Skip to content
Confir.
Prueba gratuita
Blog

La Ley de IA de la UE en Italia: Ley 132/2025, AgID, ACN y lo que deben hacer las empresas

Country Guide10 March 2026· 25 min de lectura

La Ley 132/2025 de Italia designa a la ACN y a AgID como autoridades de la Ley de IA. Cubre la ejecución, las sanciones, el solapamiento con el RGPD y el plazo de alto riesgo de diciembre de 2027.

Italia ocupa una posición singular en el mapa de la gobernanza de la IA de la UE. Es el primer Estado miembro de la UE en aprobar una ley nacional dedicada a la inteligencia artificial — la Ley n.º 132/2025 (Legge 23 settembre 2025, n. 132), en vigor desde el 10 de octubre de 2025. Esa ley no sustituye a la Ley de IA de la UE; no puede hacerlo. El Reglamento (UE) 2024/1689 entró en vigor el 1 de agosto de 2024 y se aplica directamente en cada Estado miembro en virtud del artículo 288 del TFUE. Lo que hace la Ley 132/2025 es construir el andamiaje nacional: designar las autoridades de ejecución, establecer principios y delegar en el Gobierno la facultad de emitir decretos de aplicación en un plazo de doce meses.

Para las empresas italianas, el resultado práctico es un marco de dos capas. Las obligaciones del Reglamento — qué debe hacer, cuándo y con qué techo sancionador — se fijan en Bruselas. La cuestión de quién en Italia puede investigarle, sancionarle y actuar como interfaz del país con las instituciones de la UE la responde ahora la ley nacional.

Un Reglamento más una ley nacional: cómo encajan

La Ley de IA de la UE es un Reglamento, no una Directiva. No requiere transposición nacional. Las empresas italianas no esperan a una medida de aplicación italiana antes de que sus obligaciones surtan efecto — varias ya lo han hecho. Las prácticas prohibidas del Artículo 5 son ejecutables desde el 2 de febrero de 2025. Las obligaciones de los modelos de IA de uso general con arreglo al Capítulo V, el marco sancionador del Artículo 99 y las estructuras de gobernanza de la Oficina de IA en Bruselas se aplicaron todas desde el 2 de agosto de 2025.

La Ley 132/2025 opera dentro de ese marco preexistente. Puede designar autoridades (lo que el Reglamento exige a los Estados miembros en virtud del Artículo 70), crear bases jurídicas nacionales para las inspecciones y las sanciones, establecer principios nacionales para el desarrollo de una IA fiable y abordar las intersecciones con otra legislación italiana. No puede alterar el catálogo de obligaciones del Reglamento, cambiar sus plazos ni suavizar sus techos sancionadores. Esos están fijados por el propio Reglamento (UE) 2024/1689.

Los decretos de aplicación que ordena la Ley 132/2025 — previstos en un plazo de doce meses a partir del 10 de octubre de 2025 — añadirán detalle operativo y técnico al marco nacional. Hasta que se publiquen, rigen los propios requisitos del Reglamento, y las autoridades designadas por el artículo 20 de la Ley 132/2025 ya están operativas.

La ley nacional de IA de Italia: Ley n.º 132/2025

La Ley n.º 132/2025, firmada el 23 de septiembre de 2025 y en vigor desde el 10 de octubre de 2025, es notable por dos razones más allá de su contenido: es la primera ley nacional de IA en la UE, y se promulgó antes de que la mayoría de los Estados miembros hubieran designado sus autoridades nacionales competentes del artículo 70.

La ley abarca tres grandes áreas. En primer lugar, establece principios nacionales para el desarrollo y el uso de la IA — enmarcando la IA como una herramienta que debe respetar la dignidad humana, la no discriminación y los derechos fundamentales, en consonancia con los propios requisitos del Reglamento, pero sin duplicarlos. En segundo lugar, y lo que es más importante en la práctica, designa las autoridades nacionales competentes en virtud del artículo 20 y establece un órgano de coordinación de alto nivel. En tercer lugar, delega en el Gobierno la facultad de emitir decretos de aplicación en un plazo de doce meses, que operativizarán las inspecciones, los procedimientos sancionadores, los mecanismos de acreditación de los organismos de evaluación de la conformidad y las orientaciones técnicas. Esos decretos están pendientes a mediados de 2026.

Un aspecto de la Ley 132/2025 que va más allá de la arquitectura administrativa del Reglamento: la ley introdujo disposiciones penales nacionales dirigidas al uso indebido perjudicial de la IA — incluida, en particular, la distribución ilícita de contenido de ultrafalsificación generado por IA sin el consentimiento del sujeto. Estas son adiciones al código penal italiano, distintas del régimen de multas administrativas del Reglamento. Se aplican a las personas físicas, no a las empresas como tales, y las disposiciones concretas del código penal italiano que las aplican son una cuestión de Derecho interno italiano más que de cumplimiento de la Ley de IA de la UE — aunque las empresas con funciones de contenido o medios deberían tomar nota.

¿Quién hace cumplir la Ley de IA de la UE en Italia?

El artículo 20 de la Ley 132/2025 designa dos autoridades nacionales competentes, con mandatos distintos pero complementarios.

AgID (Agenzia per l'Italia Digitale — la Agencia Digital de Italia) ostenta la función de autoridad notificante. AgID es responsable de promover el desarrollo y la innovación de la IA, así como de la notificación, evaluación, acreditación y supervisión continua de los organismos de evaluación de la conformidad (los organismos que realizan las evaluaciones de la conformidad por terceros para los sistemas de IA de alto riesgo, principalmente con arreglo al Artículo 43). Para las empresas italianas que necesitan un organismo notificado — principalmente las que construyen sistemas de IA en la categoría de biometría del Anexo III, que requiere la vía del organismo notificado del Anexo VII —, AgID es la autoridad a través de la cual esos organismos se acreditan y se notifican a Bruselas.

ACN (Agenzia per la Cybersicurezza Nazionale — la Agencia Nacional de Ciberseguridad) es la autoridad de vigilancia del mercado, la autoridad de inspección y la autoridad con potestad sancionadora. La ACN supervisa los sistemas de IA en el mercado italiano, realiza inspecciones, puede exigir el acceso a la documentación técnica y a los registros de evaluación de la conformidad, dictar órdenes correctoras e imponer las multas administrativas que se derivan del Artículo 99 del Reglamento. La ACN sirve también como punto de contacto único (PCU) de Italia con las instituciones de la UE — incluida la Oficina de IA en Bruselas — en virtud del Artículo 70 del Reglamento.

La asignación de la vigilancia del mercado a la ACN es deliberada. El regulador italiano de ciberseguridad ya posee importantes potestades de inspección y ejecución sobre la infraestructura digital; extender ese mandato a la supervisión de los sistemas de IA crea una continuidad institucional para las evaluaciones técnicas implicadas, en particular para los sistemas que se cruzan con las infraestructuras críticas o la ciberseguridad (Anexo III, punto 2).

La Ley 132/2025 también exige una colaboración activa entre las dos autoridades designadas y otros reguladores italianos cuando sus competencias se cruzan. El Garante (Garante per la protezione dei dati personali — la autoridad italiana de protección de datos) no es la autoridad principal de la Ley de IA, pero la ley exige la coordinación con el Garante siempre que la supervisión de los sistemas de IA afecte a la protección de datos personales — lo que, en la práctica, abarca casi todos los sistemas de alto riesgo del Anexo III. De forma similar, debe intervenir la AGCOM (Autorità per le Garanzie nelle Comunicazioni — el regulador italiano de las comunicaciones) cuando los sistemas de IA impliquen servicios de comunicaciones, medios o contenidos.

Un Comité de Coordinación en la Presidencia del Consejo de Ministros proporciona una supervisión de alto nivel de la política de IA y garantiza la coherencia en todo el marco nacional. Este órgano se sitúa por encima de las autoridades operativas; no realiza por sí mismo la ejecución.

Para los proveedores de modelos de IA de uso general que operan en Italia: la Oficina de IA de la UE en Bruselas supervisa directamente las obligaciones de los modelos de IA de uso general con arreglo a los Artículos 53 y 55. La ACN actúa como PCU, pero la relación reguladora principal es con Bruselas, no con Roma.

Cómo interactúa el marco italiano con el RGPD

El RGPD y la Ley de IA de la UE discurren en paralelo para cualquier sistema de IA que trate datos personales. Para los sistemas de alto riesgo del Anexo III — cribado para la contratación, calificación crediticia, evaluación de la admisibilidad a prestaciones públicas, categorización biométrica —, eso significa que ambos marcos se aplican simultáneamente.

El solapamiento más práctico es el que se da entre el artículo 35 del RGPD y el Artículo 27 de la Ley de IA de la UE. El artículo 35 del RGPD exige una evaluación de impacto relativa a la protección de datos (EIPD) antes de un tratamiento que probablemente entrañe un alto riesgo para las personas físicas. El Artículo 27 de la Ley de IA de la UE exige a determinados responsables del despliegue completar una evaluación de impacto relativa a los derechos fundamentales (EIDF) antes de poner en servicio un sistema de IA de alto riesgo. El Artículo 27, apartado 4, reconoce explícitamente que la EIDF puede basarse en una EIPD existente, compartiendo el mismo fundamento fáctico. Para un organismo público italiano — un ayuntamiento que ejecuta un sistema de IA para determinar la admisibilidad a prestaciones sociales, por ejemplo —, realizar tanto una EIPD del artículo 35 del RGPD como una EIDF del Artículo 27 antes del despliegue es obligatorio, y las dos evaluaciones deberían coordinarse desde el principio en lugar de tratarse como ejercicios separados.

Una segunda interacción afecta a las decisiones automatizadas. El artículo 22 del RGPD restringe las decisiones basadas únicamente en el tratamiento automatizado que producen efectos jurídicos o similarmente significativos para las personas, y exige información significativa sobre la lógica aplicada. El Artículo 12 de la Ley de IA de la UE exige que los sistemas de IA de alto riesgo mantengan registros de su funcionamiento. El responsable del despliegue que ejecuta una herramienta de evaluación de la solvencia mediante IA afronta obligaciones simultáneas: la conservación de registros con arreglo al Artículo 12 (al menos seis meses con arreglo al Artículo 26), la documentación de la lógica de la decisión automatizada con arreglo al artículo 22 del RGPD y la supervisión humana con arreglo al Artículo 14 de la Ley de IA. Estas obligaciones son distintas, pero la documentación elaborada para una nutre a la otra.

La función de coordinación del Garante en el marco italiano significa que la autoridad de protección de datos puede señalar lagunas de cumplimiento a la ACN y viceversa. Las empresas italianas no deberían tratar el cumplimiento del RGPD y el cumplimiento de la Ley de IA como programas aislados — una EIPD inadecuada sobre un sistema de IA de alto riesgo es simultáneamente una exposición al RGPD y una señal de que la EIDF del Artículo 27 también puede ser deficiente.

El calendario de la Ley de IA de la UE tal como se aplica en Italia

FechaQué se aplica
1 de agosto de 2024El Reglamento (UE) 2024/1689 entra en vigor
2 de febrero de 2025Prácticas prohibidas del Artículo 5 y alfabetización en materia de IA del Artículo 4 — ejecutables ahora
2 de agosto de 2025Obligaciones de la IA de uso general (Capítulo V, Artículos 51 a 56), gobernanza, Oficina de IA, sanciones del Artículo 99
10 de octubre de 2025Ley n.º 132/2025 en vigor — AgID y ACN designadas como autoridades nacionales competentes
2 de agosto de 2026Aplicación general, incluida la transparencia de riesgo limitado del Artículo 50 (chatbots, ultrafalsificaciones, marcado de contenido sintético)
2 de diciembre de 2027Sistemas de IA de alto riesgo autónomos (lista del Anexo III) — aplazado en virtud del Ómnibus Digital
2 de agosto de 2028IA de alto riesgo como componente de seguridad de productos regulados del Anexo I — aplazado en virtud del Ómnibus Digital

Dos puntos del calendario merecen especial atención para las empresas italianas.

El Artículo 5 ya es ejecutable. Todo sistema de IA que realice categorización biométrica por características sensibles fuera de las excepciones estrictas del Reglamento, permita la identificación biométrica remota en tiempo real en espacios públicos más allá de las exclusiones para las fuerzas de orden público, puntúe a las personas según su fiabilidad social o manipule a las personas mediante técnicas subliminales lleva operando ilegalmente desde el 2 de febrero de 2025. La ACN ya tiene potestad para actuar.

El plazo de alto riesgo no es agosto de 2026. En virtud del Ómnibus Digital — el paquete de modificación de la Comisión sobre el que el Parlamento y el Consejo alcanzaron un acuerdo político el 7 de mayo de 2026 —, los sistemas de alto riesgo autónomos del Anexo III tienen ahora hasta el 2 de diciembre de 2027, y la IA de alto riesgo integrada en productos regulados del Anexo I tiene hasta el 2 de agosto de 2028. La fecha original de agosto de 2026 se ha aplazado. Ese aplazamiento no hace que la documentación sea más fácil de elaborar: un sistema de gestión de riesgos del Artículo 9, un paquete completo de documentación técnica del Anexo IV, los controles de supervisión humana del Artículo 14 y la evaluación de la conformidad del Artículo 43 representan meses de trabajo concentrado para cualquier proveedor.

Sanciones: a qué se enfrentan las empresas en Italia

El marco sancionador es el Artículo 99 del Reglamento (UE) 2024/1689, aplicado en Italia por la ACN. Hay tres tramos:

  • 35 000 000 EUR o el 7 % del volumen de negocios anual mundial total (si esta última cifra es mayor) — para las infracciones de las prohibiciones del Artículo 5. Este tramo se aplica desde el 2 de agosto de 2025.
  • 15 000 000 EUR o el 3 % — para el incumplimiento de la mayoría de las demás obligaciones, incluidos los requisitos de la IA de alto riesgo de los Artículos 9 a 15, las obligaciones del proveedor del Artículo 16, las obligaciones del responsable del despliegue del Artículo 26 y los deberes de transparencia del Artículo 50.
  • 7 500 000 EUR o el 1 % — por facilitar información incorrecta, incompleta o engañosa a los organismos notificados o a las autoridades competentes.

Para las empresas más pequeñas, el Artículo 99, apartado 6, ofrece una protección de proporcionalidad: para las pymes y las empresas emergentes, la multa se limita al menor de los dos importes, la cantidad fija o el porcentaje. Una empresa con un volumen de negocios mundial de 8 millones de euros no puede afrontar una multa de 15 millones de euros por una infracción de una obligación de alto riesgo — el 3 % de 8 millones de euros son 240 000 euros, y ese es el techo aplicable.

Las multas son máximos, no resultados automáticos. La ACN aplicará factores de proporcionalidad, entre ellos la duración y la naturaleza de la infracción, el grado de responsabilidad y la cooperación con la investigación. Pero los techos son reales, y el tramo del 7 % para las infracciones del Artículo 5 es la multa administrativa más elevada del Derecho regulador de la UE.

Además de las multas administrativas del Reglamento, la Ley 132/2025 introdujo disposiciones penales nacionales dirigidas a usos indebidos perjudiciales concretos de la IA — sobre todo la distribución ilícita de contenido de ultrafalsificación generado por IA. Estas disposiciones penales se aplican a las personas físicas y se sitúan junto a (no dentro de) la estructura de sanciones administrativas del Reglamento. Las empresas con funciones de producción de contenidos, medios o comunicaciones deberían revisar las disposiciones penales de la Ley 132/2025 como una comprobación de cumplimiento independiente, además de las obligaciones administrativas impuestas por el Reglamento.

Las multas específicas de la IA de uso general son un instrumento aparte: hasta 15 millones de euros o el 3 %, impuestas por la Comisión directamente a los proveedores de modelos de IA de uso general con arreglo al Artículo 101.

Consideraciones de cumplimiento específicas de Italia

Espacios controlados de pruebas y el papel de AgID

El Artículo 57 del Reglamento exige a cada Estado miembro establecer al menos un espacio controlado de pruebas reglamentario antes del 2 de agosto de 2026, con acceso prioritario y gratuito para las pymes y las empresas emergentes con arreglo al Artículo 58. El mandato de AgID — promover la innovación en IA junto con su función de autoridad notificante — la posiciona como el anfitrión natural del espacio controlado de pruebas reglamentario de Italia. Se espera que los decretos de aplicación previstos en la Ley 132/2025 clarifiquen el marco del espacio controlado de pruebas. Las empresas italianas que desarrollan aplicaciones de IA novedosas, en particular en sectores donde las pruebas en el mundo real plantean cuestiones reglamentarias, deberían vigilar de cerca las orientaciones de AgID a medida que tome forma la infraestructura del espacio controlado de pruebas.

Obligaciones de EIDF del sector público

Los organismos públicos italianos — ministerios, administraciones regionales, ayuntamientos, organismos públicos de sanidad — figuran entre los responsables del despliegue más significativos de IA en las categorías del Anexo III: admisibilidad a prestaciones públicas, apoyo a las fuerzas de orden público, gestión de fronteras, justicia administrativa. El Artículo 27 del Reglamento hace obligatoria la EIDF para los responsables del despliegue que sean organismos públicos antes de poner en servicio un sistema de IA de alto riesgo. La EIDF debe completarse antes del despliegue, documentarse y ponerse a disposición de la ACN para su inspección. Las administraciones públicas italianas deberían tratar la documentación de la EIDF como parte de su norma de contratación y despliegue — y coordinarse con el Garante sobre la EIPD solapada del artículo 35 del RGPD.

La industria manufacturera y la vía de los productos del Anexo I

La base industrial de Italia — fabricación, máquinas, automatización, robótica industrial — crea una exposición específica a la vía del componente de seguridad de los productos del Anexo I del Reglamento. Cuando la IA es un componente de seguridad de una máquina cubierta por el Reglamento sobre máquinas revisado (UE) 2023/1230, es de alto riesgo con arreglo al Artículo 6, apartado 1, y no al Anexo III. El plazo aplicable es el 2 de agosto de 2028, pero la vía de evaluación de la conformidad del Artículo 43 para los productos del Anexo I implica por lo general organismos notificados terceros más que la autoevaluación. Los fabricantes italianos que integran IA en sistemas críticos para la seguridad deberían: identificar si se aplica la vía del Anexo I o la del Anexo III; relacionarse pronto con los organismos notificados acreditados por AgID; y no dar por sentado que la fecha del 2 de agosto de 2028 ofrece tiempo ilimitado — la capacidad de los organismos notificados es finita y la demanda va en aumento.

Responsable del despliegue frente a proveedor: la línea del Artículo 25

La mayoría de las empresas italianas que despliegan herramientas de IA de terceros se sitúan en la función de responsable del despliegue con arreglo al Artículo 26. Las obligaciones del responsable del despliegue son reales — supervisión humana, vigilancia, conservación de registros, EIDF del Artículo 27 para los responsables del despliegue que reúnan los requisitos —, pero más ligeras que el conjunto del proveedor. El riesgo reside en el Artículo 25: un responsable del despliegue que modifica sustancialmente un sistema de IA de alto riesgo, lo introduce en el mercado bajo su propio nombre o cambia su finalidad prevista cruza hacia las obligaciones del proveedor del Artículo 16, que incluyen la documentación técnica completa del Anexo IV, la evaluación de la conformidad del Artículo 43, la declaración de conformidad del Artículo 47 / Anexo V y el registro del Artículo 49. Las empresas de software y los integradores de sistemas italianos que personalizan productos de IA de terceros deberían realizar un análisis del Artículo 25 antes del lanzamiento al mercado.

Cómo ayuda Confir a las empresas en Italia

Los equipos de cumplimiento italianos que construyen sus programas de la Ley de IA de la UE afrontan una tarea de documentación que es a la vez técnica y jurídica: los registros de gestión de riesgos del Artículo 9, el paquete de documentación técnica de nueve áreas del Anexo IV, las EIDF del Artículo 27 para los responsables del despliegue que reúnan los requisitos, la preparación de la evaluación de la conformidad del Artículo 43 y un inventario de IA que lo enlace todo.

Confir gestiona esa carga de documentación sin necesidad de contratos de consultoría ni implementaciones de varios meses. Su motor de clasificación es determinista y basado en reglas — codifica los Artículos 5 y 6 con la lógica del Anexo III en reglas explícitas, de modo que la misma admisión produce el mismo resultado siempre, con una explicación legible por humanos de qué regla se activó. Esa reproducibilidad importa para un producto de cumplimiento: los inspectores de la ACN esperarán ver la misma respuesta en su documentación que en su herramienta de evaluación, y el registro de auditoría de Confir lo hace defendible.

En concreto, Confir genera el paquete completo de documentación técnica del Anexo IV (Artículo 11), la declaración UE de conformidad del Artículo 47 / Anexo V, y ejecuta la EIDF del Artículo 27. La evaluación estructurada abarca cuatro áreas correspondidas con artículos concretos: clasificación de riesgos y cumplimiento (AIRC: Artículos 5, 6, 43, 50), datos y robustez técnica (AITR: Artículos 10, 11, 15), transparencia y supervisión humana (AITO: Artículos 13, 14, 27, 50), y gobernanza y vigilancia poscomercialización (AIGM: Artículos 9, 72, 73). Alojado en la UE, autoservicio.

Qué deben hacer ahora las empresas en Italia

De inmediato — las obligaciones del Artículo 5 ya son ejecutables. Audite todo sistema de IA que afecte a la categorización biométrica por características sensibles, la identificación biométrica remota en tiempo real en espacios públicos, la puntuación social o las técnicas de manipulación. Si un sistema encaja en una categoría del Artículo 5 sin una excepción legal, debe detenerse o reestructurarse. La ACN tiene potestad para actuar ahora.

Antes del 2 de agosto de 2026 — transparencia del Artículo 50. Todo sistema de IA que interactúe con personas físicas — chatbots, asistentes virtuales, generadores de contenido sintético, herramientas de reconocimiento de emociones — debe cumplir las obligaciones de divulgación del Artículo 50: los usuarios deben ser informados de que están interactuando con una IA, el contenido generado sintéticamente debe etiquetarse, y los usos de reconocimiento de emociones o de categorización biométrica deben divulgarse. Este no es el plazo de alto riesgo; es una obligación independiente con su propio techo de ejecución.

De 2026 a 2027 — preparación de alto riesgo para los sistemas del Anexo III. El aplazamiento del Ómnibus Digital da a los sistemas autónomos del Anexo III hasta el 2 de diciembre de 2027. Utilice 2026 para construir su inventario de IA, clasificar cada sistema con arreglo a los Artículos 5 y 6 (aplicando el filtro del Artículo 6, apartado 3, antes de presumir el alto riesgo), asignar con precisión las funciones de proveedor y responsable del despliegue, y comenzar el proceso de documentación del Anexo IV. Para los responsables del despliegue que sean organismos públicos, inicie la planificación de la EIDF en paralelo con cualquier programa existente de EIPD del artículo 35 del RGPD.

De forma continua — vigile los decretos de aplicación y las orientaciones de la ACN/AgID. Los decretos de aplicación de la Ley 132/2025 están previstos para octubre de 2026. Añadirán detalle operativo sobre las inspecciones, la acreditación de los organismos de evaluación de la conformidad y el acceso al espacio controlado de pruebas. Se espera que la ACN y AgID publiquen orientaciones a medida que esos decretos tomen forma. Las empresas con vías de productos del Anexo I deberían relacionarse ahora con los organismos notificados acreditados por AgID, antes de que las restricciones de capacidad se agraven.

Preguntas frecuentes

¿Quién hace cumplir la Ley de IA de la UE en Italia?

La ACN (Agenzia per la Cybersicurezza Nazionale) es la autoridad de vigilancia del mercado de Italia con arreglo al artículo 20 de la Ley 132/2025. La ACN tiene potestades de inspección y sanción y sirve como punto de contacto único de Italia con las instituciones de la UE. AgID (Agenzia per l'Italia Digitale) ostenta la función de autoridad notificante, responsable de acreditar y supervisar a los organismos de evaluación de la conformidad. La Oficina de IA de la UE en Bruselas supervisa directamente a los proveedores de modelos de IA de uso general.

¿Qué es la Ley n.º 132/2025?

La Ley n.º 132/2025 (Legge 23 settembre 2025, n. 132) es la ley nacional de IA de Italia, en vigor desde el 10 de octubre de 2025. Es la primera ley nacional integral de IA promulgada por un Estado miembro de la UE. Designa a AgID y a la ACN como autoridades nacionales competentes, establece principios nacionales de IA, crea una estructura de coordinación en la Presidencia del Consejo de Ministros y delega en el Gobierno la facultad de emitir decretos de aplicación en un plazo de doce meses. Complementa al Reglamento (UE) 2024/1689 — no altera las obligaciones ni los plazos del Reglamento.

¿Qué hacen AgID y la ACN cada una con arreglo a la Ley de IA de la UE?

AgID es la autoridad notificante: evalúa, acredita y supervisa a los organismos de evaluación de la conformidad (las organizaciones que realizan las evaluaciones de la conformidad por terceros para la IA de alto riesgo, principalmente para los sistemas biométricos del Anexo VII). La ACN es la autoridad de vigilancia del mercado: supervisa los sistemas de IA en el mercado italiano, realiza inspecciones, exige el acceso a la documentación técnica, dicta órdenes correctoras e impone multas con arreglo al Artículo 99. La ACN es también el punto de contacto único de Italia con Bruselas.

¿Cuáles son las multas de la Ley de IA de la UE en Italia?

Los tramos de multas con arreglo al Artículo 99 se aplican de manera uniforme en toda la UE. El tramo más elevado — 35 millones de euros o el 7 % del volumen de negocios anual mundial, si esta última cifra es mayor — se aplica a las infracciones de las prohibiciones del Artículo 5. Un tramo intermedio de 15 millones de euros o el 3 % se aplica a la mayoría de las demás obligaciones, incluidos los requisitos de alto riesgo y los deberes del responsable del despliegue y del proveedor. Un tramo inferior de 7,5 millones de euros o el 1 % se aplica a facilitar información incorrecta o engañosa a las autoridades. El Artículo 99, apartado 6, limita las multas para las pymes y las empresas emergentes al menor de los dos importes, la cantidad fija o el porcentaje.

¿Regula el Garante la IA en Italia?

El Garante (la autoridad italiana de protección de datos) no es la autoridad principal de la Ley de IA de la UE. Ese papel corresponde a AgID y a la ACN. No obstante, la Ley 132/2025 exige una coordinación activa entre esas autoridades y el Garante siempre que la supervisión de los sistemas de IA se cruce con la protección de datos personales — lo que abarca casi todos los sistemas de alto riesgo del Anexo III. Para las empresas, esto significa que tanto el Garante (para el cumplimiento del RGPD en la IA de alto riesgo) como la ACN (para el cumplimiento de la Ley de IA de la UE) son reguladores pertinentes, y es probable que las lagunas en un marco atraigan el escrutinio del otro.

¿Cuándo se aplican las obligaciones de IA de alto riesgo en Italia?

En virtud de la modificación del Ómnibus Digital (acuerdo político alcanzado el 7 de mayo de 2026), los sistemas de IA de alto riesgo autónomos enumerados en el Anexo III tienen hasta el 2 de diciembre de 2027. La IA de alto riesgo integrada en productos regulados del Anexo I — máquinas, productos sanitarios, vehículos — tiene hasta el 2 de agosto de 2028. Las prohibiciones del Artículo 5 se aplican ahora. Las obligaciones de transparencia de riesgo limitado del Artículo 50 se aplican desde el 2 de agosto de 2026. Estas fechas las fija el Reglamento y se aplican por igual en todos los Estados miembros de la UE, incluida Italia.

¿Cambia la ley nacional de Italia lo que necesito hacer para cumplir la Ley de IA de la UE?

No. Sus obligaciones — qué documentar, qué evaluaciones ejecutar, para cuándo y con qué techo sancionador — las fija el Reglamento (UE) 2024/1689. La Ley 132/2025 determina quién hace cumplir esas obligaciones en Italia (la ACN y AgID) y añade algunos elementos nacionales, incluidas la estructura de coordinación y las disposiciones penales sobre el contenido de ultrafalsificación. Los decretos de aplicación previstos para octubre de 2026 añadirán detalle procedimental, pero no alterarán los requisitos sustantivos del Reglamento.

Guías relacionadas

Gestiona el cumplimiento de la Ley de IA de la UE en un solo lugar

Confir automatiza la clasificación de riesgo, la documentación técnica y los registros de auditoría para cualquier empresa. Sin consultores. Sin proyectos de seis meses. Prueba gratuita de 7 días.

Empieza la prueba gratuita →

Guías relacionadas

Country Guide

La Ley de IA de la UE en Austria: autoridades, obligaciones y el camino hacia la ejecución

La Ley de IA de la UE se aplica en Austria sin transposición. La RTR KI-Servicestelle asesora; la designación de la autoridad está pendiente. Sanciones de hasta 35 M EUR. Plazo: dic. de 2027.

Country Guide

La Ley de IA de la UE en Bélgica: autoridades, obligaciones y complejidad federal

El BIPT/IBPT de Bélgica es la autoridad de vigilancia del mercado propuesta para la Ley de IA de la UE. Cubre los 21 organismos del Artículo 77, el solapamiento con el RGPD, las sanciones y el plazo de diciembre de 2027.

Country Guide

La Ley de IA de la UE en Francia: ejecución, autoridades y obligaciones de las empresas

La Ley de IA de la UE se aplica directamente en Francia. Se propone a la CNIL y a la DGCCRF como autoridades de ejecución. Cubre las sanciones, el solapamiento con el RGPD y el plazo de alto riesgo de diciembre de 2027.