← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • La Commissione europea può infliggere ai fornitori di modelli GPAI sanzioni pecuniarie fino al 3% del fatturato mondiale annuo o 15 milioni di euro (se superiore) per violazioni del Regolamento, mancata ottemperanza a richieste di informazioni o diniego di accesso al modello per valutazioni.
  • Le sanzioni sono irrogate direttamente dalla Commissione — non dalle autorità nazionali — riflettendo il ruolo centrale dell'AI Office nella supervisione dei modelli GPAI.
  • Prima di adottare la decisione definitiva, la Commissione comunica le constatazioni preliminari e garantisce il diritto di essere ascoltati.
  • Le sanzioni devono essere effettive, proporzionate e dissuasive; nella determinazione si considerano natura, gravità, durata della violazione e gli impegni assunti nei codici di condotta.
  • La Corte di giustizia UE ha competenza di merito per esaminare le decisioni sanzionatorie, con potere di estinguere, ridurre o aumentare la sanzione.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 101 Reg. (UE) 2024/1689 — Sanzioni pecuniarie per i fornitori di modelli di IA per finalità generali

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. La Commissione può infliggere ai fornitori di modelli di IA per finalità generali sanzioni pecuniarie non superiori al 3 % del fatturato mondiale annuo totale dell'esercizio precedente o a 15 000 000 EUR, se superiore, ove essa rilevi che il fornitore, intenzionalmente o per negligenza:

a) ha violato le pertinenti disposizioni del presente regolamento;

b) non ha ottemperato a una richiesta di documento o di informazioni a norma dell'articolo 91 o ha fornito informazioni inesatte, incomplete o fuorvianti;

c) non ha ottemperato a una misura richiesta a norma dell'articolo 93;

d) non ha messo a disposizione della Commissione l'accesso al modello di IA per finalità generali o al modello di IA per finalità generali con rischio sistemico al fine di effettuare una valutazione a norma dell'articolo 92.

Nel determinare l'importo della sanzione pecuniaria o della penalità di mora, si tengono in considerazione la natura, la gravità e la durata della violazione, tenendo debitamente conto dei principi di proporzionalità e di adeguatezza. La Commissione tiene conto anche degli impegni assunti in conformità dell'articolo 93, paragrafo 3, o assunti nei pertinenti codici di condotta in conformità dell'articolo 56.

2. Prima di adottare la decisione a norma del paragrafo 1, la Commissione comunica le sue constatazioni preliminari al fornitore del modello di IA per finalità generali o del modello di IA e gli dà l'opportunità di essere ascoltato.

3. Le sanzioni pecuniarie inflitte in conformità del presente articolo sono effettive, proporzionate e dissuasive.

4. Le informazioni in merito alle sanzioni pecuniarie inflitte a norma del presente articolo sono altresì comunicate al consiglio per l'IA, se del caso.

5. La Corte di giustizia dell'Unione europea ha competenza giurisdizionale anche di merito per esaminare le decisioni mediante le quali la Commissione ha fissato una sanzione pecuniaria a norma del presente articolo. Essa può estinguere, ridurre o aumentare la sanzione pecuniaria inflitta.

6. La Commissione adotta atti di esecuzione contenenti modalità dettagliate per i procedimenti e garanzie procedurali in vista dell'eventuale adozione di decisioni a norma del paragrafo 1 del presente articolo. Tali atti di esecuzione sono adottati secondo la procedura d'esame di cui all'articolo 98, paragrafo 2.

Stesso numero, altri codici

Commento

L'articolo 101 nel sistema sanzionatorio dell'AI Act

Il Regolamento (UE) 2024/1689 costruisce un sistema sanzionatorio su due livelli. Il primo livello — disciplinato dall'articolo 99 — affida agli Stati membri la competenza a sanzionare le violazioni da parte degli operatori del mercato (fornitori e deployer di sistemi di IA ad alto rischio, importatori, distributori), attraverso le autorità nazionali competenti. Il secondo livello — disciplinato dall'articolo 101 — è dedicato esclusivamente ai fornitori di modelli di IA per finalità generali (GPAI) e affida la competenza sanzionatoria direttamente alla Commissione europea.

Questa biforcazione non è casuale. I modelli GPAI — come i grandi modelli linguistici su cui si basano applicazioni diffuse in tutta l'Unione — sono sviluppati da un numero limitato di grandi operatori globali, spesso di provenienza extra-UE, con una catena di distribuzione che attraversa tutti gli Stati membri contemporaneamente. Affidarsi alle sole autorità nazionali per vigilare su questi attori avrebbe creato rischi di frammentazione e di forum shopping regolatorio. La Commissione, attraverso l'AI Office, è il soggetto che ha la visione d'insieme e la capacità di agire a livello europeo.

Le condotte sanzionabili

Il paragrafo 1 elenca le condotte che possono dare luogo a sanzione pecuniaria. Si tratta di quattro ipotesi distinte, tutte accomunate dal requisito che la violazione sia avvenuta «intenzionalmente o per negligenza»: non è quindi sufficiente una violazione puramente formale o non imputabile al fornitore.

Lettera a): violazione delle pertinenti disposizioni del Regolamento. Questa è la fattispecie principale: un fornitore GPAI che non rispetti gli obblighi degli articoli 53 (obblighi generali GPAI: documentazione tecnica, rispetto delle norme sul diritto d'autore, sintesi dei dati di addestramento, politica di utilizzo accettabile) o dell'articolo 55 (obblighi per i modelli con rischio sistemico: valutazione dei modelli, segnalazione degli incidenti, cybersicurezza) è esposto alla sanzione. Lettera b): mancata ottemperanza a richieste di documenti o informazioni, ovvero fornitura di informazioni inesatte, incomplete o fuorvianti ai sensi dell'articolo 91. Lettera c): mancata ottemperanza a una misura richiesta ai sensi dell'articolo 93 (misure cautelari o obblighi imposti dalla Commissione durante un procedimento). Lettera d): diniego di accesso al modello per una valutazione ai sensi dell'articolo 92 (valutazione dei modelli GPAI, inclusi red team e test avanzati).

Il massimale sanzionatorio: 3% o 15 milioni di euro

Il massimale è fissato al 3% del fatturato mondiale annuo totale dell'esercizio precedente a quello della violazione, oppure 15 milioni di euro se il 3% del fatturato risulta inferiore a tale soglia. La struttura «maggiore tra i due» garantisce che anche le imprese di medie dimensioni siano esposte a sanzioni significative, evitando che il massimale assoluto di 15 milioni sia irrisorio per chi ha un fatturato basso.

Per un confronto nel sistema AI Act: l'articolo 99 prevede massimali più elevati per alcune violazioni gravi riferite ai sistemi di IA ad alto rischio (fino al 3% o 15 milioni) o per le violazioni dei divieti dell'articolo 5 (fino al 7% o 35 milioni). Il massimale dell'articolo 101 è quindi nella fascia intermedia del sistema sanzionatorio, coerente con la natura delle violazioni GPAI che — a differenza dei divieti assoluti — riguardano prevalentemente obblighi procedurali e documentali.

I criteri di commisurazione della sanzione

La norma non lascia la determinazione della sanzione alla discrezionalità assoluta della Commissione: individua criteri vincolanti di commisurazione. Si devono considerare la natura della violazione (di che tipo di obbligo si tratta), la gravità (quanto è significativo l'impatto sulla conformità e sui valori tutelati dal Regolamento), la durata (quanto a lungo è perdurata la violazione). I principi di proporzionalità e adeguatezza devono essere rispettati: la sanzione non può essere sproporzionata rispetto alla violazione commessa.

Un elemento di mitigazione importante è l'eventuale assunzione di impegni volontari da parte del fornitore: impegni assunti ai sensi dell'articolo 93, paragrafo 3 (durante il procedimento istruttorio) o nell'ambito dei codici di condotta dell'articolo 56 sono espressamente presi in considerazione nella determinazione dell'importo. I fornitori GPAI che partecipano attivamente ai codici di buone pratiche e li rispettano si trovano quindi in una posizione migliorativa non solo per evitare le violazioni, ma anche per attenuare la sanzione in caso di violazione.

Il procedimento: diritto di difesa e garanzie

Il paragrafo 2 introduce una garanzia procedurale fondamentale: prima di adottare la decisione sanzionatoria, la Commissione deve comunicare le proprie constatazioni preliminari al fornitore e dargli l'opportunità di essere ascoltato. È il rispetto del diritto di difesa — principio generale del diritto UE — calato nel procedimento sanzionatorio AI Act. Il fornitore può presentare osservazioni, produrre documentazione aggiuntiva, indicare circostanze attenuanti o errori di fatto nella ricostruzione della Commissione.

Il paragrafo 6 prevede che la Commissione adotti atti di esecuzione con le modalità dettagliate dei procedimenti e le garanzie procedurali. Questo implica che il procedimento sanzionatorio sarà disciplinato in modo trasparente e prevedibile, riducendo l'incertezza per i fornitori soggetti a indagine.

Il controllo giurisdizionale della Corte di giustizia

Il paragrafo 5 attribuisce alla Corte di giustizia dell'Unione europea la competenza di merito per le decisioni sanzionatorie adottate dalla Commissione ai sensi dell'articolo 101. Questa è una previsione di rilievo: la «competenza di merito» (diversa dal mero controllo di legittimità) consente alla Corte di estinguere la sanzione (annullarla integralmente), ridurla (se ritiene l'importo sproporzionato) o addirittura aumentarla (se ritiene la sanzione insufficiente rispetto alla gravità della violazione). Si tratta di un potere giurisdizionale pieno, inusuale nel diritto europeo, che garantisce una tutela giurisdizionale rafforzata al fornitore sanzionato ma anche alla Commissione che ritenga insufficiente l'importo irrogato in sede di procedimento.

Implicazioni pratiche per i fornitori GPAI: costruire la compliance preventiva

Per un fornitore di modello GPAI — sia europeo che extra-UE che distribuisce in Europa — l'articolo 101 è un forte incentivo a costruire una compliance preventiva strutturata. Gli obblighi degli articoli 53 e 55 non sono adempimenti occasionali ma richiedono sistemi di gestione documentale, policy di utilizzo accettabile, procedure di segnalazione degli incidenti e capacità di cooperazione con l'AI Office. Investire in questi sistemi riduce il rischio di incorrere nelle violazioni sanzionabili e, in caso di procedimento, fornisce elementi concreti a sostegno della buona fede del fornitore. La partecipazione ai codici di buone pratiche (art. 56) e l'adesione a impegni volontari trasparenti rappresentano le leve più efficaci per posizionarsi favorevolmente sia sul piano preventivo sia su quello della commisurazione della sanzione.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Chi può sanzionare i fornitori di modelli GPAI per violazioni dell'AI Act?

La Commissione europea, direttamente, ai sensi dell'articolo 101. Non le autorità nazionali, che invece vigilano sugli altri operatori AI del mercato ai sensi dell'articolo 99. L'AI Office è la struttura operativa della Commissione per questi procedimenti.

Qual è il massimale della sanzione per i fornitori di modelli GPAI?

Fino al 3% del fatturato mondiale annuo totale dell'esercizio precedente, oppure 15 milioni di euro se il 3% del fatturato risulta inferiore a questa cifra. È il maggiore dei due valori a fare da massimale.

Quali condotte possono essere sanzionate ai sensi dell'art. 101?

Violazione delle disposizioni del Regolamento (es. obblighi artt. 53 e 55), mancata risposta a richieste di informazioni dell'AI Office, fornitura di informazioni inesatte, mancata ottemperanza a misure cautelari e diniego di accesso al modello per valutazioni.

Il fornitore di un modello GPAI ha il diritto di difendersi prima che la sanzione venga irrogata?

Sì. Il paragrafo 2 impone alla Commissione di comunicare le constatazioni preliminari al fornitore e di dargli l'opportunità di essere ascoltato prima di adottare la decisione definitiva.

È possibile impugnare la decisione sanzionatoria della Commissione?

Sì. La Corte di giustizia UE ha competenza giurisdizionale di merito: può annullare, ridurre o anche aumentare la sanzione irrogata dalla Commissione. Si tratta di un controllo più penetrante del normale sindacato di legittimità.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.