Regulationtimelineenforcementdeadlines

Calendario del Regolamento UE sull'IA: Date Chiave dal 2024 al 2027

Calendario completo delle tappe di applicazione del Regolamento UE sull'IA — dall'entrata in vigore nell'agosto 2024 alla piena conformità per i sistemi ad alto rischio entro agosto 2027. Scoprite esattamente quando si applica ciascun requisito.

January 20, 202515 min read

Il Regolamento UE sull'IA (Regolamento 2024/1689) non si applica in una sola volta. L'Unione europea ha previsto un calendario di applicazione progressiva che concede alle organizzazioni il tempo necessario per prepararsi a requisiti via via più stringenti. Comprendere questo calendario è fondamentale per stabilire le priorità degli interventi di conformità e allocare le risorse in modo efficace.

Il presente articolo fornisce una panoramica completa, data per data, di ogni tappa fondamentale dell'applicazione, dall'entrata in vigore del regolamento fino alla sua piena applicazione.

Diverse scadenze importanti sono già trascorse. Se la Vostra organizzazione non ha ancora avviato il percorso di conformità, è essenziale comprendere quali obblighi sono già in vigore e quali sono in arrivo.

Il calendario completo di applicazione

Fase 1: Entrata in vigore e preparazione (agosto 2024 - gennaio 2025)

Il periodo tra il 1° agosto 2024 e il 2 febbraio 2025 è servito come finestra preparatoria iniziale. Sebbene in questa fase non fossero ancora applicabili obblighi sostanziali, sono stati avviati diversi processi importanti.

Istituzione degli organi di governance

La Commissione europea ha avviato il processo di istituzione dell'Ufficio per l'IA, che opera all'interno della Direzione generale per le Reti di comunicazione, i contenuti e le tecnologie (DG CONNECT). L'Ufficio per l'IA è responsabile della supervisione dei modelli di IA per finalità generali e del supporto all'applicazione coerente del regolamento negli Stati membri.

Obbligo di alfabetizzazione sull'IA

L'Articolo 4 del Regolamento sull'IA impone ai fornitori e ai deployer di garantire che il proprio personale e le altre persone coinvolte nel funzionamento e nell'uso dei sistemi di IA dispongano di un livello sufficiente di alfabetizzazione in materia di IA. Sebbene questo obbligo si applichi formalmente dal 2 agosto 2025, le organizzazioni sono state incoraggiate ad avviare programmi di formazione durante questa fase preparatoria.

L'alfabetizzazione sull'IA ai sensi dell'Articolo 4 non è una formazione una tantum. Richiede un aggiornamento continuo che tenga conto delle conoscenze tecniche, dell'esperienza, della formazione e del contesto in cui i sistemi di IA vengono utilizzati. Si tratta di un requisito proporzionato: usi più complessi o a rischio più elevato richiedono un'alfabetizzazione più approfondita.

Fase 2: Pratiche vietate (febbraio 2025)

La prima data di applicazione sostanziale è stata il 2 febbraio 2025, quando i divieti dell'Articolo 5 sono divenuti applicabili. Questa è stata la scadenza più urgente poiché le violazioni comportano le sanzioni più elevate.

Cosa è stato vietato

Dal 2 febbraio 2025, le seguenti pratiche di IA sono vietate:

Tecniche subliminali, manipolative e ingannevoli (Articolo 5, paragrafo 1, lettera a)): sistemi di IA che impiegano tecniche che operano al di sotto della soglia di coscienza, o tecniche volutamente manipolative o ingannevoli, al fine di distorcere materialmente il comportamento e causare danni significativi.

Sfruttamento delle vulnerabilità (Articolo 5, paragrafo 1, lettera b)): sistemi di IA che sfruttano le vulnerabilità delle persone dovute alla loro età, disabilità o situazione sociale o economica specifica, al fine di distorcere materialmente il loro comportamento e causare danni significativi.

Social scoring (Articolo 5, paragrafo 1, lettera c)): sistemi di IA utilizzati dalle autorità pubbliche o per loro conto per valutare o classificare persone fisiche in base al comportamento sociale o a caratteristiche personali, con conseguente trattamento pregiudizievole ingiustificato o sproporzionato.

Valutazione individuale del rischio di reati (Articolo 5, paragrafo 1, lettera d)): sistemi di IA che valutano il rischio che una persona fisica commetta reati basandosi esclusivamente sulla profilazione o sulla valutazione dei tratti e delle caratteristiche della personalità, salvo che siano utilizzati a supporto di valutazioni umane basate su fatti oggettivi e verificabili direttamente collegati all'attività criminosa.

Raccolta indiscriminata per banche dati di riconoscimento facciale (Articolo 5, paragrafo 1, lettera e)): sistemi di IA che creano o ampliano banche dati di riconoscimento facciale attraverso la raccolta indiscriminata di immagini facciali da Internet o da telecamere a circuito chiuso.

Riconoscimento delle emozioni nei luoghi di lavoro e nelle scuole (Articolo 5, paragrafo 1, lettera f)): sistemi di IA che deducono le emozioni delle persone fisiche nei luoghi di lavoro e negli istituti di istruzione, salvo che il sistema di IA sia destinato a scopi medici o di sicurezza.

Categorizzazione biometrica per attributi sensibili (Articolo 5, paragrafo 1, lettera g)): sistemi di IA che categorizzano le persone fisiche sulla base di dati biometrici per dedurre la razza, le opinioni politiche, l'appartenenza sindacale, le convinzioni religiose o filosofiche, la vita sessuale o l'orientamento sessuale, con eccezioni limitate per le forze dell'ordine.

Identificazione biometrica remota in tempo reale negli spazi pubblici (Articolo 5, paragrafo 1, lettera h)): sistemi di identificazione biometrica remota in tempo reale utilizzati in spazi accessibili al pubblico a fini di attività di contrasto, con eccezioni circoscritte per ricerche mirate relative a reati gravi, minacce imminenti o attacchi terroristici.

Azioni di conformità richieste

Le organizzazioni dovevano verificare i propri sistemi di IA prima di tale data e interrompere qualsiasi pratica vietata. Non era previsto alcun periodo di tolleranza: dal 2 febbraio 2025, la non conformità all'Articolo 5 comporta sanzioni fino a 35 milioni di EUR o il 7% del fatturato mondiale annuo.

Need auditable AI for compliance?

Ctrl AI provides full execution traces, expert verification, and trust-tagged outputs for every AI decision.

Learn About Ctrl AI

Fase 3: GPAI e governance (agosto 2025)

La prossima tappa fondamentale è il 2 agosto 2025, quando entrano in vigore gli obblighi per i modelli di IA per finalità generali (GPAI) e il quadro di governance.

Obblighi per i modelli di IA per finalità generali

Il Capo V del Regolamento sull'IA stabilisce i requisiti per tutti i modelli GPAI. Dal 2 agosto 2025, i fornitori di modelli GPAI devono:

Mantenere la documentazione tecnica (Articolo 53, paragrafo 1, lettera a)): i fornitori devono redigere e mantenere aggiornata la documentazione tecnica del modello, compresi il processo di addestramento e test e i relativi risultati, da rendere disponibile all'Ufficio per l'IA e alle autorità nazionali competenti su richiesta.

Fornire informazioni ai fornitori a valle (Articolo 53, paragrafo 1, lettera b)): quando un modello GPAI è integrato in un sistema di IA, il fornitore del GPAI deve fornire informazioni e documentazione sufficienti per consentire al fornitore del sistema di IA a valle di comprendere le capacità e i limiti del modello e di adempiere ai propri obblighi.

Conformarsi alle norme sul diritto d'autore (Articolo 53, paragrafo 1, lettera c)): i fornitori di GPAI devono adottare una politica per conformarsi al diritto d'autore dell'Unione, in particolare per identificare e rispettare le riserve di diritti espresse dai titolari dei diritti ai sensi dell'Articolo 4, paragrafo 3, della Direttiva sul diritto d'autore.

Pubblicare la sintesi dei dati di addestramento (Articolo 53, paragrafo 1, lettera d)): i fornitori devono redigere e rendere pubblicamente disponibile una sintesi sufficientemente dettagliata dei contenuti utilizzati per l'addestramento del modello GPAI, seguendo un modello fornito dall'Ufficio per l'IA.

Modelli GPAI con rischio sistemico

I modelli GPAI classificati come presentanti rischio sistemico ai sensi dell'Articolo 51 — inclusi i modelli addestrati con più di 10^25 FLOP di calcolo — sono soggetti a obblighi aggiuntivi da questa data:

  • Eseguire valutazioni del modello, comprese prove avversariali
  • Valutare e mitigare i rischi sistemici
  • Tracciare e segnalare gli incidenti gravi all'Ufficio per l'IA e alle autorità nazionali competenti
  • Garantire protezioni adeguate di cybersicurezza

Quadro di governance

Diverse disposizioni sulla governance entrano in vigore il 2 agosto 2025:

  • Il Comitato europeo per l'intelligenza artificiale (Articolo 65) diventa operativo, con rappresentanti di ciascuno Stato membro.
  • Gli Stati membri devono designare le autorità nazionali competenti (Articolo 70), comprendenti almeno un'autorità di notifica e un'autorità di vigilanza del mercato.
  • Viene istituito il Forum consultivo (Articolo 67) per fornire competenze tecniche da parte dei portatori di interesse.

Fase 4: La scadenza principale per la conformità (agosto 2026)

Il 2 agosto 2026 è la data più rilevante per la maggior parte delle organizzazioni. È il momento in cui la maggior parte delle disposizioni del regolamento diventa applicabile, compresi tutti i requisiti per i sistemi di IA ad alto rischio elencati nell'Allegato III.

Requisiti per i sistemi di IA ad alto rischio

Da questa data, i fornitori di sistemi di IA ad alto rischio elencati nell'Allegato III devono conformarsi a tutti i requisiti previsti dagli Articoli da 8 a 15:

  • Sistema di gestione dei rischi (Articolo 9)
  • Dati e governance dei dati (Articolo 10)
  • Documentazione tecnica (Articolo 11)
  • Conservazione delle registrazioni e registrazione automatica (Articolo 12)
  • Trasparenza e fornitura di informazioni (Articolo 13)
  • Sorveglianza umana (Articolo 14)
  • Accuratezza, robustezza e cybersicurezza (Articolo 15)

Obblighi dei deployer

Anche i deployer di sistemi di IA ad alto rischio devono conformarsi da questa data. Ai sensi dell'Articolo 26, i deployer devono:

  • Utilizzare i sistemi di IA conformemente alle istruzioni
  • Garantire la sorveglianza umana da parte di persone adeguatamente formate
  • Monitorare il funzionamento del sistema di IA
  • Conservare i log generati dal sistema di IA per il periodo previsto
  • Informare i lavoratori e i loro rappresentanti sull'uso di sistemi di IA ad alto rischio
  • Condurre valutazioni d'impatto sui diritti fondamentali (per gli organismi pubblici e determinati soggetti privati ai sensi dell'Articolo 27)

Obblighi di trasparenza per i sistemi a rischio limitato

Gli obblighi di trasparenza dell'Articolo 50 si applicano dal 2 agosto 2026. Ciò richiede che:

  • I sistemi di IA destinati a interagire direttamente con le persone devono comunicare che la persona sta interagendo con un sistema di IA
  • I fornitori di sistemi di IA che generano contenuti sintetici (deepfake) devono contrassegnare l'output in un formato leggibile da dispositivo automatico
  • I deployer di sistemi di riconoscimento delle emozioni o di categorizzazione biometrica devono informare le persone esposte

Spazi di sperimentazione normativa

Ai sensi dell'Articolo 57, ciascuno Stato membro deve istituire almeno uno spazio di sperimentazione normativa per l'IA a livello nazionale entro il 2 agosto 2026. Questi spazi forniscono un ambiente controllato dove i sistemi di IA innovativi possono essere sviluppati e validati con la supervisione delle autorità di regolamentazione.

Le organizzazioni che sono fornitori o deployer di sistemi di IA ad alto rischio elencati nell'Allegato III — che comprende ambiti come occupazione, credit scoring, istruzione, infrastrutture critiche e attività di contrasto — devono essere pienamente conformi entro il 2 agosto 2026. La non conformità comporta sanzioni fino a 15 milioni di EUR o il 3% del fatturato globale.

Fase 5: Piena applicazione (agosto 2027)

L'ultima data di applicazione è il 2 agosto 2027, quando si applicano tutte le disposizioni rimanenti.

Sistemi di IA ad alto rischio dell'Allegato I

Questa fase riguarda principalmente i sistemi di IA ad alto rischio che fungono da componenti di sicurezza di prodotti già regolamentati dalla legislazione di armonizzazione dell'UE elencata nell'Allegato I. Questi includono prodotti disciplinati da:

  • Regolamento (UE) 2017/745 — Dispositivi medici
  • Regolamento (UE) 2017/746 — Dispositivi medico-diagnostici in vitro
  • Direttiva 2006/42/CE / Regolamento (UE) 2023/1230 — Macchine
  • Direttiva 2009/48/CE — Sicurezza dei giocattoli
  • Direttiva 2014/33/UE — Ascensori
  • Direttiva 2014/34/UE — Apparecchiature per atmosfere esplosive
  • Direttiva 2014/53/UE — Apparecchiature radio
  • Regolamento (UE) 2024/1252 — Materie prime critiche (prodotti pertinenti)

Per questi sistemi, le procedure di valutazione della conformità esistenti previste dalla legislazione settoriale integreranno i requisiti del Regolamento sull'IA. L'anno aggiuntivo concede ai fabbricanti il tempo necessario per aggiornare le proprie procedure di conformità.

Valutazione della conformità e organismi notificati

Entro il 2 agosto 2027, il sistema degli organismi notificati deve essere pienamente operativo. Gli organismi notificati sono organizzazioni designate dagli Stati membri per effettuare valutazioni della conformità per determinati sistemi di IA ad alto rischio per i quali è richiesta una valutazione da parte di terzi.

Costruire la propria roadmap di conformità

Dato il calendario progressivo, le organizzazioni dovrebbero adottare un approccio strutturato alla conformità.

Priorità immediate (adesso)

  • Verificare che nessuna pratica di IA vietata sia ancora in funzione
  • Avviare programmi di alfabetizzazione sull'IA ai sensi dell'Articolo 4
  • Iniziare l'inventario di tutti i sistemi di IA e la classificazione del loro livello di rischio

A breve termine (entro agosto 2025)

  • I fornitori di modelli GPAI devono finalizzare la documentazione tecnica e le sintesi dei dati di addestramento
  • Stabilire rapporti con i fornitori a valle per la condivisione delle informazioni
  • Monitorare la pubblicazione dei codici di buone pratiche da parte dell'Ufficio per l'IA

A medio termine (entro agosto 2026)

  • Implementare l'intera serie di requisiti per i sistemi di IA ad alto rischio previsti dagli Articoli 8-15
  • Istituire o aggiornare i sistemi di gestione della qualità
  • Predisporre gli obblighi dei deployer, comprese le valutazioni d'impatto sui diritti fondamentali
  • Aggiornare le misure di trasparenza per i sistemi di IA a rischio limitato

A lungo termine (entro agosto 2027)

  • Integrare i requisiti del Regolamento sull'IA nelle procedure di valutazione della conformità settoriali
  • Collaborare con gli organismi notificati per le valutazioni da parte di terzi ove richiesto
  • Garantire la piena conformità di tutti i sistemi di IA rimanenti relativi alla sicurezza dei prodotti

Il calendario progressivo è concepito per concedere alle organizzazioni un tempo di preparazione adeguato, ma tale tempo è limitato. Le organizzazioni che trattano la conformità come una priorità strategica piuttosto che come un adempimento dell'ultimo minuto saranno meglio posizionate per gestire la transizione senza difficoltà e mantenere un vantaggio competitivo.

Conclusione

Il calendario di applicazione del Regolamento UE sull'IA copre tre anni, dall'entrata in vigore il 1° agosto 2024 alla piena applicazione il 2 agosto 2027. Ogni fase introduce nuovi obblighi, e l'effetto cumulativo è un quadro normativo organico che plasmerà il modo in cui l'IA viene sviluppata e implementata in Europa e oltre.

Il periodo più critico è quello tra il presente e l'agosto 2026, quando la maggior parte dei requisiti del regolamento diventa applicabile. Le organizzazioni dovrebbero utilizzare il calendario sopra riportato per definire le priorità dei propri interventi di conformità, partendo da un inventario dei propri sistemi di IA e da un approfondito esercizio di classificazione del rischio.

Il calendario non è semplicemente una serie di scadenze: è una roadmap. Le organizzazioni che lo seguiranno sistematicamente non solo eviteranno sanzioni, ma costruiranno le strutture di governance necessarie per un'implementazione responsabile e affidabile dell'IA.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Articoli correlati

Regulation11 min read

Sanzioni del Regolamento UE sull'IA: Ammende fino a 35 Milioni di Euro

Analisi completa delle sanzioni previste dal Regolamento UE sull'IA — da 35 milioni di EUR per le pratiche vietate a 7,5 milioni per informazioni inesatte. Il regime sanzionatorio e come evitare le penalità.

Regulation20 min read

Sistemi di IA ad Alto Rischio: Requisiti Completi ai sensi del Regolamento UE sull'IA

Guida dettagliata ai requisiti per i sistemi di IA ad alto rischio previsti dal Regolamento UE sull'IA — gestione del rischio, governance dei dati, documentazione, sorveglianza umana, accuratezza e cybersicurezza.

Regulation15 min read

Classificazione del Rischio nel Regolamento UE sull'IA: I Quattro Livelli Spiegati

Approfondimento sul sistema di classificazione del rischio a quattro livelli del Regolamento UE sull'IA — rischio inaccettabile, alto, limitato e minimo. Scoprite in quale categoria rientra il vostro sistema di IA e cosa è richiesto.