Il Regolamento UE sull'Intelligenza Artificiale - comunemente chiamato AI Act - è entrato in vigore ad agosto 2024 ed è il primo quadro normativo globale dedicato specificamente all'AI. Per molte aziende italiane, la domanda non è se il regolamento le riguarda, ma come.
Questa guida spiega cos'è l'AI Act in termini concreti, come si applica alle PMI italiane, cosa è già obbligatorio, cosa lo diventerà nelle prossime scadenze, e come prepararsi senza trasformare la compliance in un progetto paralizzante.
Cos'è l'AI Act e perché interessa le aziende
L'AI Act è un regolamento europeo che stabilisce regole per lo sviluppo, l'immissione sul mercato e l'uso dei sistemi AI nell'Unione Europea. Come ogni regolamento UE, è direttamente applicabile in tutti gli Stati membri senza necessità di recepimento nazionale.
Il principio fondamentale è la proporzionalità al rischio: non tutti i sistemi AI sono uguali, e le obbligazioni dipendono dal livello di rischio che il sistema può creare per le persone.
Una cosa importante da capire subito: la grande maggioranza delle applicazioni AI usate dalle PMI italiane rientra nelle categorie a rischio basso o minimale. Non tutti devono fare chissà cosa. Ma tutti devono sapere dove si collocano.
Il sistema di classificazione del rischio
L'AI Act divide i sistemi AI in quattro categorie.
Rischio inaccettabile (vietati)
Pratiche AI che sono proibite in assoluto nell'UE:
- Sistemi di social scoring da parte di governi
- Manipolazione comportamentale subliminale
- Sfruttamento delle vulnerabilità di gruppi specifici (bambini, anziani, persone con disabilità)
- Riconoscimento delle emozioni sul posto di lavoro e nei luoghi di istruzione (con alcune eccezioni)
- Riconoscimento biometrico in tempo reale in spazi pubblici (con eccezioni per forze dell'ordine)
- Sistemi di profiling basati su caratteristiche come razza, opinioni politiche, religione
Per le PMI italiane standard: queste categorie non sono rilevanti nella pratica. Nessun negozio di abbigliamento o studio commercialista utilizza sistemi di social scoring o manipolazione subliminale.
Alto rischio
Questa è la categoria che richiede attenzione. I sistemi ad alto rischio devono rispettare obblighi stringenti: valutazione di conformità, documentazione tecnica, trasparenza verso gli utenti, sorveglianza umana, registrazione nei database UE.
Quali sistemi rientrano nell'alto rischio? Il regolamento elenca categorie specifiche:
- Infrastrutture critiche (energia, acqua, trasporti)
- Istruzione e formazione (sistemi che determinano l'accesso o valutano gli studenti)
- Occupazione e gestione dei lavoratori (sistemi per recruiting, selezione, promozione, licenziamento, monitoraggio delle performance)
- Servizi essenziali privati e pubblici (sistemi di credit scoring, valutazione del merito creditizio)
- Applicazione della legge
- Migrazione e asilo
- Sistemi giudiziari
- Dispositivi medici (classe A e B con componenti AI)
Per le PMI italiane, le aree di rischio più rilevanti sono: sistemi HR (CV screening, gestione performance) e sistemi di credit scoring (per chi fa valutazioni finanziarie).
Rischio limitato
Sistemi con obblighi di trasparenza verso gli utenti:
- Chatbot: l'utente deve sapere che sta interagendo con un sistema AI, non con un umano
- Deep fake: i contenuti generati o manipolati dall'AI devono essere etichettati come tali
- Sistemi che generano testi, immagini, audio, video per uso commerciale
Questa è la categoria più rilevante per la maggior parte delle PMI che usano chatbot per il customer care o strumenti di AI generativa per il marketing.
Rischio minimale
Tutto il resto: filtri antispam, AI per giochi, sistemi di raccomandazione prodotti, strumenti di produttività AI, analisi delle vendite. La grande maggioranza delle applicazioni AI aziendali quotidiane.
Nessun obbligo specifico oltre al rispetto delle normative già esistenti (GDPR, normativa sul consumatore, ecc.).
Quali obblighi si applicano alle PMI
La risposta dipende da cosa fa l'azienda con l'AI e quale ruolo ha nella catena del valore.
Se sei un "utente" (deployer)
Usi sistemi AI sviluppati da altri (ChatGPT, un software HR con AI, un chatbot fornito da un vendor) per le tue attività aziendali. Questo è il caso della maggior parte delle PMI.
Per sistemi ad alto rischio: obblighi significativi (valutazione d'impatto, supervisione umana, log delle attività, registro interno). In pratica, se usi un sistema AI per decisioni HR o credit scoring, devi assicurarti che funzioni come dichiarato, che ci sia supervisione umana sulle decisioni importanti, e che tu possa spiegare le decisioni agli interessati.
Per sistemi a rischio limitato: obbligo di informare gli utenti che stanno interagendo con un sistema AI. Se il tuo chatbot di customer care può essere scambiato per un umano, devi dichiararlo chiaramente.
Per sistemi a rischio minimale: nessun obbligo specifico.
Se sei un "fornitore" (provider)
Sviluppi o vendi sistemi AI ad altri. Questo si applica a software house, consulenti che costruiscono soluzioni AI custom, aziende tech.
Gli obblighi sono più pesanti: documentazione tecnica, test di robustezza, registrazione nel database UE per i sistemi ad alto rischio, marchio CE per alcuni.
Le scadenze dell'AI Act: cosa è già in vigore
L'AI Act è stato approvato a maggio 2024 ed è entrato in vigore a agosto 2024. Il periodo di transizione è scaglionato:
Febbraio 2025 (già in vigore):
- Divieto delle pratiche AI a rischio inaccettabile
- Governance: nomina delle autorità nazionali competenti
Agosto 2025 (già in vigore):
- Regole sui modelli AI di uso generale (GPAI), inclusi GPT-4, Claude, Gemini
- Codici di condotta per i fornitori di GPAI
Agosto 2026 (prossima scadenza rilevante):
- Entrata in vigore delle norme per i sistemi AI ad alto rischio (la maggior parte)
- Obblighi per deployer (utenti) di sistemi ad alto rischio
Agosto 2027:
- Entrata in vigore per sistemi AI ad alto rischio incorporati in prodotti (dispositivi medici, macchine industriali, veicoli)
Per le PMI italiane, la scadenza più rilevante è agosto 2026: da quella data, chi usa sistemi AI ad alto rischio deve essere in regola con gli obblighi del regolamento.
GDPR e AI Act: come si coordinano
L'AI Act non sostituisce il GDPR - lo affianca. I due regolamenti si applicano in modo complementare quando l'AI tratta dati personali.
Il GDPR rimane la norma principale per la protezione dei dati personali. L'AI Act aggiunge requisiti specifici per i sistemi AI ad alto rischio che trattano dati personali.
In pratica: se usi un sistema AI per il recruiting (alto rischio AI Act) che tratta CV e dati dei candidati (GDPR), devi rispettare entrambe le normative.
Le aree di sovrapposizione più rilevanti per le PMI:
- Profilazione dei clienti: sia GDPR che AI Act richiedono trasparenza e limitazione dell'uso per decisioni automatizzate con impatti significativi
- Sistemi HR: trattano dati sensibili dei dipendenti, rientrano nell'alto rischio dell'AI Act, e richiedono basi giuridiche GDPR
- Chatbot: obblighi di trasparenza AI Act + informativa GDPR se raccolgono dati degli utenti
Come prepararsi: un piano di conformità pratico
La conformità all'AI Act non richiede un progetto enorme. Richiede metodo.
Passo 1: inventario dei sistemi AI in uso
Elenca tutti i sistemi AI che la tua azienda usa o sta valutando di usare. Include: software HR con funzionalità AI, chatbot, strumenti di AI generativa, sistemi di scoring clienti, qualsiasi automazione basata su AI.
Passo 2: classificazione del rischio
Per ogni sistema nell'inventario, determina la categoria di rischio secondo l'AI Act. Per la maggior parte delle PMI, la risposta sarà "rischio minimale" o "rischio limitato".
Passo 3: gap analysis
Per i sistemi a rischio limitato o alto, verifica se stai già rispettando gli obblighi applicabili. Per i chatbot: gli utenti sanno che stanno parlando con un AI? Per i sistemi HR: c'è supervisione umana sulle decisioni importanti?
Passo 4: aggiornamento dei contratti con i fornitori
Se usi sistemi AI forniti da terze parti per funzioni ad alto rischio, assicurati che il contratto includa le garanzie richieste dall'AI Act: documentazione tecnica, supporto per la conformità, obblighi di notifica in caso di problemi.
Passo 5: formazione del team
Chi usa sistemi AI nella tua azienda deve sapere cosa può e non può fare con essi, e quando è necessario l'intervento umano sulle decisioni. Non serve un corso da 40 ore - bastano le nozioni base per il ruolo specifico.
Cosa succede in caso di non conformità
Le sanzioni dell'AI Act sono significative:
- Violazioni sui sistemi ad alto rischio: fino a 15 milioni di euro o 3% del fatturato mondiale annuo (si applica la cifra più alta)
- Violazioni dei divieti assoluti: fino a 35 milioni di euro o 7% del fatturato mondiale
- Informazioni inesatte o fuorvianti alle autorità: fino a 7,5 milioni di euro o 1% del fatturato
Per le PMI, le sanzioni sono proporzionate alle dimensioni. Ma il rischio più concreto per una PMI italiana non sono le sanzioni dirette - è il danno reputazionale e i costi di rimediazione se un sistema AI produce discriminazioni, decisioni opache o trattamenti non conformi.
La buona notizia: per chi usa l'AI in modo responsabile e documentato, la conformità non richiede trasformazioni radicali. Richiede consapevolezza e qualche aggiustamento procedurale.
Risorse e supporto
Il Garante per la Protezione dei Dati Personali ha un ruolo anche nell'AI Act come autorità competente per le questioni legate alla privacy. L'Agenzia per l'Italia Digitale (AGID) coordina l'attuazione nazionale.
Per le aziende che vogliono approfondire il tema compliance AI senza perdersi nella complessità normativa, lavorare con un consulente che conosce sia la tecnologia che il quadro regolatorio europeo è il modo più efficiente.
Prenota una call con DeepElse per capire come l'AI Act si applica alla tua realtà specifica e cosa devi fare (o non fare) concretamente.