AI Act Italia 2026: il 10 giugno il Consiglio dei Ministri ha approvato due decreti legislativi che recepiscono il Regolamento europeo sull’intelligenza artificiale (UE) 2024/1689, noto come AI Act, nella legislazione italiana. È la prima volta che l’Italia traduce in norme operative l’AI Act europeo entrato in vigore nell’agosto 2024. Per aziende, professionisti e sviluppatori di sistemi AI, alcune regole sono già attive. Altre entreranno in vigore gradualmente fino al 2027.
L’AI Act classifica i sistemi AI in quattro categorie di rischio: inaccettabile (vietati), alto rischio (regolamentati strettamente), rischio limitato (obblighi di trasparenza) e rischio minimo (nessun obbligo specifico). I sistemi ad alto rischio includono AI usata in medicina, istruzione, occupazione e infrastrutture critiche. Le sanzioni arrivano fino a 35 milioni di euro o il 7% del fatturato globale. Per i consumatori cambiano diritti di trasparenza e ricorso.
Indice
- Cos’è l’AI Act e perché è importante
- La classificazione dei rischi
- I sistemi AI vietati in Europa
- I sistemi ad alto rischio: obblighi concreti
- Obblighi di trasparenza per l’AI ordinaria
- I decreti italiani del 10 giugno 2026
- Le sanzioni
- Domande frequenti
Cos’è l’AI Act e perché è importante
Il Regolamento UE 2024/1689 è il primo quadro normativo al mondo dedicato specificamente all’intelligenza artificiale. Approvato dal Parlamento europeo nel marzo 2024 ed entrato in vigore il 1° agosto 2024, si applica a tutti i sistemi AI messi in commercio o in uso nell’Unione Europea, indipendentemente da dove sia stato sviluppato il sistema. Un’azienda americana che vende un sistema AI di selezione del personale alle aziende italiane deve rispettare l’AI Act esattamente come una startup milanese.
L’obiettivo dichiarato è bilanciare innovazione e tutela dei diritti fondamentali. L’AI Act non vieta l’intelligenza artificiale in generale — vieta solo i sistemi più pericolosi e regola con obblighi proporzionali quelli che potrebbero causare danni significativi. Per la maggior parte delle applicazioni AI quotidiane (chatbot, raccomandazioni, filtri spam) l’impatto normativo è limitato agli obblighi di trasparenza.
La classificazione dei rischi
L’AI Act suddivide i sistemi AI in quattro livelli di rischio. Il primo livello — rischio inaccettabile — include i sistemi che rappresentano una minaccia così grave ai diritti fondamentali da essere vietati del tutto. Il secondo — alto rischio — copre i sistemi AI usati in contesti sensibili come salute, istruzione, occupazione, infrastrutture critiche e forze dell’ordine: sono permessi ma soggetti a obblighi stringenti di valutazione, documentazione e supervisione umana. Il terzo livello — rischio limitato — include sistemi come i chatbot o i deepfake: permessi ma con obbligo di dichiarare che l’utente sta interagendo con un sistema AI. Il quarto — rischio minimo — copre tutto il resto: filtri spam, videogiochi, sistemi di raccomandazione senza impatto significativo sui diritti delle persone. Nessun obbligo specifico.
I sistemi AI vietati in Europa
Dal 2 febbraio 2025 sono vietati in tutta l’UE i sistemi AI che manipolano il comportamento delle persone in modo subliminale senza che ne siano consapevoli, i sistemi che sfruttano vulnerabilità specifiche di gruppi come minori o anziani, i sistemi di “social scoring” che classificano le persone in base al comportamento sociale (come esiste in Cina), i sistemi di riconoscimento facciale in tempo reale in spazi pubblici per scopi di law enforcement (con alcune eccezioni molto limitate), i sistemi che tentano di dedurre emozioni sui luoghi di lavoro e nelle istituzioni scolastiche, e i sistemi di categorizzazione biometrica che inferiscono opinioni politiche, religione, orientamento sessuale.
Per i deepfake — contenuti sintetici che mostrano persone reali — il divieto non è assoluto, ma scattano obblighi di etichettatura obbligatoria. Un video AI che mostra un politico che dice qualcosa che non ha mai detto deve essere chiaramente etichettato come contenuto generato artificialmente. Questo vale anche per i contenuti satirici o artistici, con alcune eccezioni.
I sistemi ad alto rischio: obblighi concreti
I sistemi AI classificati ad alto rischio devono essere registrati in una banca dati europea prima di essere immessi sul mercato, devono avere documentazione tecnica dettagliata sulle capacità e sui limiti del sistema, devono garantire la supervisione umana nelle decisioni critiche, devono essere testati per identificare e ridurre i bias discriminatori, e devono conservare i log delle operazioni per consentire verifiche successive. Le aziende che li sviluppano o li usano devono anche nominare un responsabile della conformità AI.
Esempi concreti di sistemi ad alto rischio: AI usata per valutare i candidati durante il processo di selezione del personale, AI per la valutazione del merito creditizio nelle banche, AI diagnostica in medicina, sistemi AI per la valutazione degli studenti nell’istruzione, AI per la gestione delle infrastrutture critiche come rete elettrica o trasporti. Chi usa uno di questi sistemi senza rispettare gli obblighi rischia sanzioni pesanti.
Obblighi di trasparenza per l’AI ordinaria
Per i sistemi AI a rischio limitato — principalmente chatbot e sistemi che generano contenuti sintetici — gli obblighi si concentrano sulla trasparenza. Chi usa un chatbot AI deve essere informato che sta parlando con un sistema artificiale, non con un essere umano. I contenuti generati da AI (testi, immagini, audio, video) devono essere etichettati in modo da permettere il rilevamento automatico da parte di altri sistemi.
Questo tocca direttamente chi crea contenuti con strumenti come ChatGPT, Midjourney, Kling AI o simili per uso professionale o commerciale. Non significa che ogni post generato con AI sia illegale — significa che in certi contesti (pubblicità, informazione, contenuti che potrebbero essere scambiati per produzione umana autentica) è richiesta la disclosure. Le piattaforme come TikTok e Instagram hanno già implementato sistemi di etichettatura volontaria che nel 2026 diventano obbligatoria in certi contesti. Per capire come si inserisce l’AI nel lavoro quotidiano, la guida su come usare Claude AI mostra un esempio concreto di strumento conforme.
I decreti italiani del 10 giugno 2026
I due decreti approvati dal Consiglio dei Ministri il 10 giugno 2026 danno attuazione all’AI Act in Italia nel quadro della legge delega n. 132/2025. Il primo decreto riguarda le autorità competenti e la governance: individua nell’Agenzia per la Cybersicurezza Nazionale (ACN) l’autorità nazionale di vigilanza sull’AI Act in Italia, con poteri di ispezione, sanzione e coordinamento con le autorità europee. Il secondo decreto definisce le procedure per la notifica dei sistemi ad alto rischio, le modalità di accesso alla banca dati europea, e i meccanismi di ricorso per i cittadini che ritengono di essere stati danneggiati da decisioni automatizzate.
Per le aziende italiane che già usano sistemi AI in contesti regolamentati, i decreti aprono una fase di adeguamento con scadenze progressive. I sistemi ad alto rischio già in uso devono essere adeguati agli standard AI Act entro agosto 2026. I nuovi sistemi introdotti dopo il 2 agosto 2024 devono già essere conformi. Le PMI hanno un regime semplificato con obblighi documentali ridotti rispetto alle grandi aziende.
Le sanzioni
Le sanzioni dell’AI Act sono le più alte nel panorama normativo europeo dopo il GDPR. Per i sistemi AI vietati (rischio inaccettabile): fino a 35 milioni di euro o il 7% del fatturato mondiale annuo, se maggiore. Per la violazione degli obblighi relativi ai sistemi ad alto rischio: fino a 15 milioni di euro o il 3% del fatturato. Per la fornitura di informazioni false alle autorità di vigilanza: fino a 7,5 milioni di euro o l’1,5% del fatturato.
Per le PMI e le startup le sanzioni sono proporzionalmente inferiori — l’AI Act prevede esplicitamente la proporzionalità per le piccole imprese. Tuttavia, l’uso di un sistema AI vietato non beneficia di questa riduzione proporzionale: il divieto è assoluto indipendentemente dalle dimensioni dell’azienda. La direzione normativa è chiara: l’AI Act non è una normativa di principio ma un quadro con denti, e l’ACN italiana avrà poteri effettivi di enforcement.
Domande frequenti
L’AI Act si applica anche a chi usa ChatGPT o Gemini per uso personale?
No. L’AI Act non si applica all’uso personale non professionale dei sistemi AI. Si applica ai fornitori (che sviluppano i sistemi) e ai deployer (che li usano in contesti professionali o commerciali). Un individuo che usa ChatGPT per scrivere email personali non ha obblighi.
Un blogger che usa AI per generare articoli deve etichettarli?
Dipende dal contesto. L’obbligo di etichettatura riguarda i contenuti che potrebbero essere scambiati per autentici in modo ingannevole. Un articolo dichiaratamente editoriale non richiede etichettatura automatica. Un articolo di notizie che non dichiara l’uso dell’AI in un contesto che potrebbe trarre in inganno i lettori è in zona grigia.
Quando entrano in vigore tutti gli obblighi dell’AI Act?
L’applicazione è graduale. I sistemi vietati: dal 2 febbraio 2025. Gli obblighi sui modelli AI di uso generale (come GPT-4, Claude): dall’agosto 2025. I sistemi ad alto rischio nei settori regolamentati: dall’agosto 2026. I restanti sistemi ad alto rischio: dall’agosto 2027.
