Regolamento UE sull'IA, Articolo 99: sanzioni, massimali e proporzionalità per le PMI
L'Articolo 99 stabilisce il quadro sanzionatorio per le violazioni del Regolamento UE sull'IA. I massimali sono più elevati rispetto al GDPR (35 milioni di EUR o il 7% del fatturato mondiale totale per le pratiche vietate, 15 milioni di EUR o il 3% per le inadempienze relative ai sistemi ad alto rischio e all'Articolo 50). Le autorità nazionali determinano le sanzioni effettive entro i massimali, applicando i fattori di proporzionalità di cui all'Articolo 99, paragrafo 7. Le sanzioni si applicano a decorrere dal 2 agosto 2026 per la maggior parte delle disposizioni e dal 2 febbraio 2025 per i divieti di cui all'Articolo 5.
La scala delle sanzioni
Articolo 99, paragrafo 3: inosservanza delle pratiche vietate di cui all'Articolo 5 — fino a 35 milioni di EUR o al 7% del fatturato mondiale totale annuo realizzato nell'esercizio precedente, se superiore.
Articolo 99, paragrafo 4: inosservanza di disposizioni diverse dall'Articolo 5 (obblighi per i sistemi ad alto rischio, trasparenza ai sensi dell'Articolo 50, GPAI di cui agli Articoli 53 e 55) — fino a 15 milioni di EUR o al 3% del fatturato mondiale totale annuo.
Articolo 99, paragrafo 5: fornitura di informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorità nazionali — fino a 7,5 milioni di EUR o all'1% del fatturato mondiale totale annuo.
Articolo 99, paragrafo 6: proporzionalità per PMI e start-up — si applica il minore dei due importi (assoluto o percentuale).
Il significato di «fatturato mondiale totale annuo»
L'Articolo 99 fa riferimento al fatturato mondiale, non al fatturato nell'Unione. Per un SaaS con un ARR globale di 5 milioni di EUR e un fatturato UE di 1 milione di EUR, il massimale sanzionatorio per i sistemi ad alto rischio è pari a 150.000 EUR (3% di 5 milioni di EUR a livello globale) e non a 30.000 EUR (3% di 1 milione di EUR nell'Unione). Per i gruppi multinazionali, il fatturato rilevante è quello consolidato mondiale del gruppo capofila. Ciò rende il massimale teoricamente molto elevato per le società affermate e conferisce alle autorità di vigilanza una leva significativa.
Proporzionalità per le PMI ai sensi dell'Articolo 99, paragrafo 6
Per le PMI (meno di 250 dipendenti, fatturato inferiore a 50 milioni di EUR) e le start-up, l'Articolo 99, paragrafo 6, prevede l'applicazione del minore tra l'importo assoluto e la percentuale del fatturato. Ciò riduce in genere in misura sostanziale l'esposizione delle SaaS di piccole dimensioni. Le autorità nazionali dispongono altresì di un potere discrezionale di proporzionalità ai sensi dell'Articolo 99, paragrafo 7, tenendo conto dei seguenti fattori: natura, gravità e durata della violazione; carattere doloso o colposo; violazioni precedenti; cooperazione; rimediazione; dimensioni dell'operatore. In pratica, le sanzioni inflitte alle PMI per una prima infrazione si attestano spesso al 10-30% del massimale teorico.
Autorità competenti e procedimento sanzionatorio
L'Articolo 99, paragrafo 8, impone agli Stati membri di stabilire le norme sulle sanzioni applicabili alle infrazioni commesse da istituzioni, organi e organismi dell'Unione (tale compito spetta al Garante europeo della protezione dei dati). Le autorità nazionali gestiscono l'applicazione nei confronti del settore privato in conformità al diritto procedurale degli Stati membri. Procedimento tipico: avvio dell'indagine su denuncia o per iniziativa dell'autorità di vigilanza, notifica delle risultanze preliminari, possibilità di replica, decisione, ricorso amministrativo, controllo giurisdizionale. Durata media di risoluzione: da 12 a 24 mesi dal deposito della denuncia iniziale.
Come si presenta l'applicazione nella pratica
Sulla base dei primi segnali emersi durante il periodo di applicazione del GDPR e delle azioni di enforcement del Regolamento UE sull'IA nel 2025-2026 (casi relativi all'Articolo 5 a partire dal febbraio 2025), è lecito attendersi: la maggior parte dei casi di prima infrazione si risolve mediante ordini di conformità senza irrogazione di sanzioni pecuniarie; le violazioni manifeste della trasparenza ai sensi dell'Articolo 50 comportano sanzioni comprese tra 10.000 e 500.000 EUR; le violazioni manifeste dei divieti di cui all'Articolo 5 o degli obblighi relativi ai sistemi ad alto rischio comportano sanzioni comprese tra 100.000 e 2 milioni di EUR; le violazioni gravi o reiterate si avvicinano ai massimali assoluti. I costi legati agli appalti e alla reputazione superano tipicamente la sanzione stessa di 5-10 volte.
Frequently asked questions
Qual è la sanzione massima prevista dal Regolamento UE sull'IA?
35 milioni di EUR o il 7% del fatturato mondiale totale annuo, se superiore. Si applica alle violazioni delle pratiche vietate di cui all'Articolo 5.
Da quando si applicano le sanzioni?
Le sanzioni relative all'Articolo 5 si applicano dal 2 febbraio 2025. Le altre sanzioni si applicano dal 2 agosto 2026.
Le PMI sono davvero esentate dalle sanzioni elevate?
Non sono esentate — le PMI beneficiano della proporzionalità. Si applica il minore tra il massimale assoluto e quello percentuale, e le autorità nazionali esercitano il potere discrezionale riducendo ulteriormente le sanzioni. Sanzioni tipiche per una prima infrazione commessa da una PMI: dal 10 al 30% del massimale teorico.
Le sanzioni possono cumularsi tra più articoli?
Sì — un unico episodio può dar luogo a violazioni di più articoli. Le sanzioni cumulative sono possibili. L'Articolo 99, paragrafo 7, invita le autorità a garantire che la sanzione complessiva sia proporzionata.
Qual è la procedura di ricorso?
Ricorso amministrativo dinanzi all'autorità nazionale di vigilanza competente, poi controllo giurisdizionale dinanzi ai giudici nazionali, con eventuale rinvio alla Corte di giustizia dell'Unione europea per questioni di interpretazione del diritto dell'Unione.
Sources
Last updated: 2026-05-28