← Torna a Intelligenza artificiale — AI Act (Regolamento UE 2024/1689)
Ultimo aggiornamento: 1 Giugno 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Casi pratici
  4. Domande frequenti
  5. Vedi anche
In sintesi
  • L'articolo 87 AI Act estende esplicitamente l'applicazione della Direttiva (UE) 2019/1937 (Direttiva Whistleblowing) alle segnalazioni di violazioni del Regolamento (UE) 2024/1689 sull'intelligenza artificiale.
  • Chi segnala violazioni dell'AI Act è protetto dai meccanismi di tutela previsti dalla direttiva: divieto di ritorsioni, riservatezza sull'identità del segnalante, canali sicuri di segnalazione interni ed esterni.
  • La norma opera per rinvio recettizio: non crea un regime specifico AI Act, ma attira nel perimetro dell'AI Act le tutele già esistenti nel sistema whistleblowing europeo.
  • In Italia, il recepimento della Direttiva 2019/1937 è avvenuto con il D.Lgs. 24/2023, che si applica alle segnalazioni di violazioni AI Act effettuate da dipendenti di imprese e pubbliche amministrazioni.

Testo dell'articoloVigente

Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 87 Reg. (UE) 2024/1689 — Segnalazione delle violazioni e protezione delle persone segnalanti

Regolamento (UE) 2024/1689 del Parlamento europeo e del Consiglio del 13 giugno 2024 che stabilisce regole armonizzate sull’intelligenza artificiale (regolamento sull’intelligenza artificiale)

La direttiva (UE) 2019/1937 si applica alla segnalazione di violazioni del presente regolamento e alla protezione delle persone che segnalano tali violazioni.

Stesso numero, altri codici

Commento

Il rinvio alla Direttiva Whistleblowing: una scelta di sistema

L'articolo 87 del Regolamento (UE) 2024/1689 (AI Act) è uno degli articoli più sintetici del Regolamento: un solo periodo, che rinvia integralmente alla Direttiva (UE) 2019/1937 — la cosiddetta «Direttiva Whistleblowing» — per quanto riguarda la segnalazione di violazioni dell'AI Act e la protezione dei soggetti che le effettuano.

La scelta del legislatore europeo di operare per rinvio recettizio, anziché istituire un sistema autonomo di tutela dei segnalanti specifico per l'IA, risponde a una logica di coerenza sistemica: la Direttiva 2019/1937 ha già costruito un'infrastruttura di protezione dei whistleblower applicabile trasversalmente a numerose normative europee. Aggiungervi anche l'AI Act è più efficiente che duplicare le tutele con disposizioni settoriali.

La Direttiva 2019/1937: struttura delle tutele applicabili

La Direttiva (UE) 2019/1937, recepita in Italia con il D.Lgs. 10 marzo 2023, n. 24, definisce un sistema di protezione articolato su tre livelli:

1. Canali di segnalazione interni: le imprese private con 50 o più dipendenti e le pubbliche amministrazioni devono istituire canali di segnalazione interna che garantiscano la riservatezza dell'identità del segnalante e dell'oggetto della segnalazione. Il canale deve consentire segnalazioni anche in forma anonima, con un responsabile designato che accusa ricevuta entro sette giorni e fornisce un riscontro entro tre mesi.

2. Canali di segnalazione esterna: il segnalante può rivolgersi direttamente all'autorità esterna competente — in Italia, ANAC (Autorità Nazionale Anticorruzione) per il settore pubblico e privato — quando il canale interno non è disponibile, non funziona correttamente o il segnalante ha fondato motivo di ritenere che la segnalazione interna non sarebbe efficace.

3. Divulgazione pubblica: il segnalante può rendere pubbliche le informazioni come extrema ratio, quando le segnalazioni interne ed esterne non hanno prodotto risposta adeguata entro i termini, o quando vi è un rischio imminente per l'interesse pubblico.

Il pilastro fondamentale del sistema è il divieto di ritorsioni: licenziamento, declassamento, discriminazione, esclusione da progressioni di carriera, pressioni o mobbing a causa della segnalazione sono vietati. Qualsiasi atto ritorsivo è nullo e il segnalante ha diritto alla reintegra, al risarcimento del danno e all'inversione dell'onere della prova a suo favore.

Applicazione concreta nell'ecosistema AI Act

Chi può segnalare violazioni dell'AI Act avvalendosi delle tutele della Direttiva 2019/1937? Il D.Lgs. 24/2023 — in applicazione della direttiva — estende la protezione a una platea molto ampia di soggetti:

  • Lavoratori subordinati: dipendenti di un fornitore o di un deployer che, nel corso della propria attività, vengono a conoscenza di una violazione del Regolamento (es. un tecnico che rileva che il sistema ad alto rischio non ha la documentazione tecnica richiesta; un data scientist che scopre che il dataset di addestramento presenta bias sistematici non corretti; un responsabile compliance che accerta che la valutazione di conformità non è mai stata effettuata);
  • Lavoratori autonomi e collaboratori: consulenti, liberi professionisti, fornitori di servizi che operano nell'ecosistema del sistema di IA segnalante;
  • Soggetti in periodo di prova, stage o tirocinio;
  • Azionisti e membri degli organi di amministrazione o controllo.

Esempi concreti di violazioni dell'AI Act segnalabili:

  • Immissione sul mercato di un sistema classificabile come ad alto rischio senza la procedura di valutazione della conformità;
  • Utilizzo di un sistema di IA a finalità vietata ai sensi dell'art. 5 (es. social scoring, identificazione biometrica remota in tempo reale in spazi pubblici al di fuori delle eccezioni);
  • Mancata implementazione delle misure di sorveglianza umana richieste dall'art. 14;
  • Omessa registrazione nella banca dati UE di cui all'art. 71 per sistemi che ne sono obbligati;
  • Violazione degli obblighi di trasparenza verso gli utenti di sistemi di IA ad interazione umana (art. 50).
L'autorità competente a ricevere le segnalazioni esterne

In Italia, l'autorità di vigilanza del mercato competente per l'AI Act dovrà essere designata ai sensi dell'art. 70 del Regolamento. Fino all'attuazione completa del sistema di governance nazionale, ANAC rimane il canale esterno di segnalazione per le violazioni del D.Lgs. 24/2023, incluse quelle che riguardano violazioni di diritto europeo applicabile in materia di servizi, prodotti e mercati finanziari. Le violazioni dell'AI Act rientrano in linea di principio in questo perimetro.

A livello europeo, l'Ufficio per l'IA (art. 64 AI Act) è competente per la supervisione dei modelli GPAI e per il coordinamento delle attività di vigilanza. I segnalanti che intendono esporre violazioni relative a modelli GPAI possono avere interesse a rivolgersi direttamente all'Ufficio per l'IA attraverso i canali che verranno istituiti.

Implicazioni pratiche per le imprese

Le imprese che sviluppano o utilizzano sistemi di IA — e che sono già soggette agli obblighi del D.Lgs. 24/2023 — devono assicurarsi che i propri canali di segnalazione interna coprano esplicitamente anche le violazioni dell'AI Act. In particolare:

  • Il responsabile del canale interno deve essere adeguatamente formato per riconoscere le fattispecie di violazione dell'AI Act rilevanti;
  • La policy di whistleblowing deve essere aggiornata per includere esplicitamente l'AI Act tra le normative coperte;
  • Le procedure di gestione delle segnalazioni devono prevedere un raccordo con il responsabile AI Act compliance (che nelle imprese più strutturate potrà coincidere con il DPO o con un dedicato AI Compliance Officer).

Le sanzioni per la violazione delle tutele dei segnalanti non derivano direttamente dall'art. 99 AI Act, ma dall'apparato sanzionatorio del D.Lgs. 24/2023 e, in caso di ritorsioni, dalla legislazione lavoristica e civilistica applicabile. Tuttavia, la reputazione dell'impresa e il rischio di pubblicità negativa in caso di ritorsioni contro chi segnala violazioni AI Act sono fattori di rischio concreti da considerare nella strategia di compliance.

Casi pratici

Caso 1:

Caso 2:

Caso 3:

Domande frequenti

Chi è protetto come 'segnalante' ai sensi dell'art. 87 AI Act?

Grazie al rinvio alla Direttiva (UE) 2019/1937, sono protetti tutti i soggetti che rientrano nel campo di applicazione del D.Lgs. 24/2023: dipendenti subordinati, lavoratori autonomi e collaboratori, stagisti, tirocinanti, azionisti e membri degli organi di amministrazione o controllo. La protezione copre chiunque abbia acquisito le informazioni nel contesto lavorativo.

Quali violazioni dell'AI Act possono essere segnalate con le tutele whistleblowing?

Qualsiasi violazione del Regolamento (UE) 2024/1689: utilizzo di sistemi vietati (art. 5), assenza di valutazione della conformità per sistemi ad alto rischio, omissione della documentazione tecnica, mancato rispetto degli obblighi di trasparenza verso gli utenti (art. 50), assenza del piano di monitoraggio post-mercato, mancata registrazione nella banca dati UE, violazioni degli obblighi dei fornitori o dei deployer.

In Italia, a quale autorità ci si può rivolgere per segnalare violazioni dell'AI Act?

In Italia, ANAC (Autorità Nazionale Anticorruzione) è il canale esterno di segnalazione ai sensi del D.Lgs. 24/2023 per le violazioni di diritto europeo applicabile. L'autorità nazionale di vigilanza del mercato specificamente competente per l'AI Act dovrà essere designata ai sensi dell'art. 70 del Regolamento. Per violazioni relative a modelli GPAI, l'Ufficio per l'IA a livello europeo è l'autorità di riferimento.

Un'impresa soggetta al D.Lgs. 24/2023 deve aggiornare il proprio canale di segnalazione interna per coprire l'AI Act?

Sì. Le imprese con 50 o più dipendenti e le pubbliche amministrazioni soggette al D.Lgs. 24/2023 dovrebbero aggiornare la propria policy di whistleblowing per includere esplicitamente l'AI Act tra le normative coperte e formare il responsabile del canale interno per riconoscere le fattispecie di violazione rilevanti.

Cosa rischia un'azienda che attua ritorsioni contro chi segnala una violazione AI Act?

Le ritorsioni contro i segnalanti sono vietate dal D.Lgs. 24/2023: il segnalante ha diritto alla reintegra, al risarcimento del danno e beneficia dell'inversione dell'onere della prova. L'azienda che attua ritorsioni è esposta alle sanzioni previste dal D.Lgs. 24/2023 (applicabili da ANAC), alle conseguenze civilistiche e lavoristiche, oltre a un significativo rischio reputazionale.

Vedi anche

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 54 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.