← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'art. 58 delega alla Commissione l'adozione di atti di esecuzione che definiscono le modalità operative degli spazi di sperimentazione normativa per l'IA (AI regulatory sandboxes), per evitare la frammentazione nell'UE.
  • Gli atti di esecuzione devono garantire criteri di ammissione trasparenti ed equi e la gratuità dell'accesso per PMI e start-up, salvo costi straordinari.
  • Le procedure di domanda e partecipazione devono essere semplici e razionalizzate in tutta l'Unione, con risposta entro tre mesi dalla domanda.
  • I risultati dell'apprendimento della sandbox devono aiutare i partecipanti a conformarsi agli obblighi di valutazione della conformità e ai codici di condotta.
  • Sono ammesse prove in condizioni reali, con tutele specifiche per i diritti fondamentali concordate con i partecipanti e, ove necessario, con altre autorità nazionali.
  • La partecipazione a una sandbox di uno Stato membro produce gli stessi effetti giuridici in tutta l'UE, incluse quelle gestite dal Garante europeo della protezione dei dati.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 58 Reg. (UE) 2024/1689 — Modalità dettagliate e funzionamento degli spazi di sperimentazione normativa per l’IA

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Onde evitare la frammentazione nell'intera Unione, la Commissione adotta atti di esecuzione che precisano le modalità dettagliate per l'istituzione, lo sviluppo, l'attuazione, il funzionamento e la supervisione degli spazi di sperimentazione normativa per l'IA. Tali atti di esecuzione comprendono principi comuni sulle questioni seguenti:

a) criteri di ammissibilità e selezione per la partecipazione allo spazio di sperimentazione normativa per l'IA;

b) procedure per la domanda, la partecipazione, il monitoraggio, l'uscita dallo spazio di sperimentazione normativa per l'IA e la sua cessazione, compresi il piano dello spazio di sperimentazione e la relazione di uscita;

c) i termini e le condizioni applicabili ai partecipanti.

Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

2. Gli atti di esecuzione di cui al paragrafo 1 garantiscono:

a) che gli spazi di sperimentazione normativa per l'IA siano aperti a qualsiasi fornitore o potenziale fornitore richiedente di un sistema di IA che soddisfi criteri di ammissibilità e selezione trasparenti ed equi, e che le autorità nazionali competenti informino i richiedenti della loro decisione entro tre mesi dalla domanda;

b) che gli spazi di sperimentazione normativa consentano un accesso ampio e paritario e tengano il passo con la domanda di partecipazione; i fornitori e i potenziali fornitori possono anche presentare domande in partenariato con gli deployers e con altri terzi interessati;

c) che le modalità dettagliate e le condizioni relative agli spazi di sperimentazione normativa per l'IA sostengano la flessibilità, nella massima misura possibile, affinché le autorità nazionali competenti istituiscano e gestiscano i loro spazi di sperimentazione normativa per l'IA;

d) che l'accesso agli spazi di sperimentazione normativa per l'IA sia gratuito per le PMI, comprese le start-up, fatti salvi i costi straordinari che le autorità nazionali competenti possono recuperare in maniera equa e proporzionata;

e) che i fornitori e i potenziali fornitori siano agevolati, attraverso i risultati dell'apprendimento degli spazi di sperimentazione normativa per l'IA, a conformarsi agli obblighi di valutazione della conformità di cui al presente regolamento e all'applicazione volontaria dei codici di condotta di cui all'articolo 95;

f) che gli spazi di sperimentazione normativa per l'IA facilitino il coinvolgimento di altri attori pertinenti nell'ambito dell'ecosistema dell'IA, quali organismi notificati e organizzazioni di normazione, PMI, comprese start-up, imprese, innovatori, impianti di prova e sperimentazione, laboratori di ricerca e sperimentazione e poli europei dell'innovazione digitale, centri di eccellenza e singoli ricercatori, al fine di consentire e facilitare la cooperazione con i settori pubblico e privato;

g) che le procedure, i processi e i requisiti amministrativi per l'applicazione, la selezione, la partecipazione e l'uscita dallo spazio di sperimentazione normativa per l'IA siano semplici, facilmente intelligibili, comunicati chiaramente per agevolare la partecipazione delle PMI, comprese le start-up, con capacità giuridiche e amministrative limitate e siano razionalizzati in tutta l'Unione, al fine di evitare la frammentazione e che la partecipazione a uno spazio di sperimentazione normativa per l'IA istituito da uno Stato membro o dal Garante europeo della protezione dei dati sia reciprocamente e uniformemente riconosciuta e produca gli stessi effetti giuridici nell'intera Unione;

h) che la partecipazione allo spazio di sperimentazione normativa per l'IA sia limitata a un periodo adeguato alla complessità e alla portata del progetto, che può essere prorogato dall'autorità nazionale competente;

i) che gli spazi di sperimentazione normativa per l'IA agevolino lo sviluppo di strumenti e infrastrutture per la sperimentazione, l'analisi comparativa, la valutazione e la spiegazione delle dimensioni dei sistemi di IA pertinenti per l'apprendimento normativo, quali l'accuratezza, la robustezza e la cibersicurezza, nonché le misure per attenuare i rischi per i diritti fondamentali e la società in generale.

3. I potenziali fornitori degli spazi di sperimentazione normativa per l'IA, soprattutto le PMI e le start-up, sono indirizzati, se del caso, a servizi di pre-diffusione, quali gli orientamenti sull'attuazione del presente regolamento, ad altri servizi a valore aggiunto, quali l'assistenza per i documenti di normazione e la certificazione, gli impianti di prova e sperimentazione, i poli europei dell'innovazione digitale e i centri di eccellenza.

4. Quando valutano la possibilità di autorizzare prove in condizioni reali sottoposte a controllo nel quadro di uno spazio di sperimentazione normativa per l'IA da istituire a norma del presente articolo, le autorità nazionali competenti concordano in modo specifico con i partecipanti i termini e le condizioni di tali prove e, in particolare, le tutele adeguate al fine di proteggere i diritti fondamentali, la salute e la sicurezza. Se del caso, cooperano con altre autorità nazionali competenti al fine di garantire pratiche coerenti in tutta l'Unione.

Stesso numero, altri codici

Commento

La funzione degli spazi di sperimentazione normativa (regulatory sandboxes)

Il Regolamento (UE) 2024/1689 affronta una sfida propria di ogni regolazione dell'innovazione ad alto ritmo: come garantire il rispetto di requisiti di conformità dettagliati senza soffocare lo sviluppo di tecnologie nuove che, per definizione, non si adattano perfettamente alle categorie normative esistenti? La risposta è il regulatory sandbox, o spazio di sperimentazione normativa per l'IA: un ambiente controllato e supervisionato in cui fornitori o potenziali fornitori possono sviluppare, addestrare e testare sistemi di IA innovativi prima dell'immissione sul mercato, beneficiando di un rapporto diretto e collaborativo con le autorità di vigilanza e, in alcune circostanze, di flessibilità rispetto all'applicazione ordinaria delle norme.

L'art. 57 disciplina il framework generale degli spazi di sperimentazione; l'art. 58 si occupa delle modalità operative dettagliate, delegando alla Commissione l'adozione di atti di esecuzione che uniformino le regole in tutta l'Unione. Questa delega è necessaria perché gli spazi di sperimentazione sono istituiti e gestiti dalle autorità nazionali competenti: senza un quadro comune minimo, il rischio è che ogni Stato membro sviluppi procedure proprie, generando arbitraggio regolatorio (le imprese si orientano verso la sandbox del Paese più permissivo) e incertezza giuridica per chi opera in più mercati.

Il contenuto degli atti di esecuzione

Il paragrafo 1 identifica i temi che gli atti di esecuzione devono coprire: criteri di ammissibilità e selezione dei partecipanti, procedure di domanda, monitoraggio e uscita dalla sandbox, e termini e condizioni applicabili. Si tratta di materia organizzativa e procedurale, non sostanziale: gli atti di esecuzione non modificano i requisiti di conformità dell'AI Act, ma definiscono le regole del gioco della sperimentazione.

Il paragrafo 2 elenca le garanzie che questi atti devono incorporare. Alcune sono particolarmente rilevanti dal punto di vista operativo.

Accesso aperto e paritario (lett. a e b): qualsiasi fornitore o potenziale fornitore che soddisfi i criteri di ammissibilità ha diritto a partecipare. Non vi sono riserve per imprese di determinate dimensioni o nazionalità. La domanda può essere presentata anche in partenariato con deployer e terzi interessati (es. enti di ricerca, utenti pilota). L'autorità nazionale competente deve rispondere entro tre mesi dalla domanda: un termine preciso, che vuole evitare che la sandbox diventi una procedura burocratica lenta e scoraggiante.

Accesso gratuito per PMI e start-up (lett. d): le piccole e medie imprese, comprese le start-up, accedono alla sandbox gratuitamente. Le autorità nazionali possono recuperare solo costi «straordinari» in maniera equa e proporzionata. Questa previsione risponde a una preoccupazione strutturale del legislatore: la compliance dell'AI Act rischia di essere accessibile solo ai grandi operatori con risorse economiche e legali adeguate. La gratuità della sandbox è un modo per non escludere dall'innovazione le imprese minori.

Flessibilità nella gestione (lett. c): le modalità devono «sostenere la flessibilità, nella massima misura possibile» per le autorità nazionali. Il regolamento riconosce che le autorità dei diversi Stati membri operano in contesti istituzionali diversi e devono poter adattare la sandbox alla propria struttura organizzativa, purché rispettino i principi comuni.

Uniformità degli effetti giuridici (lett. g): la partecipazione a una sandbox riconosciuta — di qualsiasi Stato membro o del Garante europeo della protezione dei dati — produce gli stessi effetti giuridici nell'intera Unione. Questo è un principio di mutuo riconoscimento applicato ai percorsi di compliance: un'impresa che ha sviluppato e testato il proprio sistema in una sandbox italiana, seguendo le procedure uniformate dalla Commissione, può fare valere questo percorso anche in Germania o in Francia.

Apprendimento normativo e strumenti di sperimentazione (lett. e, f, i): la sandbox deve attivamente aiutare i partecipanti a conformarsi ai requisiti dell'AI Act e ai codici di condotta, e a sviluppare o accedere a strumenti di testing, benchmarking e valutazione (accuratezza, robustezza, cibersicurezza, impatto sui diritti fondamentali). L'ecosistema della sandbox è ampio: possono partecipare non solo fornitori, ma anche organismi notificati, organizzazioni di normazione, istituti di ricerca, poli europei dell'innovazione digitale e singoli ricercatori.

Prove in condizioni reali: requisiti e tutele

Il paragrafo 4 dell'art. 58 disciplina una delle funzionalità più delicate della sandbox: la possibilità di condurre prove in condizioni reali con persone fisiche effettivamente esposte al sistema di IA. Quando l'autorità nazionale competente autorizza tali prove, deve concordare con i partecipanti i termini e le condizioni specifici, con particolare attenzione alle tutele per i diritti fondamentali, la salute e la sicurezza. Se il sistema di IA è rilevante per più ambiti regolatori, l'autorità deve cooperare con le altre autorità nazionali competenti per garantire coerenza.

Il raccordo con il GDPR è qui particolarmente stringente: le prove in condizioni reali che comportano trattamento di dati personali richiedono una base giuridica adeguata ai sensi del Regolamento (UE) 2016/679, e devono essere progettate nel rispetto dei principi di minimizzazione, proporzionalità e protezione fin dalla progettazione. La partecipazione alla sandbox non esonera dall'obbligo di conformità GDPR.

Supporto alle PMI e orientamento pre-diffusione

Il paragrafo 3 prevede che i potenziali fornitori della sandbox — soprattutto PMI e start-up — siano indirizzati, «se del caso», a servizi di supporto complementari: orientamenti sull'attuazione del regolamento, assistenza per i documenti di normazione e certificazione, impianti di prova e sperimentazione, poli europei dell'innovazione digitale e centri di eccellenza. Questo paragrafo riflette la consapevolezza che accedere alla sandbox non è sufficiente: una PMI che entra nella sandbox senza una comprensione di base del quadro normativo rischierebbe di uscirne con più domande di quante ne avesse all'inizio. Il raccordo con l'ecosistema di supporto (centri di eccellenza, EDIH — European Digital Innovation Hubs) è la risposta del legislatore a questo rischio.

Rilevanza pratica per le imprese: quando considerare la sandbox

Per un'impresa che sviluppa sistemi di IA innovativi, la sandbox è un'opportunità strategica sottovalutata. I benefici principali sono: (a) il dialogo diretto e strutturato con l'autorità di vigilanza, che riduce l'incertezza interpretativa sulla classificazione del sistema e sui requisiti applicabili; (b) la possibilità di testare il sistema in un ambiente controllato prima di sostenere i costi di una valutazione della conformità piena; (c) l'accesso a orientamenti pratici e strumenti di testing che altrimenti richiederebbero investimenti significativi; (d) la valorizzazione commerciale del percorso: partecipare a una sandbox e completarla con successo è un segnale di affidabilità per clienti, investitori e partner. Il principale limite della sandbox è temporale: la partecipazione è limitata a un periodo adeguato alla complessità del progetto (lett. h), anche se prorogabile. Non è uno strumento per rinviare indefinitamente la conformità, ma per costruirla in modo più informato e collaborativo.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Partecipare a una sandbox AI esonera dall'obbligo di valutazione della conformità?

No. La sandbox è un percorso di sviluppo e sperimentazione assistita, non una via alternativa alla conformità. Al termine della sandbox, il fornitore deve comunque completare la procedura di valutazione della conformità prevista dall'art. 43. I risultati della sandbox possono però semplificare e accelerare significativamente questa procedura.

Le PMI devono pagare per accedere a una sandbox AI?

No, l'accesso è gratuito per PMI e start-up (art. 58, par. 2, lett. d). Le autorità nazionali possono recuperare solo costi straordinari, in maniera equa e proporzionata. Questo principio vale per le sandbox di tutti gli Stati membri, in base al quadro comune stabilito dalla Commissione.

Quando la Commissione adotta gli atti di esecuzione sulle sandbox?

L'art. 58 non fissa un termine specifico per l'adozione degli atti di esecuzione, ma il capo VI (artt. 57-63) sugli spazi di sperimentazione si applica dall'entrata in vigore del regolamento (agosto 2024). La Commissione ha indicato nelle sue comunicazioni l'intenzione di adottare gli atti il prima possibile per garantire uniformità a livello UE.

Un'impresa può partecipare alla sandbox di un altro Stato membro?

Sì. Le sandbox devono essere aperte a qualsiasi fornitore che soddisfi i criteri di ammissibilità, senza restrizioni di nazionalità. Inoltre, la partecipazione a una sandbox di qualsiasi Stato membro produce gli stessi effetti giuridici in tutta l'UE ai sensi dell'art. 58, par. 2, lett. g).

Come si coordina la sandbox AI con la normativa GDPR?

La partecipazione alla sandbox non esonera dal rispetto del GDPR. Le prove in condizioni reali che comportano trattamento di dati personali richiedono una base giuridica adeguata, informativa agli interessati e rispetto dei principi di minimizzazione e protezione fin dalla progettazione. Le autorità nazionali competenti per l'IA devono cooperare con le autorità per la protezione dei dati nelle sandbox che coinvolgono dati personali.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.