L'AI Act - il Regolamento Europeo sull'Intelligenza Artificiale - è entrato in vigore il 1° agosto 2024 ed è in fase di progressiva applicazione fino al 2027. È la prima normativa al mondo a disciplinare sistematicamente l'intelligenza artificiale, e interessa qualsiasi azienda che sviluppi, distribuisca o utilizzi sistemi AI nell'Unione Europea.
Capire cosa prevede e quando si applica è fondamentale per le aziende italiane che stanno adottando l'AI - non tanto per il timore delle sanzioni, ma per costruire sistemi AI affidabili, trasparenti e sostenibili nel tempo.
Struttura dell'AI Act: l'approccio basato sul rischio
La filosofia dell'AI Act è pragmatica: non proibisce l'AI, ma la regola in proporzione al rischio che comporta per le persone. I sistemi AI vengono classificati in quattro categorie di rischio.
Categoria 1: rischio inaccettabile (vietati)
Sistemi AI il cui rischio è considerato talmente alto da essere vietati tout court:
- Sistemi di social scoring generalizzato (come in certi paesi extra-UE)
- Manipolazione subliminale delle persone tramite AI
- Sfruttamento delle vulnerabilità di persone fragili
- Identificazione biometrica in tempo reale in spazi pubblici (con limitate eccezioni per le forze dell'ordine)
- Sistemi di profilazione basati su caratteristiche personali per predire reati
Impatto pratico per le PMI: pressoché nullo. Questi sistemi non rientrano nei casi d'uso tipici delle imprese italiane.
Categoria 2: alto rischio (regolamentati)
Sistemi AI che possono avere impatti significativi su diritti fondamentali, salute, sicurezza o accesso a servizi essenziali. Questa categoria richiede requisiti stringenti prima del deployment.
Aree applicative ad alto rischio:
- Infrastrutture critiche (energia, trasporti, acqua)
- Istruzione: sistemi che influenzano l'accesso all'educazione o la valutazione degli studenti
- Occupazione: AI per recruiting, selezione, promozione o licenziamento
- Servizi essenziali: AI per concessione di credito, valutazione assicurativa, servizi di welfare
- Forze dell'ordine
- Migrazione e controllo delle frontiere
- Giustizia
Obblighi per i sistemi ad alto rischio:
- Sistema di gestione del rischio documentato
- Governance dei dati di training
- Documentazione tecnica dettagliata
- Registrazione e logging delle attività
- Trasparenza verso gli utenti
- Supervisione umana obbligatoria
- Accuratezza, robustezza e cybersecurity
- Registrazione in una banca dati UE
Impatto pratico per le PMI: rilevante per chi usa AI nel recruiting, nella concessione di credito o in settori regolamentati come sanità e servizi finanziari.
Categoria 3: rischio limitato (obblighi di trasparenza)
Sistemi che interagiscono con le persone e dove esiste il rischio di ingannare l'utente sul fatto che stia interagendo con una macchina.
Sistemi inclusi:
- Chatbot e assistenti conversazionali
- Voice AI Agent
- Sistemi di generazione di contenuti (deepfake, testi, immagini)
Obblighi: informare l'utente che sta interagendo con un sistema AI, non con un umano. Il disclosure deve essere chiaro e tempestivo.
Impatto pratico per le PMI: molto rilevante per chi implementa chatbot o Voice AI Agent nel customer care. La disclosure dell'AI è un obbligo.
Categoria 4: rischio minimo (nessun obbligo aggiuntivo)
La grande maggioranza dei sistemi AI ricade qui: filtri antispam, AI nei videogiochi, strumenti di produttività AI, raccomandazioni non personalizzate. Nessun obbligo specifico dell'AI Act, solo il GDPR e le normative settoriali esistenti.
Scadenze: quando entra in vigore cosa
L'AI Act ha un'applicazione progressiva:
| Scadenza | Cosa entra in vigore |
|---|---|
| 1 agosto 2024 | Entrata in vigore del Regolamento |
| 2 febbraio 2025 | Divieto dei sistemi a rischio inaccettabile |
| 2 agosto 2025 | Obblighi per i sistemi GPAI (modelli di AI general purpose) |
| 2 agosto 2026 | Obblighi per i sistemi ad alto rischio nei settori principali |
| 2 agosto 2027 | Obblighi per i sistemi ad alto rischio in settori aggiuntivi |
Per la maggior parte delle PMI italiane, le scadenze più rilevanti sono febbraio 2025 (verificare di non usare sistemi vietati) e agosto 2026 (compliance per sistemi ad alto rischio, se applicabile).
Chi è "fornitore", chi è "deployer": ruoli e responsabilità
L'AI Act distingue tra diversi attori nella catena del valore AI:
Provider (Fornitore): chi sviluppa e mette sul mercato un sistema AI. I grandi provider internazionali (OpenAI, Microsoft, Google) sono provider dei loro modelli.
Deployer (Utilizzatore): chi usa un sistema AI già sviluppato da altri nell'ambito della propria attività professionale. La maggior parte delle PMI è nella categoria dei deployer.
La buona notizia per le PMI: i deployer hanno obblighi meno stringenti rispetto ai provider. Tuttavia, non sono esenti:
- Devono verificare che il sistema AI che usano sia conforme all'AI Act (specialmente per sistemi ad alto rischio)
- Devono rispettare gli obblighi di trasparenza (disclosure dell'AI agli utenti)
- Devono implementare supervisione umana adeguata
- Devono mantenere i log richiesti
- Devono segnalare incidenti gravi all'autorità competente
L'autorità competente italiana
L'AI Act richiede che ogni Stato Membro designi un'autorità nazionale competente. In Italia, il Garante per la Protezione dei Dati Personali ha già assunto un ruolo centrale, in coordinamento con altre autorità come AGCOM e ACN. Le sanzioni previste dall'AI Act sono significative:
- Violazione dei divieti: fino a €35 milioni o 7% del fatturato globale
- Violazione degli obblighi per sistemi ad alto rischio: fino a €15 milioni o 3% del fatturato
- Informazioni errate alle autorità: fino a €7,5 milioni o 1% del fatturato
Come prepararsi: un piano di azione
Passo 1: inventario dei sistemi AI (ora)
Crea un inventario di tutti i sistemi AI che la tua azienda usa o sta valutando. Per ciascuno, identifica:
- Funzione e caso d'uso
- Fornitore e modello contrattuale
- Categoria di rischio AI Act
- Dati personali trattati
Passo 2: valutazione di conformità (nei prossimi 3 mesi)
Per ciascun sistema ad alto rischio identificato:
- Verifica la documentazione del provider (CE marking, conformità AI Act)
- Implementa le misure richieste (logging, supervisione umana, disclosure)
- Aggiorna i contratti con i fornitori
Per i sistemi a rischio limitato (chatbot, voice agent):
- Implementa la disclosure obbligatoria
- Aggiorna l'informativa privacy
Passo 3: governance e procedure interne
- Nomina un responsabile AI compliance interno
- Crea procedure per la valutazione di nuovi sistemi AI prima dell'adozione
- Documenta le decisioni prese sui sistemi AI (per dimostrare compliance in caso di audit)
Passo 4: formazione del personale
Il personale che usa sistemi AI ad alto rischio deve avere un livello adeguato di AI literacy per capire le capacità, i limiti e i rischi del sistema che usa.
AI Act e PMI: il principio di proporzionalità
L'AI Act prevede alcune misure di semplificazione per le PMI:
- Procedure semplificate per la documentazione tecnica
- Accesso facilitato alle infrastrutture di test
- Supporto specifico da parte delle autorità nazionali
Tuttavia, la compliance non è opzionale per le PMI: è solo meno onerosa nelle procedure rispetto alle grandi aziende.
Conclusione: un'opportunità, non solo un obbligo
Visto con la giusta prospettiva, l'AI Act non è solo un onere burocratico: è un'opportunità per le aziende italiane di costruire sistemi AI responsabili che guadagnano la fiducia dei clienti. Le aziende che gestiscono la compliance AI in modo proattivo si differenziano positivamente dai competitor.
DeepElse integra la valutazione della conformità all'AI Act in tutti i progetti di implementazione. Prenota una call gratuita per capire come adottare l'AI nella tua azienda in modo conforme e responsabile.