L’EU AI Act è la prima legge al mondo che disciplina in modo organico l’intelligenza artificiale. Non riguarda solo le imprese con sede nell’UE. Le aziende svizzere che forniscono prodotti o servizi al mercato europeo, che utilizzano sistemi di IA con effetti su cittadini dell’UE o che trattano dati provenienti dall’UE rientrano nel suo ambito di applicazione. L’applicazione delle disposizioni principali inizia il 2 agosto 2026. È il momento di agire.
L’EU AI Act in sintesi
La legge è stata approvata dal Parlamento europeo nel giugno 2024 ed è entrata in vigore il 1° agosto 2024. Segue un approccio basato sul rischio: maggiore è il rischio di un sistema di IA, più rigorosi sono i requisiti.
Le quattro classi di rischio in sintesi:
Rischio inaccettabile. Questi sistemi di IA sono vietati. Vi rientrano il social scoring da parte dei governi, la sorveglianza biometrica in tempo reale negli spazi pubblici e l’IA che manipola il comportamento umano. Per la maggior parte delle aziende svizzere questa categoria non è rilevante.
Rischio elevato. Sistemi di IA impiegati in settori critici per la sicurezza o in decisioni che coinvolgono diritti fondamentali. Rientrano in questa categoria l’IA nella selezione del personale, nella valutazione del merito creditizio, nella stima assicurativa, nell’applicazione del diritto, nell’ammissione ai percorsi formativi e nell’attività di polizia. Questi sistemi sono soggetti a requisiti rigorosi in materia di documentazione, trasparenza, supervisione umana e gestione della qualità.
Rischio limitato. Chatbot, contenuti generati dall’IA e riconoscimento delle emozioni. Qui si applicano obblighi di trasparenza: gli utenti devono sapere che stanno interagendo con un’IA.
Rischio minimo. Filtri antispam, algoritmi di raccomandazione e sistemi analoghi. Nessun obbligo specifico oltre alla normativa vigente.
Le scadenze e il loro significato
L’attuazione avviene in tre fasi:
Febbraio 2025 (già in vigore). Le pratiche di IA vietate sono proibite. Le aziende che utilizzano sistemi di social scoring o IA manipolativa devono averli disattivati.
Agosto 2026 (la scadenza critica). Entrano in vigore tutti i requisiti per i sistemi di IA ad alto rischio. I fornitori devono aver completato le valutazioni di conformità, disporre di documentazione tecnica, gestire sistemi di gestione della qualità e attuare piani di monitoraggio post-commercializzazione. Gli operatori di sistemi ad alto rischio devono garantire la supervisione umana e informare gli utenti in modo trasparente.
Agosto 2027. Vengono applicati i requisiti per i modelli di IA generici (General Purpose AI). Riguarda principalmente i fornitori di modelli fondazionali.
Per le aziende svizzere, agosto 2026 è la data decisiva.
Perché le aziende svizzere sono coinvolte
La Svizzera non ha recepito l’EU AI Act nel proprio diritto nazionale. Tuttavia, le aziende svizzere sono direttamente coinvolte per diverse ragioni.
Effetto extraterritoriale. L’EU AI Act si applica a qualsiasi fornitore o operatore di sistemi di IA i cui risultati vengono utilizzati nell’UE. Uno studio legale svizzero che elabora analisi giuridiche assistite dall’IA per clienti UE rientra nella legge esattamente come una fintech svizzera il cui algoritmo influisce sulle decisioni di credito per cittadini UE. Il modello è identico a quello del GDPR, applicabile dal 2018 alle aziende svizzere con attività nell’UE.
Aspettative dei clienti. Le aziende UE richiederanno sempre più la conformità all’AI Act da parte dei loro fornitori e partner svizzeri. Chi non è in grado di dimostrare la conformità perderà commesse. Ciò riguarda in particolare settori come i servizi finanziari, il settore farmaceutico, la consulenza legale e la consulenza aziendale.
La regolamentazione svizzera seguirà. Il Consiglio federale ha pubblicato nel novembre 2023 un rapporto sull’IA e la regolamentazione. Una regolamentazione svizzera autonoma dell’IA è prevedibile e si orienterà all’EU AI Act, come avvenuto per la LPD e il GDPR. Le aziende che si preparano ora eviteranno il doppio lavoro.
Accesso al mercato. L’economia svizzera è fortemente integrata nel mercato interno UE. Gli accordi bilaterali e il riconoscimento reciproco dipendono dal fatto che gli standard svizzeri restino compatibili con quelli UE. I sistemi di IA che non soddisfano i requisiti UE mettono a rischio l’accesso al mercato nei settori regolamentati.
Quali obblighi concreti vi attendono
Gli obblighi dipendono dal fatto che siate fornitori (provider) o operatori (deployer) di un sistema di IA.
Come fornitori di un sistema di IA sviluppato internamente o distribuito con il vostro marchio, dovete istituire un sistema di gestione della qualità completo. Questo comprende una documentazione tecnica che descrive il funzionamento del sistema, i dati con cui è stato addestrato e gli indicatori di prestazione raggiunti. Dovete effettuare una valutazione di conformità e registrare il sistema nel database UE. Il monitoraggio post-commercializzazione è obbligatorio: dovete monitorare continuamente le prestazioni del sistema dopo la messa in servizio.
Come operatori di un sistema di IA acquistato da un fornitore terzo e impiegato nella vostra azienda, dovete assicurarvi che il sistema venga utilizzato secondo le istruzioni del fornitore. Dovete organizzare la supervisione umana, verificare la pertinenza e la qualità dei dati in ingresso e segnalare gli incidenti al fornitore e all’autorità competente. Se utilizzate un sistema ad alto rischio per decisioni riguardanti persone fisiche, le persone interessate devono avere il diritto di richiedere una spiegazione della decisione.
Sanzioni e multe
Le sanzioni sono considerevoli e graduate in base alla gravità della violazione:
- Impiego di pratiche di IA vietate: fino a 35 milioni di euro o il 7% del fatturato annuo globale
- Violazione dei requisiti per l’alto rischio: fino a 15 milioni di euro o il 3% del fatturato
- Dichiarazioni false alle autorità: fino a 7,5 milioni di euro o l'1,5% del fatturato
Per le PMI e le startup si applicano limiti massimi ridotti, ma le multe restano sostanziali.
Piano pratico di preparazione
I passi seguenti aiutano le aziende svizzere a prepararsi sistematicamente per agosto 2026.
Creare un inventario dei sistemi di IA. Elencate tutti i sistemi di IA presenti nella vostra azienda. Questo include non solo i sistemi sviluppati internamente, ma anche gli strumenti acquistati, le soluzioni SaaS con funzionalità di IA e le API di fornitori esterni. Molte aziende sottovalutano il numero di sistemi di IA in uso.
Effettuare la classificazione del rischio. Assegnate ogni sistema a una delle quattro classi di rischio. Prestate particolare attenzione all’IA utilizzata per decisioni riguardanti le persone: procedure di candidatura, verifiche di solvibilità, richieste assicurative, consulenza legale, triage medico.
Analisi delle lacune per i sistemi ad alto rischio. Verificate per ogni sistema ad alto rischio se i requisiti della legge sono soddisfatti: documentazione tecnica, governance dei dati, trasparenza, supervisione umana, accuratezza, robustezza e cybersicurezza.
Verificare i contratti con i fornitori. Se utilizzate strumenti di IA di fornitori terzi, assicuratevi che i vostri contratti contengano la trasparenza e gli obblighi di collaborazione necessari. I vostri fornitori sono in grado di fornire la documentazione di cui avete bisogno per la vostra conformità?
Costruire la documentazione. L’EU AI Act è molto esigente in termini di documentazione. Iniziate per tempo a predisporre i documenti richiesti: analisi dei rischi, registrazioni della gestione della qualità, rapporti di monitoraggio, protocolli degli incidenti.
Formazione e sensibilizzazione. Tutti i collaboratori che utilizzano sistemi di IA o ne impiegano i risultati devono avere una comprensione sufficiente della tecnologia e dei suoi limiti. L’EU AI Act richiede esplicitamente l’“AI Literacy” per gli operatori.
La giusta infrastruttura come base
La conformità inizia dalla scelta dell’infrastruttura di IA corretta. Gli strumenti di IA generici come ChatGPT o Gemini sono utili per molti casi d’uso, ma non soddisfano i requisiti dell’EU AI Act in materia di trasparenza, verificabilità e sovranità sui dati. Per le applicazioni regolamentate, le aziende necessitano di sistemi di IA in cui ogni output possa essere ricondotto alla sua fonte, in cui i dati siano documentati e verificati e in cui l’infrastruttura soddisfi i requisiti di protezione dei dati e sovranità.
Enclava è stata sviluppata esattamente per questi requisiti. Come piattaforma svizzera di IA per i settori regolamentati, Enclava offre basi di conoscenza con attribuzione delle fonti, interamente ospitate in Svizzera, con documentazione e verificabilità complete. Ogni output è riconducibile al documento fonte. Ogni fonte di dati è documentata e verificata.
Se desiderate preparare la vostra azienda ai requisiti dell’EU AI Act, la giusta infrastruttura è il primo passo. Maggiori informazioni su enclava.ch oppure contattateci all’indirizzo [email protected].