Regolamento UE · fonte: EUR-Lex

L'AI Act si applica alla mia PMI se uso l'IA ma non la sviluppo?

In breve: sì. Il Regolamento (UE) 2024/1689 si applica anche a chi usa l'IA nell'attività professionale — sei un deployer (utilizzatore). È direttamente applicabile in Italia senza recepimento; divieti (art. 5) e alfabetizzazione (art. 4) sono già operativi. Qui sotto i fatti verificati su EUR-Lex, poi la nostra lettura.

I fatti · campi 1–10

Cosa dice la fonte ufficiale.

Verificato su EUR-Lex

01 · Denominazione

Regolamento (UE) 2024/1689 — «AI Act»

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio, del 13 giugno 2024, che stabilisce regole armonizzate sull'intelligenza artificiale e modifica una serie di regolamenti e direttive (regolamento sull'intelligenza artificiale). Sigla comune: AI Act (o Regolamento sull'IA / RIA).

Titolo ufficiale · EUR-Lex ELI Reg. (UE) 2024/1689

02 · Tipo di fonte

Regolamento dell'Unione europea

Atto legislativo UE di portata generale, adottato da Parlamento europeo e Consiglio secondo procedura legislativa ordinaria.

EUR-Lex ELI Reg. (UE) 2024/1689

03 · Natura

Vincolante e direttamente applicabile

In quanto regolamento UE (art. 288 TFUE) è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno Stato membro, senza necessità di recepimento nazionale. Non è soft law: prevede obblighi giuridici e un regime sanzionatorio.

Art. 288 TFUE · testo del Regolamento su EUR-Lex

04 · Oggetto

Un quadro armonizzato basato sul rischio

Stabilisce regole per l'immissione sul mercato, la messa in servizio e l'uso dei sistemi di IA nell'UE, con un approccio basato sul rischio: rischio inaccettabile → vietato; alto rischio → obblighi stringenti; rischio limitato → obblighi di trasparenza; rischio minimo → libero. Include regole specifiche per i modelli di IA per finalità generali (GPAI).

EUR-Lex ELI Reg. (UE) 2024/1689

05 · A chi si applica

Fornitori, deployer, importatori, distributori

Ambito soggettivo principale: fornitori (providers), deployer/utilizzatori professionali (deployers), importatori e distributori di sistemi di IA, oltre ai fabbricanti di prodotti.

Ambito territoriale extraterritoriale: si applica anche a soggetti stabiliti fuori dall'UE quando il sistema di IA è immesso sul mercato UE o quando l'output prodotto è utilizzato nell'Unione.

Art. 2 (ambito di applicazione) · EUR-Lex

06 · Date chiave

Applicazione scaglionata (art. 113)

  1. Divieti (art. 5) e alfabetizzazione IA (art. 4) in applicazione.

  2. Regole sui modelli GPAI e governance in applicazione.

  3. Obblighi per i sistemi ad alto rischio «stand-alone» (Allegato III) in applicazione.

  4. Obblighi per i sistemi ad alto rischio integrati in prodotti regolamentati (Allegato I) in applicazione.

Nota: il testo originale dell'art. 113 fissava il 2 agosto 2026 (Allegato III) e il 2 agosto 2027 (Allegato I). Il pacchetto di semplificazione «Digital Omnibus» ha sostituito tali termini con date fisse posticipate (2 dic 2027 / 2 ago 2028), non più subordinate alla disponibilità degli standard armonizzati.

Fonte: Consiglio dell'UE, comunicato del 29 giugno 2026 (via libera definitiva al pacchetto «Digital Omnibus»; approvazione del Parlamento europeo del 16 giugno 2026) · Regolamento (UE) 2024/1689, art. 113 (testo originale).

07 · Autorità competenti

AI Office e AI Board a livello UE; autorità nazionali per ogni Stato

A livello UE: Ufficio europeo per l'IA (AI Office) presso la Commissione europea (vigilanza sui GPAI) e Comitato europeo per l'intelligenza artificiale (AI Board).

A livello nazionale: ciascuno Stato membro designa le proprie autorità nazionali competenti (autorità di notifica + autorità di vigilanza del mercato). Per l'Italia la designazione è operata dalla L. 132/2025 (AgID e ACN — vedi scheda dedicata).

Capo VII — Governance · EUR-Lex

08 · Stato

In vigore dal 1 agosto 2024, in applicazione parziale e scaglionata

In vigore (Reg. UE 2024/1689, dal 1º agosto 2024). Il calendario di applicazione è stato modificato dal pacchetto «Digital Omnibus», approvato in via definitiva dal Parlamento europeo (16 giugno 2026) e dal Consiglio dell'UE (29 giugno 2026); alla data della presente scheda la pubblicazione in GUUE e l'entrata in vigore delle modifiche sono in corso di completamento (verificare pubblicazione). Le date di applicazione per l'alto rischio sopra indicate (2 dic 2027 / 2 ago 2028) sono quelle del calendario vigente.

Art. 113 (testo modificato dal «Digital Omnibus») · EUR-Lex

09 · Relazioni con altre norme

Si coordina con L. 132/2025, GDPR e ISO/IEC 42001

  • ↔ L. 132/2025 (Italia): la legge nazionale si aggiunge all'AI Act, non lo sostituisce; ne designa le autorità nazionali e adegua l'ordinamento interno.
  • ↔ GDPR (Reg. UE 2016/679): l'AI Act si applica fatto salvo il GDPR; il trattamento di dati personali resta disciplinato dalla normativa privacy, che opera in parallelo.
  • ↔ ISO/IEC 42001: standard volontario (AI Management System). Non è legge, ma può supportare la dimostrazione di conformità e la governance interna richiesta dall'AI Act.

Clausole di raccordo (GDPR) · testo del Regolamento su EUR-Lex

10 · Fonte ufficiale

EUR-Lex — identificatore ELI

Fonte primaria da citare: EUR-Lex, identificatore ELI reg/2024/1689. Pubblicato in GUUE, serie L del 12 luglio 2024.

Apri la fonte ufficiale su EUR-Lex

Fonte primaria · EUR-Lex (ELI ufficiale)

Lettura NomotecnIA · interpretazione, non fonte

Campi 11–12 · sintesi propria

La nostra lettura per una PMI.

Sintesi

  • L'AI Act è un regolamento a effetto diretto: una PMI italiana è tenuta a rispettarlo anche senza alcun atto nazionale di recepimento.
  • La domanda operativa non è «sviluppo IA?» ma «che ruolo ho e in che classe di rischio ricade il sistema che uso?». La maggior parte delle PMI è deployer, non fornitore: gli obblighi più pesanti (alto rischio) gravano soprattutto sui fornitori, ma il deployer ha comunque doveri propri.
  • Le prime scadenze sono già operative: divieti (art. 5) e alfabetizzazione IA (art. 4) dal 2 febbraio 2025. L'alfabetizzazione è un obbligo trasversale spesso sottovalutato.
  • Lo snodo critico per l'alto rischio è ora il 2 dicembre 2027 (Allegato III); per l'IA integrata in prodotti, il 2 agosto 2028.
  • L'ambito extraterritoriale (output usato nell'UE) rende il Regolamento rilevante anche per fornitori extra-UE nella catena del valore della PMI.

Obblighi pratici per un deployer / PMI

  1. Mappare i sistemi di IA usati in azienda e classificarne il rischio (proibito / alto / limitato / minimo).
  2. Verificare i divieti (art. 5): escludere subito gli usi vietati (es. social scoring, riconoscimento emozioni sul luogo di lavoro nei casi vietati).
  3. Alfabetizzazione IA (art. 4): garantire un livello adeguato di competenza del personale che usa i sistemi di IA — formazione documentata.
  4. Per i sistemi ad alto rischio in cui si è deployer: usare il sistema secondo le istruzioni del fornitore, garantire sorveglianza umana, conservare i log, informare i lavoratori interessati.
  5. Trasparenza (rischio limitato, applicabile dal 2 agosto 2026 — art. 50): informare gli utenti quando interagiscono con un'IA (es. chatbot) ed etichettare i contenuti sintetici/deepfake.
  6. Predisporre una governance interna e un registro dei sistemi di IA; valutare l'adozione volontaria di ISO/IEC 42001 come framework di readiness.

Nota di posizionamento (NomotecnIA): NomotecnIA offre attività di orientamento e readiness alla conformità. NomotecnIA non è un organismo notificato e non rilascia certificazioni di conformità all'AI Act.

Meta · campi 13–15

Revisione, disclaimer e fonte

Ultima revisione · 2026-07-06

Disclaimer

Questo contenuto ha finalità esclusivamente informative e di orientamento generale; non costituisce consulenza legale né attestazione di conformità. Per ogni valutazione fa sempre fede la fonte ufficiale (EUR-Lex). NomotecnIA non è un organismo notificato.

  • #AIAct
  • #RegolamentoUE
  • #IntelligenzaArtificiale
  • #RiskBased
  • #GPAI
  • #Compliance
  • #GDPR
  • #ISO42001
  • #PMI

Fonte ufficiale · EUR-Lex

Dalla norma alla tua azienda

Quali obblighi dell'AI Act ti riguardano davvero?

L'AI Entry Assessment mappa i tuoi sistemi, individua la classe di rischio e gli obblighi che ne derivano, e ti restituisce una roadmap prioritizzata.