Cosa succede se ignori il Regolamento UE sull'IA

# Cosa succede se ignori il Regolamento UE sull'IA

La maggior parte dei fondatori di SaaS sa che il Regolamento UE sull'IA esiste. La maggior parte scommette di potersene occupare in seguito. Ecco come appare concretamente quel «in seguito».

Le sanzioni

L'articolo 99 del Regolamento (UE) 2024/1689 stabilisce tre livelli di sanzioni:

Pratiche di IA vietate (violazioni dell'articolo 5): fino a 35 milioni di EUR o al 7% del fatturato annuo mondiale, se superiore.

Obblighi relativi ai sistemi ad alto rischio (Allegato III, articoli da 6 a 49): fino a 15 milioni di EUR o al 3% del fatturato annuo mondiale.

Violazioni della trasparenza (articolo 50): fino a 7,5 milioni di EUR o all'1% del fatturato annuo mondiale.

Per un SaaS con 2 milioni di EUR di fatturato annuo, quella soglia dell'1% significa 20.000 EUR per una violazione della trasparenza. Per un'azienda da 10 milioni di EUR, 100.000 EUR. Non si tratta di massimali teorici scritti per spaventare. Le autorità nazionali di vigilanza del mercato dispongono di budget e mandato per applicarli.

Il calendario di applicazione

Il Regolamento UE sull'IA è entrato in vigore il 1° agosto 2024. L'applicazione è scaglionata:

Il 2 agosto 2026 è la data che conta per la maggior parte delle aziende SaaS. Se il tuo prodotto utilizza l'IA e servi clienti nell'UE, gli obblighi di trasparenza dell'articolo 50 e potenzialmente i requisiti ad alto rischio dell'Allegato III si applicano a partire da tale data.

Chi vigila sull'applicazione

Ciascuno Stato membro dell'UE deve designare almeno un'autorità nazionale competente e un'autorità di vigilanza del mercato. In pratica ciò significa 27 autorità di regolamentazione distinte in tutta l'UE, ciascuna con la propria interpretazione e le proprie priorità di enforcement.

La Francia dispone della CNIL (protezione dei dati) e sta sviluppando una capacità di enforcement specifica per l'IA. La Germania ha la BNetzA per l'IA per uso generale e singole autorità statali per l'enforcement settoriale. L'Irlanda, dove molte aziende SaaS statunitensi hanno la propria entità UE, disporrà di una propria autorità.

Se il tuo SaaS serve clienti in diversi Stati membri dell'UE, più autorità di regolamentazione potrebbero avere giurisdizione.

Il rischio reale non è la sanzione

Per un'azienda SaaS, il danno concreto derivante dalla non conformità non è la sanzione. È ciò che accade alla tua pipeline di vendita.

Gli acquirenti enterprise nell'UE stanno aggiungendo la conformità al Regolamento sull'IA alle loro checklist di procurement. Se non riesci a produrre una dichiarazione di trasparenza ai sensi dell'articolo 50, una classificazione del rischio per le tue funzionalità di IA e la documentazione del tuo approccio alla conformità, non entri nella lista dei candidati.

Sta già accadendo. Il primo trimestre del 2026 ha visto la prima ondata di RFP che includono la conformità al Regolamento UE sull'IA come requisito preliminare. Entro il terzo trimestre del 2026, dopo il superamento della scadenza di agosto, sarà prassi standard.

Ogni settimana in cui ritardi la conformità è una settimana che i tuoi concorrenti possono sfruttare come vantaggio commerciale nei tuoi confronti.

Come si manifesta concretamente la non conformità

Un SaaS che ignora il Regolamento UE sull'IA dopo il 2 agosto 2026 affronta questa sequenza:

Mesi 1-6: Non accade nulla di visibile. Le autorità di regolamentazione stanno costruendo la propria capacità operativa. I clienti enterprise iniziano a porre domande a cui non sai rispondere. Perdi due contratti che avresti vinto.

Mesi 6-12: Un concorrente menziona la tua non conformità in una trattativa commerciale. Il team legale del tuo principale cliente UE invia una richiesta formale di informazioni sul tuo stato di conformità al Regolamento sull'IA. Ti affretti a rispondere.

Mesi 12-18: Un'autorità di vigilanza del mercato invia una richiesta formale di informazioni. Hai 30 giorni per rispondere con documentazione che non possiedi. Le spese legali per rispondere correttamente superano quanto sarebbe costata la conformità.

Mesi 18-24: Azione sanzionatoria. Registro pubblico. Ogni potenziale cliente che cerca il nome della tua azienda la trova.

Non si tratta di speculazione. È così che si è sviluppata l'applicazione del GDPR tra il 2018 e il 2020 per le aziende che presumevano che le autorità di regolamentazione non avrebbero agito.

Cosa richiede concretamente la conformità

Per la maggior parte delle aziende SaaS, gli obblighi sono:

  1. Classificare le proprie funzionalità di IA ai sensi dell'Allegato III per determinare se alcune si qualificano come ad alto rischio
  2. Stabilire se si è un fornitore o un deployer ai sensi delle definizioni del Regolamento
  3. Aggiungere le dichiarazioni di trasparenza dell'articolo 50 all'interfaccia utente nei punti in cui gli utenti interagiscono con l'IA
  4. Documentare il proprio approccio alla conformità in un formato condivisibile con clienti e autorità di regolamentazione
  5. Predisporre un processo di segnalazione degli incidenti per gli incidenti gravi legati all'IA

Non si tratta di un programma di governance pluriennale. Per un tipico SaaS con una o due funzionalità di IA, l'intero processo richiede giorni, non mesi.

Il costo dell'attesa

Ogni mese di ritardo aumenta i costi:

La scadenza del 2 agosto 2026 non si sposterà. Il regolamento è pubblicato. Il testo è definitivo. Aspettare «chiarimenti» significa aspettare l'enforcement.

Cosa fare adesso

Comincia dagli obblighi di trasparenza. Si applicano alla più ampia gamma di sistemi di IA e sono i più facili da implementare. Aggiungi le dichiarazioni ai sensi dell'articolo 50 all'interfaccia utente del tuo prodotto. Classifica le tue funzionalità di IA ai sensi dell'Allegato III. Documenta tutto.

Se vuoi farlo in autonomia, la nostra checklist open source per il Regolamento UE sull'IA copre tutti i 47 elementi distribuiti in 5 fasi di conformità: github.com/GatisOzols/eu-ai-act-checklist

Se preferisci che venga fatto per te, Disclos esegue audit del Regolamento UE sull'IA a perimetro fisso per SaaS. 997 EUR, 5 giorni lavorativi, garanzia di rimborso legata alla scadenza di agosto: disclos.eu/audit

Last updated: 2026-06-04