La Legge sull'IA dell'UE: Cosa Accade il 2 Agosto 2025?

Maggio 13, 2025

La Legge sull’IA dell’UE: Cosa Accade il 2 Agosto 2025?

Una scadenza chiave per stati membri, Commissione e fornitori di IA

La Legge sull’IA dell’UE (AI Act) è una normativa cruciale che mira a regolare l’intelligenza artificiale per garantire sicurezza e rispetto dei diritti fondamentali in Europa. La sua attuazione avviene gradualmente, con diverse disposizioni che entrano in vigore in momenti specifici. Una data particolarmente importante nel cronoprogramma di attuazione è il 2 agosto 2025.

Questa data non segna l’applicazione completa della Legge sull’IA, ma è un punto di svolta significativo che impone obblighi diretti agli Stati membri e alla Commissione, e stabilisce l’applicazione di regole fondamentali per alcune aree specifiche e tipi di sistemi IA.

Disposizioni della Legge sull’IA che Iniziano ad applicarsi il 2 agosto 2025

A partire dal 2 agosto 2025, diverse parti cruciali della Legge sull’IA diventeranno applicabili:

• Organismi Notificati (Capo III, Sezione 4): queste norme riguardano i soggetti terzi responsabili della valutazione della conformità per i sistemi di IA ad alto rischio prima della loro immissione sul mercato o messa in servizio.

•Modelli di IA per Scopi Generali (GPAI) (Capo V): le regole specifiche per i fornitori di modelli di IA in grado di svolgere un’ampia gamma di attività (GPAI), come i grandi modelli linguistici (LLMs), inizieranno ad applicarsi. Tuttavia, i fornitori di modelli GPAI immessi sul mercato o messi in servizio prima del 2 agosto 2025 avranno tempo fino al 2 agosto 2027 per conformarsi agli obblighi stabiliti dalla Legge sull’IA.

• Governance (Capo VII): le disposizioni relative al sistema di governance della Legge sull’IA diventeranno operative.

• Riservatezza (Articolo 78): le regole sulla protezione delle informazioni riservate ai sensi dell’Articolo 78 inizieranno ad applicarsi.

•Sanzioni (Articoli 99 e 100): gli articoli relativi alle sanzioni e alle ammende per le violazioni della Legge sull’IA diventeranno applicabili.

Obblighi per gli stati membri

Per gli Stati membri dell’UE, il 2 agosto 2025 rappresenta una scadenza fondamentale per attuare le strutture necessarie all’applicazione della Legge sull’IA:

• Designazione delle Autorità Nazionali competenti: gli stati membri dovranno designare le autorità nazionali competenti, incluse le autorità notificanti e le autorità di vigilanza del mercato. Dovranno inoltre comunicarle alla Commissione e rendere pubblici i loro dettagli di contatto.

• Definizione delle regole per le sanzioni e le ammende: gli stati membri dovranno stabilire le proprie regole per le sanzioni e le ammende (come previsto dagli articoli 99 e 100 che iniziano ad applicarsi), notificarle alla Commissione e garantirne la corretta attuazione

• Rendicontazione sulle risorse: a partire da questa data (e successivamente ogni due anni), gli Stati membri dovranno riferire alla Commissione sullo stato delle risorse finanziarie e umane a disposizione delle autorità nazionali competenti.

In relazione alla designazione delle autorità di vigilanza del mercato, l’European Data Protection Board (EDPB) ha adottato una dichiarazione raccomandando che le autorità di protezione dei dati (DPA) siano designate come autorità di vigilanza del mercato, in particolare per i sistemi di IA ad alto rischio utilizzati in settori come l’applicazione della legge, la gestione delle frontiere, l’amministrazione della giustizia e i processi democratici. L’EDPB suggerisce anche di considerare la designazione delle DPA per altri sistemi di IA ad alto rischio che possono incidere sui diritti e le libertà delle persone fisiche riguardo al trattamento dei dati personali. Secondo l’EDPB, le DPA sono adatte a questo ruolo grazie alla loro esperienza e competenza nell’affrontare l’impatto dell’IA sui diritti fondamentali e sulla protezione dei dati personali.

Obblighi per la Commissione

Anche la Commissione Europea ha delle scadenze legate a questa data:

• Codici di condotta: i codici di condotta dovrebbero essere pronti entro il 2 maggio 2025. Tuttavia, se i codici di condotta non possono essere finalizzati o l’Ufficio IA li ritiene inadeguati entro il 2 agosto 2025, la Commissione può fornire regole comuni per l’attuazione degli obblighi per i fornitori di modelli GPAI tramite atti di esecuzione.

• Revisione annuale dei divieti: a partire dal 2 agosto 2025 (e successivamente ogni anno), la Commissione dovrà effettuare una revisione annuale e possibili modifiche ai divieti previsti dalla Legge sull’IA.

Cosa diventerà obbligatorio dopo il 2 agosto 2025

Dopo il 2 agosto 2025, altre disposizioni diventeranno applicabili in date successive, ecco i prossimi step della timeline:

• 2 febbraio 2026: scadenza per la Commissione per fornire linee guida sull’implementazione pratica dell’Articolo 6 (sistemi IA ad alto rischio) e del piano di sorveglianza post-mercato.

• 2 agosto 2026: applicazione della parte restante della Legge sull’IA (ad eccezione dell’Articolo 6(1)). Questa è anche la data entro cui gli Stati membri devono garantire che le loro autorità competenti abbiano istituito almeno un sandbox normativo per l’IA a livello nazionale, che dovrebbe essere operativo. Inoltre, per gli operatori di sistemi IA ad alto rischio immessi sul mercato/messi in servizio prima di questa data, la Legge si applicherà solo se subiranno modifiche significative nella loro progettazione da questa data in poi.

• 2 agosto 2027: applicazione dell’Articolo 6(1) e dei corrispondenti obblighi relativi ai sistemi di IA ad alto rischio. Questa è anche la scadenza entro cui i fornitori di modelli GPAI immessi sul mercato prima del 2 agosto 2025 devono essere conformi.

• 31 dicembre 2030: scadenza entro cui i sistemi di IA che sono componenti di sistemi IT su larga scala (elencati nell’Allegato X) e che sono stati immessi sul mercato o messi in servizio prima del 2 agosto 2027 devono essere resi conformi alla Legge sull’IA.

In sintesi, il 2 agosto 2025 è una tappa fondamentale nell’implementazione della Legge sull’IA dell’UE. Richiede agli Stati membri di avere le proprie strutture di governance e applicazione in atto e introduce l’applicazione di regole specifiche per i modelli GPAI e le sanzioni. Sebbene l’applicazione completa per tutti i sistemi di IA ad alto rischio avverrà in date successive, la preparazione a questa scadenza è essenziale per garantire una transizione fluida e la conformità alla nuova normativa europea sull’IA.