6 min di lettura

EU AI Act: cosa devono fare le imprese svizzere entro agosto 2026

Il EU AI Act entra pienamente in vigore il 2 agosto 2026. Cosa significa per le imprese svizzere, quali obblighi si applicano e come prepararsi in 18 settimane.

EU AI ActComplianceRegolamentazione IASvizzeraLPD

EU AI Act: cosa devono fare le imprese svizzere entro agosto 2026

Ancora 126 giorni. Il 2 agosto 2026 entrano pienamente in vigore i requisiti per i sistemi di IA ad alto rischio ai sensi del regolamento UE 2024/1689. Le imprese svizzere che impiegano sistemi di IA sul mercato UE o i cui risultati vengono utilizzati nell’UE sono direttamente interessate.

Questo articolo spiega quali disposizioni si applicano alle aziende svizzere, come valutare la propria esposizione e quali passi sono necessari adesso.

La Svizzera non è nell’UE. Perché ci riguarda?

Il EU AI Act ha portata extraterritoriale. L’art. 2 del regolamento comprende tre scenari che includono le imprese svizzere:

Art. 2(1)(a): il sistema di IA è immesso sul mercato dell’UE. Un’azienda svizzera di software che vende un prodotto basato sull’IA a clienti europei è considerata «fornitore» ai sensi dell’art. 3(3). Non importa dove ha sede l’azienda.

Art. 2(1)(c): i risultati del sistema di IA sono utilizzati nell’UE. Anche se un’impresa svizzera non ha clienti diretti nell’UE: se l’output del suo sistema di IA viene utilizzato nell’UE, il regolamento si applica. Esempio: un’azienda svizzera genera punteggi di credito che una banca austriaca utilizza.

Art. 2(1)(d): importazione o distribuzione. Le imprese con sede nell’UE che importano o distribuiscono sistemi di IA svizzeri sono anch’esse soggette al regolamento e richiederanno contrattualmente la conformità dai loro fornitori svizzeri.

In concreto: ogni impresa svizzera che vende software o servizi basati sull’IA a clienti europei, gestisce un sistema di IA che serve utenti UE o fornisce risultati generati dall’IA che producono effetti nell’UE rientra nel campo di applicazione.

Cosa si applica già

Non tutte le disposizioni entrano in vigore solo ad agosto. Dal 2 febbraio 2025 si applicano già:

  • Pratiche vietate (art. 5): punteggio sociale da parte delle autorità, manipolazione subliminale, sfruttamento di vulnerabilità, raccolta indiscriminata di dati biometrici, riconoscimento delle emozioni sul posto di lavoro e negli istituti di formazione. Le aziende che gestiscono tali sistemi stanno già violando il diritto UE vigente.

  • Competenza in materia di IA (art. 4): tutte le aziende che impiegano sistemi di IA devono garantire che il proprio personale disponga di una competenza sufficiente in materia di IA. Questo obbligo è già in vigore.

La classificazione dei rischi: in quale categoria rientra il vostro sistema?

Il EU AI Act classifica i sistemi di IA in quattro livelli. Gli obblighi dipendono direttamente da questa classificazione.

Livello 1: sistemi vietati (art. 5)

I sistemi vietati dall’art. 5 non possono essere utilizzati. Punto. Nessuna eccezione per le imprese svizzere. Sanzione prevista: fino a EUR 35 milioni o 7% del fatturato annuo globale.

Livello 2: sistemi ad alto rischio (art. 6 + allegato III)

Questa categoria interessa la maggior parte delle imprese svizzere che utilizzano l’IA. L’allegato III definisce otto ambiti:

  1. Biometria: identificazione a distanza, riconoscimento delle emozioni (applicazioni non vietate)
  2. Infrastrutture critiche: componenti di sicurezza nei trasporti, acqua, gas, elettricità
  3. Istruzione: decisioni di ammissione, valutazione degli esami, monitoraggio del comportamento di apprendimento
  4. Occupazione: screening CV, valutazione dei colloqui, decisioni di promozione/licenziamento, assegnazione dei compiti, monitoraggio delle prestazioni
  5. Accesso a servizi essenziali: scoring creditizio, valutazione del rischio assicurativo, ammissibilità all’assistenza sociale
  6. Applicazione della legge: valutazione del rischio di recidiva, analisi delle prove
  7. Migrazione: valutazione dei rischi, verifica dei documenti
  8. Amministrazione della giustizia: supporto IA per i tribunali

Inoltre: qualsiasi sistema di IA che effettui la profilazione di persone fisiche (art. 6(2)) è automaticamente classificato ad alto rischio.

Eccezione ai sensi dell’art. 6(3)

Anche se un sistema rientra in un ambito dell’allegato III, può essere esentato dalla classificazione ad alto rischio se non presenta un rischio significativo di danno e non influenza sostanzialmente il processo decisionale. Quattro condizioni:

  • (a) Esegue un compito procedurale strettamente definito (p. es. ordinamento di documenti)
  • (b) Migliora il risultato di un’attività umana già completata
  • (c) Rileva pattern senza sostituire la valutazione umana
  • (d) Esegue un compito preparatorio (p. es. ricerca giuridica, indicizzazione)

Questa eccezione non si applica mai quando il sistema profila persone fisiche. E: anche invocando l’eccezione, il sistema deve essere registrato nella banca dati UE e la motivazione documentata (art. 49(2)).

Livello 3: rischio limitato (art. 50)

Obblighi di trasparenza per:

  • Chatbot: devono rivelare che l’utente interagisce con un sistema di IA
  • Contenuti generati dall’IA: devono essere contrassegnati in modo leggibile dalla macchina
  • Deepfake: devono essere chiaramente riconoscibili come generati artificialmente

Livello 4: rischio minimo

Nessun obbligo specifico. Codici di condotta volontari raccomandati.

Cosa devono soddisfare i sistemi ad alto rischio

Per ogni sistema ad alto rischio, questi requisiti devono essere soddisfatti prima dell’immissione sul mercato UE:

Requisito Articolo Impegno stimato
Sistema di gestione dei rischi Art. 9 2-4 settimane di impostazione, in continuo
Governance dei dati Art. 10 2-3 settimane
Documentazione tecnica Art. 11 + allegato IV 3-6 settimane
Registrazione Art. 12 1-2 settimane
Trasparenza e istruzioni per l’uso Art. 13 1-2 settimane
Sorveglianza umana Art. 14 1-2 settimane
Accuratezza, robustezza, cybersicurezza Art. 15 2-4 settimane
Sistema di gestione della qualità Art. 17 2-3 settimane
Valutazione di conformità Art. 43 1-4 settimane
Dichiarazione di conformità UE Art. 47 1 giorno (dopo il completamento di tutto il resto)
Marcatura CE Art. 48 1 giorno
Registrazione nella banca dati UE Art. 49 1 giorno

Inoltre per le imprese svizzere: deve essere designato un rappresentante autorizzato nell’UE (art. 22). Senza tale rappresentante, nessun sistema ad alto rischio può essere immesso sul mercato UE.

Le sanzioni

Tipo di violazione Sanzione massima Alternativa
Pratiche vietate (art. 5) EUR 35 000 000 7% del fatturato annuo globale
Requisiti alto rischio (art. 9-17) EUR 15 000 000 3% del fatturato
Informazioni false alle autorità EUR 7 500 000 1% del fatturato

Per le PMI si applica l’importo inferiore (art. 99(6)). Una PMI svizzera con un fatturato di EUR 5 milioni rischia un massimo di EUR 150 000 in caso di violazione dei requisiti ad alto rischio (3% di EUR 5 milioni).

LPD e EU AI Act: doppia conformità

Le imprese svizzere che impiegano l’IA e trattano dati personali devono rispettare entrambi i quadri normativi contemporaneamente. Le principali sovrapposizioni:

  • Decisioni individuali automatizzate: la LPD art. 21 richiede informazione e diritto al riesame umano. Il EU AI Act art. 14 richiede la sorveglianza umana by design. Entrambi si applicano.
  • Valutazione d’impatto sulla protezione dei dati: la LPD art. 22 (VIPD) e il EU AI Act art. 27 (valutazione d’impatto sui diritti fondamentali) sono entrambe necessarie ma non identiche. Non si sostituiscono a vicenda.
  • Trasparenza: la LPD art. 19 (obbligo di informare) e l’art. 13 del EU AI Act (istruzioni per l’uso) hanno requisiti diversi. Entrambi devono essere soddisfatti.

La tabella di marcia in 18 settimane

Chi inizia oggi ha 18 settimane fino al 2 agosto 2026. I tempi sono stretti, ma fattibili.

Settimane 1-4: inventario. Censire tutti i sistemi di IA. Effettuare la classificazione dei rischi per ogni sistema. Analisi degli scostamenti rispetto ai requisiti.

Settimane 5-10: documentazione. Predisporre la documentazione tecnica secondo l’allegato IV. Documentazione della governance dei dati. Costruire il sistema di gestione dei rischi.

Settimane 11-14: valutazione. Test interni (accuratezza, robustezza, bias). Sistema di gestione della qualità. Valutazione di conformità.

Settimane 15-18: completamento. Marcatura CE. Registrazione nella banca dati UE. Attivare il monitoraggio post-commercializzazione. Completare la formazione.

Le imprese che iniziano solo a maggio hanno un problema reale. 12 settimane bastano a malapena per la sola documentazione.

Cosa offre Mont Virtua

Forniamo un’analisi di conformità strutturata: classificazione dei rischi dei vostri sistemi di IA, analisi degli scostamenti rispetto a tutti i requisiti pertinenti e un piano d’azione prioritizzato. Basata sul testo del regolamento, non su supposizioni. Consegna in 10 giorni lavorativi.

Si tratta di un’analisi tecnica di conformità. Non di una consulenza legale.

CTA: [Abbonatevi alla nostra newsletter: aggiornamenti regolamentari sul EU AI Act direttamente nella vostra casella di posta.]

Torna al blog

Articoli correlati

28 March 2026

EU AI Act: cosa devono sapere ora le aziende svizzere

L'EU AI Act sarà pienamente applicato a partire da agosto 2026. Le aziende svizzere con attività nell'UE devono prepararsi. Scadenze, obblighi e passi concreti per la conformità.
27 March 2026

Checklist di conformità LPD 2026: siete pronti?

La nuova Legge federale sulla protezione dei dati è in vigore da settembre 2023. Molte aziende presentano ancora lacune. Questa checklist mostra a che punto dovreste essere nel 2026 e cosa resta da fare.
19 March 2026

La Sovranita dei Dati Svizzera nell'Era dell'IA: Perche Conta per il Vostro Studio

La sovranita dei dati svizzera non e una caratteristica di marketing per gli strumenti IA. E un requisito legale per studi legali, banche e professionisti della conformita. Ecco perche dove funziona la vostra IA conta.