Glossario

Sanzioni dell'art. 99

Le sanzioni dell'art. 99 sono le sanzioni amministrative pecuniarie che le autorita' competenti possono infliggere a chi viola il Regolamento europeo sull'intelligenza artificiale, fino a un massimo di 35 milioni di euro oppure, se l'autore della violazione e' un'impresa, fino al 7% del fatturato mondiale totale annuo dell'esercizio precedente, applicando l'importo piu' alto tra i due se superiore (art. 99 Reg. UE 2024/1689). A differenza delle sanzioni penali previste dalla legge italiana 132/2025 per casi come i deepfake diffusi senza consenso, quelle dell'art. 99 sono multe amministrative e colpiscono il mancato rispetto degli obblighi dell'AI Act.

L'art. 99 e' la parte del Regolamento che mette i denti alla norma. Senza una sanzione, un obbligo resta sulla carta. Qui invece l'Europa ha scelto importi alti, costruiti sul modello del GDPR, per rendere chiaro che adeguarsi non e' facoltativo.

Il meccanismo si muove su tre fasce, in base a quanto e' grave la violazione. La fascia piu' alta riguarda l'uso di un'intelligenza artificiale vietata, quella a rischio inaccettabile dell'art. 5, per esempio i sistemi che manipolano le persone o assegnano un punteggio sociale. Qui si arriva a 35 milioni di euro oppure, per un'impresa, al 7% del fatturato mondiale totale annuo dell'esercizio precedente, e si applica l'importo piu' alto tra i due se superiore (art. 99, paragrafo 3). La fascia intermedia riguarda la violazione di altri obblighi del Regolamento, tra cui quelli che gravano su fornitori, rappresentanti autorizzati, importatori, distributori e deployer, gli obblighi di trasparenza dell'art. 50 e quelli degli organismi notificati, e arriva a 15 milioni di euro oppure al 3% del fatturato, sempre secondo l'importo piu' alto tra i due se superiore (art. 99, paragrafo 4). La terza fascia scatta quando si forniscono informazioni inesatte, incomplete o fuorvianti agli organismi notificati o alle autorita' nazionali competenti, e arriva a 7,5 milioni di euro oppure all'1% del fatturato. Anche in questa terza fascia il testo italiano usa la formula "se superiore", quindi vale l'importo piu' alto tra i due esattamente come nelle altre due fasce (art. 99, paragrafo 5).

C'e' una regola pensata apposta per chi e' piccolo. Per le PMI, comprese le start-up, ogni sanzione e' pari al massimo alle percentuali o all'importo delle tre fasce se inferiore, cioe' si applica l'importo piu' basso tra la cifra fissa e la percentuale sul fatturato, non quello piu' alto (art. 99, paragrafo 6). E' il ribaltamento della regola generale valida per le grandi imprese, ed e' un modo per non schiacciare le realta' piccole con sanzioni sproporzionate.

Un punto pratico da tenere a mente. Le multe non sono automatiche e l'autorita' valuta caso per caso, guardando alla gravita', alla durata, al carattere intenzionale della violazione e alla collaborazione di chi ha sbagliato. In Italia la ripartizione dei ruoli discende dall'art. 20 della Legge 132/2025. L'ACN, l'Agenzia per la Cybersicurezza Nazionale, e' autorita' di vigilanza del mercato e le spettano la vigilanza, le ispezioni e l'attivita' sanzionatoria sui sistemi di IA. L'AgID, l'Agenzia per l'Italia digitale, e' invece autorita' di notifica e si occupa di notifica, valutazione, accreditamento e monitoraggio degli organismi che verificano la conformita' dei sistemi. Il Garante per la protezione dei dati personali non e' designato autorita' nazionale per l'IA, ma conserva integralmente le sue competenze sui profili di protezione dei dati. Nel settore finanziario restano autorita' di vigilanza del mercato la Banca d'Italia, la CONSOB e l'IVASS ai sensi dell'art. 74, paragrafo 6, del Regolamento.

Termini correlati

Torna all'hub AI Act

Questo contenuto ha finalità informative e divulgative e riflette il quadro normativo alla data di ultima revisione indicata. Non costituisce parere o consulenza legale sul tuo caso specifico. Per l'inquadramento giuridico formale lavoriamo con professionisti abilitati.