Regolamento (UE) 2024/1689 · in vigore dal 1 agosto 2024

La guida italiana all'AI Act, articolo per articolo.

Il cluster contiene i nove articoli del Regolamento (UE) 2024/1689 che ogni compliance officer italiano deve conoscere prima della scadenza alto rischio del 2 dicembre 2027 (post Digital Omnibus), le otto categorie ad alto rischio dell'Allegato III e le nove sezioni dell'Allegato IV — il fascicolo tecnico che il fornitore deve produrre. Ogni voce ha la sua pagina di approfondimento; tutte citano il testo ufficiale.

Mappa di copertura

Le 11 dimensioni dell'AI Act, in un colpo d'occhio.

Konformia mappa il Regolamento (UE) 2024/1689 su undici dimensioni operative — dal registro dei sistemi alla segnalazione degli incidenti gravi. Ogni vertice è ancorato a un articolo specifico; il poligono è la copertura effettiva oggi, non la roadmap.

Copertura AI Act11 dimensioni, scala 0–4
Registro IAArt. 6ClassificazioneArt. 6 + All. IIIAllegato IVArt. 11 + All. IVDoCArt. 47 + All. VFRIAArt. 27RMSArt. 9IFUArt. 13Post-marketArt. 72IncidentiArt. 73AlfabetizzazioneArt. 4Copilot fontiReg. + L. 132

4 = artefatto emesso end-to-end con audit log e codice di verifica. 3 = workflow attivo, surface in iterazione.

Articoli

I 9 articoli che contano davvero.

Selezione coerente con il piano editoriale: gli articoli più frequentemente cercati dai compliance officer italiani prima dell'enforcement dei sistemi ad alto rischio.

Art. 6Entrambi

Regole di classificazione per i sistemi ad alto rischio

Definisce quando un sistema di IA è ad alto rischio: come componente di sicurezza di un prodotto soggetto a valutazione di conformità di terzi, o per uno dei casi d'uso elencati nell'Allegato III.

Apri l'articolo
Art. 9Entrambi

Sistema di gestione dei rischi (RMS)

Il fornitore di un sistema ad alto rischio deve istituire, attuare, documentare e mantenere un sistema di gestione dei rischi continuo lungo tutto il ciclo di vita.

Apri l'articolo
Art. 11Fornitore

Documentazione tecnica (Allegato IV)

Per ogni sistema ad alto rischio, prima dell'immissione sul mercato, il fornitore redige la documentazione tecnica secondo il contenuto dell'Allegato IV — il «fascicolo tecnico» AI Act.

Apri l'articolo
Art. 12Entrambi

Conservazione dei log (record-keeping automatico)

I sistemi di IA ad alto rischio devono registrare automaticamente eventi (log) nel corso del loro ciclo di vita, per consentire la tracciabilità del funzionamento.

Apri l'articolo
Art. 13Entrambi

Trasparenza e informazione ai deployer

I sistemi ad alto rischio devono essere accompagnati da istruzioni per l'uso che permettano al deployer di interpretare l'output del sistema e di usarlo correttamente.

Apri l'articolo
Art. 14Entrambi

Sorveglianza umana

I sistemi ad alto rischio sono progettati per essere sorvegliati efficacemente da persone fisiche durante il loro uso, in modo proporzionato ai rischi.

Apri l'articolo
Art. 26Deployer

Obblighi dei deployer

I deployer di sistemi ad alto rischio devono usare il sistema in conformità con le istruzioni del fornitore, garantire la supervisione umana, monitorare il funzionamento e segnalare incidenti.

Apri l'articolo
Art. 50Entrambi

Trasparenza per certi sistemi di IA

Obblighi di trasparenza orizzontali: dichiarare l'interazione con un'IA, etichettare i contenuti sintetici, segnalare il riconoscimento emozioni e i deepfake.

Apri l'articolo
Art. 72Entrambi

Monitoraggio post-immissione (post-market monitoring)

I fornitori di sistemi ad alto rischio istituiscono un sistema di monitoraggio post-immissione proporzionato per raccogliere e analizzare dati sulle prestazioni del sistema in uso.

Apri l'articolo
Allegato III

Le 8 categorie ad alto rischio.

Un sistema che ricade in uno di questi otto ambiti è automaticamente alto rischio ai sensi dell'Art. 6(2), salvo la deroga del par. 3 (da documentare).

Allegato IV

Le 9 sezioni del fascicolo tecnico.

Per ogni sistema ad alto rischio, l'Art. 11 richiede al fornitore di redigere un fascicolo tecnico con il contenuto elencato nell'Allegato IV. Sono nove sezioni, una per pagina.

Sezione 01

Descrizione generale del sistema di IA

Identifica il sistema, la sua finalità prevista, il fornitore e gli elementi essenziali per il riconoscimento del sistema sul mercato.

Apri la sezione
Sezione 02

Descrizione dettagliata e processo di sviluppo

Documenta come il sistema è stato progettato, addestrato, testato — la storia tecnica che permette di ricostruire e verificare.

Apri la sezione
Sezione 03

Monitoraggio, funzionamento e controllo

Descrive come il sistema è monitorato in produzione e come gli operatori controllano il suo funzionamento.

Apri la sezione
Sezione 04Art. 9

Sistema di gestione dei rischi (Art. 9)

Il documento del RMS ai sensi dell'Art. 9: identificazione, analisi, valutazione e mitigazione dei rischi noti e ragionevolmente prevedibili.

Apri la sezione
Sezione 05

Modifiche apportate nel ciclo di vita

Storico delle modifiche significative al sistema dopo l'immissione sul mercato — la traccia che permette di ricostruire l'evoluzione.

Apri la sezione
Sezione 06

Standard armonizzati applicati

Elenco degli standard tecnici (ISO/IEC, CEN/CENELEC, ETSI) applicati al sistema, con eventuali deviazioni motivate.

Apri la sezione
Sezione 07Art. 47

Dichiarazione UE di conformità (Art. 47 + Allegato V)

Una copia della Dichiarazione UE di Conformità (DoC) sottoscritta dal fornitore — il documento con cui il fornitore assume la responsabilità della conformità.

Apri la sezione
Sezione 08Art. 72

Monitoraggio post-immissione (Art. 72)

Il piano di monitoraggio del sistema in produzione: come si raccolgono i dati di performance, gli incidenti, le richieste degli utenti.

Apri la sezione
Sezione 09Art. 27

Valutazione d'impatto sui diritti fondamentali (FRIA, Art. 27)

Per i sistemi che lo richiedono, la FRIA documenta come il sistema può incidere sui diritti fondamentali e quali misure di mitigazione sono adottate.

Apri la sezione
Domande frequenti

Quello che chiedono i DPO italiani.

  • Qual è la differenza fra Allegato III e Allegato IV?
    L'Allegato III elenca gli 8 ambiti d'uso in cui un sistema di IA è automaticamente ad alto rischio (biometria, infrastrutture critiche, istruzione, lavoro, servizi essenziali, forze dell'ordine, migrazione, giustizia e processi democratici). L'Allegato IV definisce il contenuto del fascicolo tecnico — la documentazione che il fornitore deve produrre per ciascun sistema ad alto rischio. Sono cose distinte: uno classifica, l'altro documenta.
  • Chi è obbligato a redigere l'Allegato IV?
    Il fornitore (provider) del sistema di IA ad alto rischio, ai sensi dell'Art. 11. La documentazione tecnica va redatta prima dell'immissione sul mercato e mantenuta accessibile alle autorità nazionali per almeno 10 anni. Il deployer non redige l'Allegato IV ma conserva le istruzioni d'uso (Art. 13) ricevute dal fornitore.
  • Quando si applicano gli obblighi sui sistemi ad alto rischio?
    Il pacchetto di obblighi per i sistemi ad alto rischio dell'Allegato III si applica dal 2 dicembre 2027 (termine originale 2 agosto 2026, rinviato dal pacchetto Digital Omnibus). Le pratiche vietate dell'Art. 5 si applicano già dal 2 febbraio 2025. L'obbligo di alfabetizzazione (Art. 4) è in vigore dal 2 febbraio 2025. Gli obblighi GPAI dal 2 agosto 2025.
  • Devo classificare un sistema che usa solo ChatGPT API?
    Sì. Anche se il modello sottostante è di un terzo, l'organizzazione che lo integra in un proprio prodotto o processo è deployer (e talvolta fornitore — se il sistema integrato è un nuovo prodotto immesso sul mercato). La classificazione si fa sul sistema integrato, non sul modello sottostante. ChatGPT in un workflow HR di screening CV è un sistema §4 Annex III, alto rischio.
  • L'Art. 6(3) (deroga) si applica al mio caso?
    L'Art. 6(3) permette di non classificare alto rischio un sistema dell'Allegato III quando non presenta un rischio significativo per salute, sicurezza o diritti fondamentali. È una valutazione che il fornitore può fare, ma la deve documentare e registrare. La deroga non vale per i sistemi del §1(a) dell'Annex III (biometria). In pratica, vale per sistemi puramente accessori che fanno cose come ordinare risultati o classificare oggetti non-personali — non per sistemi che decidono o supportano decisioni su persone.
  • Come si fa l'audit log richiesto dall'Art. 12?
    Il sistema deve generare automaticamente eventi (log) che descrivono il proprio funzionamento. Implementazione tipica: un layer di intercettazione (decoratore, middleware) che persiste su database append-only ogni inferenza con metadati (timestamp, input hash, output, esiti, eventuali errori). In Konformia ogni emissione documentale è loggata su trigger Postgres che impedisce UPDATE/DELETE — è il pattern raccomandato per l'audit log normativo.
Dalla lettura al fascicolo

Trasforma gli articoli in adempimenti, non in note.

Konformia copre i 9 articoli, classifica sui criteri dell'Allegato III e genera l'Allegato IV in PDF firmabile. Sette modelli pronti, audit log immutabile, cruscotto in italiano.