AI Act, il 2 agosto scatta una nuova fase: più controlli, sanzioni e regole per i modelli generali

Il percorso di attuazione dell’AI Act, il primo regolamento europeo sull’intelligenza artificiale, compie un nuovo passo decisivo. Dopo l’entrata in vigore, lo scorso 2 febbraio, dei divieti sulle pratiche ad alto rischio e dell’obbligo di alfabetizzazione digitale, il prossimo 2 agosto 2025 entreranno in vigore nuove e rilevanti disposizioni. Questa nuova fase riguarda in particolare i sistemi di intelligenza artificiale ad alto rischio, i modelli generalisti (GPAI), la governance istituzionale, le sanzioni e gli obblighi di riservatezza per le autorità competenti.

Autorità di notifica e organismi notificati: parte il sistema di vigilanza sui sistemi ad alto rischio

Tra i principali elementi in arrivo c’è la piena attivazione del meccanismo di controllo dei sistemi di IA classificati ad “alto rischio”. Ogni Stato membro dovrà designare un’autorità nazionale competente per la notifica e la sorveglianza degli organismi accreditati, responsabili della valutazione di conformità dei sistemi IA.

In Italia, il ruolo dovrebbe essere assegnato all’Agenzia per l’Italia Digitale (AgID). Gli organismi notificati – enti terzi che svolgono audit, test e verifiche – saranno chiamati a dimostrare requisiti rigorosi: imparzialità, competenza tecnica, assenza di conflitti di interesse e rispetto delle regole sulla riservatezza. Il sistema prevede anche attività di monitoraggio continuo e la possibilità di revoca in caso di irregolarità.

General Purpose AI: obblighi crescenti per i modelli di uso generale

Particolare attenzione è rivolta ai cosiddetti modelli di intelligenza artificiale di uso generale (GPAI), come definiti all’articolo 3 dell’AI Act. Si tratta di sistemi sviluppati per essere integrati in molteplici applicazioni e dotati di capacità trasversali, come la generazione automatica di testi, immagini o codici.

Il regolamento distingue tra GPAI standard e GPAI ad alto impatto, quest’ultimi considerati potenzialmente sistemici per la salute, la sicurezza, l’ambiente, i diritti fondamentali e lo Stato di diritto. Per questi modelli scattano obblighi stringenti: valutazione preventiva dei rischi, monitoraggio continuo, audit indipendenti e reporting degli incidenti gravi.

Tutti i fornitori di GPAI dovranno fornire una documentazione tecnica trasparente, descrivere i dataset utilizzati per l’addestramento e facilitare la tracciabilità di contenuti protetti da copyright, in linea con la normativa UE.

Una governance multilivello: tra autorità nazionali, Ufficio europeo e Comitato consultivo

Il Capo VII dell’AI Act istituisce un complesso assetto di governance. Ogni Paese dovrà indicare le autorità responsabili per l’applicazione del regolamento. In Italia, il disegno di legge del Governo Meloni affida il compito all’AgID e all’Agenzia per la cybersicurezza nazionale (ACN).

Sul piano europeo, nascerà l’Ufficio europeo per l’intelligenza artificiale, incaricato di coordinare la vigilanza sui GPAI, promuovere prassi comuni tra Stati membri e partecipare alle indagini su modelli ad alto rischio. A supporto, sarà attivo anche il Comitato europeo per l’IA, con funzione consultiva e di raccordo tra le autorità nazionali e la Commissione.

Un sistema sanzionatorio proporzionale ma severo

Il Capo XII del regolamento introduce un robusto impianto sanzionatorio, modulato in base alla gravità delle violazioni:

• Fino a 35 milioni di euro o il 7% del fatturato globale per le infrazioni più gravi, come l’uso di IA manipolativa o la sorveglianza biometrica illegale.
• Fino a 15 milioni di euro o il 3% del fatturato per la mancata conformità dei sistemi ad alto rischio.
• Fino a 7,5 milioni di euro o l’1% del fatturato per la fornitura di informazioni false o incomplete.

Il regolamento prevede criteri differenziati per PMI e startup, a cui saranno applicate sanzioni ridotte, in un’ottica di proporzionalità e tutela dell’innovazione.

Riservatezza e protezione delle informazioni sensibili

A garanzia della trasparenza e della fiducia, l’AI Act impone il rispetto di rigorosi obblighi di riservatezza per tutte le autorità coinvolte: la Commissione, il Comitato europeo e gli organismi nazionali. I dati sensibili non potranno essere divulgati, salvo nei casi previsti dalla normativa o previo consenso dell’interessato.

L’obbligo si estende anche ai dipendenti degli organismi notificati e riguarda tutte le informazioni ottenute nell’ambito delle attività di controllo e sorveglianza.

Le iniziative della Commissione UE: linee guida e strumenti operativi

In vista delle nuove scadenze, la Commissione europea ha intensificato il rilascio di strumenti tecnici per agevolare la compliance da parte degli operatori. Tra i documenti più recenti:

• 24 luglio 2025 – Template per il riepilogo dei dataset utilizzati nei GPAI
• 18 luglio 2025 – Linee guida per la conformità dei modelli generalisti
• 10 luglio 2025 – Codice di condotta per GPAI
• 6 febbraio e 4 febbraio 2025 – Linee guida sulle definizioni tecniche e sulle pratiche proibite
• 2 aprile 2025 – Sondaggio sull’alfabetizzazione digitale

L’approccio progressivo dell’Unione europea punta a evitare discontinuità normative e a sostenere l’applicazione uniforme del regolamento nei 27 Stati membri.

---

LEGGI ANCHE