Guide alla conformità all'EU AI Act per settore: sanità, risorse umane, pubblica amministrazione, trasporti, assicurazioni, commercio al dettaglio, PMI e istruzione.
Come il Settore Determina l'Esposizione all'EU AI Act
L'EU AI Act è una normativa orizzontale — si applica ai sistemi di AI immessi sul mercato o messi in servizio in ogni settore dell'economia nell'Unione Europea. Tuttavia, l'onere di conformità pratico non è uniforme. Il settore determina quali categorie ad alto rischio dell'Allegato III sono rilevanti, quali quadri normativi preesistenti creano obblighi sovrapposti e quali autorità di vigilanza nazionali o a livello UE avranno giurisdizione sulle implementazioni di AI.
L'Atto stabilisce un'architettura di rischio a livelli: pratiche vietate ai sensi dell'Art. 5, AI ad alto rischio ai sensi dell'Art. 6 e dell'Allegato III, obblighi per l'AI per Uso Generale (GPAI) ai sensi degli Art. 51-55, e obblighi di trasparenza ai sensi dell'Art. 50. Tutti i settori sono soggetti al divieto di pratiche vietate e al livello di trasparenza dell'Art. 50. Gli obblighi per l'AI ad alto rischio dell'Allegato III si applicano selettivamente, in funzione dei sistemi di AI che l'organizzazione implementa e del loro scopo.
Comprendere l'esposizione settoriale inizia con la mappatura dei casi d'uso operativi dell'AI rispetto alle categorie dell'Allegato III. Le organizzazioni devono inoltre valutare se l'AI implementata costituisce un modello GPAI ai sensi dell'Art. 3(63) e se eventuali rapporti con fornitori creano obblighi in qualità di deployer o fornitore di GPAI.
Comprendere l'Allegato III per Settore
L'Allegato III dell'EU AI Act definisce 8 categorie di AI ad alto rischio autonome. Ciascuna categoria si applica a specifici settori industriali e casi d'uso dell'AI.
Categoria 1 — Biometria (Trasversale)
L'Art. 6 letto congiuntamente all'Allegato III, punto 1 riguarda i sistemi di AI per l'identificazione biometrica e la categorizzazione biometrica di persone fisiche. L'identificazione biometrica remota in tempo reale in spazi accessibili al pubblico da parte delle forze dell'ordine è vietata ai sensi dell'Art. 5(1)(h), non semplicemente ad alto rischio. I sistemi di identificazione biometrica ex post e i sistemi di categorizzazione biometrica utilizzati nell'occupazione, nel controllo delle frontiere, nelle forze dell'ordine (nei limiti consentiti) e nel controllo degli accessi restano nella categoria ad alto rischio. Qualsiasi organizzazione che implementa il riconoscimento facciale, il riconoscimento delle impronte digitali, il riconoscimento vocale o sistemi analoghi per decisioni che producono conseguenze significative rientra nell'ambito di applicazione.
Categoria 2 — Infrastrutture Critiche (Trasporti, Energia, Acqua)
L'Allegato III, punto 2 riguarda l'AI utilizzata come componente di sicurezza nella gestione e nel funzionamento delle infrastrutture digitali critiche, del traffico stradale, dell'approvvigionamento idrico, del gas, del riscaldamento e dell'elettricità. Gli operatori di trasporto, i gestori delle reti energetiche, le aziende idriche e i fornitori di infrastrutture digitali devono valutare se i loro sistemi di AI siano qualificabili come tali. L'Allegato I dell'AI Act si interseca anche in questo contesto: i componenti di sicurezza AI incorporati in prodotti regolamentati dall'Allegato I (macchinari, veicoli, equipaggiamenti per l'aviazione civile, sistemi ferroviari) sono ad alto rischio ai sensi dell'Art. 6(1), non dell'Allegato III.
Categoria 3 — Istruzione e Formazione Professionale
L'Allegato III, punto 3 riguarda l'AI che determina l'accesso agli istituti di istruzione, assegna gli studenti a percorsi formativi, valuta le prestazioni in esami o prove, valuta i risultati di apprendimento che incidono sostanzialmente sulle opportunità future e monitora il comportamento degli studenti durante le valutazioni. Le piattaforme EdTech, le università, i provider di formazione professionale e gli enti di certificazione devono valutare i propri strumenti basati sull'AI rispetto a tali criteri.
Categoria 4 — Occupazione e Risorse Umane
L'Allegato III, punto 4 riguarda l'AI utilizzata nel reclutamento e nella selezione del personale (screening dei curricula, ranking dei candidati, analisi automatizzata dei colloqui), nelle decisioni su promozioni, cessazioni del rapporto di lavoro, assegnazione dei compiti ai lavoratori delle piattaforme, monitoraggio del comportamento dei dipendenti e valutazione delle prestazioni. Questa categoria è tra le più ampie per portata applicativa: pressoché ogni organizzazione che utilizza processi HR assistiti dall'AI deve valutare la conformità. L'obbligo si applica all'AI utilizzata da datori di lavoro, agenzie di selezione del personale e piattaforme dell'economia dei lavoretti.
Categoria 5 — Servizi Privati e Pubblici Essenziali (Finanza, Assicurazioni, Adiacenti alla Sanità, Prestazioni Sociali)
L'Allegato III, punto 5 è la categoria più ampia, che comprende l'AI utilizzata nella valutazione del merito creditizio e nel credit scoring per persone fisiche, nella valutazione e nella determinazione del prezzo del rischio assicurativo, nella valutazione dell'ammissibilità alle prestazioni pubbliche e ai servizi sociali, e nelle decisioni di dispacciamento nelle emergenze. Questa categoria riguarda direttamente banche, assicuratori, pubbliche amministrazioni e provider di servizi sociali. Anche l'AI correlata alla salute che attribuisce punteggi individuali ai fini dell'ammissibilità assicurativa rientra in questa categoria, creando una sovrapposizione tra gli obblighi dei servizi finanziari e quelli della sanità.
Categorie 6, 7 e 8 — Forze dell'Ordine, Migrazione, Giustizia
I punti 6, 7 e 8 dell'Allegato III riguardano le autorità del settore pubblico e i loro fornitori di tecnologia. L'AI per le forze dell'ordine (risk scoring, previsione della recidiva, previsione dei reati, valutazione delle prove), l'AI per la migrazione e il controllo delle frontiere (valutazione del rischio di asilo, verifica dei documenti, trattamento delle domande) e l'AI per la giustizia e i processi democratici (strumenti di ricerca giudiziaria, AI correlata alle elezioni) sono tutte ad alto rischio. Queste categorie riguardano principalmente le autorità di polizia, le agenzie di frontiera, i tribunali per l'immigrazione, i giudici e i loro fornitori di AI su base contrattuale.
Guide di Settore
Ciascuna delle seguenti guide dedicate mappa gli obblighi dell'EU AI Act nel contesto normativo specifico, nei casi d'uso tipici dell'AI e nell'architettura di enforcement del settore.
Sanità e Scienze della Vita
L'AI in sanità opera all'intersezione tra l'EU AI Act, il Regolamento sui Dispositivi Medici (MDR) e il Regolamento sui Dispositivi Diagnostici In Vitro (IVDR). I sistemi di AI qualificabili come dispositivi medici sono regolamentati principalmente da MDR/IVDR, ma restano soggetti agli obblighi dell'AI Act in materia di diritti fondamentali e trasparenza. L'Allegato III, punto 5 cattura l'AI utilizzata per il risk scoring sanitario in ambito assicurativo e per la valutazione dell'ammissibilità alle prestazioni pubbliche. Il supporto alle decisioni cliniche, l'AI diagnostica, gli strumenti di triage dei pazienti e l'AI per la scoperta di farmaci comportano ciascuno obblighi specifici in funzione della loro classificazione normativa.
Risorse Umane e Selezione del Personale
L'Allegato III, punto 4 colloca pressoché tutti i processi HR assistiti dall'AI nella categoria ad alto rischio. Gli strumenti di screening dei curricula, le piattaforme di valutazione psicometrica, l'analisi automatizzata dei video dei colloqui, i sistemi di gestione delle prestazioni e l'AI per la programmazione della forza lavoro devono conformarsi agli obblighi di fornitori e deployer. Questa guida affronta gli obblighi dei datori di lavoro in qualità di deployer ai sensi dell'Art. 26, i requisiti di governance dei dati ai sensi dell'Art. 10 e l'interazione con le restrizioni alla profilazione previste dal GDPR.
Pubblica Amministrazione e Giustizia
Le autorità pubbliche sono al contempo deployer di AI ad alto rischio e i soggetti su cui le autorità nazionali competenti eserciteranno la vigilanza più intensa. I punti da 5 a 8 dell'Allegato III coprono collettivamente una quota significativa dell'AI nel settore pubblico: determinazione dell'ammissibilità alle prestazioni, AI per i servizi di emergenza, strumenti per le forze dell'ordine, sistemi di gestione delle frontiere e AI giudiziaria. Questa guida affronta gli obblighi specifici dei deployer pubblici, i mandati di trasparenza per le decisioni automatizzate che incidono sui cittadini e l'interazione con il GDPR e la Direttiva sulla protezione dei dati nelle attività di polizia.
Trasporti e Infrastrutture Critiche
Gli operatori di trasporto devono orientarsi sia nell'Allegato III, punto 2 (componenti di sicurezza nelle infrastrutture critiche) sia nella normativa sulla sicurezza dei prodotti dell'Allegato I. L'AI nei sistemi di veicoli autonomi, nella gestione del traffico ferroviario, nella gestione del traffico aereo, nelle operazioni portuali e nella logistica dei trasporti può attivare la classificazione ad alto rischio attraverso molteplici percorsi normativi. Questa guida affronta l'interazione con i regolamenti EASA, la Direttiva sulla sicurezza ferroviaria e il ruolo degli organismi notificati nella valutazione della conformità.
PMI
Le piccole e medie imprese sono soggette agli stessi obblighi previsti dall'EU AI Act per le grandi organizzazioni quando operano in qualità di fornitori di AI ad alto rischio o di deployer che utilizzano AI ad alto rischio. Tuttavia, l'Atto prevede meccanismi di proporzionalità. Questa guida illustra le opzioni di documentazione tecnica semplificata, l'accesso alle sandbox regolamentari ai sensi degli Art. 57-63 e le modalità per strutturare un programma di conformità minimo ma giuridicamente sufficiente. Affronta inoltre l'esposizione delle PMI in qualità di deployer di strumenti AI di terze parti.
Assicurazioni
L'AI assicurativa è soggetta all'Allegato III, punto 5(b) (valutazione del rischio e determinazione del prezzo per le assicurazioni vita e salute di persone fisiche) e si interseca con i requisiti di Solvency II in materia di governance dei modelli e utilizzo dei modelli interni. L'AI per la determinazione del prezzo nelle assicurazioni auto, salute, property e vita, gli strumenti per le decisioni di sottoscrizione e i sistemi automatizzati di liquidazione dei sinistri richiedono tutti una valutazione. Questa guida affronta i ruoli di EIOPA e delle autorità nazionali di vigilanza assicurativa a fianco del quadro delle ANC previsto dall'AI Act.
Commercio al Dettaglio e Call Center
Le operazioni nel commercio al dettaglio e nel servizio clienti sono principalmente interessate dagli obblighi di trasparenza dell'Art. 50 — divulgazione dei contenuti generati dall'AI, identificazione dei chatbot e etichettatura dei deepfake — e dall'AI correlata all'occupazione ai sensi dell'Allegato III, punto 4. I sistemi di riconoscimento delle emozioni utilizzati in contesti rivolti al cliente sono esplicitamente regolamentati. Questa guida affronta l'AI nel commercio al dettaglio online, i motori di raccomandazione, il servizio clienti automatizzato e la gestione della forza lavoro nei contact center.
Istruzione ed EdTech
L'Allegato III, punto 3 colloca l'AI educativa nella categoria ad alto rischio quando determina o influenza sostanzialmente l'accesso ai percorsi formativi o valuta i risultati di apprendimento. Questa guida affronta gli obblighi dei provider EdTech, delle università, degli enti di formazione professionale e delle autorità per gli esami pubblici. Tratta le piattaforme di apprendimento adattivo, il software di proctoring, la correzione automatizzata degli elaborati scritti e gli strumenti di previsione del rischio per gli studenti.
Settore Finanziario (Bancario)
La guida per il settore bancario affronta il credit scoring e la valutazione del merito creditizio ai sensi dell'Allegato III, punto 5(b), l'AI per la rilevazione delle frodi, i sistemi di trading algoritmico, gli strumenti AML/KYC e le piattaforme di robo-advisory. Esamina la stratificazione degli obblighi dell'EU AI Act su DORA, MiFID II, CRR/CRD e le linee guida EBA. L'intersezione tra i requisiti di governance dei modelli dell'AI Act e i framework preesistenti di gestione del rischio dei modelli ai sensi delle linee guida EBA è un tema centrale.
Obblighi Trasversali
Diversi obblighi dell'EU AI Act si applicano indipendentemente dal settore. Ogni organizzazione che opera nell'UE deve comprendere questi requisiti di base.
Pratiche Vietate — Art. 5
L'Art. 5 stabilisce divieti assoluti in vigore dal 2 febbraio 2025. Si applicano a ogni settore senza eccezioni: tecniche di manipolazione subliminale che causano danno, sfruttamento delle vulnerabilità di persone fisiche, scoring sociale da parte di autorità pubbliche, identificazione biometrica remota in tempo reale da parte delle forze dell'ordine in spazi pubblici (con eccezioni limitate), riconoscimento delle emozioni nei luoghi di lavoro e negli istituti di istruzione (al di fuori degli usi specificati), categorizzazione biometrica sulla base di caratteristiche sensibili, e polizia predittiva basata esclusivamente sulla profilazione. Nessuna esenzione settoriale deroga a tali divieti.
Obblighi di Trasparenza — Art. 50
L'Art. 50 impone ai fornitori e ai deployer di sistemi di AI che interagiscono con persone fisiche di rendere nota la natura artificiale dell'interazione. Questo si applica a chatbot, assistenti virtuali, sistemi automatizzati di call center e a qualsiasi sistema di AI progettato per apparire umano. I contenuti generati dall'AI — media sintetici, deepfake, testi — devono essere etichettati in modo leggibile dalle macchine. Tali obblighi si applicano al commercio al dettaglio, ai servizi finanziari, agli strumenti rivolti ai pazienti in sanità, ai servizi pubblici per i cittadini e a ogni altro settore che implementa AI conversazionale o generativa.
Obblighi per i Modelli GPAI — Art. 51-55
Le organizzazioni che implementano modelli GPAI — grandi modelli linguistici, modelli fondazionali, AI multimodale — devono valutare se operano in qualità di deployer di un modello GPAI di terze parti o di fornitori di un sistema che integra GPAI. I fornitori di GPAI sono soggetti agli obblighi dell'Art. 53 (trasparenza nei confronti dei fornitori a valle, politica sul diritto d'autore, sintesi dei dati di addestramento). I modelli GPAI con rischio sistemico sono soggetti a obblighi aggiuntivi ai sensi dell'Art. 55. Ogni settore che utilizza API di modelli fondazionali commerciali o modelli fondazionali in self-hosting deve valutare tali obblighi.
PMI e Obblighi Proporzionati
Le PMI rappresentano la maggioranza delle imprese dell'UE e una quota crescente di fornitori e deployer di sistemi di AI. L'EU AI Act non crea un'esenzione generale per le PMI, ma gli Art. 9(5), Art. 11 e Art. 16 richiedono che gli obblighi dei fornitori siano proporzionati alle dimensioni e alla capacità organizzativa.
Il quadro delle sandbox regolamentari (Art. 57-63) è specificamente progettato per fornire alle PMI e alle startup ambienti di sviluppo vigilati, una ridotta incertezza normativa e un accesso diretto alla guida delle autorità nazionali competenti. La partecipazione non garantisce l'approvazione di conformità, ma offre un percorso strutturato verso l'immissione sul mercato di prodotti AI innovativi.
Per le PMI che operano in qualità di deployer di AI ad alto rischio fornita da terze parti, gli obblighi dell'Art. 26 — valutazione del caso d'uso, implementazione della supervisione umana, valutazione d'impatto sui diritti fondamentali — si applicano. La portata della documentazione e del monitoraggio richiesti è proporzionata, ma gli obblighi giuridici non sono derogati.
La guida dedicata alle PMI fornisce una roadmap di conformità su misura per le organizzazioni di minori dimensioni, che copre la prioritizzazione, la documentazione minima necessaria, la due diligence sui fornitori e le procedure di accesso alle sandbox.
Enforcement
L'EU AI Act crea un'architettura di enforcement su più livelli con significative dimensioni settoriali.
Autorità Nazionali Competenti
Ogni Stato membro dell'UE designa una o più autorità nazionali competenti (ANC) ai sensi dell'Art. 70. Le ANC sono responsabili dell'autorizzazione delle sandbox regolamentari, della conduzione della sorveglianza del mercato, della ricezione dei dati di monitoraggio post-commercializzazione dai fornitori, delle indagini su presunte violazioni e dell'irrogazione di sanzioni amministrative ai sensi degli Art. 99-101. Le sanzioni massime raggiungono 35 milioni di euro o il 7% del fatturato annuo globale per le violazioni delle pratiche vietate dall'Art. 5.
I Regolatori di Settore come Autorità di Sorveglianza del Mercato
L'Art. 74(8) e l'Art. 74(9) prevedono che i regolatori settoriali agiscano come autorità di sorveglianza del mercato per l'AI nei rispettivi ambiti. L'Autorità Bancaria Europea (EBA), l'Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (EIOPA), l'Autorità europea degli strumenti finanziari e dei mercati (ESMA), l'Agenzia europea per i medicinali (EMA) e l'Agenzia dell'Unione europea per la sicurezza dell'aviazione (EASA) hanno ciascuna un ruolo nella vigilanza dell'AI all'interno dei rispettivi perimetri regolamentari. Questo crea un'esposizione a un enforcement a doppio binario: l'AI per il credit scoring di una banca può essere esaminata sia da un regolatore finanziario nazionale che applica gli obblighi dell'Allegato III, sia da un'ANC che conduce la sorveglianza del mercato ai sensi dell'AI Act.
L'Ufficio Europeo per l'AI
L'Ufficio europeo per l'AI, istituito ai sensi degli Art. 64-70, detiene un'autorità di enforcement diretta sui fornitori di modelli GPAI. Per le organizzazioni che implementano modelli GPAI con rischio sistemico, l'Ufficio AI è il principale interlocutore normativo — non l'ANC nazionale. I regolatori settoriali non hanno giurisdizione diretta sui modelli GPAI in quanto tali, sebbene i sistemi di AI a valle che integrano GPAI restino soggetti alla vigilanza nazionale e settoriale.
Calendario di Enforcement
Il divieto delle pratiche ai sensi dell'Art. 5 è applicabile dal 2 febbraio 2025. Gli obblighi GPAI ai sensi degli Art. 51-55 sono divenuti efficaci il 2 agosto 2025. Gli obblighi completi per i sistemi di AI ad alto rischio dell'Allegato III — che coprono tutte e otto le categorie e tutti i doveri di fornitori e deployer — si applicano dal 2 dicembre 2027 (prorogato rispetto alla scadenza originale del 2 agosto 2026 dalla modifica del Digital Omnibus 2025). Le organizzazioni di tutti i settori dovrebbero considerare il periodo fino a dicembre 2027 come una finestra di conformità attiva, non come un periodo di grazia.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Sì. L'EU AI Act si applica in modo uniforme in tutta l'UE, ma il suo impatto pratico varia sensibilmente da settore a settore. L'Allegato III dell'Atto mappa le categorie di AI ad alto rischio direttamente sui settori industriali: i sistemi di AI per l'occupazione riguardano le risorse umane e le agenzie di selezione del personale, quelli per la valutazione del merito creditizio riguardano la finanza e le assicurazioni, i sistemi biometrici riguardano le forze dell'ordine e il controllo delle frontiere. Gli operatori nei settori fortemente regolamentati (sanità, finanza, trasporti) si trovano inoltre a dover applicare l'AI Act in aggiunta alla legislazione settoriale preesistente, il che può generare obblighi aggiuntivi o richiedere il coordinamento tra le autorità di vigilanza.
La sanità, i servizi finanziari e il settore pubblico sono gravati dal più alto cumulo di obblighi. L'AI per la sanità si interseca con il Regolamento sui Dispositivi Medici (MDR) e con il Regolamento sui Dispositivi Diagnostici In Vitro (IVDR); l'AI per il settore finanziario si interseca con DORA, MiFID II e Solvency II; l'AI per il settore pubblico rientra nelle categorie da 5 a 8 dell'Allegato III (servizi essenziali, forze dell'ordine, migrazione e giustizia). Ciascuno di questi settori deve conformarsi sia al quadro normativo dell'EU AI Act sia alla regolamentazione settoriale preesistente, con alcuni obblighi che si applicano contemporaneamente.
Le PMI non sono esentate, ma l'Atto prevede misure proporzionate. L'Art. 9(5) richiede che i sistemi di gestione del rischio siano proporzionati alle dimensioni e alla natura del fornitore. Gli Art. 11 e Art. 16 consentono una documentazione tecnica semplificata per le PMI. Gli Art. 57-63 istituiscono sandbox regolamentari a cui le PMI possono accedere sotto la supervisione delle autorità nazionali competenti. Gli obblighi dei deployer ai sensi dell'Art. 26 si applicano anche alle PMI che utilizzano AI ad alto rischio, sebbene con requisiti procedurali meno onerosi rispetto a quelli dei fornitori.
Gli Art. 70-77 dell'EU AI Act istituiscono un'architettura di enforcement su più livelli. Ciascuno Stato membro designa un'autorità nazionale competente (ANC) responsabile dell'applicazione dell'AI Act. Nei settori regolamentati — servizi finanziari, sanità, aviazione, ferroviario — i regolatori settoriali (EBA, EIOPA, ESMA, EMA, EASA) si coordinano con le ANC. L'Ufficio europeo per l'AI esercita una vigilanza centrale sui modelli GPAI. Questa struttura parallela significa che il sistema di AI di un'istituzione finanziaria può essere sottoposto ad audit sia da un'ANC sia da un regolatore del settore finanziario che applicano framework diversi ma sovrapposti.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.