L’AI Act — il Regolamento (UE) 2024/1689 sull’intelligenza artificiale — si applica in Italia con un calendario scaglionato: divieti sulle pratiche vietate da febbraio 2025, obblighi per i modelli di IA per finalità generali (GPAI) da agosto 2025, e obblighi pieni per i sistemi ad alto rischio da agosto 2026 (con proroghe al 2027 per alcune categorie). L’Italia ha affiancato al regolamento una legge nazionale, la L. 132/2025, che designa AgID e ACN come autorità nazionali per l’IA. Nel frattempo il Garante ha già costruito una casistica di enforcement su sistemi di IA che trattano dati personali, con sanzioni documentate contro OpenAI, Replika e Clearview AI.
Questa guida mette in fila scadenze, autorità nazionali e il rapporto — cruciale — tra AI Act e GDPR.
Key Takeaways
- L’AI Act (Reg. 2024/1689) si applica per fasi: divieti da febbraio 2025, GPAI da agosto 2025, alto rischio da agosto 2026.
- La legge nazionale L. 132/2025 designa AgID e ACN come autorità italiane per l’IA.
- L’AI Act non sostituisce il GDPR: si applicano entrambi ai sistemi di IA che trattano dati personali.
- Il Garante ha già sanzionato sistemi di IA: OpenAI 15 mln €, Replika 5 mln €, Clearview AI 20 mln €.
- I sistemi ad alto rischio su dati personali richiedono quasi sempre anche una DPIA ex art. 35 GDPR.
Il calendario di applicazione
L’AI Act è entrato in vigore ad agosto 2024, ma i suoi obblighi maturano per tappe. Conoscere le date è il primo passo per pianificare la conformità.
| Data | Cosa si applica |
|---|---|
| Febbraio 2025 | Divieto delle pratiche di IA vietate (art. 5) e obblighi di alfabetizzazione all’IA |
| Agosto 2025 | Obblighi per i modelli GPAI e assetto di governance |
| Agosto 2026 | Obblighi pieni per i sistemi ad alto rischio (Allegato III) e trasparenza (art. 50) |
| Agosto 2027 | Proroga per alto rischio legato a prodotti regolati (Allegato I) |
Le pratiche vietate includono, tra le altre, il social scoring, il riconoscimento delle emozioni sul luogo di lavoro e a scuola, e certe forme di identificazione biometrica. Il grosso del lavoro per le imprese, però, riguarda i sistemi ad alto rischio, la cui classificazione e i cui obblighi sono approfonditi nella guida ai sistemi ad alto rischio dell’AI Act.
La legge nazionale L. 132/2025 e le autorità
Il regolamento è direttamente applicabile, ma lascia agli Stati membri la designazione delle autorità e alcune scelte attuative. L’Italia è intervenuta con la legge n. 132 del 2025, che ha disegnato l’architettura nazionale:
- AgID (Agenzia per l’Italia Digitale) con funzioni legate alla notifica e alla promozione dell’innovazione;
- ACN (Agenzia per la Cybersicurezza Nazionale) come autorità di vigilanza sui profili di sicurezza;
- il coordinamento con le autorità di settore e, per i profili di protezione dei dati, con il Garante.
La legge affronta anche principi generali su uso dell’IA in sanità, giustizia, lavoro e pubblica amministrazione, e deleghe per l’adeguamento dell’ordinamento. Resta però il regolamento europeo la fonte degli obblighi tecnici sui sistemi.
AI Act e GDPR: due normative che convivono
Il punto che genera più confusione: l’AI Act non sostituisce il GDPR. Quando un sistema di IA tratta dati personali — e la maggior parte lo fa — si applicano entrambi. L’AI Act disciplina la sicurezza, la trasparenza e la governance del sistema; il GDPR disciplina la liceità del trattamento dei dati che quel sistema utilizza.
In pratica, un sistema ad alto rischio che tratta dati personali richiede quasi sempre una valutazione d’impatto sulla protezione dei dati ex art. 35 del Regolamento (UE) 2016/679: la guida alla valutazione d’impatto DPIA resta il riferimento operativo. Vanno inoltre individuate la base giuridica del trattamento e, dove serve, il consenso secondo gli esempi conformi al Garante. Le tecniche di anonimizzazione e pseudonimizzazione sono spesso decisive per ridurre il rischio nei dataset di addestramento.
L’enforcement del Garante sull’IA
Mentre l’AI Act entra a regime, il Garante ha già colpito i sistemi di IA con lo strumento che ha da anni: il GDPR. La casistica è concreta e documentata.
| Sistema | Sanzione | Provvedimento | Contestazione |
|---|---|---|---|
| Clearview AI | 20.000.000 € | 10 febbraio 2022 | Riconoscimento facciale senza base giuridica |
| OpenAI (ChatGPT) | 15.000.000 € | dicembre 2024 | Assenza di base giuridica, trasparenza, verifica dell’età |
| Replika (Luka Inc.) | 5.000.000 € | 19 maggio 2025 | Assenza di base giuridica, informativa inadeguata, minori |
Il filo comune è chiaro: i sistemi di IA che trattano dati personali senza una base giuridica solida, senza informativa adeguata e senza tutele per i minori sono vulnerabili all’azione del Garante già oggi, a prescindere dalle scadenze dell’AI Act. Il quadro completo delle sanzioni è nella panoramica sulle sanzioni del Garante privacy 2025.
Cosa fare adesso
Per le imprese che sviluppano o utilizzano IA il percorso pratico è: censire i sistemi di IA in uso, classificarli secondo il rischio dell’AI Act, verificare che non ricadano tra le pratiche vietate, e per i sistemi ad alto rischio avviare conformità tecnica e DPIA. Piattaforme come Legiscope aiutano a mappare i sistemi, documentare le valutazioni e coordinare gli obblighi AI Act e GDPR; per una valutazione degli strumenti si veda il software per la conformità all’AI Act.
Provider e deployer: chi risponde di cosa
L’AI Act distingue i ruoli lungo la filiera. Il provider (fornitore) sviluppa o fa sviluppare il sistema di IA e lo immette sul mercato: su di lui gravano gli obblighi più pesanti per i sistemi ad alto rischio, dalla valutazione di conformità alla documentazione tecnica, dalla gestione del rischio alla registrazione nella banca dati europea. Il deployer (utilizzatore professionale) impiega il sistema nella propria attività e ha obblighi propri, tra cui l’uso conforme alle istruzioni, la sorveglianza umana e, in alcuni casi, la valutazione d’impatto sui diritti fondamentali (FRIA).
Per un’impresa italiana è cruciale capire in quale ruolo si trova per ciascun sistema. Chi adotta uno strumento di HR screening di terzi è deployer; chi lo costruisce è provider. Lo stesso soggetto può essere provider per alcuni sistemi e deployer per altri. La classificazione dei ruoli e degli obblighi correlati è approfondita nella guida ai sistemi ad alto rischio dell’AI Act.
Alfabetizzazione all’IA: un obbligo già attivo
Un obbligo spesso trascurato è quello di alfabetizzazione all’IA (AI literacy), applicabile già dal febbraio 2025. Provider e deployer devono adoperarsi affinché il personale che si occupa dell’uso dei sistemi di IA abbia un livello sufficiente di competenza, tenendo conto delle conoscenze, dell’esperienza e del contesto d’uso. Non è un adempimento formale: è la base perché la sorveglianza umana richiesta dal regolamento sia effettiva. Le imprese dovrebbero avviare fin da subito programmi di formazione mirati per chi progetta, seleziona o utilizza sistemi di intelligenza artificiale.
FAQ
Quando si applicano gli obblighi dell’AI Act in Italia?
Per fasi: i divieti sulle pratiche vietate dal febbraio 2025, gli obblighi sui modelli GPAI dall’agosto 2025 e gli obblighi pieni per i sistemi ad alto rischio dall’agosto 2026, con proroga all’agosto 2027 per l’alto rischio legato a prodotti già regolati. Il regolamento è direttamente applicabile e non richiede recepimento.
Cos’è la legge 132/2025 sull’intelligenza artificiale?
È la legge nazionale italiana che accompagna l’AI Act europeo, designando AgID e ACN come autorità nazionali per l’IA e dettando principi sull’uso dell’intelligenza artificiale in settori come sanità, giustizia, lavoro e PA. Non sostituisce il regolamento UE, che resta la fonte degli obblighi tecnici sui sistemi.
L’AI Act sostituisce il GDPR?
No. Le due normative convivono: l’AI Act disciplina sicurezza, trasparenza e governance dei sistemi di IA, il GDPR la liceità del trattamento dei dati personali che tali sistemi utilizzano. Un sistema di IA che tratta dati personali deve rispettare entrambi, e quello ad alto rischio richiede quasi sempre anche una DPIA.
Il Garante può già sanzionare i sistemi di intelligenza artificiale?
Sì, e lo fa da tempo tramite il GDPR. Ha comminato 20 milioni di euro a Clearview AI (2022), 15 milioni a OpenAI per ChatGPT (2024) e 5 milioni a Replika (2025), contestando assenza di base giuridica, difetti di trasparenza e mancate tutele per i minori. L’azione prescinde dalle scadenze dell’AI Act.
Vedi anche: l’approfondimento sui sistemi di IA ad alto rischio e il GDPR per le startup e le aziende SaaS che sviluppano IA.
Fonti ufficiali: Garante per la protezione dei dati personali · Regolamento (UE) 2024/1689 (AI Act) su EUR-Lex
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial