NIS2 e DORA in vigore. EU AI Act in arrivo — prenota una demo
Tutti i framework
Framework normativo

Conformita EU AI Act, completamente automatizzata

L'EU AI Act e la prima regolamentazione completa sull'intelligenza artificiale al mondo - obbligatoria dal 2 agosto 2026. Matproof copre la classificazione del rischio, lo screening delle pratiche vietate, la governance dei dati, la sorveglianza umana e la valutazione di conformita.

Richieda una demo

Cos'e l'EU AI Act?

L'EU AI Act (Regolamento 2024/1689) e il primo quadro normativo completo al mondo che regola l'intelligenza artificiale. Adottato dal Parlamento Europeo nel marzo 2024 e pubblicato nella Gazzetta Ufficiale il 12 luglio 2024, stabilisce regole armonizzate per lo sviluppo, l'immissione sul mercato e l'utilizzo dei sistemi IA nell'Unione Europea. Il regolamento adotta un approccio basato sul rischio, con obblighi che vanno dal divieto assoluto ai requisiti di trasparenza e documentazione.

L'AI Act classifica i sistemi IA in quattro livelli di rischio: vietati (pratiche IA che comportano rischi inaccettabili per i diritti fondamentali), ad alto rischio (IA utilizzata in aree critiche come biometria, istruzione, occupazione, forze dell'ordine e servizi essenziali), a rischio limitato (IA che richiede obblighi specifici di trasparenza come chatbot e deepfake) e a rischio minimo (tutta l'altra IA senza obblighi specifici oltre all'alfabetizzazione in materia di IA).

Per i sistemi IA ad alto rischio, il regolamento stabilisce requisiti completi che coprono la gestione del rischio (Art. 9), la governance dei dati (Art. 10), la documentazione tecnica (Art. 11), la tenuta dei registri (Art. 12), la trasparenza (Art. 13), la sorveglianza umana (Art. 14) e l'accuratezza, la robustezza e la cybersicurezza (Art. 15). I fornitori devono inoltre implementare sistemi di gestione della qualita e sottoporsi a valutazioni di conformita prima di immettere i sistemi sul mercato.

L'AI Act introduce anche obblighi per i modelli di IA per finalita generali (GPAI) ai sensi degli Articoli 53-55, tra cui documentazione tecnica, conformita al diritto d'autore e requisiti aggiuntivi per i modelli che presentano rischi sistemici. Il regolamento e applicato attraverso una combinazione dell'Ufficio europeo per l'IA, delle autorita nazionali competenti e degli organismi di vigilanza del mercato.

Chi deve conformarsi all'EU AI Act?

L'EU AI Act si applica a qualsiasi organizzazione che sviluppa, implementa o utilizza sistemi IA all'interno o al servizio del mercato UE. L'ambito e volutamente ampio per comprendere l'intera catena del valore dell'IA:

Fornitori di IA (sviluppatori)

  • Aziende che sviluppano sistemi IA per il mercato UE
  • Fornitori di modelli GPAI (ad es. sviluppatori di modelli fondazionali)
  • Sviluppatori di IA open-source (con esenzioni per la ricerca)
  • Aziende extra-UE il cui output IA e utilizzato nell'UE
  • Produttori che integrano l'IA in prodotti regolamentati
  • Aziende che adattano o perfezionano modelli IA di terze parti

Utilizzatori di IA (deployer)

  • Enti del settore pubblico che utilizzano sistemi IA ad alto rischio
  • Istituzioni finanziarie che utilizzano l'IA per il credit scoring
  • Datori di lavoro che utilizzano l'IA per il reclutamento e le decisioni HR
  • Fornitori di assistenza sanitaria che utilizzano sistemi diagnostici IA
  • Aziende che utilizzano l'IA per l'identificazione biometrica
  • Qualsiasi organizzazione che utilizza IA ad alto rischio nell'UE

Tutte le organizzazioni che utilizzano l'IA nell'UE devono garantire l'alfabetizzazione in materia di IA tra il proprio personale (Art. 4), indipendentemente dal fatto che i loro sistemi IA siano classificati come ad alto rischio. Questo obbligo si applica dal 2 febbraio 2025. Per i fornitori e gli utilizzatori di IA ad alto rischio, l'insieme completo degli obblighi si applica dal 2 agosto 2026.

Not sure if you're compliant?

Take the free EU AI Act readiness assessment — 10 questions, 3 minutes.

Check your readiness

Requisiti chiave dell'EU AI Act

1. Classificazione del rischio IA (Articoli 5-7, Annex III)

Il fondamento della conformita all'AI Act e la corretta classificazione di ciascun sistema IA per livello di rischio. L'Articolo 5 definisce le pratiche vietate (in vigore da febbraio 2025). Gli Articoli 6-7 e l'Annex III definiscono le categorie ad alto rischio che coprono biometria, infrastrutture critiche, istruzione, occupazione, servizi essenziali, forze dell'ordine, migrazione e giustizia. Le organizzazioni devono mantenere un inventario dei sistemi IA, classificare ciascun sistema e rivedere regolarmente le classificazioni man mano che i casi d'uso evolvono.

2. Sistema di gestione del rischio IA (Articolo 9)

I fornitori di IA ad alto rischio devono istituire un sistema di gestione del rischio continuo e iterativo che copra l'intero ciclo di vita. Cio include l'identificazione e l'analisi dei rischi noti e prevedibili, la stima e la valutazione dei rischi derivanti dall'uso previsto e dall'uso improprio, l'adozione di misure di mitigazione del rischio e test per garantire che i rischi residui siano accettabili. Il sistema di gestione del rischio deve essere documentato, regolarmente aggiornato e testato per tutta la durata del sistema IA.

3. Governance dei dati (Articolo 10)

I dataset di addestramento, validazione e test per l'IA ad alto rischio devono soddisfare rigorosi requisiti di governance. Cio include garantire la qualita, la pertinenza, la rappresentativita e l'assenza di errori nei dati. I dataset devono essere esaminati per potenziali bias, in particolare quelli che riguardano caratteristiche protette. Laddove sia necessario il trattamento di dati personali per il monitoraggio dei bias, devono essere implementate garanzie specifiche. Le pratiche di governance dei dati devono essere documentate e verificabili.

4. Sorveglianza umana (Articolo 14)

I sistemi IA ad alto rischio devono essere progettati per consentire un'efficace sorveglianza umana. Gli operatori umani devono essere in grado di comprendere pienamente le capacita e i limiti del sistema, interpretare correttamente gli output, decidere quando non utilizzare il sistema o ignorarne l'output e intervenire o interrompere il funzionamento. Per l'identificazione biometrica in tempo reale, si applicano garanzie aggiuntive, tra cui la necessita che almeno due persone fisiche confermino i risultati dell'identificazione.

5. Documentazione tecnica e trasparenza (Articoli 11-13)

I fornitori devono predisporre una documentazione tecnica dettagliata secondo l'Annex IV prima di immettere un sistema IA ad alto rischio sul mercato. Cio comprende la progettazione del sistema, la metodologia di sviluppo, il monitoraggio e i test, le metriche di accuratezza e i limiti noti. Gli utilizzatori devono ricevere istruzioni d'uso chiare che includano l'identita del fornitore, le caratteristiche del sistema, le metriche di performance, i rischi noti e le misure di sorveglianza umana necessarie.

6. Valutazione di conformita e marcatura CE (Articoli 19-20, 43)

Prima di immettere un sistema IA ad alto rischio sul mercato UE, i fornitori devono condurre una valutazione di conformita, preparare una Dichiarazione di conformita UE (Annex V) e apporre la marcatura CE. La valutazione puo essere eseguita autonomamente per la maggior parte dei sistemi ad alto rischio utilizzando un approccio basato sul sistema di gestione della qualita (Annex VII), ma i sistemi biometrici IA utilizzati dalle forze dell'ordine richiedono una valutazione da parte di terzi mediante un organismo notificato. I sistemi devono inoltre essere registrati nella banca dati UE.

7. Obblighi per i modelli GPAI (Articoli 53-55)

I fornitori di modelli GPAI devono preparare e mantenere la documentazione tecnica, fornire informazioni ai fornitori a valle, stabilire politiche di conformita al diritto d'autore e pubblicare sintesi dei dati di addestramento. I modelli GPAI che presentano rischi sistemici (basati sul calcolo cumulativo o sulla designazione della Commissione) sono soggetti a obblighi aggiuntivi: valutazione del modello per i rischi sistemici, test avversariali, segnalazione di incidenti gravi all'Ufficio per l'IA e protezioni adeguate di cybersicurezza.

Sanzioni per la non conformita all'EU AI Act

L'AI Act stabilisce uno dei regimi sanzionatori piu significativi nella regolamentazione tecnologica dell'UE, con sanzioni calcolate come il valore piu elevato tra un importo fisso o una percentuale del fatturato annuo globale:

Fino a 35M EUR / 7%

per violazioni delle pratiche IA vietate (Articolo 5) - le sanzioni piu severe del regolamento

Fino a 15M EUR / 3%

per la non conformita agli obblighi per l'IA ad alto rischio, ai requisiti per i modelli GPAI o agli obblighi degli organismi notificati

Fino a 7,5M EUR / 1%

per la fornitura di informazioni errate, incomplete o fuorvianti alle autorita o agli organismi notificati

Proporzionalita per le PMI

Le PMI e le startup sono soggette al valore piu basso tra l'importo fisso e il tetto percentuale - garantendo sanzioni proporzionate

Oltre alle sanzioni pecuniarie, la non conformita puo comportare il ritiro dei sistemi IA dal mercato, la limitazione dell'uso e danni reputazionali. Le autorita nazionali di vigilanza del mercato dispongono di ampi poteri investigativi e correttivi, e l'Ufficio europeo per l'IA supervisiona direttamente i fornitori di modelli GPAI.

Come prepararsi alla conformita all'EU AI Act

Con gli obblighi per l'IA ad alto rischio applicabili dal 2 agosto 2026, le organizzazioni dovrebbero iniziare la preparazione ora. Ecco un approccio strutturato per raggiungere la conformita:

  1. 1

    Inventario e classificazione dei sistemi IA

    Crei un inventario completo di tutti i sistemi IA utilizzati o sviluppati dalla Sua organizzazione. Classifichi ciascun sistema secondo i livelli di rischio definiti negli Articoli 5-7 e nell'Annex III. Identifichi le pratiche vietate, i casi d'uso ad alto rischio e gli obblighi di trasparenza. Questo inventario diventa la base per tutte le successive attivita di conformita.

  2. 2

    Gap analysis rispetto ai requisiti

    Per ciascun sistema IA ad alto rischio, valuti le pratiche attuali rispetto all'intero insieme dei requisiti degli Articoli 9-15. Identifichi le lacune nella gestione del rischio, nella governance dei dati, nella documentazione tecnica, nella registrazione, nella trasparenza, nella sorveglianza umana e nell'accuratezza/robustezza. Dia priorita alle azioni correttive in base al rischio e alla complessita di implementazione.

  3. 3

    Sistema di gestione del rischio IA

    Istituisca un processo di gestione del rischio continuo e iterativo per ciascun sistema IA ad alto rischio. Documenti le misure di identificazione, analisi, valutazione e trattamento del rischio. Implementi protocolli di test per verificare che i rischi residui siano accettabili. Assicuri che il sistema copra l'intero ciclo di vita dell'IA dalla progettazione all'implementazione e al monitoraggio post-immissione sul mercato.

  4. 4

    Governance dei dati e test dei bias

    Implementi pratiche di governance dei dati per i dataset di addestramento, validazione e test. Stabilisca criteri di qualita, verifiche di rappresentativita e processi di esame dei bias. Documenti la provenienza dei dati, le fasi di pre-elaborazione e i limiti. Configuri il monitoraggio continuo dei bias per i sistemi implementati.

  5. 5

    Preparazione alla valutazione di conformita

    Prepari la documentazione tecnica secondo l'Annex IV, implementi un sistema di gestione della qualita ai sensi dell'Articolo 17 e predisponga la Dichiarazione di conformita UE secondo l'Annex V. Per i sistemi di identificazione biometrica utilizzati dalle forze dell'ordine, coinvolga un organismo notificato per la valutazione da parte di terzi. Registri i sistemi nella banca dati UE ai sensi dell'Articolo 49.

  6. 6

    Alfabetizzazione IA e conformita continua

    Implementi un programma di alfabetizzazione in materia di IA per tutto il personale ai sensi dell'Articolo 4. Istituisca il monitoraggio post-immissione sul mercato (Articolo 72), la segnalazione di incidenti gravi (Articolo 73) e i processi di sorveglianza umana continua. Integri la conformita all'AI Act nel quadro esistente di governance, rischio e compliance della Sua organizzazione.

Domande frequenti sull'EU AI Act

Cos'e l'EU AI Act?

L'EU AI Act (Regolamento 2024/1689) e il primo quadro normativo completo al mondo per l'intelligenza artificiale. Stabilisce un approccio basato sul rischio per la regolamentazione dei sistemi IA, con obblighi che vanno dal divieto assoluto ai requisiti di trasparenza. I sistemi IA ad alto rischio sono soggetti ai requisiti piu rigorosi, tra cui gestione del rischio, governance dei dati e valutazioni di conformita. La piena applicazione inizia il 2 agosto 2026.

Chi deve conformarsi all'EU AI Act?

L'AI Act si applica ai fornitori (sviluppatori) e agli utilizzatori (deployer) di sistemi IA immessi sul mercato UE o il cui output e utilizzato nell'UE. Cio include le aziende con sede nell'UE, le aziende extra-UE che servono i mercati UE e i fornitori di modelli di IA per finalita generali. Tutte le organizzazioni che utilizzano l'IA nell'UE devono garantire l'alfabetizzazione in materia di IA tra il proprio personale.

Quali sono le sanzioni per la non conformita?

Le sanzioni sono severe: fino a 35 milioni di EUR o il 7% del fatturato annuo globale per le pratiche IA vietate, fino a 15 milioni di EUR o il 3% per gli obblighi relativi all'IA ad alto rischio e fino a 7,5 milioni di EUR o l'1% per la fornitura di informazioni errate. Le PMI e le startup sono soggette a tetti proporzionalmente inferiori.

Cosa qualifica un sistema IA come ad alto rischio?

I sistemi IA ad alto rischio sono definiti nell'Annex III e includono l'IA utilizzata in: identificazione biometrica, gestione delle infrastrutture critiche, istruzione e formazione professionale, occupazione e gestione dei lavoratori, accesso ai servizi essenziali, forze dell'ordine, migrazione e controllo delle frontiere e amministrazione della giustizia.

Qual e la differenza tra l'EU AI Act e la ISO 42001?

L'EU AI Act e un regolamento giuridicamente vincolante con meccanismi di applicazione e sanzioni, mentre la ISO 42001 e uno standard internazionale volontario per i sistemi di gestione dell'IA. La ISO 42001 puo aiutare a dimostrare la conformita ma non la garantisce. L'AI Act prevede requisiti specifici come le valutazioni di conformita, la marcatura CE e la segnalazione degli incidenti che vanno oltre la ISO 42001.

Quando diventa applicabile l'EU AI Act?

L'AI Act e entrato in vigore il 1 agosto 2024 con un'attuazione graduale: le pratiche IA vietate dal 2 febbraio 2025; gli obblighi per i modelli GPAI dal 2 agosto 2025; e i requisiti completi per l'IA ad alto rischio dal 2 agosto 2026.

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Funzionalita principali

Classificazione del rischio IA (Art. 6)

Inventario automatizzato dei sistemi IA con classificazione del rischio secondo le categorie dell'Annex III. Monitoraggio continuo per sistemi vietati, ad alto rischio, a rischio limitato e a rischio minimo.

Screening delle pratiche vietate (Art. 5)

Verifica di tutti i casi d'uso dell'IA rispetto ai divieti dell'Articolo 5 - manipolazione subliminale, punteggio sociale, inferenza emotiva e categorizzazione biometrica. Avvisi automatizzati e misure correttive.

Sistema di gestione del rischio (Art. 9)

Costruisca e mantenga sistemi continui di gestione del rischio IA. Identificazione, analisi, valutazione e trattamento del rischio - con tracciamento completo dell'audit e raccolta delle evidenze.

Sorveglianza umana (Art. 14)

Documenti le misure di sorveglianza umana per l'IA ad alto rischio. Tracciamento dei ruoli degli operatori, delle procedure di intervento, delle capacita di override e della prevenzione del bias di automazione.

Documentazione tecnica (Art. 11)

Generi e mantenga la documentazione tecnica secondo l'Annex IV. Progettazione del sistema, metodologia di sviluppo, procedure di test e metriche di performance - tutto in un unico posto.

Valutazione di conformita (Art. 19)

Si prepari alle valutazioni di conformita con gap analysis automatizzata. Generazione della Dichiarazione di conformita UE e documentazione per la marcatura CE.

Perche Matproof

Copre tutti gli obblighi dell'EU AI Act su un'unica piattaforma
Classificazione del rischio basata sull'IA secondo le categorie dell'Annex III
Policy predefinite per tutte le 8 aree chiave della governance IA
Residenza dei dati 100% UE (ospitato in Germania)

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Storie di clienti

Team che non temono più la stagione degli audit.

85%tempo di preparazione in meno

Matproof ci ha risparmiato mesi di preparazione all'audit. Abbiamo collegato i nostri strumenti il lunedì e venerdì avevamo già le evidenze mappate su DORA. Il nostro revisore è rimasto colpito dalla profondità della pista di audit.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

Pronto per iniziare?

Pronto per iniziare?

Scopra come Matproof automatizza la compliance per la Sua organizzazione.

Richieda una demo