INITIALIZING SYSTEM
luglio 03, 2026

Compliance AI Act: obblighi, rischi e documentazione

A.I. Intelligenza Artificiale Featured New
Author: Studio Legale SG SERAFIN

Il Regolamento (UE) 2024/1689, noto come AI Act, è entrato in vigore il 1° agosto 2024 e rappresenta il primo quadro normativo organico sull'intelligenza artificiale a livello mondiale. Con un approccio basato sul rischio, la disciplina impone obblighi differenziati a provider, deployer, importatori e distributori, con sanzioni che raggiungono i 35 milioni di euro o il 7% del fatturato globale annuo. L'accordo provvisorio sul Digital Omnibus, raggiunto il 7 maggio 2026 e confermato dal Parlamento europeo il 16 giugno 2026, ha ridisegnato alcune scadenze chiave senza tuttavia modificare l'architettura sostanziale del Regolamento. Questo articolo offre una guida pratica agli obblighi, ai rischi e alla documentazione richiesta.

1. Il Framework di Rischio: la Piramide Normativa

L'AI Act articola i sistemi di intelligenza artificiale in quattro livelli di rischio, ciascuno con un regime giuridico distinto. Dalla fascia vietata in cima a quella a rischio minimo alla base, il carico degli obblighi diminuisce progressivamente, mentre la platea di soggetti coinvolti si amplia.

ARCHITETTURA DEL RISCHIO — AI ACT RISCHIO INACCETTABILE ⛔ Vietato — Art. 5 ALTO RISCHIO Allegato III + Allegato I Obblighi stringenti — Artt. 10-15, 26 RISCHIO LIMITATO Chatbot, Deepfake, Contenuti AI Trasparenza obbligatoria — Art. 50 RISCHIO MINIMO O NULLO Filtri antispam, videogiochi AI, strumenti di produttività Nessun obbligo specifico MAX €35M o 7% fatt.

2. Il Calendario di Applicazione (Aggiornato: Digital Omnibus 2026)

L'AI Act non è entrato in vigore in un'unica soluzione: la sua applicazione è stata strutturata in ondate progressive, calibrate sulla gravità del rischio. Il Digital Omnibus — accordo provvisorio raggiunto il 7 maggio 2026 tra Consiglio UE e Parlamento europeo, poi confermato in sessione plenaria il 16 giugno 2026 — ha posticipato le scadenze per i sistemi ad alto rischio senza modificare il contenuto sostanziale degli obblighi.

Aug 2024 Entrata in vigore Reg. 2024/1689 Feb 2025 Divieti operativi Art. 5 — rischio inaccettabile Aug 2025 Obblighi GPAI Governance + AI Literacy ◀ ORA Giu 2026 Dic 2026 Watermarking + Trasparenza Art. 50 §2 contenuti AI Dic 2027 Alto Rischio Allegato III Digital Omnibus (era ago 2026) Ago 2028 Alto Rischio Allegato I Prodotti regolati (disp. medici, ecc.) ⚡ Digital Omnibus: scadenze riviste
Attenzione pratica per gli studi legali: Il rinvio del Digital Omnibus non è un'amnistia normativa. Gli obblighi di AI Literacy (art. 4), i divieti per le pratiche vietate (art. 5) e le regole di trasparenza per chatbot e contenuti AI sono già pienamente operativi. Il tempo guadagnato va investito nella predisposizione del fascicolo tecnico, non nella procrastinazione.

3. Obblighi per Categoria di Rischio: Tavola di Riferimento

La seguente tabella, elaborata sulla base del testo del Regolamento (UE) 2024/1689, sintetizza gli obblighi principali suddivisi per livello di rischio e per soggetto (provider o deployer). È uno strumento operativo di primo orientamento, non sostitutivo della consulenza legale specialistica.

Livello Esempi d'uso Obblighi principali (Provider) Obblighi (Deployer) Scadenza
⛔ Inaccettabile Social scoring, manipolazione subliminale, ID biometrica in tempo reale (salvo eccezioni) Divieto assoluto di immissione sul mercato Divieto assoluto di utilizzo Dal 2.2.2025
🔴 Alto Rischio Selezione del personale (CV screening), scoring creditizio, infrastrutture critiche, valutazione studenti, biometria Documentazione tecnica (art. 11), gestione del rischio (art. 9), governance dati (art. 10), registrazione UE (art. 49), marcatura CE, supervisione umana (art. 14) Utilizzo conforme alle istruzioni, FRIA (art. 27), monitoraggio operativo, segnalazione anomalie 2.12.2027 (Annex III) · 2.8.2028 (Annex I)
🟡 Limitato Chatbot, assistenti virtuali, contenuti generati da AI (testi, immagini, video, audio) Informare l'utente dell'interazione con AI (art. 50), watermarking contenuti sintetici entro dic. 2026 Disclosure all'utente finale, etichettatura deepfake e testi su temi d'interesse pubblico Dal 2.8.2026 · Watermarking: 2.12.2026
🟢 Minimo Filtri antispam, videogiochi con AI, strumenti di produttività generica, raccomandazioni contenuti Nessun obbligo specifico (salvo codici di condotta volontari, art. 69) AI Literacy obbligatoria per il personale (art. 4, già in vigore) AI Literacy: già in vigore
🔵 GPAI ChatGPT, Gemini, Claude, Copilot, Llama (modelli multiuso a finalità generale) Documentazione tecnica, trasparenza copyright, sintesi dati di training, valutazione rischio sistemico se FLOP ≥ 10²⁵ Obblighi di trasparenza verso gli utenti (deployer del modello GPAI) Dal 2.8.2025

4. La Documentazione Tecnica: il Cuore della Compliance

L'articolo 11 del Regolamento impone che la documentazione tecnica di un sistema di IA ad alto rischio sia redatta prima dell'immissione sul mercato e mantenuta costantemente aggiornata. Il contenuto minimo è fissato nell'Allegato IV e comprende elementi che gli studi legali e i loro clienti devono padroneggiare per strutturare correttamente il fascicolo di conformità.

ALLEGATO IV — CONTENUTO MINIMO FASCICOLO TECNICO Descrizione generale Finalità, logica, categorie di persone interessate, perimetro di utilizzo. Architettura del sistema Specifiche tecniche, dati di addestramento, metriche di performance e testing. Gestione del rischio Sistema ex art. 9: identificazione, valutazione, mitigazione rischi lungo tutto il ciclo di vita. Supervisione umana Misure ex art. 14: controlli, possibilità di override e interruzione del sistema. Valutazione di conformità Procedura ex art. 43: interna (Allegato VI) o organismo notificato (Allegato VII). Conservazione e log Registrazione automatica eventi (art. 12), conservazione documentazione: 10 anni. NOTA PMI / START-UP Le PMI, comprese le start-up, possono fornire in forma semplificata gli elementi dell'Allegato IV (art. 11 §3). La Commissione definirà un modulo semplificato. Il Digital Omnibus estende queste agevolazioni alle medie imprese (fino a 500 dipendenti).

5. Provider e Deployer: Obblighi Distinti, Responsabilità Condivise

Una delle distinzioni più critiche dell'AI Act riguarda la qualificazione del soggetto obbligato. Uno studio legale che integra strumenti AI di terze parti nei propri flussi di lavoro è, nella quasi totalità dei casi, un deployer — con un proprio set di obblighi autonomi rispetto a quelli del produttore del sistema.

Criterio Provider (Fornitore) Deployer (Utilizzatore)
Definizione Sviluppa e immette sul mercato il sistema AI con proprio nome/marchio Utilizza il sistema AI sotto propria autorità in un contesto professionale
Documentazione Fascicolo tecnico (Allegato IV), dichiarazione di conformità UE, registrazione database UE Registri utilizzo, FRIA (se pubblica PA o scoring finanziario/assicurativo), istruzioni d'uso
Rischio trasformazione in Provider N/A Il deployer che appone il proprio marchio o modifica sostanzialmente il sistema diventa Provider a tutti gli effetti (art. 25)
AI Literacy Obbligo di garantire adeguata formazione degli addetti che interagiscono con AI (art. 4) Identico obbligo (art. 4) — già in vigore. La mancanza è considerata aggravante
Supervisione umana Deve progettare il sistema per consentire supervisione umana effettiva (art. 14) Deve garantire che persone competenti esercitino la supervisione (art. 26)

6. Il Regime Sanzionatorio: un Sistema a Tre Livelli

L'articolo 99 del Regolamento struttura le sanzioni in tre fasce graduate, proporzionate alla gravità della violazione. Per le PMI e le start-up si applica il principio di proporzionalità: la sanzione applicabile è la più bassa tra gli importi assoluti e le percentuali sul fatturato.

Fascia Violazione Sanzione massima Riferimento normativo
Fascia I — Massima Utilizzo di pratiche di AI vietate (social scoring, manipolazione, ID biometrica non consentita) € 35.000.000
oppure 7% fatturato globale annuo
Art. 99 §3 · Art. 5
Fascia II — Alta Violazione di obblighi sui sistemi ad alto rischio (documentazione, governance dati, trasparenza), GPAI e altri obblighi € 15.000.000
oppure 3% fatturato globale annuo
Art. 99 §4
Fascia III — Base Comunicazione di informazioni false, incomplete o fuorvianti alle autorità competenti o agli organismi notificati € 7.500.000
oppure 1% fatturato globale annuo
Art. 99 §5

7. Checklist Operativa: Cosa Fare Adesso

Il rinvio delle scadenze per i sistemi ad alto rischio non modifica la necessità di avviare immediatamente il percorso di conformità. Le azioni indicate di seguito sono indipendenti dal calendario e costituiscono il fondamento di qualsiasi strategia di AI governance per uno studio legale o per i clienti assistiti.

# Azione Urgenza Riferimento
01 Inventario sistemi AI — Mappare tutti i sistemi AI in uso (propri o di terze parti) IMMEDIATA Art. 26 · Art. 49
02 Classificazione del rischio — Verificare se i sistemi ricadono in Allegato III o Allegato I IMMEDIATA Art. 6 · Allegato III
03 AI Literacy — Avviare percorso formativo documentato per tutto il personale che interagisce con AI GIÀ IN VIGORE Art. 4
04 Verifica pratiche vietate — Escludere categoricamente l'uso di sistemi classificati a rischio inaccettabile GIÀ IN VIGORE Art. 5
05 Fascicolo tecnico — Avviare la predisposizione del fascicolo per sistemi ad alto rischio (non aspettare il 2027) ENTRO 2025 Art. 11 · Allegato IV
06 Watermarking contenuti AI — Verificare che i contenuti generati da AI siano identificabili entro dicembre 2026 DIC 2026 Art. 50 §2
07 Policy interna AI governance — Adottare una policy aziendale che regoli l'utilizzo degli strumenti AI PRIORITÀ ALTA Art. 26 · GDPR
08 Coordinamento GDPR — Verificare la sinergia tra gli obblighi AI Act e il GDPR (spec. art. 10 e FRIA/DPIA) PRIORITÀ ALTA Art. 27 · GDPR

8. Conclusioni: Conformità come Vantaggio Competitivo

L'AI Act non è soltanto un insieme di vincoli burocratici: è la cornice normativa entro cui si gioca la competitività degli studi legali e delle imprese nei prossimi anni. Il Digital Omnibus ha spostato alcune scadenze, ma non ha modificato la direzione di marcia. Le organizzazioni che utilizzano questo tempo per strutturare la propria AI governance — mappando i sistemi in uso, formando il personale, predisponendo il fascicolo tecnico e coordinando gli obblighi con il GDPR — arriveranno al 2027 con una posizione di vantaggio rispetto ai soggetti che hanno interpretato il rinvio come un'autorizzazione a procrastinare.

Per gli studi legali, la compliance all'AI Act rappresenta anche un'opportunità di posizionamento strategico: i clienti che si avvalgono di consulenza in materia di AI governance cercano interlocutori che abbiano già maturato una propria esperienza diretta nella materia. Essere già conformi, e poterlo dimostrare, è la migliore referenza professionale possibile.

Nota di trasparenza: Questo articolo è stato redatto sulla base del Reg. (UE) 2024/1689 (testo ufficiale EUR-Lex), dell'accordo provvisorio Digital Omnibus del 7 maggio 2026 (confermato dal Parlamento europeo il 16 giugno 2026), e di fonti giuridiche specializzate verificate.
← Post precedente Post successivo →

// Commenti

Recent Intelligence

Latest
Articles

Loading...
│ IN EVIDENZA │