EU AI Act e Università Italiane: Tutti gli Obblighi dal 2 Agosto 2026
Il 2 agosto 2026 è una data che ogni ateneo italiano, ogni commissione di laurea e ogni ricercatore che utilizza strumenti di intelligenza artificiale deve segnare in calendario. Con quella scadenza entra in piena vigenza il Regolamento UE 2024/1689 — EU AI Act, la prima normativa al mondo che disciplina in modo organico lo sviluppo, la commercializzazione e l’utilizzo di sistemi di intelligenza artificiale. Per le università italiane, il regolamento introduce obblighi concreti: classificazione dei sistemi IA utilizzati, valutazioni d’impatto, piani di alfabetizzazione del personale e degli studenti, e governance documentata dei processi decisionali che coinvolgono sistemi automatizzati.
Non si tratta di una normativa astratta. Chi usa sistemi di IA per la valutazione degli studenti, l’ammissione ai corsi, il riconoscimento del plagio nelle tesi o il monitoraggio delle sessioni d’esame online è direttamente interessato. Questa guida analizza in modo sistematico cosa cambia per le università italiane, con riferimento al testo del regolamento e alle linee guida interpretative già disponibili.
1. Che cos’è l’EU AI Act e quando si applica
Il Regolamento (UE) 2024/1689 del Parlamento Europeo e del Consiglio è entrato in vigore il 1° agosto 2024 e si applica su tutto il territorio dell’Unione Europea in modo diretto, senza necessità di recepimento nazionale. Definisce «sistema di intelligenza artificiale» qualsiasi sistema basato su machine learning in grado di generare output (testi, immagini, raccomandazioni, decisioni) con un certo grado di autonomia.
«Sistema di intelligenza artificiale»: un sistema automatizzato progettato per funzionare con vari livelli di autonomia e che, a partire dagli input ricevuti, genera output quali previsioni, raccomandazioni, decisioni o contenuti in grado di influenzare ambienti reali o virtuali. — Reg. UE 2024/1689, art. 3, par. 1
Il regolamento si applica a:
- Fornitori (provider) di sistemi IA immessi sul mercato UE o messi in servizio nell’UE
- Deployer (utilizzatori/responsabili del dispiegamento): organizzazioni che usano sistemi IA nel proprio contesto operativo, incluse le università
- Importatori e distributori di sistemi IA
- Soggetti stabiliti in paesi terzi, quando i loro sistemi producono effetti nell’UE
Le università italiane sono tipicamente deployer: non producono i sistemi IA ma li acquistano, sottoscrivono o integrano nei propri processi (es. Turnitin, sistemi di proctoring, piattaforme di raccomandazione, chatbot didattici).
2. Timeline di applicazione: le scadenze chiave
| Data | Cosa diventa applicabile |
|---|---|
| 1 agosto 2024 | Entrata in vigore del Regolamento UE 2024/1689 |
| 2 febbraio 2025 | Divieti assoluti sulle pratiche IA vietate (art. 5) + obblighi di alfabetizzazione IA (art. 4) |
| 2 agosto 2025 | Obblighi per modelli IA di uso generale (GPAI, art. 51-56) |
| 2 agosto 2026 | PIENA APPLICAZIONE: obblighi per sistemi ad alto rischio (art. 8-15), obblighi per deployer (art. 26), sanzioni |
| 2 agosto 2027 | Obblighi per sistemi IA ad alto rischio già in uso prima del 2026 (regime transitorio) |
3. La classificazione dei sistemi IA per rischio
L’EU AI Act adotta un approccio risk-based: più alto è il rischio potenziale del sistema, più stringenti sono i requisiti. Le categorie sono:
Pratiche vietate (Allegato I)
Sistemi assolutamente proibiti nell’UE, indipendentemente dal contesto. Esempi rilevanti per le università:
- Sistemi di social scoring basati su comportamenti o caratteristiche personali
- Identificazione biometrica di massa in tempo reale in spazi pubblici (con eccezioni per forze dell’ordine)
- Manipolazione subliminale o sfruttamento di vulnerabilità cognitive
Sistemi ad alto rischio (Allegato III)
Questa categoria è la più rilevante per le università. Soggetti a requisiti stringenti di trasparenza, supervisione umana e documentazione.
Sistemi a rischio limitato
Principalmente soggetti a obblighi di trasparenza (es. chatbot che devono dichiararsi come IA).
Sistemi a rischio minimo
Nessun obbligo specifico. La maggior parte delle applicazioni IA comuni (filtri spam, traduzione automatica, raccomandazione playlist) rientra qui.
4. Sistemi ad alto rischio nelle università
L’Allegato III del Regolamento elenca esplicitamente i settori in cui i sistemi IA sono considerati ad alto rischio. L’istruzione e la formazione professionale è uno di questi settori. In particolare sono ad alto rischio i sistemi che:
- Determinano l’accesso, l’ammissione o l’assegnazione a istituti di istruzione (test d’ingresso con IA, algoritmi di ammissione, selezione automatizzata dei candidati)
- Valutano i risultati dell’apprendimento degli studenti in modo automatizzato (correzione automatica, valutazione dei saggi con IA)
- Determinano il livello di istruzione adeguato per una persona (sistemi di orientamento e raccomandazione dei percorsi formativi)
- Effettuano monitoraggio comportamentale durante test ed esami (sistemi di proctoring online)
Esempi concreti per gli atenei italiani
| Sistema/Strumento | Classificazione probabile | Obblighi principali |
|---|---|---|
| Proctorio / Respondus (proctoring esami) | Alto rischio | Valutazione d’impatto, supervisione umana, registri |
| Turnitin / Compilatio (antiplagio) | Rischio limitato / Alto rischio se determina valutazione | Trasparenza, supervisione umana nella decisione finale |
| Algoritmi di ammissione ai corsi | Alto rischio | Valutazione d’impatto, documentazione, supervisione |
| Chatbot didattici (tipo assistente corso) | Rischio limitato | Obbligo di trasparenza (dichiarare di essere IA) |
| Sistemi di raccomandazione piani di studio | Potenzialmente alto rischio | Verifica classificazione, possibile valutazione d’impatto |
| Strumenti IA per revisione tesi (Tesify) | Rischio minimo / limitato | Trasparenza nell’uso, dichiarazione nella tesi |
Per quanto riguarda l’uso dell’IA nella scrittura e revisione accademica, la normativa si intreccia con le linee guida MUR e CRUI sull’uso dell’IA per la tesi: la trasparenza e la dichiarazione d’uso rimangono il principio cardine.
5. Obblighi specifici per gli atenei italiani
Come deployer di sistemi ad alto rischio, le università italiane devono rispettare gli obblighi previsti dall’art. 26 del Regolamento:
5.1 Misure tecniche e organizzative
Gli atenei devono adottare misure tecniche e organizzative adeguate per garantire un uso conforme alle istruzioni del fornitore. Questo significa verificare che i sistemi acquistati siano conformi AI Act (marcatura CE quando prevista) e disporre di policy interne sull’uso dei sistemi IA.
5.2 Supervisione umana
Per i sistemi ad alto rischio, la supervisione umana è un requisito non negoziabile. Un sistema IA non può da solo determinare l’esito di un esame, l’ammissione a un corso o l’accertamento di plagio: ci deve essere sempre un docente o un funzionario amministrativo che valuta il risultato e assume la responsabilità della decisione finale.
«I deployer assicurano che alle persone fisiche incaricate della supervisione siano attribuiti il potere, la formazione e le risorse necessari per poter intervenire o sovrascrivere i risultati del sistema di IA ad alto rischio.» — Reg. UE 2024/1689, art. 26, par. 2
5.3 Valutazione d’impatto sui diritti fondamentali (FRIA)
Prima di mettere in uso un sistema IA ad alto rischio, gli atenei devono condurre una Fundamental Rights Impact Assessment. Questa valutazione documenta i possibili effetti sui diritti degli studenti: diritto all’istruzione, non discriminazione, protezione dei dati, privacy.
5.4 Registro dei sistemi IA
Gli atenei devono mantenere un registro interno dei sistemi IA ad alto rischio utilizzati, con indicazione dello scopo, dei dati usati, del responsabile della supervisione e delle misure di mitigazione del rischio. La Commissione UE sta sviluppando una banca dati EU accessibile al pubblico per i sistemi ad alto rischio (EU AI Database).
5.5 Informazione agli studenti
Gli studenti che sono soggetti a decisioni o valutazioni significative effettuate con sistemi IA devono essere informati di questo fatto. Ad esempio, se un sistema di proctoring viene usato durante un esame, gli studenti devono saperlo prima e devono poter richiedere una revisione umana della valutazione.
Sul fronte dell’enforcement nazionale, vale la pena monitorare i casi reali del Garante Privacy su IA accademica, che mostrano come i provvedimenti italiani anticipino di fatto molti obblighi che diventeranno cogenti il 2 agosto 2026 in chiave AI Act.
6. L’obbligo di alfabetizzazione IA
L’art. 4 del Regolamento — già in vigore dal 2 febbraio 2025 — introduce l’obbligo per fornitori e deployer di garantire che il proprio personale abbia un livello sufficiente di alfabetizzazione in materia di IA. Per le università, questo si traduce in:
Chi deve essere formato
- Docenti: comprensione delle capacità e dei limiti degli strumenti IA usati nella didattica; riconoscimento del plagio generato da IA; trasparenza verso gli studenti
- Personale amministrativo: gestione sicura dei dati, valutazione del rischio, conformità normativa
- Studenti: uso responsabile dell’IA, comprensione dei rischi, diritti soggettivi in merito alle decisioni automatizzate
- Dirigenza: governance complessiva, responsabilità legale, accountability
Cosa significa «livello sufficiente»
Il Regolamento non fissa un numero di ore o un programma specifico: il livello sufficiente è calibrato in funzione del contesto, della complessità dei sistemi usati e del ruolo della persona. Un docente che usa solo strumenti di ricerca letteratura (a rischio minimo) ha esigenze formative diverse da un funzionario amministrativo che gestisce un sistema di ammissione algoritmico.
Molti atenei italiani si stanno orientando verso programmi di formazione strutturati, simili a quelli già avviati per il GDPR. La Direzione Generale per lo Studente del MUR ha comunicato che fornirà linee guida operative per le università entro la fine del 2025.
7. Impatto su tesi, ricerca e valutazione accademica
L’area più direttamente interessante per studenti e dottorandi è quella dell’IA nella produzione e valutazione delle tesi.
Strumenti di rilevamento del plagio da IA
Turnitin, Compilatio e altri sistemi antiplagio hanno introdotto funzionalità di AI detection. Secondo l’EU AI Act, se questi sistemi vengono usati per influenzare la valutazione della tesi o per contestare la paternità intellettuale dello studente, la loro classificazione come sistemi ad alto rischio diventa plausibile. Gli atenei devono:
- Verificare con i fornitori la conformità AI Act degli strumenti antiplagio
- Non adottare decisioni disciplinari basate esclusivamente sull’output di detector IA
- Garantire allo studente il diritto di spiegazione e revisione umana
Strumenti IA per la scrittura della tesi
L’uso di strumenti come ChatGPT, Tesify o altri assistenti IA nella redazione della tesi non crea obblighi diretti per lo studente ai sensi dell’AI Act (che si rivolge a fornitori e deployer), ma rimane soggetto alle linee guida del proprio ateneo. La dichiarazione trasparente dell’uso dell’IA nella tesi è raccomandata da CRUI e MUR indipendentemente dall’AI Act.
Sistemi di valutazione automatizzata
La correzione automatizzata di elaborati o la generazione di voti tramite IA sono sistemi ad alto rischio se determinano o influenzano significativamente la valutazione accademica. La supervisione umana è obbligatoria: il docente non può delegare la responsabilità della valutazione a un algoritmo.
8. Interazione con il GDPR
L’EU AI Act e il GDPR (Reg. UE 2016/679) si sovrappongono in modo significativo nel contesto universitario. I sistemi IA ad alto rischio in ambito educativo trattano tipicamente dati personali degli studenti, il che attiva entrambe le normative:
| Profilo | GDPR | EU AI Act |
|---|---|---|
| Valutazione d’impatto | DPIA (Data Protection Impact Assessment) | FRIA (Fundamental Rights Impact Assessment) |
| Diritti dell’individuo | Accesso, rettifica, cancellazione dei dati | Spiegazione, revisione umana delle decisioni IA |
| Responsabile | Data Protection Officer (DPO) | Responsabile AI governance (ruolo emergente) |
| Base giuridica | Necessaria per ogni trattamento | Conformità al regolamento per ogni sistema ad alto rischio |
Molti atenei italiani stanno integrando la governance AI all’interno delle strutture esistenti per la protezione dei dati, attribuendo al DPO un ruolo di coordinamento anche per la conformità AI Act.
9. Sanzioni e responsabilità
Il Regolamento prevede un sistema sanzionatorio progressivo:
| Tipo di violazione | Sanzione massima |
|---|---|
| Pratiche vietate (art. 5) | 35.000.000 € o 7% del fatturato mondiale |
| Obblighi per sistemi ad alto rischio (art. 8-15) | 15.000.000 € o 3% del fatturato mondiale |
| Obblighi informativi / documentali | 7.500.000 € o 1,5% del fatturato mondiale |
Per le università, che sono enti pubblici senza fine di lucro, le sanzioni pecuniarie saranno commisurate diversamente rispetto alle aziende private. Tuttavia, il danno reputazionale da una violazione accertata da un’autorità di vigilanza (in Italia, l’Agenzia per l’Italia Digitale — AgID, in coordinamento con il Garante Privacy) è altrettanto rilevante.
10. Buone pratiche per la conformità degli atenei italiani
Gli atenei che si stanno preparando all’agosto 2026 si stanno orientando verso un approccio strutturato in cinque fasi:
Fase 1 — Inventario dei sistemi IA (AI Inventory)
Censire tutti i sistemi IA acquistati, sottoscritti o sviluppati internamente dall’ateneo. Includere: nome del sistema, fornitore, funzione, dati trattati, utenti coinvolti.
Fase 2 — Classificazione del rischio
Per ogni sistema inventariato, determinare la categoria di rischio secondo l’Allegato III del Regolamento. Quando il sistema rientra nel settore istruzione/formazione, presupporre l’alto rischio come default e verificare se le eccezioni si applicano.
Fase 3 — Valutazioni d’impatto
Condurre FRIA per ogni sistema ad alto rischio, integrandola con le DPIA GDPR già esistenti. Coinvolgere il DPO, i responsabili didattici e i rappresentanti degli studenti.
Fase 4 — Formazione del personale
Progettare un programma di alfabetizzazione IA differenziato per ruolo. Molti atenei si stanno ispirando ai framework formativi ENISA e ai moduli del CNIPA (ora AgID). La formazione deve essere documentata e periodicamente aggiornata.
Fase 5 — Governance e accountability
Definire policy interne sull’uso dei sistemi IA, designare un responsabile AI governance (che può coincidere con il DPO o con un nuovo ruolo), e stabilire procedure per raccogliere reclami degli studenti relativi a decisioni automatizzate che li riguardano.
FAQ sull’EU AI Act nelle università
Dal 2 agosto 2026 le università italiane devono smettere di usare l’IA?
No. L’EU AI Act non vieta l’uso dell’IA nelle università. Introduce obblighi di trasparenza, documentazione e supervisione umana per i sistemi ad alto rischio, e vieta solo le pratiche espressamente elencate nell’art. 5 (social scoring, manipolazione subliminale, ecc.). Gli atenei che si conformano ai requisiti possono continuare a usare i sistemi IA esistenti.
Turnitin è considerato un sistema ad alto rischio secondo l’EU AI Act?
Dipende dall’uso. Se Turnitin (o Compilatio) viene usato come strumento di supporto alla valutazione docente senza sostituire il giudizio umano, la classificazione è discutibile. Se invece il punteggio di similarità o il rilevamento IA determina automaticamente conseguenze disciplinari o l’annullamento della valutazione, il sistema rientra probabilmente nella categoria ad alto rischio. Gli atenei devono definire policy che mantengano la supervisione umana sulle decisioni finali.
Come devono gli studenti dichiarare l’uso dell’IA nella tesi alla luce dell’AI Act?
L’EU AI Act non impone obblighi diretti agli studenti. Le linee guida sulla dichiarazione dell’uso dell’IA nelle tesi derivano dalle policy dei singoli atenei e dalle raccomandazioni MUR/CRUI, non dall’AI Act. Gli studenti devono seguire le indicazioni del proprio ateneo. In generale, la dichiarazione trasparente è sempre raccomandata. Strumenti di supporto alla scrittura (come Tesify) a rischio minimo o limitato non attivano obblighi aggiuntivi rispetto a quelli già previsti dagli atenei.
Chi controlla la conformità AI Act delle università italiane?
In Italia, l’autorità di vigilanza competente per l’AI Act è in fase di designazione formale. Le indicazioni attuali indicano l’Agenzia per l’Italia Digitale (AgID) come autorità di vigilanza nazionale, in coordinamento con il Garante per la Protezione dei Dati Personali per i profili GDPR. Il sistema di supervisione è ancora in via di definizione al momento di pubblicazione di questo articolo (maggio 2026).
I docenti che usano ChatGPT per preparare i corsi sono soggetti all’AI Act?
ChatGPT è un modello IA di uso generale (GPAI). Il suo utilizzo da parte di singoli docenti per preparare materiali didattici o supporto alla ricerca non attiva gli obblighi del deployer per sistemi ad alto rischio, poiché non viene usato per prendere decisioni che influenzano i diritti degli studenti. Tuttavia, l’obbligo di alfabetizzazione IA (art. 4, in vigore dal 2 febbraio 2025) si applica: il docente deve comprendere i limiti dello strumento, le questioni di accuratezza e bias, e la responsabilità di verificare i contenuti generati.
Risorse ufficiali
- Testo integrale Reg. UE 2024/1689 (EU AI Act) su EUR-Lex
- Commissione UE — AI Act: quadro normativo
- AgID — Agenzia per l’Italia Digitale
Link correlati su Tesify
- Posso usare l’IA per la tesi in Italia 2026? Regole MUR e CRUI
- Antiplagio tesi 2026: Compilatio, Turnitin e uso dell’IA
- DORA e CoARA: Riformare la Valutazione della Ricerca in Italia 2026
- ASN 2026: Guida all’Abilitazione Scientifica Nazionale
Tesify e la conformità all’EU AI Act
Tesify è progettato come strumento di supporto alla scrittura accademica, non come sistema decisionale. I nostri utenti mantengono sempre il pieno controllo autoriale della propria tesi o ricerca. La nostra piattaforma è pensata per essere conforme ai requisiti di trasparenza e literacy previsti dall’EU AI Act. I colleghi di Tesify.es, Tesify.pt e Tesify.fr affrontano gli stessi obblighi nei rispettivi paesi, con le medesime garanzie di conformità.


