Il 2 agosto 2026 segna una pietra miliare per le aziende tecnologiche in Europa: quel giorno entra in vigore il Regolamento sull'Intelligenza Artificiale dell'Unione Europea (AI Act), che stabilisce il quadro giuridico più avanzato al mondo per regolare l'IA, in particolare i sistemi considerati ad alto rischio. Le sanzioni per violazioni possono raggiungere i 35 milioni di euro o il 7% del fatturato globale annuale. L'AI Act (Regolamento UE 2024/1689) classifica i sistemi di IA in base al rischio che rappresentano. Nella categoria più restrittiva si trovano i sistemi vietati, come la manipolazione subliminale, il punteggio sociale e l'identificazione biometrica in tempo reale per scopi di polizia, vietati da febbraio 2025. Seguono i sistemi ad alto rischio, che influenzano diritti fondamentali, accesso a servizi essenziali o sicurezza, come gli algoritmi di selezione del personale, il punteggio creditizio, la diagnosi medica o gli strumenti amministrativi pubblici. Questi sistemi devono soddisfare requisiti rigorosi: gestione dei rischi documentata e aggiornata, tracciabilità e qualità dei dati, registri tecnici auditabili e supervisione umana efficace. Inoltre, devono superare una valutazione di conformità, a volte con l'intervento di organismi esterni. A livelli inferiori si trovano i chatbot e i generatori di contenuti, soggetti a obblighi di trasparenza, e i sistemi a rischio minimo, che hanno poche esigenze normative. Il regime sanzionatorio dell'AI Act è persino più severo di quello del GDPR. Le violazioni più gravi possono comportare multe fino a 35 milioni di euro o il 7% del fatturato annuale. Il mancato rispetto degli obblighi sui sistemi ad alto rischio può comportare sanzioni fino a 15 milioni o il 3%, e fornire informazioni errate alle autorità può costare fino a 7,5 milioni o l'1,5%. Sebbene le PMI godano di una certa proporzionalità nelle sanzioni, non sono esenti da responsabilità in caso di violazioni gravi. L'impatto va oltre le multe. La nuova Direttiva sulla Responsabilità per l'IA facilita la richiesta di risarcimento per i danneggiati e stabilisce una presunzione di causalità: se l'azienda non dimostra il rispetto dell'AI Act, si presume che il danno sia stato causato dalla sua violazione. Questo pone le aziende in svantaggio in caso di contenzioso, specialmente se non hanno effettuato la valutazione di conformità obbligatoria. Inoltre, il danno reputazionale può superare il costo della sanzione, in un contesto in cui l'etica tecnologica è sempre più rilevante per i consumatori. Il primo passo per le organizzazioni è inventariare tutti i sistemi di IA in uso o sviluppo, inclusi quelli forniti da fornitori esterni. Dopo averli identificati, devono classificarli secondo l'AI Act e rivedere i contratti per assicurarsi di avere la documentazione tecnica necessaria. La valutazione di conformità per i sistemi ad alto rischio può durare da tre a dodici mesi, quindi è consigliabile iniziarla il prima possibile. Il regolamento richiede anche una governance continua: sorveglianza post-mercato, aggiornamento della documentazione e revisione periodica della gestione dei rischi. L'AI Act è di applicazione diretta e prevede un regime sanzionatorio dissuasivo. In Spagna, l'Agenzia Spagnola di Supervisione dell'Intelligenza Artificiale (AESIA) sta rafforzando la sua capacità ispettiva. Il momento di prepararsi è ora, prima che una reazione affrettata comporti costi e rischi maggiori per le aziende.