Articolo 2 — Ambito di applicazione (Regolamento UE sull'IA)

Articolo 2 del Regolamento (UE) 2024/1689 — Ambito di applicazione. Testo ufficiale, interpretazione pratica, obblighi principali e implicazioni per la conformità.

Sintesi del testo ufficiale

L'articolo 2 del Regolamento (UE) 2024/1689 definisce l'ambito di applicazione materiale e territoriale del Regolamento UE sull'IA. Stabilisce quali soggetti, sistemi e circostanze rientrano nell'ambito del regolamento.

Ratione personae, il Regolamento si applica a: (1) i fornitori che immettono sistemi di IA sul mercato dell'Unione o li mettono in servizio nell'UE, indipendentemente dal loro luogo di stabilimento; (2) i deployer di sistemi di IA che sono stabiliti o si trovano nell'UE; (3) i fornitori e i deployer stabiliti in paesi terzi quando l'output prodotto dal sistema di IA viene utilizzato nell'Unione; (4) gli importatori e i distributori di sistemi di IA; e (5) i fabbricanti di prodotti che immettono sistemi di IA come componenti di sicurezza di prodotti regolamentati sul mercato dell'Unione.

L'articolo 2 chiarisce ulteriormente che il Regolamento non si applica ai sistemi di IA sviluppati o utilizzati esclusivamente per scopi militari, di sicurezza nazionale o di difesa, né ai sistemi di IA utilizzati da autorità pubbliche di paesi terzi o da organizzazioni internazionali nel contesto di accordi internazionali sulla cooperazione in materia di contrasto e cooperazione giudiziaria. I sistemi di IA che non sono ancora stati immessi sul mercato e si trovano ancora nella fase di ricerca e sviluppo, prima di essere messi a disposizione degli utenti, esulano anch'essi dall'ambito di applicazione.

Qualora un deployer o un fornitore sia stabilito al di fuori dell'UE ma l'output del sistema di IA venga utilizzato nell'UE, il Regolamento si applica comunque, stabilendo una forte portata extraterritoriale comparabile al modello GDPR.

Cosa significa in pratica

L'articolo 2 determina se la vostra organizzazione debba conformarsi al Regolamento UE sull'IA — è la questione soglia che ogni team legale e di conformità deve rispondere prima di poter valutare qualsiasi obbligo.

Per le aziende con sede nell'UE, l'analisi è semplice: se sviluppate, implementate, importate, distribuite o integrate sistemi di IA in prodotti o servizi disponibili nell'UE, rientrate nell'ambito di applicazione. Ciò include i fornitori SaaS che offrono funzionalità basate sull'IA, le imprese che implementano strumenti di IA in HR, credito o sanità, e i fabbricanti che incorporano l'IA in prodotti fisici soggetti alla vigente legislazione UE in materia di sicurezza dei prodotti.

Per le aziende extra-UE, il test critico è se l'output del sistema di IA raggiunga o incida su individui o entità nell'UE. Una società statunitense che fornisce uno strumento di screening delle assunzioni basato sull'IA utilizzato dalle filiali europee di multinazionali, ad esempio, rientra nell'ambito di applicazione anche se la società stessa non ha alcuna presenza nell'UE. Tali fornitori devono designare un rappresentante autorizzato nell'Unione.

In pratica, i team di conformità dovrebbero innanzitutto mappare ogni sistema di IA in uso o in sviluppo, quindi applicare i criteri dell'articolo 2 a ciascuno. I sistemi utilizzati esclusivamente per la R&S interna — non implementati per gli utenti finali — possono essere documentati come fuori dall'ambito di applicazione, ma tale status deve essere mantenuto attivamente e rivalutato al momento dell'implementazione. Le esclusioni militari e di sicurezza nazionale sono ristrette e non si dovrebbe presumere che si applichino a sistemi dual use o strumenti di contrasto senza un'attenta revisione legale.

I fornitori di modelli open source beneficiano di alcuni obblighi allentati ma rimangono nell'ambito di applicazione per le pratiche vietate e le classificazioni ad alto rischio.

Obblighi principali

Determinazione dell'ambito di applicazione: Le organizzazioni devono determinare in modo affermativamente se rientrano in una delle categorie di soggetti definite (fornitore, deployer, importatore, distributore o fabbricante di prodotto) prima di valutare quale livello di obblighi si applica loro.
Conformità extraterritoriale: I fornitori extra-UE i cui output dei sistemi di IA vengono utilizzati nell'Unione devono conformarsi al Regolamento e designare un rappresentante autorizzato stabilito nell'UE.
Chiarezza dei ruoli: Quando la stessa organizzazione agisce contemporaneamente come fornitore e deployer, entrambi i set di obblighi si applicano cumulativamente; le organizzazioni devono documentare e gestire ciascun ruolo separatamente.
Documentazione del confine R&S: Le organizzazioni che si avvalgono dell'esenzione per ricerca e sviluppo devono mantenere registrazioni chiare che dimostrino che il sistema non è stato immesso sul mercato o messo in servizio, e devono rivalutare l'ambito di applicazione in ogni fase dello sviluppo.
Interpretazione restrittiva delle esclusioni: Le esclusioni militari, di sicurezza nazionale e di difesa devono essere applicate rigorosamente; i sistemi di IA a doppio uso o quelli utilizzati in contesti generali di contrasto non si qualificano automaticamente per l'esclusione.
Designazione del rappresentante autorizzato: I fornitori di paesi terzi nell'ambito di applicazione devono formalmente designare e documentare un rappresentante autorizzato nell'UE come parte della loro infrastruttura di conformità.

Relazione con altri articoli

L'articolo 2 è il punto di ingresso dell'intero quadro normativo e deve essere letto insieme a diverse disposizioni fondamentali. L'articolo 3 (Definizioni) è essenziale per interpretare i termini chiave utilizzati nell'articolo 2, in particolare le definizioni di "sistema di IA," "fornitore" e "deployer," che determinano l'ambito di applicazione. L'articolo 5 (Pratiche di IA vietate) si applica a tutti i soggetti nell'ambito di applicazione indipendentemente dal livello di rischio, rendendo la corretta determinazione dell'ambito ai sensi dell'articolo 2 un prerequisito per la valutazione degli obblighi più gravi. L'articolo 6 (Classificazione dei sistemi di IA ad alto rischio) e l'articolo 51 (Classificazione dei modelli GPAI) diventano rilevanti solo una volta confermato l'ambito di applicazione dell'articolo 2. Per le organizzazioni che si avvalgono del percorso del fornitore di paese terzo, l'articolo 2 si collega direttamente all'articolo 25 (Obblighi degli importatori) e all'articolo 26 (Obblighi dei distributori). La portata extraterritoriale stabilita nell'articolo 2 rispecchia la logica dell'articolo 3 del GDPR, e le autorità di regolamentazione hanno confermato che queste disposizioni devono essere lette in modo coerente.

Calendario di conformità

L'articolo 2 è entrato in vigore il 1° agosto 2024, venti giorni dopo la pubblicazione del Regolamento nella Gazzetta Ufficiale dell'UE. Tuttavia, i suoi obblighi pratici si attivano secondo il calendario di applicazione graduale del Regolamento:

2 febbraio 2025: L'ambito di applicazione dell'articolo 2 si applica pienamente con riferimento alle pratiche di IA vietate ai sensi dell'articolo 5 — le organizzazioni devono aver completato la determinazione del proprio ambito entro questa data per valutare se uno qualsiasi dei loro sistemi rientri in categorie vietate.
2 agosto 2025: L'ambito si applica ai fornitori di modelli di IA per uso generale (GPAI) ai sensi del Titolo VIII (articoli 51–56), incluse le valutazioni del rischio sistemico e gli obblighi di trasparenza.
2 agosto 2026: Gli obblighi per le istituzioni e gli organi dell'UE che utilizzano sistemi di IA ai sensi dell'articolo 2, paragrafo 1, lettera h), diventano applicabili.
2 dicembre 2026: L'ambito di applicazione dell'articolo 2 si applica ai sistemi di IA ad alto rischio elencati nell'Allegato I (componenti di sicurezza di prodotti regolamentati).
2 agosto 2027: Piena applicazione ai sistemi di IA ad alto rischio elencati nell'Allegato III (applicazioni ad alto rischio autonome in settori quali l'occupazione, l'istruzione, le infrastrutture critiche e il contrasto).

Le organizzazioni dovrebbero considerare agosto 2024 come la data a partire dalla quale avrebbero dovuto avviare esercizi di mappatura dell'ambito, con ciascuna scadenza successiva che attiva un corrispondente flusso di lavoro di conformità.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-23 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

A chi si applica il Regolamento UE sull'IA?

Il Regolamento UE sull'IA si applica ai fornitori che immettono sistemi di IA sul mercato dell'UE o li mettono in servizio nell'UE, indipendentemente dal luogo in cui il fornitore è stabilito. Copre anche i deployer che gestiscono sistemi di IA nell'UE, gli importatori e i distributori di sistemi di IA, nonché i fabbricanti di prodotti che incorporano sistemi di IA. I fornitori extra-UE sono coperti se l'output del loro sistema di IA viene utilizzato nell'UE.

Il Regolamento UE sull'IA si applica ai sistemi di IA sviluppati e utilizzati al di fuori dell'UE?

In linea generale no — ma esiste un'importante eccezione. Se un sistema di IA viene sviluppato al di fuori dell'UE ma i suoi output vengono utilizzati nell'UE, il Regolamento può comunque applicarsi. I fornitori stabiliti in paesi terzi devono designare un rappresentante autorizzato nell'UE se i loro sistemi sono resi disponibili sul mercato dell'UE.

Esistono organizzazioni o utilizzi esclusi dall'ambito di applicazione dell'articolo 2?

Sì. L'articolo 2 esclude esplicitamente i sistemi di IA utilizzati esclusivamente per scopi militari, di sicurezza nazionale o di difesa, nonché i sistemi di IA utilizzati esclusivamente per la ricerca e lo sviluppo non ancora immessi sul mercato. Le autorità pubbliche di paesi terzi e le organizzazioni internazionali sono anch'esse escluse quando agiscono nell'ambito di quadri di cooperazione internazionale in materia di applicazione della legge.

L'articolo 2 copre i modelli di IA open source?

I sistemi di IA open source rientrano parzialmente nell'ambito di applicazione. Sebbene i fornitori di sistemi di IA liberi e open source beneficino di obblighi più leggeri in alcune aree, non sono completamente esenti — in particolare quando il sistema rientra in categorie vietate o ad alto rischio, o quando si tratta di modelli di IA per uso generale con un rischio sistemico significativo.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.