L'AI Act si applica alla mia PMI se uso l'IA ma non la sviluppo?
In breve: sì. Il Regolamento (UE) 2024/1689 si applica anche a chi usa l'IA nell'attività professionale — sei un deployer (utilizzatore). È direttamente applicabile in Italia senza recepimento; divieti (art. 5) e alfabetizzazione (art. 4) sono già operativi. Qui sotto i fatti verificati su EUR-Lex, poi la nostra lettura.
I fatti · campi 1–10
Cosa dice la fonte ufficiale.
01 · Denominazione
Regolamento (UE) 2024/1689 — «AI Act»
Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull'intelligenza artificiale e modifica una serie di regolamenti e direttive (regolamento sull'intelligenza artificiale). Sigla comune: AI Act (o Regolamento sull'IA / RIA).
Titolo ufficiale · EUR-Lex ELI Reg. (UE) 2024/1689
02 · Tipo di fonte
Regolamento dell'Unione europea
Atto legislativo UE di portata generale, adottato da Parlamento europeo e Consiglio secondo procedura legislativa ordinaria.
EUR-Lex ELI Reg. (UE) 2024/1689
03 · Natura
Vincolante e direttamente applicabile
In quanto regolamento UE (art. 288 TFUE) è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno Stato membro, senza necessità di recepimento nazionale. Non è soft law: prevede obblighi giuridici e un regime sanzionatorio.
Art. 288 TFUE · testo del Regolamento su EUR-Lex
04 · Oggetto
Un quadro armonizzato basato sul rischio
Stabilisce regole per l'immissione sul mercato, la messa in servizio e l'uso dei sistemi di IA nell'UE, con un approccio basato sul rischio: rischio inaccettabile → vietato; alto rischio → obblighi stringenti; rischio limitato → obblighi di trasparenza; rischio minimo → libero. Include regole specifiche per i modelli di IA per finalità generali (GPAI).
EUR-Lex ELI Reg. (UE) 2024/1689
05 · A chi si applica
Fornitori, deployer, importatori, distributori
Ambito soggettivo principale: fornitori (providers), deployer/utilizzatori professionali (deployers), importatori e distributori di sistemi di IA, oltre ai fabbricanti di prodotti.
Ambito territoriale extraterritoriale: si applica anche a soggetti stabiliti fuori dall'UE quando il sistema di IA è immesso sul mercato UE o quando l'output prodotto è utilizzato nell'Unione.
Art. 2 (ambito di applicazione) · EUR-Lex
06 · Date chiave
Applicazione scaglionata (art. 113)
-
Divieti (art. 5) e alfabetizzazione IA (art. 4) in applicazione.
-
Regole sui modelli GPAI e governance in applicazione.
-
Obblighi per i sistemi ad alto rischio «stand-alone» (Allegato III) in applicazione.
-
Obblighi per i sistemi ad alto rischio integrati in prodotti regolamentati (Allegato I) in applicazione.
Nota: il testo originale dell'art. 113 fissava il 2 agosto 2026 (Allegato III) e il 2 agosto 2027 (Allegato I). Il pacchetto di semplificazione «Digital Omnibus» ha sostituito tali termini con date fisse posticipate (2 dic 2027 / 2 ago 2028), non più subordinate alla disponibilità degli standard armonizzati.
Fonte: Consiglio dell'UE, comunicato del 29 giugno 2026 (via libera definitiva al pacchetto «Digital Omnibus»; approvazione del Parlamento europeo del 16 giugno 2026) · Regolamento (UE) 2024/1689, art. 113 (testo originale).
07 · Autorità competenti
AI Office e AI Board a livello UE; autorità nazionali per ogni Stato
A livello UE: Ufficio europeo per l'IA (AI Office) presso la Commissione europea (vigilanza sui GPAI) e Comitato europeo per l'intelligenza artificiale (AI Board).
A livello nazionale: ciascuno Stato membro designa le proprie autorità nazionali competenti (autorità di notifica + autorità di vigilanza del mercato). Per l'Italia la designazione è operata dalla L. 132/2025 (AgID e ACN — vedi scheda dedicata).
Capo VII — Governance · EUR-Lex
08 · Stato
In vigore dal 1 agosto 2024, in applicazione parziale e scaglionata
In vigore (Reg. UE 2024/1689, dal 1º agosto 2024). Il calendario di applicazione è stato modificato dal pacchetto «Digital Omnibus», approvato in via definitiva dal Parlamento europeo (16 giugno 2026) e dal Consiglio dell'UE (29 giugno 2026); alla data della presente scheda la pubblicazione in GUUE e l'entrata in vigore delle modifiche sono in corso di completamento (verificare pubblicazione). Le date di applicazione per l'alto rischio sopra indicate (2 dic 2027 / 2 ago 2028) sono quelle del calendario vigente.
Art. 113 (testo modificato dal «Digital Omnibus») · EUR-Lex
09 · Relazioni con altre norme
Si coordina con L. 132/2025, GDPR e ISO/IEC 42001
- ↔ L. 132/2025 (Italia): la legge nazionale si aggiunge all'AI Act, non lo sostituisce; ne designa le autorità nazionali e adegua l'ordinamento interno.
- ↔ GDPR (Reg. UE 2016/679): l'AI Act si applica fatto salvo il GDPR; il trattamento di dati personali resta disciplinato dalla normativa privacy, che opera in parallelo.
- ↔ ISO/IEC 42001: standard volontario (AI Management System). Non è legge, ma può supportare la dimostrazione di conformità e la governance interna richiesta dall'AI Act.
Clausole di raccordo (GDPR) · testo del Regolamento su EUR-Lex
10 · Fonte ufficiale
EUR-Lex — identificatore ELI
Fonte primaria da citare: EUR-Lex, identificatore ELI reg/2024/1689. Pubblicato in GUUE, serie L del 12 luglio 2024.
Apri la fonte ufficiale su EUR-Lex
Fonte primaria · EUR-Lex (ELI ufficiale)
Campi 11–12 · sintesi propria
La nostra lettura per una PMI.
Sintesi
- L'AI Act è un regolamento a effetto diretto: una PMI italiana è tenuta a rispettarlo anche senza alcun atto nazionale di recepimento.
- La domanda operativa non è «sviluppo IA?» ma «che ruolo ho e in che classe di rischio ricade il sistema che uso?». La maggior parte delle PMI è deployer, non fornitore: gli obblighi più pesanti (alto rischio) gravano soprattutto sui fornitori, ma il deployer ha comunque doveri propri.
- Le prime scadenze sono già operative: divieti (art. 5) e alfabetizzazione IA (art. 4) dal 2 febbraio 2025. L'alfabetizzazione è un obbligo trasversale spesso sottovalutato.
- Lo snodo critico per l'alto rischio è ora il 2 dicembre 2027 (Allegato III); per l'IA integrata in prodotti, il 2 agosto 2028.
- L'ambito extraterritoriale (output usato nell'UE) rende il Regolamento rilevante anche per fornitori extra-UE nella catena del valore della PMI.
Obblighi pratici per un deployer / PMI
- Mappare i sistemi di IA usati in azienda e classificarne il rischio (proibito / alto / limitato / minimo).
- Verificare i divieti (art. 5): escludere subito gli usi vietati (es. social scoring, riconoscimento emozioni sul luogo di lavoro nei casi vietati).
- Alfabetizzazione IA (art. 4): garantire un livello adeguato di competenza del personale che usa i sistemi di IA — formazione documentata.
- Per i sistemi ad alto rischio in cui si è deployer: usare il sistema secondo le istruzioni del fornitore, garantire sorveglianza umana, conservare i log, informare i lavoratori interessati.
- Trasparenza (rischio limitato, applicabile dal 2 agosto 2026 — art. 50): informare gli utenti quando interagiscono con un'IA (es. chatbot) ed etichettare i contenuti sintetici/deepfake.
- Predisporre una governance interna e un registro dei sistemi di IA; valutare l'adozione volontaria di ISO/IEC 42001 come framework di readiness.
Nota di posizionamento (NomotecnIA): NomotecnIA offre attività di orientamento e readiness alla conformità. NomotecnIA non è un organismo notificato e non rilascia certificazioni di conformità all'AI Act.
Dalla norma alla tua azienda
Quali obblighi dell'AI Act ti riguardano davvero?
L'AI Entry Assessment mappa i tuoi sistemi, individua la classe di rischio e gli obblighi che ne derivano, e ti restituisce una roadmap prioritizzata.