Art. 113 Reg. (UE) 2024/1689 — Entrata in vigore e applicazione

Commento

Struttura temporale dell'AI Act: un regolamento «a fisarmonica»

L'articolo 113 del Regolamento (UE) 2024/1689 è la norma di entrata in vigore e applicazione: disciplina quando e con quale ritmo le diverse disposizioni del regolamento diventano obbligatorie per gli operatori. È un articolo apparentemente tecnico, ma di importanza fondamentale per chiunque debba pianificare la conformità: sbagliare le date di applicazione significa rischiare sanzioni per violazione di norme già applicabili, oppure — all'opposto — sprecare risorse per adeguamenti prematuri.

Il Regolamento è entrato in vigore il ventesimo giorno dopo la sua pubblicazione nella Gazzetta Ufficiale dell'UE, avvenuta il 12 luglio 2024, il che ha fissato l'entrata in vigore al 1° agosto 2024. Tuttavia, il semplice «entrar in vigore» non equivale all'applicabilità: le disposizioni si applicano secondo un calendario articolato su quattro scadenze principali, che riflettono la diversa urgenza e complessità delle diverse aree disciplinate.

Prima scadenza: 2 febbraio 2025 — I divieti assoluti

A decorrere dal 2 febbraio 2025 si applicano i Capi I e II del regolamento: il Capo I contiene le disposizioni generali (definizioni, ambito di applicazione, esclusioni), mentre il Capo II — il più critico sotto il profilo pratico — contiene le pratiche di IA vietate di cui all'articolo 5.

Dal 2 febbraio 2025, è vietato in tutta l'UE: immettere sul mercato, mettere in servizio o utilizzare sistemi di IA che impiegano tecniche di manipolazione subliminale o che sfruttano le vulnerabilità di soggetti deboli per distorcerne il comportamento in modo lesivo; sistemi di social scoring da parte delle autorità pubbliche; sistemi di riconoscimento biometrico in tempo reale in spazi pubblici da parte delle forze dell'ordine (salvo eccezioni tassativamente elencate); sistemi che categorizzano le persone in base a caratteristiche biometriche per inferirne razza, opinioni politiche, credenze religiose, ecc.; sistemi di polizia predittiva su base individuale; sistemi che scrapano immagini da internet o da CCTV per creare database di riconoscimento facciale.

Queste sono le norme più urgenti, già pienamente operative. Per i fornitori e i deployer che utilizzano sistemi con caratteristiche affini alle pratiche vietate, il 2 febbraio 2025 era la scadenza per la cessazione immediata: continuare a usare questi sistemi costituisce una violazione dell'AI Act passibile delle sanzioni previste dall'art. 99.

Seconda scadenza: 2 agosto 2025 — GPAI, governance e sanzioni

A decorrere dal 2 agosto 2025 si applicano alcune delle disposizioni di maggiore impatto per i «big player» del settore:

Il Capo V (artt. 51-56) disciplina i modelli di IA per finalità generali (GPAI): obblighi documentali, copyright, sintesi dei dataset, obblighi rafforzati per i GPAI con rischio sistemico. Dal 2 agosto 2025, i fornitori di modelli GPAI — compresi i grandi fornitori extra-UE che operano nel mercato europeo — devono rispettare gli obblighi dell'art. 53 (e, se pertinente, dell'art. 55 per i modelli con rischio sistemico).

Il Capo VII (artt. 64-70) istituisce e disciplina l'Ufficio per l'IA e gli organismi di governance: dal 2 agosto 2025, questi organismi sono pienamente operativi. Il Capo XII (artt. 99-109) disciplina le sanzioni: da questa data, le violazioni delle norme applicabili sono sanzionabili secondo i massimali dell'art. 99. L'art. 78 sulla riservatezza diventa applicabile dalla stessa data. Si applica anche il Capo III, Sezione 4, che disciplina la notifica degli organismi notificati.

Terza scadenza: 2 agosto 2026 — La regola generale e i sistemi ad alto rischio

Il 2 agosto 2026 è la scadenza principale: da questo giorno si applica l'intero regolamento, salvo le eccezioni già citate e quella aggiuntiva dell'art. 6, par. 1. Per i sistemi di IA ad alto rischio (Capo III), questa è la data in cui diventano obbligatori tutti i requisiti degli artt. 8-15 (governance dei dati, documentazione tecnica, registrazione dei log, trasparenza, robustezza, supervisione umana, accuratezza) e gli obblighi corrispondenti per fornitori e deployer.

Dal 2 agosto 2026, i fornitori di sistemi ad alto rischio devono aver completato: la procedura di valutazione della conformità, la redazione della documentazione tecnica (Allegato IV), la dichiarazione di conformità UE (art. 47), l'apposizione della marcatura CE, la registrazione nella banca dati UE (art. 71). I deployer devono aver implementato la supervisione umana, predisposto i sistemi di monitoraggio e registrazione dei log, e adottato misure di protezione dei diritti fondamentali.

Quarta scadenza: 2 agosto 2027 — I sistemi di componente di sicurezza

L'art. 113, par. 1, lett. c prevede un'ulteriore dilazione per i sistemi di IA cui si applica l'art. 6, par. 1: si tratta dei sistemi che sono componenti di sicurezza di prodotti soggetti alla normativa di armonizzazione UE elencata nell'Allegato I, Sezione A, quando tali sistemi sono sottoposti a valutazione della conformità di terza parte. Per questi sistemi, gli obblighi derivanti dall'art. 6, par. 1 si applicano solo dal 2 agosto 2027, un anno dopo la scadenza generale. Questa dilazione riflette la maggiore complessità procedurale dell'integrazione degli obblighi AI Act nelle procedure di conformità già esistenti per questi prodotti (dispositivi medici, macchine, aeromobili, ecc.).

Implicazioni per la pianificazione della conformità aziendale

La scansione temporale dell'art. 113 impone alle imprese una pianificazione differenziata per categoria di disposizioni. Per le pratiche vietate (art. 5), ogni attività incompatibile doveva cessare entro il 2 febbraio 2025: chi non lo ha fatto è già in violazione e deve intervenire con urgenza. Per i fornitori di GPAI, gli obblighi dell'art. 53 sono operativi dal 2 agosto 2025: è necessario verificare la conformità dei processi di documentazione, copyright e trasparenza. Per i sistemi ad alto rischio in senso stretto, la scadenza del 2 agosto 2026 lascia ancora tempo per completare i percorsi di conformità, ma la pianificazione deve iniziare con congruo anticipo, considerando i tempi di accreditamento degli organismi notificati (che possono essere lunghi) e la complessità della documentazione tecnica richiesta.

È opportuno anche ricordare che le disposizioni applicabili dal 2 agosto 2025 (Capo XII sulle sanzioni) rendono già operativo il regime sanzionatorio per le violazioni delle norme già in vigore da quella data: la sanzione per la violazione delle pratiche vietate può arrivare, secondo l'art. 99, a 35 milioni di euro o al 7% del fatturato mondiale annuo totale dell'esercizio precedente, se superiore.