AI Act e industria: le cose da sapere

Dive.brizzi

Regolamentare l’AI

Avevamo già parlato di normative e AI nell’articolo dedicato alla ISO 42001 (sempre tutti molto felici che questa ISO si chiami così 🐋🪴). Questo articolo si concentra invece sull’AI Act e sulla legge con cui l’Italia lo ha recepito in autunno 2025.

AI Act

l’AI Act rappresenta il primo quadro normativo vincolante per l’uso e la fornitura di sistemi di AI nell’UE, che definisce intelligenza artificiale e ne regolamenta l’uso.

La definizione di AI nell’AI Act è estremamente ampia: include qualsiasi sistema basato su machine learning, logica e metodi statistici, che genera output come previsioni, raccomandazioni o decisioni in grado di influenzare ambienti reali o virtuali (Art. 3, Reg. UE 2024/1689). Praticamente qualsiasi sistema data-driven è quindi incluso in questa definizione, dai modelli generativi al deep learning fino ai sistemi più semplici di manutenzione predittiva, ottimizzazione di processo o forecasting.

Fortunatamente non tutte le applicazioni hanno lo stesso peso: questo framework infatti adotta un approccio basato sul rischio, con quattro livelli.

I quattro livelli di rischio dell’AI Act

L’aspetto interessante dell’AI Act è la sua natura orientata all’uso: non è solo vietato costruire modelli che minaccino i diritti fondamentali o la sicurezza delle persone, è soprattutto vietato usarli: anche se il sistema è stato costruito in posti meravigliosi dove tutto è permesso (Palantir? Is that you?), in Europa è comunque vietato utilizzarli.

l’AI Act è entrato in vigore il 1° agosto 2024. Dal 2 agosto 2025 sono applicati gli obblighi GPAI e del regime sanzionatorio, e si raggiungerà la piena applicazione per i sistemi ad alto rischio il 2 agosto 2026.

Chi sbaglia paga

Sul fronte sanzionatorio, il Regolamento adotta un sistema a tre livelli, proporzionale alla gravità della violazione.

Le sanzioni più severe – fino a 35 milioni di euro o al 7% del fatturato globale annuo, con applicazione del valore più alto – riguardano le violazioni dei divieti assoluti: immettere sul mercato sistemi a rischio inaccettabile, aggirare le norme sul riconoscimento biometrico o fornire informazioni false agli organismi di vigilanza.

Fino a 15 milioni di euro o al 3% del fatturato si applica invece alle violazioni degli obblighi principali previsti per i sistemi ad alto rischio: mancanza di documentazione tecnica, assenza di supervisione umana, omessa registrazione nella banca dati UE.

Fino a 7,5 milioni di euro o all’1% del fatturato per le informazioni errate o incomplete fornite alle autorità competenti.

Per le PMI e le startup, il Regolamento prevede l’applicazione del valore percentuale più basso tra i due massimali, una misura pensata per non penalizzare sproporzionatamente le imprese più piccole.

    AI Act in Italia: legge 132/2025

    L’Italia ha recepito l’AI Act con la Legge 132/2025, pubblicata in autunno 2025, anche se il quadro sanzionatorio non sarà completo prima di ottobre 2026.

    Nella legge, le definizioni di “sistema di intelligenza artificiale” e “modello di AI” vengono importate per rinvio diretto all’AI Act (Art. 2). La legge stessa dichiara esplicitamente di non creare obblighi aggiuntivi rispetto a quelli già previsti dall’AI Act per i sistemi e i modelli di AI per finalità generali (General Purpose AI, Art. 3, co. 5).

    Ciò che la legge aggiunge è di natura istituzionale e penale: designa AgID e ACN come autorità nazionali di vigilanza nel quadro previsto dall’AI Act, introduce aggravanti penali per reati commessi tramite sistemi di AI, e delega al Governo l’emanazione di decreti attuativi entro dodici mesi per completare il recepimento.

    Per i professionisti industriali, il messaggio operativo è chiaro: il lavoro di compliance rimane ancorato alla classificazione per rischio dell’AI Act, mentre i decreti attuativi – ancora da emanare entro ottobre 2026 – definiranno le procedure sanzionatorie nazionali, i poteri ispettivi di AgID e ACN e le regole settoriali applicabili in Italia.

    Chi sbaglia, paga – italian edition

    Sul fronte sanzionatorio, è l’AI Act a definire il quadro principale secondo quanto già descritto nel paragrafo precedente, già operativo in italia dal 2 agosto 2025.

    L’applicazione concreta di queste sanzioni è affidata ad AgID e ACN quali autorità nazionali designate, con i dettagli procedurali che saranno definiti dai decreti attuativi previsti entro la seconda metà del 2026.

    Oltre a quanto già definito nell’AI Act, la legge 132 introduce due ulteriori livelli. Il primo è penale, già operativo dal 10 ottobre 2025:

    • usare sistemi di AI per commettere reati costituisce un’aggravante (nuovo n. 11-undicies, Art. 61 c.p.)
    • diffondere deepfake non consensuali causando danno ingiusto è punito con la reclusione da uno a cinque anni (nuovo Art. 612-quater c.p.)
    • la manipolazione del mercato finanziario commesso tramite AI comporta pene fino a sette anni con multa fino a sei milioni di euro.
    Un reato commesso con un’AI

    Il secondo livello è amministrativo e settoriale ed è invece ancora in costruzione: la legge delega il Governo a emanare decreti attuativi entro i dodici mesi previsti dall’Art. 24, ovvero entro ottobre 2026, per definire poteri ispettivi di AgID e ACN, responsabilità civile per danni causati da sistemi di AI, regole per l’uso dell’AI nelle indagini di polizia e criteri di imputazione penale per persone fisiche e aziende.

    Sul piano operativo, le regole già vincolanti riguardano la trasparenza verso lavoratori, clienti e pazienti, e il mantenimento della responsabilità decisionale in capo alla persona fisica in ambito sanitario, giudiziario e nella pubblica amministrazione.

    Da segnalare anche il Decreto Ministeriale n. 180 del 17 dicembre 2025 del Ministero del Lavoro, che introduce una roadmap operativa in cinque fasi – valutazione, pianificazione, sperimentazione, implementazione, monitoraggio – con strumenti pratici di supporto alle imprese, tra cui checklist di AI readiness, sandbox regolamentari e audit etici.

    Qualche esempio in industria

    E nell’industria questo come si traspone?

    I sistemi vietati (rischio inaccettabile) includono la manipolazione subliminale del comportamento umano e i sistemi di social scoring: nessuna applicazione industriale diretta, ma rilevanti per chi sviluppa sistemi di engagement con gli operatori.

    I sistemi ad alto rischio sono il cuore operativo della norma per il manifatturiero: rientrano in questa categoria i sistemi di AI integrati in macchinari coperti dalla direttiva macchine, i sistemi di gestione delle infrastrutture critiche (reti elettriche, impianti idrici, produzione di gas), e i sistemi di AI impiegati nella selezione e valutazione dei lavoratori. Per questi, l’AI Act impone obblighi stringenti: valutazione della conformità, documentazione tecnica, registrazione in una banca dati EU, sorveglianza umana obbligatoria e gestione strutturata dei dati di addestramento.

    I sistemi a rischio limitato – come i chatbot di assistenza tecnica o i sistemi di generazione automatica di report – richiedono principalmente obblighi di trasparenza: l’utente deve sapere che sta interagendo con un sistema di AI.

    I sistemi a rischio minimo, infine, come i modelli predittivi per l’ottimizzazione dei consumi energetici o i sistemi di visione artificiale per il controllo qualità in contesti non safety-critical, non sono soggetti a obblighi specifici oltre ai principi generali del Regolamento.

    Arrivare preparati

    Il quadro normativo quindi si articola su due livelli: la legge italiana n. 132/2025, in vigore dal 10 ottobre 2025, e l’AI Act europeo, che raggiunge la piena applicabilità il 2 agosto 2026. Cosa serve per arrivare preparati?

    Arrivare preparati: una roadmap

    Prima di tutto, serve mappare tutti i sistemi in uso o in valutazione, e classificarli secondo i quattro livelli di rischio. Un ottimizzatore di scheduling, un sistema di visione artificiale per il controllo qualità, un algoritmo di manutenzione predittiva – ognuno ha un perimetro normativo diverso, e confonderli significa o sovrastimare gli obblighi (con costi inutili) o sottostimarli (con rischi sanzionatori).

    A mappatura completa, si procede con le azioni prioritarie, partendo dalla lista della spesa delle cose immediate da fare:

    • verificare che nessuno dei sistemi ricada nelle pratiche vietate
    • avviare programmi di AI literacy per i dipendenti che utilizzano i sistemi di AI
    • adeguare i contratti con i fornitori di General Purpose AI (GPAI) alle nuove clausole di trasparenza

    Una volta avviate le prime azioni, ci si può concentrare sui sistemi ad alto rischio, da pianificare in modo che tutto sia pronto entro il 2 agosto 2026:

    • predisposizione della documentazione tecnica
    • identificazione dell’organismo notificato per la valutazione di conformità
    • designazione di un responsabile interno per la compliance AI

    Le regole del gioco

    Il quadro normativo è complesso, ma il principio di fondo è semplice: più un sistema di AI può incidere sulla vita, la salute o i diritti delle persone, più è regolamentato. Per chi opera nel manifatturiero italiano, questo deve diventare una variabile di progetto. Ignorarla oggi significa affrontarla in emergenza domani, quando le scadenze saranno già arrivate e le autorità di vigilanza operative. Il momento giusto per iniziare era ieri; il secondo momento migliore è adesso.

    Articoli simili

    Lascia un commento

    Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *