Skip to main content

Scadenze EU AI Act 2025-2027: cosa si applica e quando

L'EU AI Act entra in vigore in modo scaglionato — quattro scadenze, quattro pacchetti di azioni. Questa guida mostra alle PMI cosa diventa obbligatorio ed entro quando: divieti, regole GPAI, obblighi per l'alto rischio e sanzioni.

Prenota una verifica di conformità EU AI ActAvvia il tuo Wito Digital Audit (WDA) gratuito

Che cos'è l'EU AI Act e come entra in vigore?

L'EU AI Act (Regolamento (UE) 2024/1689) è la prima regolamentazione giuridica completa al mondo dell'intelligenza artificiale. È entrato in vigore il 1° agosto 2024 e dispiega la sua piena efficacia in un arco temporale scaglionato di 36 mesi — con quattro scadenze chiaramente definite fino ad agosto 2027.

Il regolamento si applica a tutte le imprese che impiegano, sviluppano o commercializzano sistemi di IA nell'UE — indipendentemente dalle dimensioni e dalla sede dell'azienda. Questo significa: anche una PMI con 15 dipendenti che si limita a utilizzare strumenti di IA già pronti rientra, in qualità di operatore (deployer), nell'ambito di applicazione ai sensi dell'art. 3, n. 4, EU AI Act.

Panoramica delle 4 scadenze dell'EU AI Act

L'EU AI Act struttura i propri requisiti in quattro fasi temporalmente scaglionate. La logica che ne sta alla base è basata sul rischio: dapprima entrano in vigore i divieti per i sistemi di IA più pericolosi, poi gli obblighi di trasparenza per i modelli di IA per finalità generali, quindi gli ampi obblighi per l'alto rischio e, da ultimo, le deroghe per determinate categorie di prodotti regolamentati.

Secondo la Commissione europea, AI Office (2025), si stima che dai requisiti per l'alto rischio siano direttamente interessate 15.000 PMI nella sola Germania. Allo stesso tempo, uno studio Bitkom 2025 rileva che il 64% delle PMI tedesche non sa ancora di essere interessato dall'EU AI Act.

Le quattro scadenze possono essere intese come ondate di conformità successive che si costruiscono l'una sull'altra: ogni ondata porta con sé nuovi obblighi — e a partire dalla scadenza del 2 agosto 2026, ai sensi dell'art. 113 EU AI Act, le disposizioni del regolamento si applicano integralmente, salvo che sia espressamente previsto altrimenti. Il BMWK raccomanda espressamente alle imprese di prepararsi a ciascuna scadenza in modo graduale e tempestivo, anziché rinviare tutto all'ultimo momento.

1Aug 2024

Entrata in vigore — Commissione europea

Quelle: Commissione europea, 2024
2Feb 2025

Divieti (rischio inaccettabile) in vigore — art. 5

Quelle: EU AI Act art. 5, 2025
2Aug 2025

Regole GPAI + autorità — artt. 51-56

Quelle: EU AI Act artt. 51-56, 2025
2Aug 2026

Obblighi per l'IA ad alto rischio — artt. 6-49

Quelle: EU AI Act artt. 6-49, 2026

2 febbraio 2025: le pratiche di IA vietate (art. 5 EU AI Act)

Sei mesi dopo l'entrata in vigore — il 2 febbraio 2025 — sono entrati in vigore i divieti per i sistemi di IA con rischio inaccettabile. Da allora queste pratiche di IA sono completamente vietate nell'UE. Ogni impresa che continui a gestire tali sistemi agisce, da questa data, in modo illecito e rischia sanzioni fino a 35 mln EUR o al 7% del fatturato annuo mondiale.

Ai sensi dell'art. 5 EU AI Act sono vietati i seguenti sistemi e pratiche di IA:

  • Punteggio sociale (social scoring): sistemi di IA che valutano le persone in base al comportamento sociale o a caratteristiche personali e ne fanno derivare svantaggi sociali (come un sistema statale a punti).
  • Pratiche di IA manipolative: sistemi che impiegano tecniche al di sotto della soglia di percezione per influenzare il comportamento umano causando un danno.
  • Sfruttamento delle vulnerabilità: IA che sfrutta specifiche debolezze di determinate persone (età, disabilità) per influenzarne il comportamento.
  • Sorveglianza biometrica in tempo reale negli spazi pubblici da parte delle autorità di contrasto — con eccezioni ristrette e definite dalla legge.
  • Riconoscimento delle emozioni sul posto di lavoro e negli istituti di istruzione — con eccezioni per usi medici o di sicurezza.
  • Categorizzazione biometrica in base a caratteristiche sensibili (razza, opinioni politiche, appartenenza sindacale, convinzioni religiose, orientamento sessuale).
  • Polizia predittiva basata sull'IA fondata su profili senza alcun fatto concreto.

Particolarmente rilevante nella pratica per le PMI: chi impiegava un'analisi dell'umore o delle emozioni dei dipendenti basata sull'IA (ad es. in strumenti HR, software di videoconferenza o monitoraggio della produttività) doveva disattivare tali funzioni entro il 2 febbraio 2025 al più tardi, oppure dimostrare che rientrano nell'eccezione medica. Secondo la guida Bitkom all'EU AI Act 2024, molte PMI avevano attivato inconsapevolmente queste funzioni in software standard.

2 agosto 2025: regole GPAI, AI Office e autorità nazionali

Dodici mesi dopo l'entrata in vigore — il 2 agosto 2025 — sono entrate in vigore le disposizioni relative ai modelli di IA per finalità generali (General Purpose AI, GPAI) e le strutture istituzionali. Questa scadenza interessa le PMI soprattutto in modo indiretto: i fornitori dei modelli di IA che le PMI utilizzano ogni giorno devono ora essere dimostrabilmente conformi.

GPAI: che cosa sono i modelli di IA per finalità generali?

I modelli GPAI sono grandi modelli di IA che possono essere addestrati e impiegati per un'ampia gamma di compiti — senza un vincolo a una finalità specifica. Esempi noti sono GPT-4 e GPT-5 (OpenAI), Claude (Anthropic), Gemini (Google DeepMind) e LLaMA (Meta). Ai sensi degli artt. 51-56 EU AI Act, i fornitori di questi modelli devono adempiere, a partire dal 2 agosto 2025, ai seguenti obblighi:

  • Mettere a disposizione la documentazione tecnica e le valutazioni del modello.
  • Pubblicare e rispettare le politiche in materia di diritto d'autore (policy sui dati di addestramento).
  • Mettere a disposizione dei fornitori a valle (che sviluppano a partire dal modello) tutte le informazioni rilevanti.
  • In presenza di rischi sistemici (modelli con capacità particolarmente elevata, dato 2025: sforzo di addestramento superiore a 10^25 FLOP) adottare ulteriori misure di sicurezza.

Che cosa significa per le PMI in quanto utenti?

Per le PMI in qualità di operatori vale quanto segue: possono impiegare soltanto modelli GPAI di fornitori che soddisfano dimostrabilmente i requisiti dell'EU AI Act. Nella pratica questo significa verificare e archiviare la documentazione di conformità dei fornitori (ad es. Microsoft, OpenAI, Google, Anthropic). I fornitori più importanti hanno ormai reso questa documentazione pubblicamente accessibile.

AI Office e autorità nazionali

Sempre a partire dal 2 agosto 2025 l'EU AI Office è pienamente operativo. È l'autorità centrale dell'UE per la vigilanza sul rispetto delle disposizioni GPAI. Parallelamente, gli Stati membri dell'UE devono designare le proprie autorità nazionali di vigilanza del mercato per l'IA — in Germania si prevede che assuma questo ruolo la Bundesnetzagentur (Agenzia federale delle reti), sebbene la decisione definitiva da parte del BMDV (Ministero federale per il digitale e i trasporti) sia ancora in sospeso (dato Q2 2026).

Secondo l'analisi dell'EU AI Act della Fondazione Heinrich Böll 2024, la struttura istituzionale è un elemento centrale della legge: senza autorità nazionali funzionanti, le minacce di sanzione sono sì formalmente valide, ma nella pratica difficilmente applicabili. A partire da agosto 2025 le cose cambiano — le autorità ricevono ampi poteri di indagine e di esecuzione, comprese verifiche senza preavviso.

2 agosto 2026: obblighi per l'IA ad alto rischio e piena efficacia delle sanzioni

La scadenza del 2 agosto 2026 è la scadenza centrale dell'EU AI Act per la maggioranza delle PMI interessate. A partire da questa data — 24 mesi dopo l'entrata in vigore — tutti i requisiti per i sistemi di IA ad alto rischio ai sensi degli artt. 6-49 EU AI Act si applicano integralmente. Al tempo stesso, da questa scadenza si applica la piena efficacia delle sanzioni ai sensi dell'art. 99 EU AI Act.

Quali sistemi sono ad alto rischio?

I sistemi di IA ad alto rischio sono elencati nell'Allegato III del regolamento. Ambiti particolarmente rilevanti per le PMI:

  • HR e gestione del personale: IA per la preselezione dei candidati, la valutazione delle prestazioni, le raccomandazioni retributive o i licenziamenti. Riguarda ogni media impresa dotata di software HR basato sull'IA.
  • Concessione di credito: valutazione automatizzata del merito creditizio e credit scoring. Rilevante per le imprese con strumenti finanziari basati sull'IA.
  • Istruzione e formazione professionale: decisioni di accesso o valutazione dei discenti tramite IA.
  • Infrastrutture critiche: IA nell'approvvigionamento idrico, nell'energia, nei trasporti.
  • Prodotti rilevanti per la sicurezza: IA in macchinari, veicoli, dispositivi medici.

Obblighi per gli operatori di sistemi ad alto rischio

Le PMI che gestiscono sistemi di IA ad alto rischio devono soddisfare, entro il 2 agosto 2026, i seguenti requisiti previsti dagli artt. 9-15 EU AI Act:

  • Sistema di gestione del rischio ai sensi dell'art. 9: un sistema documentato per l'identificazione, l'analisi e la mitigazione dei rischi lungo l'intero ciclo di vita del sistema di IA.
  • Garanzia della qualità dei dati ai sensi dell'art. 10: assicurare che i dati di addestramento e operativi soddisfino i requisiti di qualità, rappresentatività e assenza di errori.
  • Documentazione tecnica ai sensi dell'art. 11: documentazione esaustiva del sistema di IA, delle sue finalità, dei suoi limiti e dei parametri prestazionali.
  • Registrazione e conservazione ai sensi dell'art. 12: registrazione automatica degli eventi durante il funzionamento di un sistema ad alto rischio.
  • Trasparenza e informazione dell'utente ai sensi dell'art. 13: informazioni chiare per operatori e utenti su capacità, limiti e obblighi di sorveglianza.
  • Sorveglianza umana ai sensi dell'art. 14: un controllo istituzionalmente ancorato da parte di persone fisiche — misure tecniche e organizzative devono renderlo possibile.
  • Valutazione della conformità ai sensi dell'art. 43: come autovalutazione oppure tramite terzi, a seconda del tipo di sistema.

Sanzioni a partire dal 2 agosto 2026

La struttura sanzionatoria ai sensi dell'art. 99 EU AI Act è considerevole per le PMI: le violazioni dei requisiti per l'alto rischio possono essere punite con sanzioni fino a 15 mln EUR o al 3% del fatturato annuo mondiale (prevale il valore più elevato). Per una PMI con 10 mln EUR di fatturato ciò significa sanzioni fino a 300.000 EUR — soltanto per documentazione di conformità mancante. Per le pratiche di IA vietate ai sensi dell'art. 5 si applica la cornice ancora più elevata di 35 mln EUR o del 7% del fatturato annuo.

Secondo lo ZEW Mannheim 2024, i costi di conformità una tantum per le PMI possono variare, a seconda della complessità, tra 50.000 e 400.000 EUR se tutto viene realizzato internamente. Con un supporto esterno e un modello procedurale strutturato questo impegno si riduce notevolmente — ed è sensibilmente più conveniente di una singola sanzione.

Il presente regolamento si applica a decorrere dal 2 agosto 2026, salvo ove diversamente disposto. Il Titolo I e il Titolo II si applicano a decorrere dal 2 febbraio 2025. Le disposizioni sui modelli di IA per finalità generali di cui al Capo V del Titolo VIII e le disposizioni dei Capi I, II e VI del Titolo VIII nonché del Capo III del Titolo IX si applicano a decorrere dal 2 agosto 2025.
Europäisches Parlament und Rat der Europäischen Union, Verordnung (EU) 2024/1689 — EU Artificial Intelligence Act, Art. 113, Amtsblatt der Europäischen Union, 2024

2 agosto 2027: l'ultimo periodo transitorio per le categorie speciali

Per determinati sistemi di IA ad alto rischio che sono integrati in quadri europei di sicurezza e conformità dei prodotti già esistenti si applica un periodo transitorio prolungato fino al 2 agosto 2027. Questa deroga è disciplinata dall'art. 113, par. 2, EU AI Act e riguarda i sistemi soggetti a una procedura di marcatura CE in base ad altre normative di armonizzazione dell'UE.

Nello specifico sono interessati i sistemi di IA ad alto rischio nelle seguenti categorie di prodotti regolamentati:

  • Dispositivi medici ai sensi del Regolamento (UE) 2017/745 (MDR): software diagnostico basato sull'IA, IA per la diagnostica per immagini in radiologia, sistemi di raccomandazione terapeutica basati sull'IA.
  • Dispositivi diagnostici in vitro ai sensi del Regolamento (UE) 2017/746 (IVDR): IA nella diagnostica di laboratorio e nell'interpretazione dei test genetici.
  • Giocattoli ai sensi della Direttiva 2009/48/CE: funzioni di IA in giocattoli educativi interattivi.
  • Macchine e ascensori: IA nei comandi di macchine critici per la sicurezza, laddove rientrino nella Direttiva Macchine.
  • Aviazione e navigazione: sistemi di IA già soggetti ad altri regimi di sicurezza dell'UE.

Per le PMI dei settori manifatturiero, della tecnologia medica e dei giocattoli ciò significa: la scadenza rilevante non è agosto 2026, bensì agosto 2027. Ciononostante, i lavori preparatori di base (inventario dell'IA, classificazione del rischio, gap analysis) dovrebbero essere conclusi entro la fine del 2025, per disporre di un margine di tempo sufficiente per la valutazione della conformità. La guida Bitkom all'EU AI Act 2024 raccomanda alle imprese di questi settori di utilizzare le procedure CE esistenti come base e di integrarle con i requisiti specifici dell'AI Act.

Checklist operativa: cosa fare ed entro quando?

La checklist seguente riassume i principali passi operativi per ciascuna scadenza. Non sostituisce una consulenza legale, ma offre una panoramica orientata alla pratica delle misure più importanti per le PMI.

Subito (recuperando il 2 febbraio 2025)

  • Inventariare gli strumenti di IA in azienda — in modo completo, incluse le funzioni di IA presenti nel software standard (CRM, ERP, strumenti HR, pacchetti per ufficio).
  • Verificare se sono attive funzioni di riconoscimento delle emozioni o di scoring — queste devono essere disattivate o sottoposte a verifica legale.
  • Redigere una AI Policy (linee guida interne sull'uso dell'IA) — che disciplini l'uso consentito e vietato dell'IA da parte dei dipendenti.
  • Dotare chatbot e assistenti di IA di un avviso di trasparenza ("Stai chattando con un assistente di IA").

Entro il 2 agosto 2025 (scadenza GPAI)

  • Richiedere e archiviare la documentazione di conformità dei fornitori GPAI impiegati (OpenAI, Google, Microsoft, Anthropic).
  • Assicurarsi che vengano utilizzati soltanto modelli conformi all'EU AI Act — ed eventualmente valutare un cambio di fornitore.
  • Individuare il punto di contatto dell'autorità nazionale (attualmente: Bundesnetzagentur) e definire internamente un processo di escalation.

Entro il 2 agosto 2026 (scadenza principale per l'alto rischio)

  • Completare la classificazione del rischio di tutti i sistemi di IA impiegati ai sensi dell'Allegato III EU AI Act.
  • Per i sistemi ad alto rischio: implementare documentazione tecnica, sistema di gestione del rischio e meccanismi di registrazione.
  • Effettuare la valutazione della conformità per i sistemi ad alto rischio propri o modificati in modo significativo.
  • Ancorare istituzionalmente i processi di sorveglianza umana — nominare i responsabili, definire le regole di escalation.
  • Formare i dipendenti che utilizzano o sorvegliano i sistemi di IA.
  • Predisporre un processo di notifica degli incidenti presso l'autorità nazionale.

Entro il 2 agosto 2027 (solo categorie speciali)

  • Per i dispositivi medici, i giocattoli e gli altri ambiti regolamentati con marcatura CE: completare la valutazione della conformità con l'integrazione dell'AI Act.
  • Estendere la documentazione CE esistente con le evidenze specifiche dell'AI Act.
  • Stabilire un monitoraggio continuo e un riesame annuale dell'inventario dell'IA.

Domande frequenti sulle scadenze dell'EU AI Act

A partire dalla scadenza in questione si agisce formalmente in modo illecito e si rischiano sanzioni da parte dell'autorità nazionale di vigilanza del mercato. Nella pratica è prevedibile che le autorità si concentrino dapprima sulle violazioni gravi (pratiche vietate, sistemi ad alto rischio del tutto privi di documentazione). Questo, tuttavia, non offre una protezione duratura: anche l'assenza di avvisi di trasparenza in un semplice chatbot è sanzionabile dopo le rispettive scadenze. Uno sforzo di conformità dimostrabile — anche se singoli punti sono ancora in fase di attuazione — è la migliore protezione in caso di verifica da parte delle autorità.
Sì. L'EU AI Act si applica, secondo il principio del luogo di mercato, a tutte le imprese i cui sistemi di IA vengono impiegati nell'UE — indipendentemente dalla sede dell'azienda. Un'impresa SaaS statunitense che vende un sistema di IA ad alto rischio a PMI tedesche deve adempiere agli obblighi del fornitore previsti dall'EU AI Act. In qualità di operatore PMI in Germania potete confidare nel fatto che i fornitori conformi presentino una dichiarazione di conformità UE — richiedetela attivamente.
GPAI sta per General Purpose AI — modelli di IA per finalità generali come GPT-4/5, Claude, Gemini o LLaMA. Questi modelli non sono sviluppati per una finalità d'uso specifica, ma possono essere utilizzati per un'ampia gamma di compiti. A partire dal 2 agosto 2025 i fornitori di questi modelli devono adempiere ad ampi obblighi di trasparenza e sicurezza. Per le PMI in quanto utenti questo significa: verificate se i vostri fornitori di IA sono in grado di dimostrare la conformità GPAI. I modelli GPAI non conformi non possono più essere impiegati nell'UE.
L'EU AI Act non prescrive un ruolo formale di "AI Officer", come la DSGVO prevede per il responsabile della protezione dei dati. Gli operatori di sistemi ad alto rischio devono tuttavia ancorare istituzionalmente la sorveglianza umana ed essere in grado di dimostrare responsabilità nominate per la conformità all'IA. Nella pratica è consigliabile nominare una persona interna o un fornitore di servizi esterno come responsabile della conformità all'IA — per superare le verifiche e soddisfare i requisiti relativi alla sorveglianza umana documentata.
La valutazione della conformità ai sensi dell'art. 43 EU AI Act varia a seconda del tipo di sistema. Per la maggior parte dei sistemi ad alto rischio è possibile un'autovalutazione da parte del fornitore — sulla base di norme armonizzate. Solo per determinati sistemi biometrici e critici per la sicurezza è prescritta una valutazione da parte di terzi. In qualità di operatore PMI verificate in primo luogo la dichiarazione di conformità del fornitore. Se sviluppate o modificate in modo significativo un sistema ad alto rischio, effettuate voi stessi la valutazione della conformità e redigete la dichiarazione di conformità UE.
In linea di principio vale quanto segue: ogni scadenza porta nuovi obblighi che valgono per tutte le imprese interessate. I divieti dell'art. 5 (febbraio 2025) valgono per tutti — indipendentemente dalla classe di rischio dei sistemi impiegati. Gli obblighi GPAI (agosto 2025) vi riguardano in quanto utenti di modelli per finalità generali. Gli obblighi per l'alto rischio (agosto 2026) vi riguardano solo se impiegate effettivamente sistemi ad alto rischio. Il termine prolungato fino ad agosto 2027 vale esclusivamente per le categorie di prodotti regolamentati con marcatura CE.
I sistemi di IA esistenti, messi in funzione prima dell'entrata in vigore dell'EU AI Act il 1° agosto 2024, sono anch'essi soggetti ai requisiti — ma con gli stessi periodi transitori scaglionati. Non esiste alcuna clausola di salvaguardia per i sistemi già in uso. Per i sistemi ad alto rischio già in funzione prima del 2 agosto 2026, i requisiti di conformità devono essere soddisfatti entro tale scadenza. Unica eccezione: i sistemi appartenenti alle categorie di prodotti regolamentati con marcatura CE hanno tempo fino ad agosto 2027.
La Germania non ha ancora preso una decisione definitiva sull'autorità nazionale di vigilanza del mercato per l'IA (dato Q2 2026). Il candidato più probabile è la Bundesnetzagentur (BNetzA), che dispone già di competenze nella regolamentazione digitale. La decisione spetta al Ministero federale per il digitale e i trasporti (BMDV). Fino alla designazione definitiva, le imprese possono rivolgere le proprie richieste al BMDV o all'AI Office della Commissione europea. La Bundesnetzagentur ha già iniziato a sviluppare le capacità necessarie per la vigilanza sull'IA.

Prenota una verifica di conformità EU AI Act

Analizziamo il vostro uso dell'IA, classifichiamo i vostri sistemi secondo l'EU AI Act e costruiamo una roadmap di conformità scadenza per scadenza per la vostra PMI — pragmatica, senza linguaggio da giuristi.

Prenota un colloquio di consulenzaAvvia il tuo Wito Digital Audit (WDA) gratuito
  • Roadmap di conformità scadenza per scadenza
  • Classificazione del rischio secondo l'Allegato III EU AI Act
  • Pacchetti di misure concreti per ogni scadenza

Scadenze EU AI Act 2025-2027: cosa si applica e quando — guida per le PMI

Ressource

KI-Tools Vergleich

→ Jetzt lesen
Ressource

Fördermittel-Kompass

→ Jetzt lesen
Ressource

ROI-Calculator

→ Jetzt lesen
Assessment

KI-Reifegrad-Check

→ Jetzt lesen