NicFab Blog logoNicFab Blog

Hub AI — Orientamento normativo e operativo

Intelligenza artificiale in chiave giuridica, regolatoria e di governance: focus primario sull'AI Act, con apertura internazionale.

Scopri in 60 secondi se il tuo sistema AI rientra nell'AI Act, con quali obblighi e da quando.

Sono provider

Sviluppo o faccio sviluppare un sistema AI e lo immetto sul mercato o lo metto in servizio a mio nome o marchio.

Sono deployer

Utilizzo un sistema AI sviluppato da altri nell'ambito della mia attività professionale.

Non so ancora dove mi colloco

Avvia il Self-Assessment per identificare il tuo ruolo nella catena del valore AI.
Avvia Self-Assessment →

Stato di applicazione dell'AI Act

Il Regolamento (UE) 2024/1689 (AI Act) non si applica tutto in un solo momento. Le disposizioni entrano in vigore per fasi successive. Questo quadro ti mostra cosa è già applicabile, cosa scatterà prossimamente e cosa potrebbe cambiare.

✓ Già applicabile
3/5 fasi completate
Ultima: 2 agosto 2025
⬤ Prossima scadenza
Applicazione generale
2 agosto 2026
▲ High-risk
Allegato III — 8 aree
Vedi mappa completa
☰ Checklist
26 obblighi mappati
Filtra per ruolo
1 agosto 2024
Entrata in vigore
Il Regolamento è pubblicato in GUUE ed entra in vigore. Nessun obbligo ancora applicabile.
2 febbraio 2025
Divieti, definizioni e AI literacy
Si applicano le pratiche vietate (Art. 5), le disposizioni generali (Capo I, artt. 1–4), incluso l'obbligo di AI literacy (Art. 4).
2 agosto 2025
GPAI, governance, sanzioni e organismi notificati
Si applicano le regole sui modelli di IA per finalità generali (GPAI), la struttura di governance europea, il regime sanzionatorio e le norme sugli organismi notificati.
2 agosto 2026
Applicazione generale
Si applicano tutte le disposizioni rimanenti, inclusi gli obblighi per i sistemi ad alto rischio (Allegato III), la trasparenza (Art. 50), le misure per l'innovazione, la banca dati UE e il monitoraggio post-mercato.
2 agosto 2027
AI in prodotti regolamentati e compliance GPAI legacy
Si applica l'Art. 6(1) — regole per sistemi AI ad alto rischio che sono componenti di sicurezza di prodotti regolamentati (Allegato I).

⚠ Digital Omnibus on AI — scenario in evoluzione

Il 26 marzo 2026 il Parlamento europeo ha adottato la propria posizione negoziale (569 voti favorevoli). I triloghi con il Consiglio sono in corso con l'obiettivo di un accordo entro il 28 aprile 2026. Se adottato, il Digital Omnibus rinvierà le scadenze per i sistemi ad alto rischio: al 2 dicembre 2027 (Allegato III) e al 2 agosto 2028 (Allegato I). Fino all'adozione definitiva, le scadenze originali dell'AI Act restano il riferimento normativo vigente.

Leggi l'analisi completa sul blog

Trova il tuo ruolo

Il ruolo che occupi nella catena del valore AI determina i tuoi obblighi. Un soggetto può ricoprire più ruoli contemporaneamente.

Provider (Fornitore)

Art. 3(3)

Persona fisica o giuridica che sviluppa un sistema AI o un modello GPAI, o che fa sviluppare un sistema AI o un modello GPAI, e lo immette sul mercato o lo mette in servizio a proprio nome o con il proprio marchio, a titolo oneroso o gratuito.

Deployer (Utilizzatore)

Art. 3(4)

Persona fisica o giuridica che utilizza un sistema AI sotto la propria autorità, tranne nel caso in cui il sistema AI sia utilizzato nel corso di un'attività personale non professionale.

Importatore

Art. 3(6)

Persona fisica o giuridica stabilita nell'Unione che immette sul mercato un sistema AI recante il nome o il marchio di una persona fisica o giuridica stabilita in un paese terzo.

Distributore

Art. 3(7)

Persona fisica o giuridica nella catena di fornitura, diversa dal provider o dall'importatore, che mette a disposizione un sistema AI sul mercato dell'Unione.

Rappresentante autorizzato

Art. 3(5), artt. 22–23

Persona fisica o giuridica stabilita nell'Unione che ha ricevuto e accettato un mandato scritto da un provider stabilito in un paese terzo per agire per suo conto in relazione agli obblighi dell'AI Act.

Fabbricante di prodotto

Art. 25

Fabbricante di un prodotto che integra un sistema AI ad alto rischio insieme al proprio prodotto e lo immette sul mercato o lo mette in servizio a proprio nome o marchio.

⚠ Attenzione: trasformazione dei ruoli (Art. 25)

Un deployer può diventare provider se modifica sostanzialmente un sistema AI ad alto rischio, se cambia la finalità prevista del sistema, o se appone il proprio nome/marchio su un sistema AI già sul mercato (Art. 25(1)). In questi casi, il deployer assume tutti gli obblighi del provider.

Checklist operativa

Cosa devi fare, in base al tuo ruolo, al tipo di sistema e alla scadenza. Filtra per trovare i tuoi obblighi specifici.

26 obblighi mappati — usa i filtri per ruolo, stato e categoria di rischio

Standard armonizzati, specifiche comuni e presunzione di conformità

L'AI Act prevede che gli standard armonizzati europei siano lo strumento tecnico principale per dimostrare la conformità ai requisiti per i sistemi ad alto rischio. L'applicazione degli standard è volontaria, ma chi li applica beneficia della presunzione di conformità.

Gli standard non creano obblighi nuovi

Gli standard armonizzati sono strumenti tecnici di supporto alla conformità. Non aggiungono obblighi normativi rispetto a quelli già previsti dall'AI Act.

Mappa dell'Allegato III — Le 8 aree ad alto rischio

L'Allegato III dell'AI Act identifica 8 aree in cui i sistemi AI sono classificati ad alto rischio per la sicurezza e i diritti fondamentali. Attenzione: non tutti i sistemi AI utilizzati in queste aree sono automaticamente ad alto rischio. La classificazione dipende dallo specifico caso d'uso e dalla funzione svolta dal sistema.

1

Identificazione e categorizzazione biometrica

Sistemi AI destinati all'identificazione biometrica remota, alla categorizzazione di persone sulla base di dati biometrici e al riconoscimento delle emozioni.

2

Infrastrutture critiche

Sistemi AI destinati a essere utilizzati come componenti di sicurezza nella gestione e nel funzionamento di infrastrutture critiche digitali, del traffico stradale e della fornitura di acqua, gas, riscaldamento ed elettricità.

3

Istruzione e formazione professionale

Sistemi AI destinati a determinare l'accesso, l'ammissione o l'assegnazione di persone a istituti di istruzione e formazione professionale a tutti i livelli; a valutare i risultati dell'apprendimento; a monitorare e rilevare comportamenti vietati durante gli esami.

4

Occupazione, gestione dei lavoratori e accesso al lavoro autonomo

Sistemi AI destinati a essere utilizzati per il recruiting, la selezione, le decisioni di assunzione, la gestione del rapporto di lavoro, la promozione, il licenziamento, l'assegnazione di compiti, il monitoraggio e la valutazione delle prestazioni dei lavoratori.

5

Accesso a servizi pubblici e privati essenziali e fruizione degli stessi

Sistemi AI destinati a essere utilizzati per valutare l'ammissibilità delle persone a prestazioni e servizi di assistenza pubblica, per valutare l'affidabilità creditizia, per la valutazione del rischio e la determinazione dei prezzi nell'assicurazione vita e malattia.

6

Attività di contrasto (law enforcement)

Sistemi AI destinati a essere utilizzati dalle autorità di contrasto (o per loro conto) per valutare il rischio di una persona di commettere reati, per l'analisi dell'affidabilità delle prove, per il profiling nelle indagini.

7

Migrazione, asilo e gestione dei controlli alle frontiere

Sistemi AI destinati a essere utilizzati per valutare i rischi connessi a persone che intendono entrare nel territorio UE, per l'esame delle domande di asilo, per il riconoscimento di persone, per la verifica dell'autenticità dei documenti di viaggio.

8

Amministrazione della giustizia e processi democratici

Sistemi AI destinati ad assistere un'autorità giudiziaria nella ricerca e nell'interpretazione dei fatti e del diritto e nell'applicazione della legge a fatti concreti, o destinati a essere utilizzati per influenzare l'esito di elezioni o referendum o il comportamento di voto.

AI Act e GDPR: dove si sovrappongono

L'AI Act e il GDPR operano su piani distinti ma convergenti. Questa tabella mostra le 9 aree principali di sovrapposizione e coordinamento tra i due regolamenti.

La tabella mostra 9 aree di sovrapposizione: gestione del rischio, governance dei dati, trasparenza, human oversight, cybersecurity, FRIA e DPIA, logging, governance interna, fornitori e contratti.

Risorse e strumenti

Strumenti operativi, guide e fonti istituzionali per la compliance.

AI Act Self-Assessment Tool

Verifica in autonomia se il tuo sistema AI rientra nell'AI Act, in quale categoria di rischio si colloca e quali obblighi si applicano.

Avvia Self-Assessment →