, ,

EU AI Act e Università Italiane: Obblighi dal 2 Agosto 2026

5 min di lettura

EU AI Act e Università Italiane: Tutti gli Obblighi dal 2 Agosto 2026

Il 2 agosto 2026 è una data che ogni ateneo italiano, ogni commissione di laurea e ogni ricercatore che utilizza strumenti di intelligenza artificiale deve segnare in calendario. Con quella scadenza entra in piena vigenza il Regolamento UE 2024/1689 — EU AI Act, la prima normativa al mondo che disciplina in modo organico lo sviluppo, la commercializzazione e l’utilizzo di sistemi di intelligenza artificiale. Per le università italiane, il regolamento introduce obblighi concreti: classificazione dei sistemi IA utilizzati, valutazioni d’impatto, piani di alfabetizzazione del personale e degli studenti, e governance documentata dei processi decisionali che coinvolgono sistemi automatizzati.

Non si tratta di una normativa astratta. Chi usa sistemi di IA per la valutazione degli studenti, l’ammissione ai corsi, il riconoscimento del plagio nelle tesi o il monitoraggio delle sessioni d’esame online è direttamente interessato. Questa guida analizza in modo sistematico cosa cambia per le università italiane, con riferimento al testo del regolamento e alle linee guida interpretative già disponibili.

Risposta rapida: Dal 2 agosto 2026 l’EU AI Act è pienamente applicabile. Le università italiane che usano sistemi IA per valutazione, ammissione, orientamento o monitoraggio degli studenti devono classificare tali sistemi (potenzialmente ad alto rischio), effettuare valutazioni d’impatto, documentare i processi e garantire alfabetizzazione IA a docenti, personale e studenti. Le sanzioni per violazioni gravi raggiungono i 35 milioni di euro.

1. Che cos’è l’EU AI Act e quando si applica

Il Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio è entrato in vigore il 1° agosto 2024 e si applica su tutto il territorio dell’Unione Europea in modo diretto, senza necessità di recepimento nazionale. Definisce «sistema di intelligenza artificiale» qualsiasi sistema basato su machine learning in grado di generare output (testi, immagini, raccomandazioni, decisioni) con un certo grado di autonomia.

«Sistema di intelligenza artificiale»: un sistema automatizzato progettato per funzionare con vari livelli di autonomia e che, a partire dagli input ricevuti, genera output quali previsioni, raccomandazioni, decisioni o contenuti in grado di influenzare ambienti reali o virtuali. — Reg. UE 2024/1689, art. 3, par. 1

Il regolamento si applica a:

  • Fornitori (provider) di sistemi IA immessi sul mercato UE o messi in servizio nell’UE
  • Deployer (utilizzatori/responsabili del dispiegamento): organizzazioni che usano sistemi IA nel proprio contesto operativo, incluse le università
  • Importatori e distributori di sistemi IA
  • Soggetti stabiliti in paesi terzi, quando i loro sistemi producono effetti nell’UE

Le università italiane sono tipicamente deployer: non producono i sistemi IA ma li acquistano, sottoscrivono o integrano nei propri processi (es. Turnitin, sistemi di proctoring, piattaforme di raccomandazione, chatbot didattici).

2. Timeline di applicazione: le scadenze chiave

Data Cosa diventa applicabile
1 agosto 2024 Entrata in vigore del Regolamento UE 2024/1689
2 febbraio 2025 Divieti assoluti sulle pratiche IA vietate (art. 5) + obblighi di alfabetizzazione IA (art. 4)
2 agosto 2025 Obblighi per modelli IA di uso generale (GPAI, art. 51-56)
2 agosto 2026 PIENA APPLICAZIONE: obblighi per sistemi ad alto rischio (art. 8-15), obblighi per deployer (art. 26), sanzioni
2 agosto 2027 Obblighi per sistemi IA ad alto rischio già in uso prima del 2026 (regime transitorio)
Attenzione PMI e atenei: Un rinvio parziale discusso nel 2025 per le PMI riguarda alcune obbligazioni accessorie, non i requisiti fondamentali per i sistemi ad alto rischio. Le università non beneficiano di regimi speciali: se usano sistemi ad alto rischio, si applicano tutti gli obblighi dal 2 agosto 2026.

3. La classificazione dei sistemi IA per rischio

L’EU AI Act adotta un approccio risk-based: più alto è il rischio potenziale del sistema, più stringenti sono i requisiti. Le categorie sono:

Pratiche vietate (Allegato I)

Sistemi assolutamente proibiti nell’UE, indipendentemente dal contesto. Esempi rilevanti per le università:

  • Sistemi di social scoring basati su comportamenti o caratteristiche personali
  • Identificazione biometrica di massa in tempo reale in spazi pubblici (con eccezioni per forze dell’ordine)
  • Manipolazione subliminale o sfruttamento di vulnerabilità cognitive

Sistemi ad alto rischio (Allegato III)

Questa categoria è la più rilevante per le università. Soggetti a requisiti stringenti di trasparenza, supervisione umana e documentazione.

Sistemi a rischio limitato

Principalmente soggetti a obblighi di trasparenza (es. chatbot che devono dichiararsi come IA).

Sistemi a rischio minimo

Nessun obbligo specifico. La maggior parte delle applicazioni IA comuni (filtri spam, traduzione automatica, raccomandazione playlist) rientra qui.

4. Sistemi ad alto rischio nelle università

L’Allegato III del Regolamento elenca esplicitamente i settori in cui i sistemi IA sono considerati ad alto rischio. L’istruzione e la formazione professionale è uno di questi settori. In particolare sono ad alto rischio i sistemi che:

  • Determinano l’accesso, l’ammissione o l’assegnazione a istituti di istruzione (test d’ingresso con IA, algoritmi di ammissione, selezione automatizzata dei candidati)
  • Valutano i risultati dell’apprendimento degli studenti in modo automatizzato (correzione automatica, valutazione dei saggi con IA)
  • Determinano il livello di istruzione adeguato per una persona (sistemi di orientamento e raccomandazione dei percorsi formativi)
  • Effettuano monitoraggio comportamentale durante test ed esami (sistemi di proctoring online)

Esempi concreti per gli atenei italiani

Sistema/Strumento Classificazione probabile Obblighi principali
Proctorio / Respondus (proctoring esami) Alto rischio Valutazione d’impatto, supervisione umana, registri
Turnitin / Compilatio (antiplagio) Rischio limitato / Alto rischio se determina valutazione Trasparenza, supervisione umana nella decisione finale
Algoritmi di ammissione ai corsi Alto rischio Valutazione d’impatto, documentazione, supervisione
Chatbot didattici (tipo assistente corso) Rischio limitato Obbligo di trasparenza (dichiarare di essere IA)
Sistemi di raccomandazione piani di studio Potenzialmente alto rischio Verifica classificazione, possibile valutazione d’impatto
Strumenti IA per revisione tesi (Tesify) Rischio minimo / limitato Trasparenza nell’uso, dichiarazione nella tesi

Per quanto riguarda l’uso dell’IA nella scrittura e revisione accademica, la normativa si intreccia con le linee guida MUR e CRUI sull’uso dell’IA per la tesi: la trasparenza e la dichiarazione d’uso rimangono il principio cardine.

5. Obblighi specifici per gli atenei italiani

Come deployer di sistemi ad alto rischio, le università italiane devono rispettare gli obblighi previsti dall’art. 26 del Regolamento:

5.1 Misure tecniche e organizzative

Gli atenei devono adottare misure tecniche e organizzative adeguate per garantire un uso conforme alle istruzioni del fornitore. Questo significa verificare che i sistemi acquistati siano conformi AI Act (marcatura CE quando prevista) e disporre di policy interne sull’uso dei sistemi IA.

5.2 Supervisione umana

Per i sistemi ad alto rischio, la supervisione umana è un requisito non negoziabile. Un sistema IA non può da solo determinare l’esito di un esame, l’ammissione a un corso o l’accertamento di plagio: ci deve essere sempre un docente o un funzionario amministrativo che valuta il risultato e assume la responsabilità della decisione finale.

«I deployer assicurano che alle persone fisiche incaricate della supervisione siano attribuiti il potere, la formazione e le risorse necessari per poter intervenire o sovrascrivere i risultati del sistema di IA ad alto rischio.» — Reg. UE 2024/1689, art. 26, par. 2

5.3 Valutazione d’impatto sui diritti fondamentali (FRIA)

Prima di mettere in uso un sistema IA ad alto rischio, gli atenei devono condurre una Fundamental Rights Impact Assessment. Questa valutazione documenta i possibili effetti sui diritti degli studenti: diritto all’istruzione, non discriminazione, protezione dei dati, privacy.

5.4 Registro dei sistemi IA

Gli atenei devono mantenere un registro interno dei sistemi IA ad alto rischio utilizzati, con indicazione dello scopo, dei dati usati, del responsabile della supervisione e delle misure di mitigazione del rischio. La Commissione UE sta sviluppando una banca dati EU accessibile al pubblico per i sistemi ad alto rischio (EU AI Database).

5.5 Informazione agli studenti

Gli studenti che sono soggetti a decisioni o valutazioni significative effettuate con sistemi IA devono essere informati di questo fatto. Ad esempio, se un sistema di proctoring viene usato durante un esame, gli studenti devono saperlo prima e devono poter richiedere una revisione umana della valutazione.

Sul fronte dell’enforcement nazionale, vale la pena monitorare i casi reali del Garante Privacy su IA accademica, che mostrano come i provvedimenti italiani anticipino di fatto molti obblighi che diventeranno cogenti il 2 agosto 2026 in chiave AI Act.

6. L’obbligo di alfabetizzazione IA

L’art. 4 del Regolamento — già in vigore dal 2 febbraio 2025 — introduce l’obbligo per fornitori e deployer di garantire che il proprio personale abbia un livello sufficiente di alfabetizzazione in materia di IA. Per le università, questo si traduce in:

Chi deve essere formato

  • Docenti: comprensione delle capacità e dei limiti degli strumenti IA usati nella didattica; riconoscimento del plagio generato da IA; trasparenza verso gli studenti
  • Personale amministrativo: gestione sicura dei dati, valutazione del rischio, conformità normativa
  • Studenti: uso responsabile dell’IA, comprensione dei rischi, diritti soggettivi in merito alle decisioni automatizzate
  • Dirigenza: governance complessiva, responsabilità legale, accountability

Cosa significa «livello sufficiente»

Il Regolamento non fissa un numero di ore o un programma specifico: il livello sufficiente è calibrato in funzione del contesto, della complessità dei sistemi usati e del ruolo della persona. Un docente che usa solo strumenti di ricerca letteratura (a rischio minimo) ha esigenze formative diverse da un funzionario amministrativo che gestisce un sistema di ammissione algoritmico.

Molti atenei italiani si stanno orientando verso programmi di formazione strutturati, simili a quelli già avviati per il GDPR. La Direzione Generale per lo Studente del MUR ha comunicato che fornirà linee guida operative per le università entro la fine del 2025.

7. Impatto su tesi, ricerca e valutazione accademica

L’area più direttamente interessante per studenti e dottorandi è quella dell’IA nella produzione e valutazione delle tesi.

Strumenti di rilevamento del plagio da IA

Turnitin, Compilatio e altri sistemi antiplagio hanno introdotto funzionalità di AI detection. Secondo l’EU AI Act, se questi sistemi vengono usati per influenzare la valutazione della tesi o per contestare la paternità intellettuale dello studente, la loro classificazione come sistemi ad alto rischio diventa plausibile. Gli atenei devono:

  • Verificare con i fornitori la conformità AI Act degli strumenti antiplagio
  • Non adottare decisioni disciplinari basate esclusivamente sull’output di detector IA
  • Garantire allo studente il diritto di spiegazione e revisione umana

Strumenti IA per la scrittura della tesi

L’uso di strumenti come ChatGPT, Tesify o altri assistenti IA nella redazione della tesi non crea obblighi diretti per lo studente ai sensi dell’AI Act (che si rivolge a fornitori e deployer), ma rimane soggetto alle linee guida del proprio ateneo. La dichiarazione trasparente dell’uso dell’IA nella tesi è raccomandata da CRUI e MUR indipendentemente dall’AI Act.

Sistemi di valutazione automatizzata

La correzione automatizzata di elaborati o la generazione di voti tramite IA sono sistemi ad alto rischio se determinano o influenzano significativamente la valutazione accademica. La supervisione umana è obbligatoria: il docente non può delegare la responsabilità della valutazione a un algoritmo.

8. Interazione con il GDPR

L’EU AI Act e il GDPR (Reg. UE 2016/679) si sovrappongono in modo significativo nel contesto universitario. I sistemi IA ad alto rischio in ambito educativo trattano tipicamente dati personali degli studenti, il che attiva entrambe le normative:

Profilo GDPR EU AI Act
Valutazione d’impatto DPIA (Data Protection Impact Assessment) FRIA (Fundamental Rights Impact Assessment)
Diritti dell’individuo Accesso, rettifica, cancellazione dei dati Spiegazione, revisione umana delle decisioni IA
Responsabile Data Protection Officer (DPO) Responsabile AI governance (ruolo emergente)
Base giuridica Necessaria per ogni trattamento Conformità al regolamento per ogni sistema ad alto rischio

Molti atenei italiani stanno integrando la governance AI all’interno delle strutture esistenti per la protezione dei dati, attribuendo al DPO un ruolo di coordinamento anche per la conformità AI Act.

9. Sanzioni e responsabilità

Il Regolamento prevede un sistema sanzionatorio progressivo:

Tipo di violazione Sanzione massima
Pratiche vietate (art. 5) 35.000.000 € o 7% del fatturato mondiale
Obblighi per sistemi ad alto rischio (art. 8-15) 15.000.000 € o 3% del fatturato mondiale
Obblighi informativi / documentali 7.500.000 € o 1,5% del fatturato mondiale

Per le università, che sono enti pubblici senza fine di lucro, le sanzioni pecuniarie saranno commisurate diversamente rispetto alle aziende private. Tuttavia, il danno reputazionale da una violazione accertata da un’autorità di vigilanza (in Italia, l’Agenzia per l’Italia Digitale — AgID, in coordinamento con il Garante Privacy) è altrettanto rilevante.

10. Buone pratiche per la conformità degli atenei italiani

Gli atenei che si stanno preparando all’agosto 2026 si stanno orientando verso un approccio strutturato in cinque fasi:

Fase 1 — Inventario dei sistemi IA (AI Inventory)

Censire tutti i sistemi IA acquistati, sottoscritti o sviluppati internamente dall’ateneo. Includere: nome del sistema, fornitore, funzione, dati trattati, utenti coinvolti.

Fase 2 — Classificazione del rischio

Per ogni sistema inventariato, determinare la categoria di rischio secondo l’Allegato III del Regolamento. Quando il sistema rientra nel settore istruzione/formazione, presupporre l’alto rischio come default e verificare se le eccezioni si applicano.

Fase 3 — Valutazioni d’impatto

Condurre FRIA per ogni sistema ad alto rischio, integrandola con le DPIA GDPR già esistenti. Coinvolgere il DPO, i responsabili didattici e i rappresentanti degli studenti.

Fase 4 — Formazione del personale

Progettare un programma di alfabetizzazione IA differenziato per ruolo. Molti atenei si stanno ispirando ai framework formativi ENISA e ai moduli del CNIPA (ora AgID). La formazione deve essere documentata e periodicamente aggiornata.

Fase 5 — Governance e accountability

Definire policy interne sull’uso dei sistemi IA, designare un responsabile AI governance (che può coincidere con il DPO o con un nuovo ruolo), e stabilire procedure per raccogliere reclami degli studenti relativi a decisioni automatizzate che li riguardano.

FAQ sull’EU AI Act nelle università

Dal 2 agosto 2026 le università italiane devono smettere di usare l’IA?

No. L’EU AI Act non vieta l’uso dell’IA nelle università. Introduce obblighi di trasparenza, documentazione e supervisione umana per i sistemi ad alto rischio, e vieta solo le pratiche espressamente elencate nell’art. 5 (social scoring, manipolazione subliminale, ecc.). Gli atenei che si conformano ai requisiti possono continuare a usare i sistemi IA esistenti.

Turnitin è considerato un sistema ad alto rischio secondo l’EU AI Act?

Dipende dall’uso. Se Turnitin (o Compilatio) viene usato come strumento di supporto alla valutazione docente senza sostituire il giudizio umano, la classificazione è discutibile. Se invece il punteggio di similarità o il rilevamento IA determina automaticamente conseguenze disciplinari o l’annullamento della valutazione, il sistema rientra probabilmente nella categoria ad alto rischio. Gli atenei devono definire policy che mantengano la supervisione umana sulle decisioni finali.

Come devono gli studenti dichiarare l’uso dell’IA nella tesi alla luce dell’AI Act?

L’EU AI Act non impone obblighi diretti agli studenti. Le linee guida sulla dichiarazione dell’uso dell’IA nelle tesi derivano dalle policy dei singoli atenei e dalle raccomandazioni MUR/CRUI, non dall’AI Act. Gli studenti devono seguire le indicazioni del proprio ateneo. In generale, la dichiarazione trasparente è sempre raccomandata. Strumenti di supporto alla scrittura (come Tesify) a rischio minimo o limitato non attivano obblighi aggiuntivi rispetto a quelli già previsti dagli atenei.

Chi controlla la conformità AI Act delle università italiane?

In Italia, l’autorità di vigilanza competente per l’AI Act è in fase di designazione formale. Le indicazioni attuali indicano l’Agenzia per l’Italia Digitale (AgID) come autorità di vigilanza nazionale, in coordinamento con il Garante per la Protezione dei Dati Personali per i profili GDPR. Il sistema di supervisione è ancora in via di definizione al momento di pubblicazione di questo articolo (maggio 2026).

I docenti che usano ChatGPT per preparare i corsi sono soggetti all’AI Act?

ChatGPT è un modello IA di uso generale (GPAI). Il suo utilizzo da parte di singoli docenti per preparare materiali didattici o supporto alla ricerca non attiva gli obblighi del deployer per sistemi ad alto rischio, poiché non viene usato per prendere decisioni che influenzano i diritti degli studenti. Tuttavia, l’obbligo di alfabetizzazione IA (art. 4, in vigore dal 2 febbraio 2025) si applica: il docente deve comprendere i limiti dello strumento, le questioni di accuratezza e bias, e la responsabilità di verificare i contenuti generati.

Risorse ufficiali

Link correlati su Tesify

Tesify e la conformità all’EU AI Act

Tesify è progettato come strumento di supporto alla scrittura accademica, non come sistema decisionale. I nostri utenti mantengono sempre il pieno controllo autoriale della propria tesi o ricerca. La nostra piattaforma è pensata per essere conforme ai requisiti di trasparenza e literacy previsti dall’EU AI Act. I colleghi di Tesify.es, Tesify.pt e Tesify.fr affrontano gli stessi obblighi nei rispettivi paesi, con le medesime garanzie di conformità.