Una lettura pratica per le imprese tra calendario europeo, normativa nazionale e obblighi privacy già operativi
L’intelligenza artificiale è ormai entrata in molti processi aziendali: strumenti di produttività, chatbot, sistemi di analisi documentale, soluzioni di marketing, software HR, piattaforme di scoring, strumenti di cybersecurity e applicazioni verticali nei settori sanitario, finanziario, industriale e pubblico. Per le imprese, la domanda non è più se l’IA debba essere governata, ma come farlo in modo proporzionato, sostenibile e coerente con un quadro normativo che sta maturando per fasi.
Negli ultimi mesi si è parlato molto di AI Act, di possibili rinvii europei e della legge italiana n. 132 del 2025. Il rischio, però, è semplificare troppo il tema e trasformarlo in uno slogan: l’Europa rinvia, l’Italia impone. La realtà è più sfumata. L’AI Act è già in vigore, alcune sue parti sono già applicabili, altre lo saranno nei prossimi anni e alcune regole sui sistemi ad alto rischio sono oggi al centro di una proposta europea di semplificazione. La legge italiana, a sua volta, non crea un sistema parallelo e autonomo di compliance, ma si inserisce nel quadro europeo e deve essere letta insieme al regolamento UE e al GDPR.
Per un’impresa, quindi, il punto non è rincorrere ogni titolo di giornale sul rinvio dell’AI Act. Il punto è capire quali responsabilità esistono già oggi, quali obblighi diventeranno progressivamente applicabili e quali attività organizzative conviene avviare subito per non arrivare impreparati.
L’AI Act non è una norma futura: è già parte del quadro regolatorio europeo
Il regolamento europeo sull’intelligenza artificiale, noto come AI Act, è entrato in vigore il 1° agosto 2024. Non si applica però tutto nello stesso momento. Il legislatore europeo ha scelto un calendario progressivo, perché gli obblighi variano in base al tipo di sistema, al ruolo dell’organizzazione e al livello di rischio.
Dal 2 febbraio 2025 sono già applicabili le regole sulle pratiche di IA vietate e gli obblighi di alfabetizzazione in materia di intelligenza artificiale. Dal 2 agosto 2025 sono diventate applicabili le regole di governance e gli obblighi relativi ai modelli di IA per finalità generali. La maggior parte delle disposizioni è prevista dal 2 agosto 2026, mentre alcuni obblighi relativi ai sistemi ad alto rischio incorporati in prodotti regolati da normativa europea di armonizzazione hanno una finestra più lunga, fino al 2 agosto 2027.
Questo calendario è importante perché evita due errori opposti. Da un lato, non è corretto dire che l’AI Act sia fermo o sospeso. Dall’altro, non è corretto affermare che tutte le imprese siano già soggette a tutti gli obblighi del regolamento. La compliance AI va costruita distinguendo tempi, ruoli e casi d’uso.
Da dove nasce la confusione sul rinvio
La discussione sul rinvio nasce soprattutto dalla proposta europea di semplificazione conosciuta come Digital Omnibus on AI. La Commissione europea ha proposto interventi mirati per rendere più graduale e gestibile l’applicazione di alcune disposizioni dell’AI Act, in particolare quelle relative a determinati sistemi ad alto rischio.
Il nodo principale riguarda la disponibilità degli strumenti necessari per applicare correttamente le regole, come standard armonizzati, linee guida e strumenti di supporto. Senza questi riferimenti, molte imprese rischierebbero di dover dimostrare la conformità a requisiti complessi senza disporre di criteri tecnici sufficientemente stabili e condivisi.
La proposta, spesso descritta con l’espressione stop-the-clock, non equivale però a una sospensione generale dell’AI Act. Riguarda il possibile rinvio o la rimodulazione di specifiche regole, soprattutto in materia di sistemi ad alto rischio. Le ipotesi discusse indicano date massime come il 2 dicembre 2027 per i sistemi ad alto rischio dell’Allegato III e il 2 agosto 2028 per quelli incorporati in prodotti regolati da normativa di armonizzazione. Al momento, tuttavia, si tratta di un percorso legislativo ancora in evoluzione, da monitorare fino alla sua approvazione definitiva.
Per le imprese, la conseguenza pratica è chiara: eventuali rinvii possono incidere sulla pianificazione di alcuni adempimenti, ma non cancellano la necessità di governare l’uso dell’IA, né sospendono gli obblighi già applicabili.
Il ruolo della legge italiana 132/2025
In questo scenario si inserisce la legge italiana n. 132 del 2025, in vigore dal 10 ottobre 2025. La legge ha un valore politico e sistematico importante, perché definisce principi nazionali sull’uso dell’intelligenza artificiale, interviene in alcuni settori sensibili, designa funzioni e autorità, introduce deleghe al Governo e contiene disposizioni specifiche anche in materia penale e di diritto d’autore.
Non deve però essere letta come un secondo AI Act italiano, autonomo e più severo del regolamento europeo. La stessa legge stabilisce che le sue disposizioni si interpretano e si applicano conformemente al regolamento (UE) 2024/1689. Inoltre, l’articolo 3, comma 5, precisa che la legge non produce nuovi obblighi rispetto a quelli previsti dall’AI Act per i sistemi di intelligenza artificiale e per i modelli di intelligenza artificiale per finalità generali.
Questo passaggio è decisivo. La legge italiana non va presentata come fonte di un pacchetto generalizzato di adempimenti immediati per tutte le imprese. Piuttosto, rappresenta un tassello nazionale di coordinamento, indirizzo e adeguamento al quadro europeo. Può incidere su specifici ambiti, può rafforzare l’attenzione su alcuni rischi e può orientare l’evoluzione della compliance, ma non sostituisce il lavoro di classificazione e valutazione richiesto dall’AI Act.
Deepfake, trasparenza e responsabilità: piani diversi da non confondere
Un esempio utile è quello dei deepfake e dei contenuti generati o manipolati con sistemi di IA. L’AI Act prevede obblighi di trasparenza per determinati contenuti sintetici, incluse le disclosure relative a immagini, audio o video generati o alterati artificialmente e ad alcuni testi informativi di interesse pubblico. Queste regole rientrano nel sistema europeo di trasparenza e seguono il calendario applicativo del regolamento.
La legge italiana 132/2025 interviene invece anche sul piano penale, introducendo specifiche fattispecie legate alla diffusione illecita di immagini, video o voci falsificati o alterati con sistemi di intelligenza artificiale quando ne derivi un danno ingiusto. Si tratta di un profilo diverso: non solo trasparenza verso l’utente, ma tutela da condotte lesive. I due piani sono complementari, ma non devono essere sovrapposti.
Il GDPR è già oggi il primo presidio operativo per molti usi dell’IA
C’è poi un punto che spesso viene sottovalutato. Molte imprese ragionano sulla compliance AI come se tutto dipendesse dall’AI Act. In realtà, quando un sistema di intelligenza artificiale tratta dati personali, il GDPR è già pienamente applicabile e costituisce spesso il primo vincolo operativo da considerare.
Questo significa che l’impresa deve verificare la base giuridica del trattamento, fornire informazioni chiare agli interessati, rispettare i principi di minimizzazione e limitazione della conservazione, definire correttamente i ruoli privacy, valutare i fornitori, adottare misure di sicurezza adeguate e garantire l’esercizio dei diritti. Nei casi in cui il trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, può essere necessaria una DPIA. Inoltre, se l’IA è utilizzata per decisioni basate unicamente su trattamenti automatizzati che producono effetti giuridici o analogamente significativi, entra in gioco anche l’articolo 22 GDPR.
Questo profilo è particolarmente rilevante in ambiti come selezione del personale, valutazione delle performance, scoring, marketing predittivo, profilazione dei clienti, videosorveglianza intelligente, analisi comportamentale, assistenza clienti e sistemi decisionali automatizzati. Anche se alcune regole dell’AI Act fossero rinviate o rimodulate, la compliance privacy non sarebbe sospesa.
Cosa dovrebbero fare le imprese adesso
L’approccio più prudente non è attendere che ogni norma sia definitiva in ogni dettaglio, né avviare progetti di compliance sproporzionati. La strada più efficace è costruire una governance progressiva dell’IA, proporzionata ai rischi e integrata con i sistemi di gestione già presenti in azienda.
Il primo passo è mappare gli usi dell’intelligenza artificiale già presenti nei processi aziendali, compresi quelli introdotti tramite software di terze parti. Non basta chiedersi se l’azienda sviluppa IA. Occorre capire anche se la utilizza come deployer, se tratta dati personali, se incide su clienti, lavoratori o utenti, se supporta decisioni rilevanti e se opera in settori regolati.
Il secondo passo è classificare i casi d’uso in modo ragionato, distinguendo strumenti a basso impatto, sistemi con obblighi di trasparenza, possibili sistemi ad alto rischio e trattamenti privacy che richiedono valutazioni specifiche. Da qui derivano le attività più concrete: policy interne, formazione, regole sull’uso degli strumenti generativi, verifiche sui fornitori, aggiornamento dei contratti, misure di sicurezza, documentazione delle valutazioni e procedure di controllo.
Queste attività non devono essere viste solo come un costo normativo. Una governance chiara dell’IA riduce il rischio di utilizzi impropri, migliora la qualità delle decisioni, rafforza la fiducia di clienti e partner e consente all’impresa di adottare nuove tecnologie con maggiore consapevolezza.
Conclusioni
La formula “Europa rinvia, Italia impone subito” sarebbe sicuramente efficace sul piano comunicativo, ma non descriverebbe correttamente il reale quadro giuridico. L’AI Act è già in vigore e si applica progressivamente. Il possibile rinvio riguarda specifiche regole, soprattutto sui sistemi ad alto rischio, ed è collegato all’esigenza di rendere disponibili strumenti tecnici e interpretativi più chiari. La legge italiana 132/2025 si coordina con il regolamento europeo e dichiara di non introdurre nuovi obblighi rispetto all’AI Act per sistemi e modelli di IA.
Per le imprese, il vero tema è la gestione dell’incertezza. Chi utilizza sistemi di intelligenza artificiale deve iniziare a conoscerli, documentarli e governarli. Chi tratta dati personali deve considerare fin da subito il GDPR. Chi opera in settori sensibili deve monitorare l’evoluzione delle regole europee e nazionali. La compliance AI non nasce in un giorno, ma si costruisce per gradi: partendo da una mappatura seria, da valutazioni proporzionate e da un modello di governance capace di accompagnare l’innovazione senza bloccarla.
Vuoi capire quanto la tua organizzazione è già esposta agli obblighi di compliance AI?
Findata affianca imprese e pubbliche amministrazioni nella mappatura degli usi dell’intelligenza artificiale, nella valutazione degli impatti privacy e nella costruzione di un modello di governance coerente con AI Act, legge italiana 132/2025 e GDPR.
Un primo assessment può aiutare a distinguere ciò che è già necessario fare oggi da ciò che può essere pianificato nei prossimi mesi, evitando sia sottovalutazioni sia interventi sproporzionati.
Contattaci per una valutazione preliminare della compliance AI della tua organizzazione.