← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • I sistemi di IA integrati in grandi sistemi IT su larga scala dell'allegato X (es. Schengen, Eurodac, SIS II) immessi prima del 2 agosto 2027 devono essere conformi all'AI Act entro il 31 dicembre 2030.
  • I sistemi di IA ad alto rischio già in servizio prima del 2 agosto 2026 restano soggetti al regime previgente, salvo che subiscano modifiche significative della progettazione dopo tale data.
  • I fornitori e deployer di sistemi ad alto rischio destinati ad autorità pubbliche devono comunque conformarsi entro il 2 agosto 2030, indipendentemente dalle modifiche.
  • I fornitori di modelli GPAI già immessi prima del 2 agosto 2025 hanno tempo fino al 2 agosto 2027 per conformarsi agli obblighi del regolamento.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 111 Reg. (UE) 2024/1689 — Sistemi di IA già immessi sul mercato o messi in servizio e modelli di IA per finalità generali già immessi sul mercato

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

1. Fatta salva l'applicazione dell'articolo 5 di cui all'articolo 113, paragrafo 3, lettera a), i sistemi di IA che sono componenti di sistemi IT su larga scala istituiti dagli atti giuridici elencati nell'allegato X che sono stati immessi sul mercato o messi in servizio prima del 2 agosto 2027 sono resi conformi al presente regolamento entro il 31 dicembre 2030. Si tiene conto dei requisiti di cui al presente regolamento nella valutazione di ciascun sistema IT su larga scala istituito dagli atti giuridici elencati nell'allegato X da effettuare come previsto in tali atti giuridici e ove tali atti giuridici siano sostituiti o modificati.

2. Fatta salva l'applicazione dell'articolo 5 di cui all'articolo 113, paragrafo 3, lettera a), il presente regolamento si applica agli operatori dei sistemi di IA ad alto rischio, diversi dai sistemi di cui al paragrafo 1 del presente articolo, che sono stati immessi sul mercato o messi in servizio prima del 2 agosto 2026, solo se, a decorrere da tale data, tali sistemi sono soggetti a modifiche significative della loro progettazione. In ogni caso, i fornitori e deployers di sistemi di IA ad alto rischio destinati a essere utilizzati dalle autorità pubbliche adottano le misure necessarie per conformarsi ai requisiti e agli obblighi del presente regolamento entro il 2 agosto 2030.

3. I fornitori di modelli di IA per finalità generali che sono stati immessi sul mercato prima del 2 agosto 2025 adottano le misure necessarie per conformarsi agli obblighi di cui al presente regolamento entro 2 agosto 2027.

Stesso numero, altri codici

Commento

Il regime transitorio dell'AI Act: perché è fondamentale per le imprese

Uno degli aspetti praticamente più rilevanti dell'AI Act per le imprese che già utilizzano o distribuiscono sistemi di IA è il regime transitorio. Il regolamento non si applica con effetti istantanei a tutto ciò che già esiste: riconosce che l'adeguamento richiede tempo, risorse e pianificazione, e prevede periodi di grazia differenziati a seconda del tipo di sistema e del contesto d'uso. L'articolo 111 è la norma cardine di questo regime transitorio per i sistemi già in commercio.

Comprendere correttamente i termini e le condizioni del regime transitorio è essenziale per due motivi. Il primo è pianificatorio: sapere entro quando ci si deve adeguare consente di allocare risorse, pianificare revisioni tecniche e procedurali, formare il personale. Il secondo è di conformità immediata: il regime transitorio non è un'esenzione totale — alcune norme si applicano subito a tutti, indipendentemente dalla data di immissione sul mercato.

I sistemi di IA nei grandi sistemi IT su larga scala (par. 1)

Il par. 1 disciplina una categoria specifica: i sistemi di IA che sono componenti di grandi sistemi IT su larga scala istituiti dagli atti giuridici elencati nell'allegato X. L'allegato X comprende principalmente i grandi sistemi di informazione e di controllo delle frontiere dell'Unione: il Sistema d'informazione Schengen (SIS II), Eurodac (il sistema per le impronte digitali dei richiedenti asilo), il sistema di informazione visti (VIS), ETIAS (il sistema di autorizzazione al viaggio), EES (il sistema di entrata/uscita), ECRIS-TCN (il sistema europeo di informazione sui casellari giudiziari per i cittadini di Paesi terzi), il sistema d'informazione Europol (EIS) e altri.

Per questi sistemi, il termine di conformità è 31 dicembre 2030, purché i sistemi siano stati immessi sul mercato o messi in servizio prima del 2 agosto 2027. Questo termine particolarmente lungo riflette la complessità tecnica e istituzionale dell'adeguamento di sistemi che sono gestiti da agenzie europee e autorità nazionali, spesso in base a quadri normativi propri che richiedono modifiche legislative ad hoc. Il regolamento prevede esplicitamente che i requisiti dell'AI Act siano tenuti in conto nelle valutazioni periodiche di questi sistemi previste dai rispettivi atti istitutivi.

I sistemi ad alto rischio «ordinari» già in servizio (par. 2)

Il par. 2 è la norma di maggiore rilevanza pratica per la generalità delle imprese. I sistemi di IA ad alto rischio (diversi da quelli dell'allegato X) già immessi sul mercato o messi in servizio prima del 2 agosto 2026 — data di applicazione generale degli obblighi per i sistemi ad alto rischio — restano soggetti al regime previgente: il regolamento non si applica loro retroattivamente.

La regola del regime previgente cessa di valere in due ipotesi:

  1. Se, dopo il 2 agosto 2026, il sistema è soggetto a una «modifica significativa della progettazione». La modifica significativa equivale a una nuova immissione sul mercato e impone al fornitore di assoggettare il sistema modificato all'intero regime del regolamento. Cosa costituisca una modifica «significativa» è una questione interpretativa su cui la Commissione dovrà fornire orientamenti ai sensi dell'art. 96.
  2. In ogni caso, i fornitori e deployer di sistemi ad alto rischio destinati ad autorità pubbliche devono conformarsi al regolamento entro il 2 agosto 2030, indipendentemente dall'assenza di modifiche significative. Questa eccezione riflette una scelta di policy: i sistemi che le pubbliche autorità usano per prendere decisioni che incidono sui diritti dei cittadini — dal riconoscimento dei documenti alla valutazione delle domande di prestazione sociale — devono essere conformi ai requisiti dell'AI Act entro un orizzonte temporale definito, anche se non subiscono modifiche.
Cosa significa «modifica significativa della progettazione»

La nozione di modifica significativa è cruciale e merita un'analisi approfondita. Il regolamento (art. 3, punto 23) definisce la modifica sostanziale come «una modifica di un sistema di IA, incluso un aggiornamento software, successivamente all'immissione sul mercato o alla messa in servizio del sistema di IA, che non era prevista o pianificata nella valutazione della conformità iniziale e che ha impatto sul rispetto dei requisiti del presente regolamento da parte del sistema di IA o che comporta una modifica dell'uso previsto per il quale il sistema di IA è stato valutato».

In pratica, non ogni aggiornamento è una modifica significativa: le correzioni di bug, i miglioramenti incrementali delle prestazioni e le modifiche dell'interfaccia utente che non alterano le funzionalità di base probabilmente non lo sono. Modificano invece in modo significativo il sistema: un cambiamento del modello sottostante, un'estensione dell'ambito di applicazione a nuovi casi d'uso, una modifica dei dati di addestramento che altera il comportamento del sistema in modo rilevante. Il confine non è sempre netto, e gli orientamenti della Commissione ex art. 96 saranno essenziali per chiarirlo.

I modelli GPAI già immessi (par. 3)

Il par. 3 disciplina il regime transitorio per i modelli di IA per finalità generali (GPAI). I fornitori di modelli GPAI immessi sul mercato prima del 2 agosto 2025 — data di applicazione delle norme GPAI (art. 113, par. 3, lett. b)) — hanno tempo fino al 2 agosto 2027 per conformarsi agli obblighi del regolamento.

Questo periodo transitorio di due anni per i GPAI già sul mercato è importante per i grandi player tecnologici che avevano già distribuito modelli linguistici e multimodali prima dell'entrata in vigore delle norme. Il termine non va inteso come un margine di sicurezza da sfruttare fino all'ultimo: la produzione della documentazione tecnica, l'esecuzione delle valutazioni avversariali e l'eventuale adeguamento architetturale richiesto per soddisfare gli obblighi dei modelli con rischio sistemico (art. 55) richiedono tempi significativi. I fornitori dovrebbero avviare la pianificazione con anticipo e, possibilmente, completare l'adeguamento ben prima del 2027.

Mappa operativa dei termini transitori

Per facilitare la pianificazione aziendale, si propone una sintesi operativa dei principali termini:

  • 2 febbraio 2025: divieti dell'art. 5 applicabili a tutti i sistemi, inclusi quelli già in commercio.
  • 2 agosto 2025: norme GPAI (artt. 51-56) applicabili ai nuovi modelli immessi da questa data.
  • 2 agosto 2026: obblighi generali per i sistemi di IA ad alto rischio applicabili ai nuovi sistemi; i sistemi già in servizio restano soggetti al regime previgente salvo modifiche significative.
  • 2 agosto 2027: termine per la conformità dei modelli GPAI già immessi prima del 2 agosto 2025; termine di immissione per i sistemi IT su larga scala dell'allegato X che vogliono beneficiare del termine al 2030.
  • 2 agosto 2030: termine finale per i sistemi ad alto rischio destinati alle autorità pubbliche già in servizio; termine per i sistemi IT su larga scala dell'allegato X già immessi prima del 2 agosto 2027.
  • 31 dicembre 2030: termine alternativo per i sistemi IT su larga scala dell'allegato X immessi prima del 2 agosto 2027 (cfr. par. 1).

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Se uso un sistema di IA ad alto rischio immesso sul mercato prima del 2 agosto 2026 e non lo modifico, devo fare qualcosa?

In linea generale, no — il sistema resta soggetto al regime previgente finché non subisce modifiche significative. Tuttavia, ci sono due eccezioni: (1) i divieti dell'art. 5 si applicano subito a tutti i sistemi, anche a quelli già in uso; (2) se il sistema è usato da un'autorità pubblica, dovrete comunque conformarvi entro il 2 agosto 2030, anche in assenza di modifiche. È comunque prudente avviare una valutazione preventiva per pianificare l'adeguamento futuro.

Quando un aggiornamento del mio sistema di IA è considerato una 'modifica significativa' che fa scattare gli obblighi del regolamento?

La modifica significativa è quella che altera le prestazioni del sistema in modo rilevante, ne cambia l'uso previsto o introduce cambiamenti non previsti nella valutazione di conformità iniziale (art. 3, punto 23). Aggiornamenti minori (correzioni di bug, miglioramenti dell'interfaccia, ottimizzazioni di performance entro soglie ordinarie) probabilmente non costituiscono modifiche significative. La Commissione pubblicherà orientamenti pratici su questa distinzione ai sensi dell'art. 96.

Quali sistemi di IA sono soggetti al termine del 31 dicembre 2030?

I sistemi di IA che sono componenti dei grandi sistemi IT su larga scala elencati nell'allegato X (principalmente i sistemi di informazione europei per la gestione delle frontiere e la sicurezza interna: SIS II, Eurodac, VIS, EES, ETIAS, ECRIS-TCN), immessi prima del 2 agosto 2027.

Ho un modello GPAI già distribuito prima del 2 agosto 2025: fino a quando devo conformarmi?

Avete tempo fino al 2 agosto 2027 (art. 111, par. 3). Ma attenzione: questo non significa che possiate aspettare fino al 2027 per iniziare. Le valutazioni avversariali, la produzione della documentazione tecnica e gli adeguamenti architetturali richiesti dall'art. 55 richiedono mesi di lavoro. Avviate la pianificazione con largo anticipo rispetto al termine.

I divieti dell'art. 5 si applicano anche ai sistemi già in commercio prima del 2 febbraio 2025?

Sì. I divieti assoluti dell'art. 5 si applicano dal 2 febbraio 2025 a tutti i sistemi, indipendentemente dalla data di immissione sul mercato. Se un sistema già in uso rientra in una delle pratiche vietate (es. sistemi di social scoring, manipolazione subliminale), deve essere immediatamente cessato o modificato per eliminare la caratteristica vietata.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.