Skip to main content

Sanzioni EU AI Act 2026: quanto costa una violazione?

L'art. 99 dell'EU AI Act prevede tre livelli di sanzione: fino a 35 mln EUR per le pratiche di IA vietate, fino a 15 mln EUR per la documentazione di alto rischio mancante, fino a 7,5 mln EUR per dichiarazioni false. Tabella completa con esempi di calcolo per le PMI.

Verifica di conformità EU AI ActWito Digital Audit (WDA) gratuito

Le sanzioni dell'EU AI Act: di che cosa si tratta?

L'EU AI Act (Regolamento (UE) 2024/1689 del 13 giugno 2024) è la prima regolamentazione giuridica completa al mondo dell'intelligenza artificiale. L'articolo 99 definisce il regime sanzionatorio: tre livelli di sanzione, graduati in base alla natura e alla gravità della violazione. Ciò che conta è sempre il più alto dei due valori: l'importo assoluto in EUR oppure la quota percentuale del fatturato annuo mondiale. Secondo la Commissione europea (panoramica EU AI Act 2024), gli importi delle sanzioni sono stati deliberatamente fissati al di sopra del livello previsto dalla DSGVO, per creare un incentivo alla conformità più forte.

I tre livelli di sanzione spiegati (art. 99 EU AI Act)

Livello 1: pratiche di IA vietate (art. 5) — fino a 35 mln EUR o 7%

Il livello sanzionatorio più elevato si applica alle violazioni dei divieti dell'art. 5 EU AI Act. Questi divieti sono in vigore dal 2 febbraio 2025 e riguardano le pratiche di IA classificate come lesive dei diritti fondamentali: la manipolazione subliminale, lo sfruttamento delle vulnerabilità, il riconoscimento delle emozioni sul posto di lavoro o lo screening biometrico in tempo reale negli spazi pubblici da parte di enti statali. L'importo della sanzione, ai sensi dell'art. 99, par. 1, EU AI Act, è fino a 35.000.000 EUR oppure, nel caso di un'impresa, fino al 7% del fatturato annuo mondiale totale dell'esercizio precedente, a seconda di quale importo sia più elevato.

Per una PMI di medie dimensioni con 25 mln EUR di fatturato annuo questo significa: la sanzione può arrivare fino a 1,75 mln EUR (7% × 25 mln EUR). Poiché questo valore è inferiore a 35 mln EUR, si applica la percentuale. Per un'impresa con 600 mln EUR di fatturato, invece, si applicherebbe l'importo assoluto di 35 mln EUR, perché 7% × 600 mln EUR = 42 mln EUR, e prevale il valore più alto. La Fondazione Heinrich Böll (analisi EU AI Act 2024) sottolinea che questa logica sanzionatoria è espressamente concepita per avere un effetto deterrente anche nei confronti delle grandi imprese.

Livello 2: obblighi per l'alto rischio e requisiti generali — fino a 15 mln EUR o 3%

Il livello intermedio si applica alle violazioni dei requisiti relativi ai sistemi di IA ad alto rischio (art. 6–55 EU AI Act) e degli obblighi generali quali trasparenza, valutazione della conformità, registrazione e obblighi di notifica. In questo caso la sanzione, ai sensi dell'art. 99, par. 3, EU AI Act, è fino a 15.000.000 EUR oppure al 3% del fatturato annuo mondiale, e di nuovo prevale il valore più alto. È questo il livello più direttamente rilevante per la maggior parte delle PMI: chi impiega sistemi di IA nell'area HR, nella concessione di crediti o nell'istruzione e non conserva la documentazione prescritta rischia queste sanzioni.

Secondo la guida Bitkom alle sanzioni EU AI Act 2024, l'assenza di sistemi di gestione del rischio, le documentazioni tecniche incomplete e gli obblighi di trasparenza non rispettati sono le carenze di conformità più frequenti nelle PMI tedesche, tutte sanzionate al livello 2.

Livello 3: dichiarazioni false alle autorità — fino a 7,5 mln EUR o 1,5%

Il livello più basso, ma tutt'altro che trascurabile, riguarda le informazioni fuorvianti, incomplete o false fornite alle autorità nazionali competenti o alla Commissione europea, in particolare nell'ambito delle valutazioni di conformità o delle indagini delle autorità. La sanzione, ai sensi dell'art. 99, par. 4, EU AI Act, è fino a 7.500.000 EUR oppure all'1,5% del fatturato annuo mondiale, e di nuovo prevale il valore più alto. Esempio: chi, a fronte di una richiesta delle autorità relativa a un'IA ad alto rischio impiegata, presenta documenti incompleti o deliberatamente fuorvianti rientra in questo livello.

Il principio del «prevale il valore più alto» è un elemento centrale del regime sanzionatorio: impedisce che le grandi imprese ad alto fatturato eludano i tetti percentuali appellandosi ai limiti assoluti e, al tempo stesso, che le piccole imprese siano trascinate verso sanzioni sproporzionate dal solo importo assoluto quando la percentuale risulta più bassa.

35 Mio. EUR

massimo — art. 99, par. 1, EU AI Act

Quelle: EU Verordnung 2024/1689, 2024
7%

del fatturato annuo mondiale — art. 99, par. 1

Quelle: EU Verordnung 2024/1689, 2024
4%

confronto DSGVO — art. 83 DSGVO

Quelle: EU Verordnung 2016/679, 2016
9

fattori di commisurazione — art. 99, par. 7

Quelle: EU Verordnung 2024/1689, 2024

Che cosa conta come «fatturato annuo mondiale»? Consolidamento di gruppo e partecipazioni

La questione di che cosa si intenda esattamente per «fatturato annuo mondiale totale» ai sensi dell'art. 99 EU AI Act ha una rilevanza pratica notevole, soprattutto per le imprese che fanno parte di un gruppo o che controllano società figlie. La Commissione europea (FAQ sull'EU AI Act 2024) ha pubblicato a riguardo le prime indicazioni interpretative.

Regola di base: ciò che rileva è il fatturato complessivo consolidato dell'intera impresa sul piano economico nell'esercizio precedente. Questo significa: per una società figlia che fa parte di un gruppo più ampio non si considera soltanto il fatturato proprio, ma il fatturato di gruppo consolidato dell'intero insieme. Questa disciplina segue la prassi di gruppo consolidata nel diritto europeo della concorrenza e della protezione dei dati (si confrontino l'art. 83 DSGVO e gli artt. 101/102 TFUE in materia di antitrust).

Per le PMI legate a un gruppo: chi è detenuto per il 25% o più da una grande impresa non è più considerato, secondo la definizione di PMI dell'UE, una PMI autonoma. In questo caso, ai fini della commisurazione della sanzione, si assume come base il fatturato consolidato della casa madre, e non soltanto il fatturato della società figlia. Ciò può aumentare in modo sostanziale l'importo massimo della sanzione possibile.

Quanto alla questione fatturato netto o lordo: il Regolamento EU AI Act fa riferimento al «fatturato totale» senza un chiarimento esplicito. In analogia con la prassi interpretativa della DSGVO e secondo il documento programmatico del BMWK sull'attuazione dell'EU AI Act 2024, è ragionevole ritenere che la base di calcolo sia il fatturato netto ante imposte (al netto dell'IVA), in linea con la definizione di fatturato netto del diritto commerciale. L'autorità di vigilanza nazionale e, in ultima istanza, la Corte di giustizia dell'UE decideranno definitivamente in proposito.

Indicazione pratica per le PMI: se la vostra impresa fa parte di un gruppo, dovreste calcolare gli importi massimi delle sanzioni sulla base del fatturato di gruppo consolidato, e non del vostro fatturato individuale. Ciò può modificare in modo sostanziale l'effettivo livello di rischio.

Le violazioni dell'art. 5 sono punite con sanzioni amministrative pecuniarie fino a 35.000.000 EUR oppure, nel caso di un'impresa, fino al 7% del fatturato mondiale totale dell'esercizio precedente, a seconda di quale importo sia più elevato.
Europäisches Parlament und Rat der Europäischen Union, Verordnung (EU) 2024/1689 — EU AI Act, Art. 99 Abs. 1, EUR-Lex / Amtsblatt der Europäischen Union, 2024

Fattori di commisurazione: quando di più, quando di meno? (art. 99, par. 7)

L'art. 99, par. 7, EU AI Act indica nove fattori che l'autorità nazionale deve tenere in considerazione nel determinare l'importo concreto della sanzione. Questi fattori possono sia aumentare sia ridurre la sanzione: creano un margine di valutazione che deve essere esercitato nell'interesse della proporzionalità. Secondo la guida Bitkom alle sanzioni EU AI Act 2024, nella pratica le autorità reagiranno in modo positivo soprattutto alla cooperazione e all'autodenuncia.

Fattori che aumentano la sanzione

  • Gravità e durata della violazione: quanto più a lungo un sistema vietato viene utilizzato e quanto più ampia è la violazione, tanto più elevata è la sanzione. Un sistema di IA per il riconoscimento delle emozioni utilizzato per anni senza essere disattivato viene sanzionato più severamente di un impiego di breve durata interrotto subito dopo la segnalazione.
  • Dolo o colpa grave: chi viola consapevolmente i divieti o ignora sistematicamente i requisiti di conformità deve aspettarsi la fascia superiore della cornice sanzionatoria. Il dolo accertato è il più forte motivo di aggravamento della pena.
  • Quota di mercato dell'impresa: chi detiene una quota di mercato elevata provoca, in caso di violazione, un danno maggiore, e l'autorità può valutarlo come fattore aggravante.
  • Violazioni reiterate: chi è già stato sanzionato per violazioni dell'EU AI Act o di norme analoghe in materia di IA e viola di nuovo si espone a sanzioni notevolmente più elevate.

Fattori che riducono la sanzione

  • Cooperazione con l'autorità: la cooperazione attiva e proattiva con l'autorità di vigilanza nazionale, inclusa la divulgazione trasparente di tutte le informazioni rilevanti e l'immediata cessazione delle violazioni, è il più importante motivo di attenuazione. La Commissione europea, FAQ 2024 lo sottolinea espressamente.
  • Lieve gravità e breve durata: una violazione di breve durata, non intenzionale e con rapida autocorrezione viene sanzionata in modo più mite.
  • Condotta responsabile dopo la violazione: chi, una volta accertata una violazione, adotta senza indugio misure correttive, informa gli interessati e dimostra di aver predisposto misure preventive per il futuro migliora sensibilmente la propria posizione sanzionatoria.
  • Grado di responsabilità: chi non ha causato direttamente la violazione, ma ad esempio, in qualità di deployer, dipendeva da indicazioni errate del fornitore dell'IA, ha una responsabilità ridotta, a condizione che gli obblighi di verifica siano stati adempiuti secondo scienza e coscienza.

Regola speciale per le PMI

L'art. 99, par. 6, EU AI Act prevede espressamente che, nella commisurazione della sanzione per le PMI e le start-up, si applichi il più basso dei due valori soglia. Questo significa: una PMI con 5 mln EUR di fatturato paga, nel caso di alto rischio, al massimo 3% × 5 mln EUR = 150.000 EUR, e non l'importo massimo assoluto di 15 mln EUR. Questa disciplina protegge da sanzioni sproporzionate, ma non è un lasciapassare: anche 150.000 EUR mettono a rischio l'esistenza di una piccola impresa.

Esempi di calcolo: quanto costa concretamente una violazione per una PMI?

Le cornici sanzionatorie astratte diventano più concrete se le si applica a scenari realistici di PMI. I tre esempi seguenti illustrano come opera nella pratica il principio del «prevale il valore più alto», e perché anche le piccole PMI corrono rischi notevoli.

Esempio 1: livello 1 — PMI con 25 mln EUR di fatturato

Un'impresa di medie dimensioni del settore dei servizi per il personale, con 25 mln EUR di fatturato annuo, impiega un sistema di IA per la preselezione automatizzata dei candidati che, in modo non percepito, discrimina i candidati in base all'origine etnica: una violazione dell'art. 5 (categorizzazione biometrica vietata sulla base di caratteristiche protette). Calcolo della sanzione: 7% × 25 mln EUR = 1,75 mln EUR. Poiché 1,75 mln EUR è inferiore al limite assoluto di 35 mln EUR, prevale il valore percentuale. Anche con tutti i fattori di attenuazione, una sanzione nell'ordine delle centinaia di migliaia di euro è realistica.

Esempio 2: livello 2 — micro-impresa con 5 mln EUR di fatturato

Uno studio legale con 5 mln EUR di fatturato annuo impiega un sistema di IA per la previsione dei rischi processuali senza tenere a disposizione la documentazione tecnica prescritta e il sistema di gestione del rischio ai sensi dell'art. 9 EU AI Act: una violazione dei requisiti per l'alto rischio (livello 2). Calcolo della sanzione: 3% × 5 mln EUR = 150.000 EUR. L'importo massimo assoluto di 15 mln EUR non si applica, poiché il valore percentuale (150.000 EUR) è più basso. Grazie alla regola speciale per le PMI, qui prevale il valore inferiore. Tuttavia, 150.000 EUR sono rilevanti per l'esistenza di uno studio di medie dimensioni.

Esempio 3: livello 1 — impresa con 100 mln EUR di fatturato

Un'impresa commerciale con 100 mln EUR di fatturato annuo gestisce un sistema di IA per il condizionamento dei comportamenti nella pubblicità, che sfrutta in modo mirato le vulnerabilità psicologiche dei gruppi target più anziani: una chiara violazione dell'art. 5, par. 1, lett. b), EU AI Act. Calcolo della sanzione: 7% × 100 mln EUR = 7 mln EUR. Poiché 7 mln EUR è inferiore a 35 mln EUR, prevale il valore percentuale. A ciò si aggiunge il possibile risarcimento del danno in sede civile ai sensi dell'art. 82 DSGVO e della prevista EU AI Liability Act.

Confronto con le sanzioni della DSGVO

Per confronto: la sanzione più elevata prevista dalla DSGVO, ai sensi dell'art. 83, par. 5, DSGVO, è al massimo il 4% del fatturato annuo mondiale oppure 20 mln EUR, a seconda di quale valore sia più alto. L'EU AI Act, con il 7% per il livello 1, è quindi superiore del 75% rispetto alla sanzione massima della DSGVO. Secondo la Fondazione Heinrich Böll (analisi EU AI Act 2024), questo superamento è stato scelto consapevolmente per riflettere il maggiore potenziale di pericolo dell'IA non controllata rispetto al trattamento dei dati tradizionale.

Chi commina le sanzioni? La struttura delle autorità in Germania

L'applicazione dell'EU AI Act spetta alle autorità nazionali di vigilanza del mercato, che ciascuno Stato membro deve designare autonomamente. In Germania la ripartizione delle competenze non è ancora definitivamente disciplinata; secondo il documento programmatico del BMWK sull'attuazione dell'EU AI Act 2024, è però prevista la seguente struttura:

  • Agenzia federale per le reti (BNetzA): autorità nazionale capofila per la vigilanza del mercato relativa all'EU AI Act in Germania. Dovrebbe assumere la vigilanza generale, ricevere i reclami e avviare i procedimenti sanzionatori.
  • Garante federale per la protezione dei dati e la libertà di informazione (BfDI): competente per le violazioni dell'AI Act che presentano contemporaneamente implicazioni in materia di protezione dei dati (art. 74, par. 8, EU AI Act).
  • EU AI Office: per i casi transfrontalieri, i fornitori di GPAI (modelli di IA per finalità generali) e i rischi sistemici è competente l'AI Office istituito a livello UE presso la Commissione europea. Esso coordina le autorità nazionali e, nei casi di grande portata, può intervenire direttamente.

Vie di ricorso: contro i provvedimenti sanzionatori le imprese possono presentare opposizione e successivamente adire la giustizia amministrativa. A livello UE è competente la Corte di giustizia dell'UE. I procedimenti possono protrarsi per diversi anni, il che però non significa che la sanzione resti sospesa fino alla conclusione.

Domande frequenti sulle sanzioni dell'EU AI Act

Le sanzioni per le violazioni delle pratiche di IA vietate (art. 5 EU AI Act, livello 1) sono in vigore dal 2 febbraio 2025. Le sanzioni per la mancata conformità all'alto rischio e per gli obblighi di trasparenza (livelli 2 e 3) si applicano a partire dal 2 agosto 2026, quando tutti i requisiti per l'alto rischio diventeranno pienamente operativi. Le autorità nazionali di vigilanza del mercato saranno operative da agosto 2025. Le prime sanzioni in Germania sono attese per il 2026/2027.
L'art. 99, par. 6, EU AI Act prevede una regola speciale per PMI e start-up: prevale sempre il più basso dei due valori (l'importo assoluto in EUR oppure il valore percentuale del fatturato). Una PMI con 5 mln EUR di fatturato paga, nel caso di alto rischio, al massimo 3% × 5 mln EUR = 150.000 EUR, e non il limite assoluto di 15 mln EUR. Questa regola protegge da sanzioni sproporzionate, ma non è un lasciapassare: 150.000 EUR mettono a rischio l'esistenza di una piccola impresa.
Sì. L'art. 99, par. 7, EU AI Act indica espressamente la cooperazione con l'autorità come fattore di riduzione della sanzione. Chi segnala una violazione in modo proattivo, divulga in modo trasparente tutte le informazioni, cessa immediatamente la violazione e dimostra le misure correttive adottate può ottenere una riduzione sostanziale dell'importo della sanzione. Le FAQ 2024 della Commissione europea raccomandano alle imprese di cercare per tempo il dialogo con l'autorità in caso di lacune di conformità individuate, invece di attendere una scoperta esterna.
Secondo il documento programmatico del BMWK del 2024 è prevista l'Agenzia federale per le reti (BNetzA) quale autorità nazionale capofila per la vigilanza del mercato. In caso di sovrapposizioni con la protezione dei dati va coinvolto il Garante federale per la protezione dei dati (BfDI). Nei casi transfrontalieri e per i fornitori di GPAI è competente l'EU AI Office della Commissione europea. La disciplina legislativa definitiva della struttura di vigilanza tedesca è ancora in attesa di adozione (stato: maggio 2026).
Tutti gli indizi dicono di sì, ma con una fase di avvio. L'esperienza con la DSGVO mostra che le autorità nazionali puntano dapprima sulla consulenza e sugli ordini correttivi e comminano le sanzioni in caso di violazioni reiterate o gravi. Le prime sanzioni EU AI Act in Germania sono realisticamente attese a partire dal 2027. Le imprese che non sono in grado di dimostrare alcuno sforzo di conformità corrono un rischio nettamente più elevato rispetto a quelle che lavorano attivamente all'attuazione.
La DSGVO prevede, ai sensi dell'art. 83, par. 5, per le violazioni gravi un massimo del 4% del fatturato annuo mondiale oppure 20 mln EUR, a seconda di quale importo sia più alto. L'EU AI Act, per le pratiche vietate (livello 1), si attesta al 7% oppure a 35 mln EUR, quindi superiore del 75% rispetto alla sanzione massima della DSGVO. Per le violazioni in materia di alto rischio (livello 2, 3% oppure 15 mln EUR) il livello è paragonabile alle sanzioni intermedie della DSGVO ai sensi dell'art. 83, par. 4.
Il principio significa: per ogni sanzione esistono un limite assoluto in EUR e un limite percentuale riferito al fatturato annuo mondiale. Prevale sempre il più alto dei due importi calcolati. Esempio: livello 1 (7% oppure 35 mln EUR). Per un'impresa con 20 mln EUR di fatturato: 7% × 20 mln = 1,4 mln EUR, inferiore a 35 mln, quindi prevale 1,4 mln EUR. Con 600 mln EUR di fatturato: 7% × 600 mln = 42 mln EUR, superiore a 35 mln, quindi si applica il tetto di 35 mln EUR.
Sì. Contro i provvedimenti sanzionatori è aperta l'intera via della giustizia amministrativa: dapprima l'opposizione presso l'autorità che ha emesso il provvedimento, poi il ricorso davanti al tribunale amministrativo competente, fino al tribunale amministrativo federale e, per le questioni di diritto dell'UE, alla Corte di giustizia dell'UE. Durante i procedimenti di impugnazione in corso l'esecuzione della sanzione può essere, a determinate condizioni, sospesa mediante tutela cautelare. Nella pratica, in caso di provvedimento sanzionatorio si raccomanda di coinvolgere immediatamente un avvocato specializzato in diritto dell'IA.

Verifica di conformità EU AI Act — ridurre i rischi di sanzione

Wito AI analizza i vostri sistemi di IA secondo i livelli di rischio dell'EU AI Act, individua le lacune di conformità e redige un elenco di misure prioritizzato. Conoscere i rischi di sanzione e ridurli in modo mirato, prima che l'autorità faccia domande.

Richiedi la verifica di conformità EU AI ActWito Digital Audit (WDA) gratuito
  • Classificazione di rischio di tutti i sistemi di IA
  • Colmare le lacune di conformità prima della scadenza del 2026
  • Ridurre in modo dimostrabile il rischio di sanzione

Sanzioni EU AI Act 2026: quanto costa una violazione? Tabella completa

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen