← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • Il Garante europeo della protezione dei dati (GEPD) è competente a infliggere sanzioni amministrative pecuniarie alle istituzioni, agli organi e agli organismi dell'Unione che violano il Regolamento AI.
  • La violazione dei divieti dell'art. 5 (pratiche di IA vietate) può essere sanzionata fino a 1.500.000 euro; la violazione di altri requisiti o obblighi del Regolamento fino a 750.000 euro.
  • Il GEPD valuta l'importo della sanzione tenendo conto di criteri analoghi a quelli dell'art. 99: natura e gravità della violazione, responsabilità, cooperazione, precedenti.
  • Il procedimento sanzionatorio garantisce pienamente i diritti di difesa dell'istituzione interessata, compreso il diritto di essere sentita e il diritto di accesso al fascicolo.
  • I proventi delle sanzioni confluiscono nel bilancio generale dell'Unione e non pregiudicano il funzionamento effettivo dell'ente sanzionato.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 100 Reg. (UE) 2024/1689 — Sanzioni amministrative pecuniarie inflitte a istituzioni, organi e organismi dell’Unione

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Il Garante europeo della protezione dei dati può infliggere sanzioni amministrative pecuniarie alle istituzioni, agli organi e agli organismi dell'Unione che rientrano nell'ambito di applicazione del presente regolamento. Nel decidere se infliggere una sanzione amministrativa pecuniaria e nel determinarne l'importo in ogni singolo caso, si tiene conto di tutte le circostanze pertinenti della situazione specifica e si tiene quanto segue in debita considerazione:

a) la natura, la gravità e la durata della violazione e delle sue conseguenze, tenendo in considerazione la finalità del sistema di IA interessato, nonché se del caso, il numero di persone interessate e il livello del danno da esse subito;

b) il grado di responsabilità dell'istituzione, dell'organo o dell'organismo dell'Unione, tenendo conto delle misure tecniche e organizzative da essi attuate;

c) qualsiasi azione intrapresa dall'istituzione, dall'organo o dall'organismo dell'Unione per attenuare il danno subito dalle persone interessate;

d) il grado di cooperazione con il Garante europeo della protezione dei dati al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi, compreso il rispetto delle misure precedentemente disposte dal Garante europeo della protezione dei dati nei confronti dell'istituzione, dell'organo o dell'organismo dell'Unione interessato in relazione allo stesso tema;

e) eventuali precedenti violazioni analoghe commesse dall'istituzione, dall'organo o dall'organismo dell'Unione;

f) il modo in cui il Garante europeo della protezione dei dati è venuto a conoscenza della violazione, in particolare se e in che misura è stata notificata dall'istituzione, dall'organo o dall'organismo dell'Unione;

g) il bilancio annuale dell'istituzione, dell'organo o dell'organismo dell'Unione.

2. La non conformità al divieto delle pratiche di IA di cui all'articolo 5 è soggetta a sanzioni amministrative pecuniarie fino a 1 500 000 EUR.

3. La non conformità del sistema di IA ai requisiti o agli obblighi a norma del presente regolamento, diversi da quelli previsti all'articolo 5, è soggetta a sanzioni amministrative pecuniarie fino a 750 000 EUR.

4. Prima di adottare qualsiasi decisione a norma del presente articolo, il Garante europeo della protezione dei dati dà all'istituzione, all'organo o all'organismo dell'Unione oggetto del procedimento avviato dal Garante europeo della protezione dei dati l'opportunità di esprimersi in merito all'eventuale violazione. Il Garante europeo della protezione dei dati basa le sue decisioni solo sugli elementi e le circostanze in merito ai quali le parti interessate sono state poste in condizione di esprimersi. Gli eventuali ricorrenti sono strettamente associati al procedimento.

5. Nel corso del procedimento sono pienamente garantiti i diritti di difesa delle parti interessate. Esse hanno diritto d'accesso al fascicolo del Garante europeo della protezione dei dati, fermo restando l'interesse legittimo delle persone fisiche o delle imprese alla tutela dei propri dati personali o segreti aziendali.

6. I fondi raccolti mediante l'imposizione di sanzioni pecuniarie in forza del presente articolo contribuiscono al bilancio generale dell'Unione. Le sanzioni pecuniarie non pregiudicano l'effettivo funzionamento dell'istituzione, dell'organo o dell'organismo dell'Unione sanzionato.

7. Il Garante europeo della protezione dei dati notifica annualmente alla Commissione le sanzioni amministrative pecuniarie da esso inflitte a norma del presente articolo e qualsiasi controversia o procedimento giudiziario che ha avviato.

Stesso numero, altri codici

Commento

Un sistema sanzionatorio speciale per le istituzioni dell'Unione

L'articolo 100 del Regolamento (UE) 2024/1689 risolve un problema istituzionale fondamentale: le istituzioni, gli organi e gli organismi dell'Unione europea non possono essere soggetti alle stesse autorità di vigilanza nazionali cui sono sottoposti i privati. Non esiste un'autorità di vigilanza del mercato nazionale che possa esercitare poteri coercitivi sulle istituzioni dell'UE; analogamente, le norme nazionali di esecuzione delle sanzioni non si applicano ai fondi e alle attività delle istituzioni europee.

La soluzione adottata dall'AI Act è coerente con il sistema già collaudato nel GDPR: così come il Regolamento (UE) 2018/1725 affida al GEPD la vigilanza sulla protezione dei dati nelle istituzioni UE, l'art. 100 affida al Garante europeo della protezione dei dati il compito di vigilare sull'applicazione dell'AI Act da parte delle istituzioni europee e il potere di infliggere sanzioni pecuniarie in caso di violazione. Questa scelta garantisce coerenza istituzionale e sfrutta le competenze già maturate dal GEPD in materia di tecnologia, dati e diritti fondamentali.

I massimali sanzionatori: una struttura a due livelli

L'art. 100 prevede massimali sanzionatori in valori assoluti — non in percentuale del fatturato, criterio applicabile ai soggetti privati ai sensi dell'art. 99 — con una struttura a due livelli che riflette la gravità delle diverse violazioni:

  • Violazione dei divieti dell'art. 5 (pratiche di IA vietate: manipolazione subliminale, sfruttamento delle vulnerabilità, social scoring generalizzato, remote biometric identification in tempo reale non autorizzata, ecc.): sanzione fino a 1.500.000 euro.
  • Violazione degli altri requisiti o obblighi del Regolamento: sanzione fino a 750.000 euro.

I massimali per le istituzioni UE sono significativamente inferiori a quelli previsti per i privati dall'art. 99, che raggiunge i 35 milioni di euro o il 7% del fatturato mondiale annuo per le violazioni dei divieti dell'art. 5. Questa differenza è giustificata dalla natura non commerciale delle istituzioni europee e dal fatto che la sanzione non è parametrata al vantaggio economico ottenuto dalla violazione, ma deve comunque essere dissuasiva e proporzionata.

I criteri di determinazione della sanzione

Il paragrafo 1 dell'art. 100 elenca i criteri che il GEPD deve prendere in debita considerazione nel decidere se infliggere una sanzione e nel determinarne l'importo:

  • Natura, gravità e durata della violazione: incluse le conseguenze per le persone interessate e il numero di soggetti coinvolti;
  • Finalità del sistema di IA interessato dalla violazione;
  • Grado di responsabilità dell'istituzione, tenendo conto delle misure tecniche e organizzative adottate;
  • Misure di attenuazione del danno adottate dall'istituzione nei confronti delle persone interessate;
  • Grado di cooperazione con il GEPD, compreso il rispetto di eventuali misure precedenti;
  • Precedenti violazioni analoghe commesse dall'istituzione;
  • Come il GEPD è venuto a conoscenza della violazione (notifica spontanea o scoperta di ufficio);
  • Bilancio annuale dell'istituzione, organo o organismo (criterio che sostituisce il fatturato usato per i privati).

L'elencazione di criteri analoghi a quelli del GDPR (art. 83) e dell'art. 99 AI Act crea coerenza nell'approccio sanzionatorio europeo e riduce la discrezionalità arbitraria del GEPD, favorendo prevedibilità e proporzionalità.

Le garanzie procedurali: il diritto di difesa delle istituzioni

I paragrafi 4 e 5 sanciscono garanzie procedurali fondamentali che devono essere rispettate prima di adottare qualsiasi decisione sanzionatoria. Il GEPD deve dare all'istituzione oggetto del procedimento la possibilità di esprimersi in merito all'eventuale violazione, e può basare le proprie decisioni solo sugli elementi e le circostanze su cui le parti interessate sono state poste in condizione di esprimersi. I ricorrenti — cioè le persone o le organizzazioni che hanno segnalato la violazione — sono «strettamente associati al procedimento».

Nel corso del procedimento le parti interessate hanno diritto di accesso al fascicolo del GEPD, con il limite degli interessi legittimi di altre persone fisiche o imprese alla tutela dei propri dati personali o segreti aziendali. Questi diritti di difesa ricalcano quelli previsti nel procedimento sanzionatorio del GEPD in materia di GDPR e garantiscono il rispetto del principio del contraddittorio, che ha valenza di principio generale del diritto dell'Unione.

La destinazione dei proventi sanzionatori

Il paragrafo 6 stabilisce che i fondi raccolti mediante le sanzioni contribuiscono al bilancio generale dell'Unione. Questa scelta, che può apparire paradossale — l'istituzione sanzionata paga nel bilancio dell'Unione di cui essa stessa è parte — ha una logica istituzionale precisa: evita che la sanzione finisca nelle casse dell'istituzione vigilante (il GEPD stesso), eliminando qualsiasi incentivo distorto. Garantisce inoltre che la sanzione abbia effettiva valenza redistributiva, andando a beneficio di tutti gli Stati membri attraverso il bilancio comune.

La norma aggiunge che le sanzioni «non pregiudicano l'effettivo funzionamento dell'istituzione, dell'organo o dell'organismo dell'Unione sanzionato»: una clausola di salvaguardia che riconosce la specificità delle istituzioni pubbliche dell'Unione rispetto alle imprese private.

Coordinamento con il Regolamento (UE) 2018/1725 e con l'art. 99

L'art. 100 si innesta in modo coerente nel sistema di tutela giuridica delle persone fisiche nell'ambito del diritto europeo. Da un lato, il richiamo al ruolo del GEPD istituisce un parallelo strutturale con il Regolamento (UE) 2018/1725 (protezione dei dati nelle istituzioni UE), rafforzando la connessione tra AI Act e tutela della privacy nell'ambito delle istituzioni europee. Dall'altro, la struttura a due livelli dei massimali replica in termini assoluti la logica proporzionale dell'art. 99 per i soggetti privati, garantendo coerenza nell'applicazione del Regolamento sull'intero spettro dei soggetti obbligati.

Per le istituzioni che utilizzano sistemi di IA, l'art. 100 non è solo un sistema sanzionatorio: è anche un incentivo a dotarsi di una governance interna dell'IA robusta, con sistemi di gestione della qualità, documentazione tecnica e procedure di supervisione umana adeguate, per ridurre il rischio di violazioni e dimostrare la cooperazione con il GEPD in caso di indagine.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Perché è il GEPD e non un'autorità nazionale a vigilare sulle istituzioni UE ai sensi dell'AI Act?

Le istituzioni, gli organi e gli organismi dell'Unione europea non possono essere soggetti alle autorità di vigilanza nazionali degli Stati membri per ragioni istituzionali e di immunità. Il GEPD, già autorità per la protezione dei dati nelle istituzioni UE ai sensi del Reg. (UE) 2018/1725, è stato designato come autorità competente anche per l'AI Act, garantendo coerenza e sfruttando le competenze già sviluppate.

Quali sono i massimali sanzionatori per le istituzioni UE che violano l'AI Act?

L'art. 100 prevede sanzioni fino a 1.500.000 euro per la violazione dei divieti dell'art. 5 (pratiche di IA vietate) e fino a 750.000 euro per la violazione degli altri requisiti o obblighi del Regolamento. Questi massimali sono inferiori a quelli previsti per i soggetti privati dall'art. 99, parametrati anche al fatturato mondiale.

Come viene determinato l'importo della sanzione nei confronti di un'istituzione UE?

Il GEPD considera una serie di criteri elencati nell'art. 100, par. 1: natura, gravità e durata della violazione, finalità del sistema IA, grado di responsabilità dell'istituzione, misure di attenuazione del danno, cooperazione con il GEPD, precedenti violazioni e bilancio annuale dell'istituzione. Il bilancio annuale sostituisce il criterio del fatturato usato per i soggetti privati.

Dove confluiscono i proventi delle sanzioni inflitte dal GEPD alle istituzioni UE?

I fondi raccolti mediante le sanzioni pecuniarie ex art. 100 contribuiscono al bilancio generale dell'Unione europea. Questa scelta evita che la sanzione finisca nelle casse dell'autorità vigilante (il GEPD) eliminando incentivi distorti, e garantisce una redistribuzione a beneficio di tutti gli Stati membri.

Un dipendente di un'istituzione UE che scopre un uso di IA non conforme può segnalarlo?

Sì. Qualsiasi persona fisica o giuridica che abbia motivo di ritenere vi sia stata una violazione può rivolgersi al GEPD. Nelle istituzioni UE, i dipendenti possono segnalare violazioni anche attraverso i canali di whistleblowing interni o direttamente al GEPD, che prenderà in considerazione la segnalazione nell'ambito delle proprie attività di vigilanza.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.