La legge sull’IA dell’UE è qui, e la maggior parte delle aziende non è pronta
Ascolta, capisco. Ancora una regolamentazione, ancora un mal di testa per la conformità. Ma la legge sull’IA dell’UE non è solo un altro esercizio di spunta come il GDPR. Questa ha davvero un peso, e le multe sono francamente spaventose.
Permettimi di spiegarti cosa sta realmente accadendo nel 2026, poiché la maggior parte delle coperture che ho visto semplificano troppo o seppelliscono informazioni importanti sotto un gergo legale.
Il calendario in cui tutti sbagliano
Ecco la cosa: la legge sull’IA dell’UE non entrerà in vigore in una data precisa. Viene implementata a fasi, e siamo nel bel mezzo della parte complicata:
Febbraio 2025: Le pratiche di IA vietate diventano illegali. Il punteggio sociale, il targeting manipolativo delle persone vulnerabili tramite l’IA, la sorveglianza biometrica in tempo reale (con alcune eccezioni limitate) — tutto questo è escluso.
Agosto 2025: I modelli di IA a uso generale (pensa a GPT, Claude, Gemini) dovranno iniziare a conformarsi ai requisiti di trasparenza.
Agosto 2026: Qui le cose si fanno serie. I requisiti completi per i sistemi di IA ad alto rischio entreranno in vigore. Gestione dei rischi, governance dei dati, documentazione tecnica, supervisione umana, test di accuratezza — c’è tutto.
Ecco la parte di cui nessuno parla: l’UE ha discretamente posticipato la scadenza per l’applicazione ai rischi elevati a dicembre 2027 per alcune categorie. Sembra una vittoria per le grandi aziende tecnologiche, giusto? A meno che non ci sia un problema.
Il cambiamento che nessuno ha notato
Mentre tutti celebravano l’estensione del calendario, l’UE ha anche ampliato ciò che conta come un sistema “ad alto rischio”. Quindi sì, hai più tempo — ma hai anche più lavoro.
Se il tuo sistema di IA tocca uno di questi ambiti, congratulazioni, probabilmente ora sei ad alto rischio:
- Occupazione e gestione dei lavoratori (strumenti di reclutamento, monitoraggio delle performance)
- Punteggio di credito e servizi finanziari
- Istruzione e formazione professionale
- Applicazione della legge e controllo delle frontiere
- Salute e dispositivi medici
- Gestione delle infrastrutture critiche
E “toccare” comporta molto lavoro. Usare un chatbot IA per filtrare le candidature? Ad alto rischio. Far funzionare un modello di IA che aiuta a decidere sulle approvazioni dei prestiti? Ad alto rischio. Anche usare l’IA per valutare le redazioni degli studenti potrebbe rientrare in questa categoria.
La struttura delle multe non è una battuta
Parliamo di numeri, perché qui le cose si fanno serie:
35 milioni di euro o il 7% del fatturato annuale globale — per uso di pratiche di IA vietate. Per dare un contesto, il 7% dei ricavi di Meta rappresenterebbe circa 8,5 miliardi di dollari. Google? Circa 19 miliardi.
15 milioni di euro o il 3% del fatturato — per non conformarsi ai requisiti dei sistemi ad alto rischio.
7.5 milioni di euro o l’1.5% del fatturato — per fornire informazioni errate ai regolatori.
E prima che tu pensi “non lo applicheranno mai” — ricorda cosa è successo con il GDPR. Tutti dicevano la stessa cosa. Poi Meta ha ricevuto una multa di 1,2 miliardi di euro. Amazon ha avuto 746 milioni di euro. L’UE non scherza.
Ciò che significa se costruisci prodotti IA
Ecco la mia onesta opinione su cosa dovresti fare davvero adesso:
1. Determina la tua classificazione di rischio. Seriamente, fai questo per primo. La maggior parte delle aziende con cui ho parlato non ha nemmeno completato questo passaggio di base. L’UE fornisce un quadro di classificazione — usalo.
2. La documentazione non è più facoltativa. Hai bisogno di documentazione tecnica per i tuoi sistemi di IA. Non un file README — una vera documentazione che copra i dati di addestramento, l’architettura del modello, la metodologia di test e i limiti noti.
3. Meccanismi di supervisione umana. Ogni sistema ad alto rischio richiede un modo per gli esseri umani di intervenire, bypassare o fermare. Se la tua IA opera in modo autonomo senza un pulsante di emergenza, è un problema.
4. I requisiti di trasparenza sono più ampi di quanto pensi. Gli utenti devono sapere quando interagiscono con IA. I deepfake devono essere etichettati. I contenuti generati dall’IA devono essere divulgati. Questo si applica anche se non sei nell’UE — se cittadini dell’UE utilizzano il tuo prodotto, sei coinvolto.
L’impatto globale
Ecco cosa rende tutto questo interessante per tutti, non solo per le aziende dell’UE. Proprio come il GDPR è diventato lo standard globale per la protezione della privacy, la legge sull’IA dell’UE sta già influenzando la regolamentazione in tutto il mondo:
Il Giappone sta sviluppando il proprio quadro di governance dell’IA, fortemente ispirato all’approccio dell’UE. Il Regno Unito sta adottando un approccio più specifico per settori, ma segue da vicino l’UE. Anche stati americani come la California e il Colorado stanno adottando leggi sull’IA che prendono in prestito concetti dalla legge dell’UE.
Se costruisci prodotti IA per un mercato globale, la legge sull’IA dell’UE è di fatto il tuo riferimento minimo. Puoi conformarti in modo proattivo o dibattere in seguito. Ho visto come il caos del GDPR si sia svolto per la maggior parte delle aziende — non è stato bello.
La mia previsione per il resto del 2026
Vedremo le prime azioni di applicazione prima della fine di quest’anno. L’Ufficio dell’IA dell’UE è già in funzione e sta conducendo indagini preliminari. Le infrazioni più evidenti saranno violazioni manifeste — aziende che utilizzano pratiche di IA vietate che non hanno ricevuto il memo, o fornitori di IA a uso generale che non hanno pubblicato i loro rapporti di trasparenza.
La vera ondata di applicazione arriverà nel 2027-2028 quando i requisiti ad alto rischio saranno pienamente in vigore. Ma entro allora, le aziende che hanno iniziato a prepararsi nel 2025-2026 saranno in regola. Quelle che hanno aspettato? Saranno quelle che dovranno scrivere assegni molto grossi.
Inizia ora. Non perché sto cercando di farti paura — ma perché una conformità ben fatta rende i tuoi sistemi IA migliori. Una documentazione migliore significa un miglior debug. Una supervisione migliore significa meno fallimenti catastrofici. Una maggiore trasparenza significa più fiducia da parte degli utenti.
La legge sull’IA dell’UE non è solo un onere normativo. È un motore per costruire IA in modo responsabile. E onestamente? Potremmo averne bisogno di più.
🕒 Published: