Il Regolamento (UE) 2024/1689, noto come AI Act, è entrato in vigore il 1° agosto 2024 e rappresenta il primo quadro normativo organico sull'intelligenza artificiale a livello mondiale. Con un approccio basato sul rischio, la disciplina impone obblighi differenziati a provider, deployer, importatori e distributori, con sanzioni che raggiungono i 35 milioni di euro o il 7% del fatturato globale annuo. L'accordo provvisorio sul Digital Omnibus, raggiunto il 7 maggio 2026 e confermato dal Parlamento europeo il 16 giugno 2026, ha ridisegnato alcune scadenze chiave senza tuttavia modificare l'architettura sostanziale del Regolamento. Questo articolo offre una guida pratica agli obblighi, ai rischi e alla documentazione richiesta.
1. Il Framework di Rischio: la Piramide Normativa
L'AI Act articola i sistemi di intelligenza artificiale in quattro livelli di rischio, ciascuno con un regime giuridico distinto. Dalla fascia vietata in cima a quella a rischio minimo alla base, il carico degli obblighi diminuisce progressivamente, mentre la platea di soggetti coinvolti si amplia.
2. Il Calendario di Applicazione (Aggiornato: Digital Omnibus 2026)
L'AI Act non è entrato in vigore in un'unica soluzione: la sua applicazione è stata strutturata in ondate progressive, calibrate sulla gravità del rischio. Il Digital Omnibus — accordo provvisorio raggiunto il 7 maggio 2026 tra Consiglio UE e Parlamento europeo, poi confermato in sessione plenaria il 16 giugno 2026 — ha posticipato le scadenze per i sistemi ad alto rischio senza modificare il contenuto sostanziale degli obblighi.
Attenzione pratica per gli studi legali: Il rinvio del Digital Omnibus non è un'amnistia normativa. Gli obblighi di AI Literacy (art. 4), i divieti per le pratiche vietate (art. 5) e le regole di trasparenza per chatbot e contenuti AI sono già pienamente operativi. Il tempo guadagnato va investito nella predisposizione del fascicolo tecnico, non nella procrastinazione.
3. Obblighi per Categoria di Rischio: Tavola di Riferimento
La seguente tabella, elaborata sulla base del testo del Regolamento (UE) 2024/1689, sintetizza gli obblighi principali suddivisi per livello di rischio e per soggetto (provider o deployer). È uno strumento operativo di primo orientamento, non sostitutivo della consulenza legale specialistica.
| Livello | Esempi d'uso | Obblighi principali (Provider) | Obblighi (Deployer) | Scadenza |
|---|---|---|---|---|
| ⛔ Inaccettabile | Social scoring, manipolazione subliminale, ID biometrica in tempo reale (salvo eccezioni) | Divieto assoluto di immissione sul mercato | Divieto assoluto di utilizzo | Dal 2.2.2025 |
| 🔴 Alto Rischio | Selezione del personale (CV screening), scoring creditizio, infrastrutture critiche, valutazione studenti, biometria | Documentazione tecnica (art. 11), gestione del rischio (art. 9), governance dati (art. 10), registrazione UE (art. 49), marcatura CE, supervisione umana (art. 14) | Utilizzo conforme alle istruzioni, FRIA (art. 27), monitoraggio operativo, segnalazione anomalie | 2.12.2027 (Annex III) · 2.8.2028 (Annex I) |
| 🟡 Limitato | Chatbot, assistenti virtuali, contenuti generati da AI (testi, immagini, video, audio) | Informare l'utente dell'interazione con AI (art. 50), watermarking contenuti sintetici entro dic. 2026 | Disclosure all'utente finale, etichettatura deepfake e testi su temi d'interesse pubblico | Dal 2.8.2026 · Watermarking: 2.12.2026 |
| 🟢 Minimo | Filtri antispam, videogiochi con AI, strumenti di produttività generica, raccomandazioni contenuti | Nessun obbligo specifico (salvo codici di condotta volontari, art. 69) | AI Literacy obbligatoria per il personale (art. 4, già in vigore) | AI Literacy: già in vigore |
| 🔵 GPAI | ChatGPT, Gemini, Claude, Copilot, Llama (modelli multiuso a finalità generale) | Documentazione tecnica, trasparenza copyright, sintesi dati di training, valutazione rischio sistemico se FLOP ≥ 10²⁵ | Obblighi di trasparenza verso gli utenti (deployer del modello GPAI) | Dal 2.8.2025 |
4. La Documentazione Tecnica: il Cuore della Compliance
L'articolo 11 del Regolamento impone che la documentazione tecnica di un sistema di IA ad alto rischio sia redatta prima dell'immissione sul mercato e mantenuta costantemente aggiornata. Il contenuto minimo è fissato nell'Allegato IV e comprende elementi che gli studi legali e i loro clienti devono padroneggiare per strutturare correttamente il fascicolo di conformità.
5. Provider e Deployer: Obblighi Distinti, Responsabilità Condivise
Una delle distinzioni più critiche dell'AI Act riguarda la qualificazione del soggetto obbligato. Uno studio legale che integra strumenti AI di terze parti nei propri flussi di lavoro è, nella quasi totalità dei casi, un deployer — con un proprio set di obblighi autonomi rispetto a quelli del produttore del sistema.
| Criterio | Provider (Fornitore) | Deployer (Utilizzatore) |
|---|---|---|
| Definizione | Sviluppa e immette sul mercato il sistema AI con proprio nome/marchio | Utilizza il sistema AI sotto propria autorità in un contesto professionale |
| Documentazione | Fascicolo tecnico (Allegato IV), dichiarazione di conformità UE, registrazione database UE | Registri utilizzo, FRIA (se pubblica PA o scoring finanziario/assicurativo), istruzioni d'uso |
| Rischio trasformazione in Provider | N/A | Il deployer che appone il proprio marchio o modifica sostanzialmente il sistema diventa Provider a tutti gli effetti (art. 25) |
| AI Literacy | Obbligo di garantire adeguata formazione degli addetti che interagiscono con AI (art. 4) | Identico obbligo (art. 4) — già in vigore. La mancanza è considerata aggravante |
| Supervisione umana | Deve progettare il sistema per consentire supervisione umana effettiva (art. 14) | Deve garantire che persone competenti esercitino la supervisione (art. 26) |
6. Il Regime Sanzionatorio: un Sistema a Tre Livelli
L'articolo 99 del Regolamento struttura le sanzioni in tre fasce graduate, proporzionate alla gravità della violazione. Per le PMI e le start-up si applica il principio di proporzionalità: la sanzione applicabile è la più bassa tra gli importi assoluti e le percentuali sul fatturato.
| Fascia | Violazione | Sanzione massima | Riferimento normativo |
|---|---|---|---|
| Fascia I — Massima | Utilizzo di pratiche di AI vietate (social scoring, manipolazione, ID biometrica non consentita) | € 35.000.000 oppure 7% fatturato globale annuo |
Art. 99 §3 · Art. 5 |
| Fascia II — Alta | Violazione di obblighi sui sistemi ad alto rischio (documentazione, governance dati, trasparenza), GPAI e altri obblighi | € 15.000.000 oppure 3% fatturato globale annuo |
Art. 99 §4 |
| Fascia III — Base | Comunicazione di informazioni false, incomplete o fuorvianti alle autorità competenti o agli organismi notificati | € 7.500.000 oppure 1% fatturato globale annuo |
Art. 99 §5 |
7. Checklist Operativa: Cosa Fare Adesso
Il rinvio delle scadenze per i sistemi ad alto rischio non modifica la necessità di avviare immediatamente il percorso di conformità. Le azioni indicate di seguito sono indipendenti dal calendario e costituiscono il fondamento di qualsiasi strategia di AI governance per uno studio legale o per i clienti assistiti.
| # | Azione | Urgenza | Riferimento |
|---|---|---|---|
| 01 | Inventario sistemi AI — Mappare tutti i sistemi AI in uso (propri o di terze parti) | IMMEDIATA | Art. 26 · Art. 49 |
| 02 | Classificazione del rischio — Verificare se i sistemi ricadono in Allegato III o Allegato I | IMMEDIATA | Art. 6 · Allegato III |
| 03 | AI Literacy — Avviare percorso formativo documentato per tutto il personale che interagisce con AI | GIÀ IN VIGORE | Art. 4 |
| 04 | Verifica pratiche vietate — Escludere categoricamente l'uso di sistemi classificati a rischio inaccettabile | GIÀ IN VIGORE | Art. 5 |
| 05 | Fascicolo tecnico — Avviare la predisposizione del fascicolo per sistemi ad alto rischio (non aspettare il 2027) | ENTRO 2025 | Art. 11 · Allegato IV |
| 06 | Watermarking contenuti AI — Verificare che i contenuti generati da AI siano identificabili entro dicembre 2026 | DIC 2026 | Art. 50 §2 |
| 07 | Policy interna AI governance — Adottare una policy aziendale che regoli l'utilizzo degli strumenti AI | PRIORITÀ ALTA | Art. 26 · GDPR |
| 08 | Coordinamento GDPR — Verificare la sinergia tra gli obblighi AI Act e il GDPR (spec. art. 10 e FRIA/DPIA) | PRIORITÀ ALTA | Art. 27 · GDPR |
8. Conclusioni: Conformità come Vantaggio Competitivo
L'AI Act non è soltanto un insieme di vincoli burocratici: è la cornice normativa entro cui si gioca la competitività degli studi legali e delle imprese nei prossimi anni. Il Digital Omnibus ha spostato alcune scadenze, ma non ha modificato la direzione di marcia. Le organizzazioni che utilizzano questo tempo per strutturare la propria AI governance — mappando i sistemi in uso, formando il personale, predisponendo il fascicolo tecnico e coordinando gli obblighi con il GDPR — arriveranno al 2027 con una posizione di vantaggio rispetto ai soggetti che hanno interpretato il rinvio come un'autorizzazione a procrastinare.
Per gli studi legali, la compliance all'AI Act rappresenta anche un'opportunità di posizionamento strategico: i clienti che si avvalgono di consulenza in materia di AI governance cercano interlocutori che abbiano già maturato una propria esperienza diretta nella materia. Essere già conformi, e poterlo dimostrare, è la migliore referenza professionale possibile.
Nota di trasparenza: Questo articolo è stato redatto sulla base del Reg. (UE) 2024/1689 (testo ufficiale EUR-Lex), dell'accordo provvisorio Digital Omnibus del 7 maggio 2026 (confermato dal Parlamento europeo il 16 giugno 2026), e di fonti giuridiche specializzate verificate.

// Commenti