norppa.io
Guide

Guida regolamento IA · 11 min

Il regolamento UE sull'IA: livelli di rischio, calendario e cosa devono fare i deployer (articolo 26)

Il regolamento UE sull'IA è la prima legge completa al mondo sull'intelligenza artificiale. Classifica i sistemi di IA per rischio e pone la maggior parte degli obblighi gravosi sui sistemi ad alto rischio, ma impone anche obblighi concreti alle organizzazioni che usano l'IA, non solo a quelle che la costruiscono. È già in vigore e si applica per fasi fino al 2027. Questa guida illustra i livelli di rischio, le date che contano, gli obblighi del deployer ai sensi dell'articolo 26 e cosa significa quando acquistate o mettete in uso l'IA nella vostra supply chain.

Punti chiave

  • Il regolamento sull'IA (regolamento (UE) 2024/1689) classifica l'IA per rischio: vietato, alto rischio, limitato (trasparenza) e minimo.
  • Date scaglionate: in vigore dal 1° agosto 2024; pratiche vietate dal 2 febbraio 2025; IA per finalità generali dal 2 agosto 2025; alto rischio e la maggior parte degli obblighi dal 2 agosto 2026.
  • Se usate un sistema di IA ad alto rischio, siete un «deployer» con obblighi propri ai sensi dell'articolo 26 (sorveglianza umana, monitoraggio, log e altro) anche se il fornitore porta la maggior parte degli obblighi sul lato costruzione.

Cos'è il regolamento sull'IA

Il regolamento sull'IA (regolamento (UE) 2024/1689) è un regolamento basato sul rischio, di tipo prodotto, per i sistemi di IA immessi sul mercato dell'UE o il cui output è utilizzato nell'UE. Essendo un regolamento, si applica direttamente in tutti gli Stati membri. Distribuisce gli obblighi lungo la catena del valore: principalmente ai fornitori (che sviluppano l'IA) e ai deployer (che la usano sotto la propria autorità), con ruoli più leggeri per importatori e distributori.

Anziché regolare «l'IA» in modo uniforme, ordina i sistemi in livelli di rischio e modula gli obblighi di conseguenza: una manciata di pratiche è del tutto vietata, un insieme definito di usi ad alto rischio comporta requisiti gravosi, alcuni sistemi richiedono solo trasparenza, e la grande maggioranza (l'IA a rischio minimo) non ne comporta praticamente alcuno.

Dove sono gli obblighi

Pratiche vietate (proibite), sistemi ad alto rischio (gli obblighi gravosi. Es. IA usata nel lavoro, nel credito, nelle infrastrutture critiche o nella biometria) e sistemi a rischio limitato che richiedono trasparenza (es. informare gli utenti che interagiscono con un'IA o che un contenuto è generato dall'IA).

Rischio minimo (la maggior parte dell'IA)

La grande maggioranza dei sistemi di IA (filtri antispam, motori di raccomandazione, la maggior parte degli strumenti di produttività) rientra nel rischio minimo e non comporta obblighi specifici ai sensi del regolamento, al di là di codici volontari e di un'aspettativa generale di alfabetizzazione sull'IA.

Il calendario

Il regolamento si applica per fasi. Le date che guidano la pianificazione:

1° ago 2024

Entrato in vigore. L'orologio inizia a scorrere; gli obblighi entrano in vigore per fasi da qui.

2 feb 2025

Le pratiche vietate si applicano: l'IA a «rischio inaccettabile» (es. punteggio sociale, taluni usi manipolativi o di categorizzazione biometrica) è proibita. Iniziano anche gli obblighi di alfabetizzazione sull'IA.

2 ago 2025

Iniziano gli obblighi per i modelli di IA per finalità generali (GPAI), insieme alle strutture di governance e alle autorità nazionali competenti.

2 ago 2026

L'evento principale: gli obblighi per i sistemi ad alto rischio (compresi gli obblighi del deployer ai sensi dell'articolo 26) si applicano.

2 ago 2027

Termine prorogato per l'IA ad alto rischio che è un componente di sicurezza di prodotti già regolati da altre norme dell'UE (allegato I).

Cosa devono fare i deployer (articolo 26)

Se usate un sistema di IA ad alto rischio sotto la vostra autorità, l'articolo 26 vi impone obblighi operativi. In sintesi, un deployer deve:

  • Usare il sistema secondo le istruzioni per l'uso del fornitore.
  • Affidare la sorveglianza umana a persone competenti, formate e dotate di risorse adeguate, in grado di intervenire o di disattivarne il funzionamento.
  • Monitorare il funzionamento del sistema e sospenderne l'uso e informare il fornitore e le autorità quando presenta un rischio o si verifica un incidente grave.
  • Conservare i log generati automaticamente per un periodo adeguato: almeno sei mesi, salvo che altre norme richiedano di più.
  • Garantire che i dati di input siano pertinenti e sufficientemente rappresentativi per la finalità prevista, nella misura in cui li controllate.
  • Informare i lavoratori e i loro rappresentanti prima di mettere in uso un sistema ad alto rischio sul luogo di lavoro, e informare le persone soggette alle sue decisioni.
  • Effettuare una valutazione d'impatto sui diritti fondamentali ove richiesto (art. 27), e cooperare con le autorità competenti.

Come si combina con NIS2 e il GDPR

Il regolamento sull'IA non sostituisce gli altri vostri obblighi. Vi si somma. Un sistema di IA che tratta dati personali resta disciplinato dal GDPR (e può necessitare di una valutazione d'impatto sulla protezione dei dati accanto a quella sui diritti fondamentali del regolamento sull'IA). Un sistema di IA che fa parte dell'operatività dei vostri servizi essenziali resta soggetto agli obblighi di sicurezza e notifica di NIS2. I tre si sovrappongono anziché sostituirsi.

Per gli acquisti, proprio questa convergenza è il punto pratico. Quando portate un sistema di IA nella vostra supply chain, ereditate gli obblighi del deployer (art. 26) e dovete conoscere la posizione di conformità del fornitore: conformità, istruzioni per l'uso, registrazione dei log, classe di rischio del sistema. È lo stesso muscolo di due diligence sui fornitori che NIS2 vi chiede già di costruire, orientato all'IA.

La classificazione dei sistemi di IA (in particolare il confine dell'alto rischio e le regole sui GPAI) è dettagliata e specifica per ciascun caso, e atti di esecuzione e norme sono ancora in arrivo. Confermate la classe di un sistema specifico e il vostro ruolo con una consulenza qualificata e il testo ufficiale.

Cosa significa per voi

I vostri obblighi dipendono dal vostro ruolo rispetto al sistema:

Un fornitore (sviluppate o modificate sostanzialmente un sistema di IA)

Portate gli obblighi sul lato costruzione: gestione del rischio, governance dei dati, documentazione tecnica, valutazione della conformità e marcatura CE per i sistemi ad alto rischio. In gran parte dal 2 agosto 2026.

Un deployer (usate l'IA sotto la vostra autorità)

L'articolo 26 si applica ai sistemi ad alto rischio: sorveglianza umana, monitoraggio, log, informazione ai lavoratori e una valutazione sui diritti fondamentali ove richiesta. Costruitelo ora in vista della data del 2 agosto 2026.

Un importatore o distributore

Potete mettere a disposizione solo sistemi ad alto rischio conformi, dovete verificare la conformità e la marcatura CE del fornitore e dovete attivarvi quando venite a sapere che un sistema non è conforme.

Un acquirente che acquista IA per la propria supply chain

Di norma siete il deployer. Esigete le istruzioni del fornitore, la classe di rischio, lo stato di conformità e la capacità di logging, e trattate i fornitori di IA come parte della vostra due diligence sui fornitori NIS2.

Fonti: Regolamento (UE) 2024/1689 (regolamento sull'IA) e le pagine della Commissione europea sul regolamento sull'IA. Date, livelli e ruoli riflettono il regolamento pubblicato; confermate la classificazione di un sistema specifico con una consulenza qualificata.

Come aiuta norppa.io

norppa.io non renderà un sistema di IA conforme al regolamento sull'IA (è compito del fornitore e del deployer) ma vi dà visibilità sull'esposizione all'IA nella vostra supply chain, da dove inizia la due diligence del deployer. La sua scansione fa emergere endpoint di servizi di IA, API di modelli e inferenza esposte e interfacce legate all'IA (compresi gli endpoint Model Context Protocol) sulla superficie di attacco dei vostri fornitori.

I questionari di autovalutazione colgono ciò che nessuna scansione esterna vede (quali sistemi di IA un fornitore mette in uso, la loro classe di rischio, lo stato di conformità e le modalità di sorveglianza umana) e ogni risposta viene affiancata al profilo tecnico in tempo reale, pronta per il vostro fascicolo fornitori. È lo stesso approccio continuo e basato su prove che NIS2 si attende, esteso all'IA che i vostri fornitori utilizzano.

Vedete l'esposizione all'IA dei vostri fornitori

Guardate un rapporto fornitore di esempio (rilievi, prove e mappatura degli articoli) in circa due minuti.

Vedi rapporto di esempio
Guarda la dashboard di esempio

Guide correlate

Come conformarsi a NIS2: una roadmap passo dopo passo

I passi verso la conformità NIS2 in ordine: confermare l'ambito, registrarsi, responsabilità della dirigenza (art. 20), le misure dell'art. 21(2), sicurezza della supply chain, notifica degli incidenti (art. 23) e garanzia continua e dimostrata.

Chi rientra nell'ambito di NIS2? Soggetti essenziali e importanti, settori e soglie dimensionali

Stabilisci se NIS2 ti riguarda: i due livelli, i settori degli allegati I/II, le soglie dimensionali, le eccezioni indipendenti dalla dimensione e come la supply chain ti coinvolge anche senza designazione.

NIS2 e il requisito della supply chain: cosa significa nella pratica

NIS2 obbliga i soggetti essenziali e importanti a valutare i rischi informatici della loro supply chain. Classificazione dei fornitori, rischio di quarta parte, notifica Art. 23 e cosa cercano i revisori.

Valutazione del rischio informatico dei fornitori: cosa verifica il monitoraggio NIS2 automatizzato

Tutte le categorie di controllo spiegate: ransomware, fughe dark web, TLS/DNSSEC, sicurezza dei cookie, CVE/EPSS, sanzioni, blacklist MX e SAQ. Ciclo di vita dei risultati e mappatura degli articoli NIS2.

NIS2 Art. 21(2): checklist di sicurezza per fornitori

Checklist per i team di approvvigionamento e sicurezza: cosa chiedere, quali prove raccogliere e come rispondere quando un fornitore non soddisfa i requisiti. Include documenti di prova suggeriti.

Questionario fornitori NIS2 (SAQ): cosa chiedere, come valutarlo e un modello gratuito

Cosa chiedere ai fornitori ai sensi dell'art. 21(2)(d), come valutare le risposte e gestire le lacune, perché l'autodichiarazione va verificata, e un modello gratuito.

Notifica degli incidenti NIS2: le scadenze di 24 e 72 ore spiegate

Cosa è un incidente significativo, il calendario dell'articolo 23 (preallarme a 24 h, notifica a 72 h, relazione finale a un mese) e quando l'incidente di un fornitore diventa il tuo obbligo.

NIS2 e la responsabilità della dirigenza: cosa devono sapere consiglio e vertici

Cosa si aspetta NIS2 dall'organo di gestione: doveri di approvazione e vigilanza, responsabilità personale (art. 20), formazione, KPI di reporting al consiglio e sanzioni dell'art. 34.

ISO 27001 e NIS2: cosa copre già il tuo SGSI, e le lacune che restano

Se hai la ISO 27001: cosa si riporta su NIS2 e cosa no (notifica di legge, responsabilità della dirigenza, registrazione e assicurazione continua) e come colmare la lacuna.

NIS2 vs DORA: differenze, sovrapposizioni e quale si applica a te

In cosa differiscono e si sovrappongono i due regimi UE, perché DORA è lex specialis per i soggetti finanziari, quale si applica a te, e cosa significano entrambi per il rischio terze parti.

GDPR vs NIS2: sovrapposizioni, differenze e quando un incidente attiva entrambi

In cosa differiscono e si sovrappongono GDPR e NIS2, quando un incidente attiva entrambi (GDPR art. 33 72 h all'autorità di controllo vs NIS2 art. 23 24 h/72 h/un mese al CSIRT), la cooperazione dell'art. 35 e il divieto di doppia sanzione, e cosa significano entrambi per la due diligence sui fornitori.

Il Cyber Resilience Act dell'UE (CRA): ambito, calendario e cosa significa per la vostra supply chain

Cosa richiede il CRA, le sue date scaglionate (in vigore 2024, notifica set 2026, piena conformità dic 2027), chi rientra nell'ambito e perché il SaaS puro spesso no, come integra NIS2 e cosa significa per gli acquisti e la due diligence sui fornitori.