Nel dibattito sull’applicazione dell’Artificial Intelligence Act (Regolamento (UE) 2024/1689), l’attenzione degli operatori economici si è concentrata sulla disciplina dei sistemi di intelligenza artificiale qualificati come ad alto rischio, ossia sulla categoria di applicazioni che il legislatore europeo assoggetta al regime più rigoroso sotto il profilo della conformità, della documentazione tecnica, del controllo umano, della qualità dei dati e della sorveglianza post-commercializzazione.
Tuttavia occorre fare attenzione: una volta esclusa la riconducibilità di un sistema di IA alle ipotesi di alto rischio, l’impresa non è del tutto libera dagli adempimenti prescritti dall’Artificial Intelligence Act.
L’architettura del Regolamento contempla, invero, anche obblighi trasversali, doveri di trasparenza per determinate tipologie di sistemi, regole peculiari per i modelli di IA per finalità generali, nonché il divieto di pratiche reputate inammissibili nell’ordinamento dell’Unione.
Le prime disposizioni dell’Artificial Intelligence Act hanno peraltro già iniziato a trovare applicazione dal 2 febbraio 2025, mentre ulteriori obblighi, fra cui quelli di trasparenza, entreranno in vigore in momenti successivi secondo la scansione temporale prevista dal legislatore europeo.
Con questo articolo vogliamo chiarire in quale misura chi sviluppa, commercializza, integra o utilizza professionalmente sistemi di IA non qualificabili come ad alto rischio sia tenuto a conformarsi a specifici adempimenti dell’Artificial Intelligence Act.
L’ambito di applicazione dell’Artificial Intelligence Act
Per comprendere entro quali limiti un’impresa sia tenuta a conformarsi al Regolamento (UE) 2024/1689, occorre muovere da una precisazione di carattere preliminare: la verifica dell’assoggettamento all’Artificial Intelligence Act non coincide affatto con la sola qualificazione del sistema come “ad alto rischio”.
Prima ancora di affrontare il tema della classificazione di cui all’art. 6, è infatti necessario accertare se il prodotto, il servizio o il componente software concretamente impiegato rientri nella nozione di sistema di intelligenza artificiale accolta dal Regolamento e se il soggetto che lo sviluppa, lo mette a disposizione sul mercato, lo integra in una propria soluzione ovvero lo utilizza professionalmente ricopra una delle qualifiche soggettive prese in considerazione dal legislatore europeo.
Le FAQ della Commissione e il testo del Regolamento confermano, infatti, che l’Artificial Intelligence Act opera attraverso una disciplina differenziata dei ruoli, distinguendo tra provider, deployer, importatori, distributori, rappresentanti autorizzati e, in taluni casi, fabbricanti di prodotti che incorporano sistemi di IA.
Ne deriva che l’impresa non dovrebbe arrestare la propria analisi alla sola domanda se il sistema sia o meno “high-risk”, ma deve anzitutto comprendere quale sia la propria esatta collocazione nella catena di progettazione, commercializzazione e impiego del sistema.
Tale operazione assume rilievo decisivo soprattutto nei casi, oggi assai frequenti, in cui un operatore economico non sviluppi integralmente il modello o l’applicativo, ma incorpori nel proprio software componenti di IA di terzi, li personalizzi, li metta a disposizione dei clienti oppure li utilizzi per finalità professionali interne.
L’applicazione progressiva delle disposizioni
In un precedente contributo abbiamo analizzato il meccanismo di applicazione progressiva previsto dal Regolamento (UE) 2024/1689. Anche sotto questo profilo, infatti, l’Artificial Intelligence Act smentisce l’idea, ancora diffusa nella prassi, secondo cui le imprese potrebbero considerarsi sostanzialmente estranee alla nuova disciplina almeno fino alla piena applicazione generale del Regolamento.
La scansione temporale delineata dal legislatore europeo dimostra, al contrario, che alcune disposizioni hanno già acquisito rilevanza pratica, mentre altre sono divenute o diverranno applicabili in momenti differenti in ragione della materia regolata.
In particolare, la Commissione europea chiarisce che i divieti relativi alle pratiche di IA vietate, le definizioni e le disposizioni in materia di AI literacy trovano applicazione dal 2 febbraio 2025, mentre le norme in materia di governance e gli obblighi riferiti ai modelli di IA per finalità generali sono divenuti applicabili dal 2 agosto 2025.
La stessa disciplina generale del Regolamento troverà poi applicazione dal 2 agosto 2026, con ulteriori differimenti previsti per talune categorie di sistemi ad alto rischio, in particolare quelli incorporati in prodotti regolamentati.
L’obbligo di AI literacy come dovere generale nell’Artificial Intelligence Act
Tra gli obblighi che assumono immediato rilievo (anche al di fuori dell’area dei sistemi ad alto rischio) vi è la c.d. AI literacy, ossia al dovere, previsto dall’art. 4 del Regolamento (UE) 2024/1689, di adottare misure idonee ad assicurare un livello sufficiente di alfabetizzazione in materia di intelligenza artificiale nei confronti del personale e degli altri soggetti che operano per conto dell’organizzazione.
Si tratta di una disposizione di particolare importanza sistematica, poiché rende evidente come il Regolamento introduca un obbligo organizzativo di carattere trasversale, destinato a gravare sui provider e sui deployer di sistemi di IA in ragione del loro concreto coinvolgimento nell’uso professionale della tecnologia.
La Commissione europea ha chiarito, nelle proprie FAQ ufficiali, che tale obbligo richiede di tener conto del livello di conoscenza tecnica, dell’esperienza, della formazione e del ruolo dei soggetti interessati, nonché del contesto in cui il sistema viene impiegato e delle persone sulle quali il sistema stesso è destinato a produrre effetti.
L’adempimento non può essere assolto in modo puramente formale o standardizzato, dovendo piuttosto essere calibrato sulla specifica realtà aziendale e sul tipo di strumenti concretamente adottati. Per un’impresa che sviluppa software con componenti di IA, che integra modelli di terzi nei propri applicativi o che utilizza stabilmente soluzioni generative nei processi interni, ciò si traduce nella necessità di predisporre attività formative, istruzioni interne, presìdi di uso consapevole e procedure organizzative idonee a garantire che il sistema sia compreso nei suoi limiti, nei suoi rischi e nelle sue condizioni di impiego lecito.
Obblighi di trasparenza per chatbot, sistemi generativi e contenuti sintetici
L’assenza di una qualificazione del sistema come ad alto rischio non comporta, neppure sotto il profilo informativo, un generale esonero da obblighi specifici, poiché l’Artificial Intelligence Act prevede, per determinate tipologie di sistemi, autonomi doveri di trasparenza destinati a operare indipendentemente dall’inquadramento di cui all’art. 6.
In questa prospettiva assume particolare rilievo l’art. 50 del Regolamento (UE) 2024/1689, il quale impone che le persone fisiche siano informate del fatto di interagire con un sistema di intelligenza artificiale, salvo che tale circostanza risulti evidente in ragione del contesto e delle modalità d’uso.
La disposizione assume oggi una rilevanza pratica considerevole per tutte le imprese che impiegano o mettono a disposizione chatbot, assistenti virtuali, interfacce conversazionali, sistemi di supporto automatico al cliente o strumenti generativi incorporati in piattaforme digitali, gestionali o applicativi professionali.
Allo stesso modo, specifici obblighi informativi riguardano i sistemi idonei a generare o manipolare contenuti sintetici, incluse immagini, audio e video, nonché i casi in cui l’output artificiale possa risultare idoneo a confondere il destinatario circa la sua origine non umana. Il fondamento della disciplina risiede nell’esigenza di tutelare l’autodeterminazione informativa degli utenti e di preservare un livello minimo di riconoscibilità dell’interazione artificiale, evitando che l’impiego professionale dell’IA si traduca in una rappresentazione opaca o ingannevole del processo comunicativo e decisionale.
Per le imprese che commercializzano o integrano strumenti di IA, ciò implica la necessità di interrogarsi non solo sulla liceità dell’uso del sistema, ma anche sulla correttezza delle modalità con cui esso viene presentato all’utente finale, documentato contrattualmente e reso riconoscibile nella concreta esperienza d’uso.
Le FAQ della Commissione europea confermano che gli obblighi di trasparenza previsti dall’Artificial Intelligence Act diverranno applicabili dal 2 agosto 2026, e proprio per tale ragione è opportuno che le imprese inizino già ora a predisporre adeguati presìdi informativi e soluzioni di interfaccia coerenti con il futuro quadro regolatorio.
Algoritmi di terze parti: profili contrattuali e organizzativi
Uno dei casi più frequenti nella prassi applicativa è quello dell’impresa che non sviluppa integralmente un sistema di intelligenza artificiale proprietario, ma incorpora nel proprio prodotto o servizio digitale modelli, API o componenti algoritmiche fornite da soggetti terzi.
Si tratta di un’ipotesi che, proprio per la sua diffusione, impone di spendere qualche parola. L’Artificial Intelligence Act non consente di risolvere la questione con la semplice constatazione che il modello sottostante sia stato realizzato da altro operatore. Al contrario, il Regolamento costruisce la propria disciplina distinguendo tra diversi ruoli soggettivi, tra cui provider, deployer, importatori e distributori, con la conseguenza che l’impresa che integra un componente di IA di terzi deve anzitutto comprendere quale posizione essa occupi nella concreta filiera tecnologica e commerciale.
Sotto il profilo operativo, tale verifica assume rilievo sia sul piano contrattuale sia su quello organizzativo. L’operatore che incorpora un modello o una funzionalità di IA in un proprio applicativo non può infatti limitarsi a confidare nell’adempimento del fornitore originario, ma deve verificare la documentazione disponibile, le condizioni di utilizzo della tecnologia, i limiti funzionali del componente integrato, le eventuali restrizioni imposte dal provider e la compatibilità tra la soluzione di terzi e l’uso professionale cui il sistema è destinato.
Detto altrimenti, l’integrazione di algoritmi di terze parti non solleva l’impresa dall’obbligo informativo verso clienti o utenti finali né da responsabilità. Si tratta, dunque, di un terreno sdrucciolevole in cui un’attenta attività di compliance può fare la differenza in termini di responsabilità.
Modelli di IA per finalità generali: quando rilevano anche fuori dall’alto rischio
Nel ricostruire il quadro degli obblighi applicabili ai sistemi di IA non qualificabili come ad alto rischio, occorre dedicare autonoma attenzione ai modelli di IA per finalità generali, poiché l’Artificial Intelligence Act riserva a tali modelli una disciplina specifica, distinta sia dal regime delle pratiche vietate sia da quello dei sistemi high-risk in senso stretto.
La rilevanza di questo segmento normativo è particolarmente evidente nella prassi, ove numerose imprese sviluppano applicativi, piattaforme o servizi digitali fondati sull’integrazione di modelli generativi o di altra natura general-purpose, messi a disposizione da fornitori terzi e successivamente impiegati per finalità commerciali, organizzative o professionali.
In tale contesto, è essenziale evitare un duplice equivoco: da un lato, non ogni impresa che utilizza un modello di IA per finalità generali assume, per ciò solo, la qualifica di provider del modello; dall’altro lato, la circostanza che il sistema finale non ricada tra quelli ad alto rischio non esclude affatto la rilevanza delle disposizioni che l’Artificial Intelligence Act dedica ai GPAI models.
La Commissione europea ha chiarito che gli obblighi gravanti sui provider di tali modelli si applicano dal 2 agosto 2025 e comprendono, in particolare, doveri di documentazione tecnica, obblighi informativi verso i provider downstream, l’adozione di una policy per il rispetto del diritto d’autore e la predisposizione di un summary sufficientemente dettagliato dei contenuti utilizzati per l’addestramento del modello.
Va precisato che, anche quando l’impresa non sia direttamente assoggettata a tutti gli obblighi propri del provider del modello generale, dovrebbe comunque comprendere se operi a valle di un GPAI model, se il fornitore abbia assolto agli adempimenti di propria competenza e in che misura tali elementi incidano sulla liceità, sulla trasparenza e sulla sostenibilità contrattuale del servizio o del software offerto sul mercato.
I sistemi non ad alto rischio e il limite invalicabile delle pratiche vietate
Infine va ricordato che l’Artificial Intelligence Act contiene, già nei suoi primi capi, una disciplina autonoma delle pratiche di intelligenza artificiale vietate, la cui funzione è quella di sottrarre radicalmente determinati usi della tecnologia al perimetro del lecito, indipendentemente dalla loro eventuale collocazione al di fuori dell’alto rischio in senso tecnico. La Commissione europea ha infatti pubblicato specifiche linee guida sull’interpretazione delle pratiche vietate, sottolineando come tale blocco normativo costituisca una delle prime parti del Regolamento a divenire applicabile.
Sotto questo profilo, l’impresa che sviluppa, integra o utilizza professionalmente sistemi di IA non può limitarsi a concludere che il proprio applicativo non rientri nell’Allegato III, ma deve anche verificare che esso non sia impiegato secondo modalità incompatibili con i divieti posti dal legislatore europeo.
L’Artificial Intelligence Act vieta, infatti, taluni usi dell’IA ritenuti incompatibili con la tutela della dignità, dell’autonomia individuale, della non discriminazione e dei diritti fondamentali, così imponendo all’operatore economico una verifica ulteriore e logicamente preliminare rispetto a quella concernente gli adempimenti di trasparenza o di governance.
La conseguenza è che anche un sistema apparentemente “ordinario”, o comunque non classificabile come high-risk, può dar luogo a criticità giuridiche rilevantissime ove venga impiegato in forme che incidano in modo inammissibile sulla sfera personale degli interessati o che si traducano in pratiche manipolative, abusive o comunque vietate dall’ordinamento europeo.
Consulenza e assistenza legale per imprese in materia di Intelligenza Artificiale
Dall’esame sin qui svolto emerge che il Regolamento (UE) 2024/1689 non consente di assimilare la nozione di sistema di IA non ad alto rischio a quella di sistema sostanzialmente sottratto a prescrizioni normative.
In questo ambito, il nostro Studio presta assistenza in materia di diritto dell’informatica e delle nuove tecnologie, contrattualistica IT e corporate compliance, supportando imprese e operatori economici, nella valutazione degli obblighi derivanti dall’Artificial Intelligence Act.
Ai sensi dell’art. 70-quater della Legge 633/1941, ai fini della tutela del diritto d’autore, si dichiara che il presente contenuto è riservato, e ne è vietata la riproduzione o l’estrazione di testo, anche mediante sistemi di intelligenza artificiale.