard operativi rendono il quadro governabile: la ISO/IEC 42001 come spina dorsale del sistema di gestione dell’IA, e il NIST AI Risk Management Framework come libreria di controlli. Lo stesso sistema può soddisfare più autorità contemporaneamente, a condizione di una mappatura corretta.
- Il lavoro concreto si organizza per tipo di obbligo: trasparenza, gestione del rischio, valutazione di conformità, monitoraggio post-commercializzazione, segnalazione di incidenti, governance dei dati. Il paese cambia scadenze e massimali sanzionatori, non la natura del lavoro.
Cosa significa davvero «ai regulatory» nel 2026
L’espressione «ai regulatory» tiene insieme due racconti separati. Il primo, oggetto di questa guida, riguarda le regole pubbliche e gli impegni internazionali vincolanti che disciplinano la progettazione, l’immissione sul mercato, l’utilizzo e la sorveglianza dell’intelligenza artificiale. Il secondo riguarda l’IA messa al servizio della compliance, spesso chiamata RegTech. I primi risultati di ricerca riflettono quasi unicamente la prima lettura: tracker globali, confronti tra paesi, saggi giuridici.
L’inventario è diventato vertiginoso. Le sintesi pubbliche parlano ormai di oltre 900 normative sull’IA attive in 80 giurisdizioni. La cifra intimidisce perché somma direttive, regolamenti settoriali, decreti e linee guida. Le funzioni di compliance, tuttavia, non vivono 900 norme come 900 cantieri distinti. Si trovano davanti a una manciata di regimi di ancoraggio, a un numero limitato di famiglie di obblighi ricorrenti e ad alcuni standard trasversali che consentono a un unico insieme di controlli di servire più autorità contemporaneamente.
Questo cambio di prospettiva è il punto di questa guida. La presentazione per paese, adottata dalla maggior parte delle pagine ben posizionate, resta utile come riferimento, ma inefficace come modello operativo. Ciò che segue adotta la lettura dell’operatore: prima i regimi di ancoraggio, poi lo strato convenzionale, quindi i tipi di obbligo, l’albero dei ruoli e infine la spina dorsale operativa convergente.
I quattro regimi di ancoraggio
Il regolamento europeo sull’IA, Regolamento 2024/1689
Il regolamento europeo sull’IA è entrato in vigore il 1º agosto 2024 e diventa pienamente applicabile il 2 agosto 2026. Le disposizioni si attivano per ondate successive. Le pratiche vietate e gli obblighi di alfabetizzazione in materia di IA si applicano dal 2 febbraio 2025. Le regole di governance e gli obblighi sui modelli di IA per finalità generali si applicano dal 2 agosto 2025. Il regime dei sistemi ad alto rischio, comprensivo di sistema di gestione della qualità, valutazione di conformità e monitoraggio post-commercializzazione, diventa pienamente eseguibile dal 2 agosto 2026.
L’architettura è fondata sul rischio, con quattro fasce. Le pratiche vietate includono il punteggio sociale da parte di autorità pubbliche, la raccolta non mirata di immagini facciali e il riconoscimento delle emozioni nei luoghi di lavoro e di istruzione, con eccezioni strettamente delimitate. I sistemi ad alto rischio, elencati nell’Allegato III per impieghi quali occupazione, scoring del credito, identificazione biometrica, infrastrutture critiche e contrasto, devono rispettare un insieme strutturato di obblighi su governance dei dati, documentazione tecnica, supervisione umana, accuratezza, robustezza e cibersicurezza. I sistemi a rischio limitato, soprattutto quelli che interagiscono con persone fisiche o generano contenuti sintetici, sono soggetti a obblighi di trasparenza. I sistemi a rischio minimo, ovvero la maggior parte dell’IA aziendale, rispondono soltanto a codici di condotta volontari.
Le sanzioni arrivano a 35 milioni di euro o al 7 % del fatturato mondiale annuo, con applicazione dell’importo più alto, per la violazione delle pratiche vietate. Gli altri inadempimenti scendono a 15 milioni o 3 %, la trasmissione di informazioni non veritiere a 7,5 milioni o 1 %. La supervisione è ripartita tra le autorità nazionali competenti e il nuovo Ufficio per l’IA istituito presso la Commissione europea.
Stati Uniti: edificio federale frammentato e leggi statali
Gli Stati Uniti seguono una logica differente. Non esiste una legge federale unica sull’IA. Le autorità settoriali applicano i testi vigenti (tutela del consumatore, lavoro, finanza, sanità) agli usi dell’IA, mentre i singoli Stati adottano testi mirati. L’attività legislativa si è intensificata nel 2025 e nel 2026, come mostrano il tracker White & Case e il monitoraggio NCSL, che documentano decine di leggi su sistemi di decisione automatizzata, obblighi di trasparenza per l’IA generativa, deepfake elettorali e uso dell’IA da parte delle amministrazioni pubbliche.
Lo strato federale resta prevalentemente esecutivo. Gli ordini esecutivi della Casa Bianca disciplinano gli standard degli appalti pubblici, le valutazioni del rischio delle agenzie e taluni obblighi di disclosure. Le autorità indipendenti, tra cui la Federal Trade Commission, l’Equal Employment Opportunity Commission, il Consumer Financial Protection Bureau, la Food and Drug Administration per i dispositivi medici e la National Highway Traffic Safety Administration per i veicoli autonomi, applicano i loro strumenti consolidati ai casi di IA. Il lavoro di compliance negli Stati Uniti vive, più che altrove, nei manuali operativi dei regolatori settoriali e non in un singolo testo orizzontale.
Regno Unito: approccio pro-innovazione settoriale
Il Regno Unito ha scelto di non legiferare orizzontalmente. L’approccio pro-innovazione affida l’inquadramento dell’IA alle autorità esistenti (Information Commissioner’s Office, Competition and Markets Authority, Financial Conduct Authority, Ofcom e altre), sulla base di cinque principi trasversali: sicurezza, trasparenza, equità, responsabilità e contestabilità. L’AI Safety Institute britannico conduce valutazioni di modelli e ne pubblica gli esiti.
Il 21 ottobre 2025 è stata aperta la consultazione sul UK AI Growth Lab, un programma di sandbox regolatorie transeconomiche che consentono di sperimentare prodotti di IA con adattamenti normativi mirati e di trasformare i pilot riusciti in riforme permanenti. La direzione resta orientata a un dispositivo iterativo e settoriale, lontano da una legge unica.
Cina: regole generative sotto la guida della CAC
Il quadro cinese è plasmato dalla Cyberspace Administration of China (CAC) e attuato per strumenti successivi. Le Misure provvisorie sulla gestione dei servizi di IA generativa, in vigore dall’agosto 2023, definiscono gli obblighi dei fornitori in materia di legalità dei dati di addestramento, etichettatura dei contenuti, consenso degli utenti e allineamento ai valori sociali. Le Disposizioni sulle raccomandazioni algoritmiche (2022) e quelle sulla sintesi profonda (2023) aggiungono obblighi di etichettatura e registrazione per motori di raccomandazione e media sintetici. I contenuti generati destinati al mercato cinese devono recare una filigrana visibile e una marcatura nei metadati. I fornitori sono tenuti a iscrivere i propri algoritmi nel registro della CAC e a sottoporre una valutazione di sicurezza prima del rilascio.
Il regime cinese è il più prescrittivo dei quattro sui doveri di moderazione dei contenuti. Riguarda soprattutto le organizzazioni che immettono direttamente prodotti di IA sul mercato cinese e rappresenta, per le altre, un punto di attenzione contrattuale lungo la catena di fornitura.
Lo strato convenzionale: la Convenzione quadro del Consiglio d’Europa
Un nuovo strato si è aggiunto ai regimi nazionali. La Convenzione quadro del Consiglio d’Europa sull’intelligenza artificiale e i diritti umani, la democrazia e lo Stato di diritto (STE n. 225) è il primo trattato internazionale dedicato specificamente alla governance dell’IA e giuridicamente vincolante per le parti. Essa impegna i firmatari a garantire che le attività connesse all’IA siano coerenti con i diritti umani, la democrazia e lo Stato di diritto lungo l’intero ciclo di vita dei sistemi.
L’Unione europea ha ratificato la Convenzione il 15 maggio 2026, in occasione della 135ma sessione del Comitato dei Ministri tenutasi a Chișinău, nella Repubblica di Moldova. Tra gli altri firmatari figurano il Regno Unito, gli Stati Uniti, il Canada, il Giappone, la Svizzera, la Norvegia, Israele, l’Ucraina, Andorra, la Georgia, l’Islanda, il Liechtenstein, il Montenegro, San Marino e l’Uruguay. La Convenzione entra in vigore il primo giorno del mese successivo allo scadere di tre mesi dopo la quinta ratifica, di cui almeno tre da parte di Stati membri del Consiglio d’Europa.
La Convenzione non duplica il regolamento europeo. Essa fissa un livello convenzionale di tutela su diritti, non discriminazione, trasparenza, supervisione, responsabilità e rimedi, che le parti devono trasporre nel diritto interno. Per un’organizzazione presente in più giurisdizioni firmatarie, questo livello riduce il rischio di divergenze sostanziali sugli obblighi connessi ai diritti fondamentali e chiarisce la soglia di tutela umana che ogni programma di governance dell’IA deve rispettare.
Il manuale dell’operatore: obblighi per tipo
La maggior parte dei confronti pubblicati si ferma alla lettura per paese. È esattamente dove inizia il lavoro dell’operatore. Attraverso i quattro regimi di ancoraggio e i Principi OCSE sull’IA, che contano 49 aderenti ad aprile 2026, ritornano le stesse famiglie di obblighi con variazioni locali.
Obblighi di trasparenza
Gli obblighi di disclosure attraversano ogni regime. Ai sensi del regolamento europeo, i fornitori di sistemi che interagiscono con persone fisiche devono indicare la natura artificiale dell’interlocutore, salvo che sia evidente. Gli utilizzatori di sistemi di riconoscimento delle emozioni o di categorizzazione biometrica devono informare le persone interessate. Fornitori e utilizzatori di IA generativa sono tenuti a etichettare i contenuti sintetici o manipolati, con mezzi tecnici idonei al rilevamento. La Cina impone una doppia marcatura, visibile e nei metadati. Gli Stati Uniti aggiungono leggi statali sull’informativa relativa ai sistemi decisionali automatizzati in occupazione e relazioni con il consumatore. L’insieme dei controlli operativi è lo stesso: un inventario delle superfici IA esposte agli utenti, modelli di informativa per superficie, pipeline di filigrana per i contenuti generativi e una procedura di aggiornamento ad ogni modifica sostanziale del sistema.
Gestione del rischio e valutazione di conformità
L’articolo 9 del regolamento europeo impone, per i sistemi ad alto rischio, un sistema documentato di gestione del rischio, istituito, attuato, documentato e mantenuto lungo l’intero ciclo di vita. La valutazione di conformità, con o senza il coinvolgimento di un organismo notificato a seconda del caso d’uso, governa l’immissione sul mercato. La struttura riprende la logica della disciplina di prodotto: individuare i rischi prevedibili, valutarli, adottare misure, verificare il rischio residuo, rivalutare dopo ogni modifica sostanziale. Il NIST AI Risk Management Framework (gennaio 2023) e il relativo Profilo IA generativa (NIST AI 600-1, luglio 2024) forniscono la grammatica operativa: quattro funzioni centrali (Govern, Map, Measure, Manage) e dodici categorie di rischio proprie della generazione. Un’organizzazione di compliance che adotti il RMF come libreria di controlli percorre la maggior parte della strada verso un sistema credibile ai sensi dell’articolo 9.
Monitoraggio post-commercializzazione e segnalazione di incidenti
Gli obblighi non terminano con il lancio. L’articolo 72 del regolamento europeo impone ai fornitori un sistema di monitoraggio post-commercializzazione proporzionato alla natura e ai rischi del sistema, con raccolta dei dati, analisi e cicli di azioni correttive documentati. L’articolo 73 obbliga a segnalare gli incidenti gravi alle autorità di vigilanza del mercato degli Stati membri interessati. Gli altri regimi adottano un approccio meno formalizzato, ma si aspettano meccanismi equivalenti: la guida britannica chiede alle entità regolate di dimostrare la sorveglianza continua; le autorità settoriali statunitensi applicano i propri canali di segnalazione (FDA per gli eventi avversi dei dispositivi, autorità bancarie per gli incidenti operativi). Il presidio operativo è condiviso: un ciclo di ritorno dalla produzione alla progettazione, una griglia di gravità degli incidenti e un calendario di segnalazione mappato sulle autorità competenti.
Governance dei dati e dei modelli
I set di addestramento, convalida e test dei sistemi ad alto rischio devono essere pertinenti, rappresentativi, esenti da errori e completi. L’articolo 10 del regolamento europeo fissa obblighi specifici di governance dei dati, tra cui l’esame e la mitigazione dei pregiudizi. La Cina richiede una provenienza lecita dei dati di addestramento. Il diritto del lavoro statunitense richiede una logica di selezione legata alla mansione e fondata su necessità aziendali quando l’IA è utilizzata nei processi di assunzione. La ISO/IEC 42001 affronta le stesse questioni nelle clausole di valutazione dell’impatto, qualità dei dati e supervisione dei fornitori. Il punto di convergenza è lineare: un ciclo di vita dei dati documentato, una tracciabilità dalla fonte al modello, un esame periodico dei pregiudizi e una due diligence sui broker di dati e sui fornitori di modelli.
Chi deve fare cosa: un albero dei ruoli
Il regolamento europeo individua cinque ruoli operativi: fornitore, utilizzatore (deployer), importatore, distributore e fabbricante del prodotto. I doveri variano in funzione del ruolo assunto rispetto a un determinato sistema. Una stessa organizzazione può essere fornitrice di un sistema, utilizzatrice di un altro e distributrice di un terzo. Mappare i ruoli per sistema, e non per entità giuridica, è il primo passaggio.
Un fornitore immette un sistema di IA sul mercato dell’Unione a proprio nome. I fornitori sopportano l’insieme di obblighi più oneroso per i sistemi ad alto rischio: controlli di progettazione, sistema di gestione della qualità, documentazione tecnica, valutazione di conformità, dichiarazione di conformità, marcatura CE, monitoraggio post-commercializzazione, segnalazione degli incidenti e azioni correttive.
Un utilizzatore impiega un sistema di IA sotto la propria autorità, nell’ambito di un’attività economica o di servizio pubblico. I doveri comprendono l’uso conforme alle istruzioni del fornitore, il mantenimento della supervisione umana, il monitoraggio degli output, la conservazione dei log, la valutazione d’impatto sui diritti fondamentali, quando richiesta dall’articolo 27, e l’informazione delle persone destinatarie di una decisione automatizzata.
Un importatore o un distributore assume doveri di verifica: prima dell’immissione sul mercato deve accertarsi che il fornitore abbia rispettato i propri obblighi, che la dichiarazione di conformità sia presente, che la marcatura CE sia apposta e che le istruzioni d’uso siano complete.
Un fornitore di modello di IA per finalità generali, disciplinato dagli articoli 53 e 55, deve pubblicare una sintesi sufficientemente dettagliata dei contenuti di addestramento, documentare la model card, rispettare il diritto d’autore dell’Unione e, se il modello presenta un rischio sistemico ai sensi della soglia dell’articolo 51, condurre test adversariali, segnalare gli incidenti gravi all’Ufficio per l’IA e garantire la cibersicurezza a livello di modello e di infrastruttura.
Gli strati settoriali non scompaiono. Una banca che utilizza un sistema di scoring del credito ad alto rischio cumula gli obblighi di utilizzatore della IA Act e tutta la disciplina prudenziale e di tutela del consumatore. Un fabbricante di dispositivi medici con componenti di IA cumula gli obblighi di fornitore e il regolamento europeo sui dispositivi medici.
Il modello operativo convergente: ISO/IEC 42001 e NIST AI RMF
Se il manuale precedente appare ordinato ma pesante, la scelta è deliberata. Il ritorno arriva quando un unico programma soddisfa più autorità al tempo stesso. Due standard volontari rendono questa convergenza possibile.
La ISO/IEC 42001:2023 è il primo riferimento internazionale di sistema di gestione dell’IA (AIMS). Riprende la struttura Plan-Do-Check-Act, familiare a chi opera con ISO 9001 o ISO 27001, ma calibrata sull’IA: politica IA, impegno della direzione, pianificazione (compresa la valutazione di impatto dei sistemi di IA), supporto, attività operative, valutazione delle prestazioni, miglioramento continuo. La versione europea, EN ISO/IEC 42001:2026, entra nel paesaggio armonizzato europeo e questo conta: la conformità a uno standard armonizzato crea presunzione di conformità a numerosi requisiti del regolamento europeo.
Il NIST AI Risk Management Framework ricopre il livello dei controlli. Quattro funzioni (Govern, Map, Measure, Manage), articolate in categorie e sottocategorie, forniscono una libreria granulare che si allinea sulle prescrizioni della IA Act, sulle regole cinesi di contenuto, sui regolatori settoriali statunitensi e sui Principi OCSE. Il Profilo IA generativa (NIST AI 600-1) aggiunge dodici categorie di rischio proprie della generazione (informazioni CBRN, confabulazione, contenuti pericolosi o violenti, riservatezza, impatto ambientale, pregiudizi dannosi, configurazione umano-IA, integrità informativa, sicurezza dell’informazione, proprietà intellettuale, contenuti osceni, catena del valore), ciascuna ricondotta ad azioni concrete del RMF. NIST sta lavorando inoltre a un profilo Infrastrutture Critiche (nota di inquadramento di aprile 2026) e a un profilo Interoperabilità degli Agenti annunciato per fine 2026.
Un modello operativo solido innesta la ISO 42001 come spina dorsale e il NIST AI RMF come libreria di controlli. Le evidenze raccolte una volta (registri di lineage dei dati, valutazioni di impatto, log di monitoraggio, segnalazioni di incidente, registri di formazione) si proiettano poi sulla documentazione tecnica dell’Allegato IV del regolamento europeo, sulla Guida OCSE di due diligence per l’IA responsabile pubblicata il 19 febbraio 2026, sugli impegni di trasparenza e accountability della Convenzione quadro del Consiglio d’Europa e sui futuri standard europei armonizzati di CEN-CENELEC, tra cui i progetti prEN 18228 e prEN 18282 su gestione dei rischi IA e terminologia di cibersicurezza.
Questo modello convergente risponde anche alla questione della scala. Le 900 normative censite in 80 giurisdizioni non sono 900 architetture distinte. Sono in larga parte variazioni sulle stesse famiglie di obblighi, con scadenze, massimali e regole procedurali differenti. Un AIMS ben costruito trasforma ogni nuova norma in una questione di configurazione, non in un cantiere di rifacimento. In Italia, il Garante per la Protezione dei Dati Personali e AgID offrono inoltre griglie di lettura utili per articolare GDPR, regolamento europeo sull’IA e disciplina settoriale, da integrare naturalmente in un AIMS ben mantenuto.
Domande frequenti
Chi regola l’IA negli Stati Uniti? Nessun regolatore unico. Le autorità settoriali applicano il diritto vigente: Federal Trade Commission per la tutela del consumatore, Equal Employment Opportunity Commission per il lavoro, Consumer Financial Protection Bureau per il credito, Food and Drug Administration per l’IA medicale, National Highway Traffic Safety Administration per i veicoli autonomi e così via. I legislatori statali approvano testi più mirati su sistemi decisionali automatizzati, obblighi informativi per l’IA generativa o uso pubblico dell’IA. La Casa Bianca indirizza la politica tramite ordini esecutivi che vincolano le agenzie federali e gli appalti. Il risultato è stratificato, non centralizzato.
L’IA verrà davvero regolata? Lo è già. Il regolamento europeo, la Convenzione quadro del Consiglio d’Europa, il quadro cinese, decine di leggi statali statunitensi e l’applicazione settoriale dei testi vigenti formano un ambiente regolatorio effettivo. La domanda non è più se l’IA sarà regolata, ma come operativizzare gli obblighi già vigenti.
Che cos’è un regolatore dell’IA? Ai sensi del regolamento europeo, sono le autorità nazionali competenti designate dagli Stati membri per la vigilanza dei sistemi di IA presenti sul loro mercato, integrate dall’Ufficio per l’IA della Commissione europea, che coordina la vigilanza sui modelli per finalità generali. In Italia il Garante per la Protezione dei Dati Personali, AgID e le autorità settoriali concorrono secondo le rispettive competenze. Altrove, «regolatore dell’IA» indica solitamente l’agenzia di settore che applica il proprio strumentario a casi di IA. La Convenzione del Consiglio d’Europa non istituisce un supervisore unico e lascia l’attuazione agli Stati parte.
L’IA ha già delle regole oggi? Sì. Le pratiche vietate e gli obblighi di alfabetizzazione del regolamento europeo si applicano dal 2 febbraio 2025, gli obblighi sui modelli per finalità generali dal 2 agosto 2025. Le Misure provvisorie cinesi sull’IA generativa si applicano dall’agosto 2023. Diverse leggi statali statunitensi su decisioni automatizzate in lavoro, finanza e assicurazione sono eseguibili. Le regole settoriali in sanità, finanza e tutela del consumatore si applicano all’IA in forza delle competenze esistenti.
Quale legge sull’IA prevede le sanzioni più elevate? Il regolamento europeo, con un massimale di 35 milioni di euro o del 7 % del fatturato mondiale annuo, secondo l’importo più alto, per la violazione delle pratiche vietate. Le altre violazioni si fermano a 15 milioni o al 3 %. Le leggi statali statunitensi e l’enforcement settoriale seguono strutture differenti, spesso per violazione o in percentuale del fatturato, ma su livelli assoluti inferiori.
Le start-up devono rispettare il regolamento europeo? Sì, con misure proporzionate. Il regolamento prevede esplicitamente percorsi semplificati per PMI e start-up: vie di valutazione di conformità alleggerite, accesso dedicato alle sandbox regolatorie, oneri amministrativi ridotti per i servizi degli organismi notificati. Gli obblighi sostanziali restano dovuti: pratiche vietate, trasparenza, progettazione dei sistemi ad alto rischio se rilevanti, regole sui modelli per finalità generali per chi sviluppa modelli fondazionali.
La ISO/IEC 42001 sostituisce il regolamento europeo sull’IA? No. La ISO/IEC 42001 è uno standard di gestione volontario. Il regolamento europeo è diritto vincolante. Lo standard è soprattutto utile come quadro di implementazione che rende operativamente trattabile la conformità al regolamento, e gli obblighi equivalenti negli altri regimi. La certificazione può segnalare maturità della governance, ma non sostituisce gli obblighi giuridici.
Conclusione: dal tracker al modello operativo
Il tracker per paese ha avuto il suo momento. È servito finché la regolazione dell’IA era nuova, rada e distribuita in modo disomogeneo. Nel 2026 non è più il quadro giusto. Con oltre 900 regole attive in 80 giurisdizioni, un trattato internazionale vincolante e standard armonizzati che escono a cadenza trimestrale, nessun team di compliance può affrontare ogni nuovo testo come un progetto a sé.
Il modello operativo vince. Ancorarsi ai quattro regimi che coprono la maggior parte dell’attività IA regolata. Trattare gli altri paesi come sovrapposizioni. Organizzare il lavoro per tipo di obbligo. Adottare ISO/IEC 42001 come spina dorsale e NIST AI RMF come libreria di controlli. Raccogliere le evidenze una volta sola e mapparle più volte.
AI Sigil offre esattamente questa spina dorsale ai settori regolati: valutazione di conformità al regolamento europeo, sistema di gestione ISO/IEC 42001, controlli NIST AI RMF, in un’unica piattaforma GRC progettata per assorbire ogni nuova regola senza ripensare l’edificio.