AI Act 2026: Cosa Devono Sapere le Aziende Italiane

Introduzione

Il 1° agosto 2024 è entrato in vigore il Regolamento (UE) 2024/1689, meglio conosciuto come AI Act: la prima legge al mondo che regola l'intelligenza artificiale in modo organico e completo. Dopo un periodo di transizione scaglionato, nel 2026 entrano in vigore le disposizioni più rilevanti per le aziende, incluse quelle sui sistemi AI ad alto rischio.

Per le aziende italiane, comprendere l'AI Act non è più opzionale. Che tu stia usando ChatGPT per scrivere email, un chatbot per il customer service o un sistema di scoring per valutare i clienti, l'AI Act definisce regole precise su cosa puoi fare, come devi farlo e quali rischi corri se non sei conforme.

In questa guida traduco il linguaggio giuridico in indicazioni pratiche. Niente legalese incomprensibile: solo quello che devi sapere per proteggere la tua azienda e continuare a innovare nel rispetto delle regole.

1. Cos'è l'AI Act Europeo

Il contesto

L'AI Act è il regolamento dell'Unione Europea che stabilisce un quadro giuridico armonizzato per lo sviluppo, la commercializzazione e l'uso dei sistemi di intelligenza artificiale nel mercato unico europeo. Come il GDPR ha fatto per la protezione dei dati personali, l'AI Act intende diventare lo standard globale per la regolamentazione dell'AI.

L'approccio basato sul rischio

La caratteristica fondamentale dell'AI Act è l'approccio basato sul rischio. Non tutti i sistemi AI sono trattati allo stesso modo: le regole variano in base al livello di rischio che il sistema rappresenta per i diritti fondamentali delle persone. Questo significa che un chatbot di customer service avrà obblighi molto diversi da un sistema di screening dei curriculum vitae.

A chi si applica

L'AI Act si applica a:

• Fornitori (provider): chi sviluppa un sistema AI o un modello AI di uso generale e lo immette sul mercato EU o lo mette in servizio nell'EU
• Deployer (utilizzatori): chi usa un sistema AI nell'ambito della propria attività professionale (non per uso personale)
• Importatori e distributori: chi importa o distribuisce sistemi AI nel mercato EU

Questo significa che se la tua azienda usa ChatGPT, un chatbot AI o qualsiasi altro sistema di intelligenza artificiale nella propria attività, sei un "deployer" e hai obblighi specifici.

Applicazione extraterritoriale

Come il GDPR, anche l'AI Act ha portata extraterritoriale: si applica anche a fornitori e deployer stabiliti fuori dall'EU se il sistema AI è destinato a essere utilizzato nell'Unione o se i suoi output producono effetti nell'EU.

2. Le Date Chiave: Quando Entra in Vigore

L'AI Act non entra in vigore tutto in una volta. Le scadenze sono scaglionate per dare tempo alle aziende di adeguarsi:

Già in vigore (dal 2 febbraio 2025)

• Divieti: le pratiche AI considerate inaccettabili sono già vietate
• Alfabetizzazione AI: obbligo di garantire che il personale che opera con sistemi AI abbia un livello sufficiente di competenza (articolo 4)

Dal 2 agosto 2025

• Obblighi per i modelli AI di uso generale (come GPT-4, Claude, Gemini): i fornitori di questi modelli devono conformarsi alle regole di trasparenza e documentazione
• Governance: le autorità nazionali devono essere operative

Dal 2 agosto 2026

• Sistemi AI ad alto rischio elencati nell'Allegato III: entrano in vigore tutti gli obblighi per provider e deployer
• Obblighi di trasparenza per sistemi che interagiscono con le persone (chatbot, deepfake, ecc.)

Dal 2 agosto 2027

• Sistemi AI ad alto rischio che sono componenti di sicurezza di prodotti regolati (Allegato I): obblighi completi

Cosa significa per la tua azienda nel 2026

Nel 2026, gli obblighi più rilevanti per la maggior parte delle aziende italiane sono: il divieto di pratiche AI inaccettabili (già in vigore), l'obbligo di alfabetizzazione AI del personale (già in vigore), gli obblighi di trasparenza (dal 2 agosto 2026) e, per chi usa sistemi ad alto rischio, gli obblighi dell'Allegato III (dal 2 agosto 2026).

3. Classificazione del Rischio

L'AI Act definisce quattro livelli di rischio, ciascuno con obblighi diversi.

Rischio inaccettabile (VIETATO)

Questi sistemi AI sono completamente proibiti nell'Unione Europea:

• Manipolazione subliminale: sistemi che usano tecniche subliminali per influenzare il comportamento delle persone in modo da causare danni
• Sfruttamento delle vulnerabilità: sistemi che sfruttano l'età, la disabilità o la situazione socioeconomica per manipolare il comportamento
• Social scoring: valutazione delle persone basata sul comportamento sociale da parte delle autorità pubbliche (modello "credito sociale" cinese)
• Identificazione biometrica in tempo reale in spazi pubblici per scopi di law enforcement (con eccezioni molto limitate)
• Scraping non mirato di immagini facciali da internet o CCTV per creare database di riconoscimento facciale
• Riconoscimento delle emozioni sul luogo di lavoro e nelle istituzioni educative (con eccezioni per motivi medici o di sicurezza)
• Categorizzazione biometrica basata su dati sensibili (razza, orientamento sessuale, convinzioni politiche, ecc.)

Per le aziende italiane: verifica che nessuno dei tuoi sistemi AI rientri in queste categorie. Anche l'uso involontario di un sistema vietato comporta sanzioni gravissime.

Rischio alto

I sistemi AI ad alto rischio sono soggetti agli obblighi più stringenti. Rientrano in questa categoria i sistemi AI usati in:

• Identificazione biometrica (diversa da quella in tempo reale vietata)
• Gestione infrastrutture critiche (energia, trasporti, acqua, telecomunicazioni)
• Istruzione e formazione (valutazione studenti, accesso all'istruzione)
• Occupazione e gestione HR (screening CV, valutazione candidati, promozioni, licenziamenti)
• Servizi essenziali (accesso a prestazioni sociali, credito, assicurazioni)
• Law enforcement (valutazione rischi, poligrafi, analisi prove)
• Migrazione e controllo frontiere (valutazione domande di asilo, sorveglianza frontiere)
• Giustizia e democrazia (assistenza ai giudici nella ricerca e interpretazione della legge)

Per le aziende italiane: se usi un sistema AI per selezionare candidati, valutare i dipendenti, scoring creditizio o valutazione assicurativa, il tuo sistema è probabilmente classificato ad alto rischio.

Rischio limitato (obblighi di trasparenza)

I sistemi con rischio limitato hanno un obbligo principale: la trasparenza. Rientrano in questa categoria:

• Chatbot e assistenti virtuali: devi informare l'utente che sta interagendo con un'AI
• Sistemi di generazione contenuti: i contenuti generati dall'AI (testo, immagini, audio, video) devono essere etichettati come tali
• Deepfake: i contenuti manipolati con AI devono essere chiaramente identificati
• Sistemi di riconoscimento delle emozioni: l'utente deve essere informato

Per le aziende italiane: se hai un chatbot sul sito web, devi esplicitamente comunicare che l'utente sta parlando con un'AI. Se generi contenuti con AI per il marketing, è buona pratica (e in alcuni casi obbligo) dichiararlo.

Rischio minimo

La grande maggioranza dei sistemi AI rientra in questa categoria: filtri spam, sistemi di raccomandazione, AI nei videogiochi, assistenti di scrittura. Non ci sono obblighi specifici, ma si incoraggia comunque l'adozione di codici di condotta volontari.

4. Cosa Cambia per le Aziende Italiane

L'autorità nazionale

L'Italia ha designato l'Agenzia per l'Italia Digitale (AgID) e l'Autorità Garante per la Protezione dei Dati Personali (GPDP) come autorità competenti per l'AI Act, con il coordinamento dell'Agenzia per la Cybersicurezza Nazionale (ACN). In pratica, AgID si occupa della supervisione tecnica e del mercato, mentre il Garante Privacy gestisce gli aspetti legati ai dati personali.

Impatto per settore

Commercio e retail: se usi AI per raccomandazioni prodotto, chatbot, analisi clienti → rischio minimo o limitato. Obbligo principale: trasparenza del chatbot.

Servizi finanziari: se usi AI per scoring creditizio, antifrode, valutazione rischi → rischio alto. Obblighi significativi di documentazione, trasparenza e supervisione umana.

HR e recruiting: se usi AI per screening CV, assessment, valutazione performance → rischio alto. Gli obblighi sono stringenti e includono la supervisione umana di tutte le decisioni.

Sanità: se usi AI per diagnostica, triage, gestione pazienti → rischio alto. Soggetto anche alla regolamentazione dei dispositivi medici.

Manufacturing: se usi AI per controllo qualità, manutenzione predittiva, ottimizzazione → generalmente rischio minimo, salvo che il sistema sia un componente di sicurezza del prodotto.

Marketing e comunicazione: se usi AI per generazione contenuti, chatbot, analisi dati → rischio limitato o minimo. Obblighi di trasparenza principali.

5. Obblighi Pratici: Cosa Devi Fare

Per tutti (indipendentemente dal rischio)

Alfabetizzazione AI (art. 4): devi garantire che il personale che opera con sistemi AI e chi supervisiona il loro funzionamento abbia un livello sufficiente di competenza in materia di AI. Questo obbligo è già in vigore.

In pratica: organizza sessioni formative per il tuo team. Non serve un master in AI, ma tutti devono comprendere cos'è l'AI, i suoi limiti, i rischi e come usarla correttamente.

Per i deployer di sistemi a rischio limitato

Trasparenza chatbot: se usi un chatbot AI, devi informare chiaramente gli utenti che stanno interagendo con un sistema di intelligenza artificiale. L'informazione deve essere fornita prima o all'inizio dell'interazione.

Etichettatura contenuti AI: i contenuti generati dall'AI (testi, immagini, video) devono essere identificabili come tali, specialmente se possono essere confusi con contenuti creati da esseri umani.

Per i deployer di sistemi ad alto rischio

Gli obblighi sono molto più ampi e includono:

Supervisione umana: devi garantire che le decisioni prese o supportate dal sistema AI ad alto rischio siano supervisionate da persone competenti, che possano intervenire, correggere o bloccare il sistema.

Valutazione d'impatto sui diritti fondamentali: per sistemi che influenzano decisioni su persone (HR, credito, assicurazioni), devi condurre una valutazione dell'impatto sui diritti fondamentali prima di mettere in uso il sistema.

Documentazione e registrazione: devi conservare i log generati dal sistema AI per almeno 6 mesi e mantenere una documentazione adeguata del funzionamento del sistema.

Qualità dei dati: devi assicurarti che i dati usati dal sistema siano pertinenti, rappresentativi e privi di bias discriminatori.

Informazione agli interessati: le persone soggette a decisioni del sistema AI ad alto rischio devono essere informate di tale fatto.

6. Sanzioni e Rischi di Non Conformità

L'AI Act prevede sanzioni significative, graduate in base alla gravità della violazione:

Sanzioni massime

| Violazione | Sanzione massima | |---|---| | Uso di sistemi AI vietati | 35 milioni di € o 7% del fatturato mondiale | | Violazione obblighi sistemi ad alto rischio | 15 milioni di € o 3% del fatturato mondiale | | Fornitura di informazioni false alle autorità | 7,5 milioni di € o 1,5% del fatturato mondiale |

Per le PMI e le startup, le sanzioni sono calcolate in modo proporzionale, con importi massimi ridotti. Tuttavia, anche le sanzioni ridotte possono essere devastanti per una piccola impresa.

Rischi oltre le sanzioni

Le sanzioni economiche non sono l'unico rischio:

• Danno reputazionale: essere identificati come non conformi all'AI Act può danneggiare gravemente la reputazione aziendale
• Responsabilità civile: le persone danneggiate da decisioni AI non conformi possono chiedere risarcimenti
• Esclusione dal mercato: il sistema AI non conforme può essere ritirato dal mercato o ne può essere vietato l'uso
• Perdita di clienti enterprise: sempre più grandi aziende richiedono la conformità normativa ai propri fornitori

Enforcement graduale

È importante notare che le autorità di vigilanza adotteranno probabilmente un approccio graduale, concentrandosi inizialmente sulla sensibilizzazione e sulla guida, prima di passare alle sanzioni. Tuttavia, i casi più gravi (uso di sistemi vietati, discriminazione evidente) saranno perseguiti da subito.

7. AI Act e GDPR: Come Si Integrano

Due regolamenti complementari

L'AI Act e il GDPR non sono in contraddizione: si completano a vicenda. Il GDPR regola il trattamento dei dati personali, l'AI Act regola il funzionamento dei sistemi AI. Quando un sistema AI tratta dati personali (cosa che accade quasi sempre), si applicano entrambi.

Le sovrapposizioni chiave

Valutazione d'impatto: il GDPR prevede la DPIA (Data Protection Impact Assessment) per trattamenti ad alto rischio. L'AI Act prevede una valutazione d'impatto sui diritti fondamentali per sistemi AI ad alto rischio. In molti casi, le due valutazioni si sovrappongono e possono essere condotte congiuntamente.

Trasparenza: entrambi i regolamenti richiedono trasparenza. Il GDPR chiede di informare gli interessati su come vengono trattati i loro dati. L'AI Act chiede di informare gli utenti che stanno interagendo con un'AI e che le decisioni sono prese o supportate da sistemi AI.

Supervisione umana: l'art. 22 del GDPR dà diritto a non essere soggetti a decisioni basate unicamente su trattamenti automatizzati che producono effetti giuridici significativi. L'AI Act rafforza questo principio richiedendo supervisione umana per i sistemi ad alto rischio.

DPO e responsabile AI: per le aziende che hanno un Data Protection Officer, questa figura può assumere anche il ruolo di referente per la compliance AI Act, data la sovrapposizione delle competenze richieste.

Consigli pratici per gestire entrambi

1. Integra i registri: mantieni un registro unico che documenti sia i trattamenti dati (GDPR) sia i sistemi AI (AI Act)
2. Valutazioni congiunte: conduci DPIA e valutazione d'impatto AI in modo integrato
3. Formazione unificata: la formazione sul GDPR e sull'AI Act può essere combinata, dato che molti concetti si sovrappongono
4. Privacy by design = AI by design: i principi di privacy by design del GDPR si estendono naturalmente alla progettazione responsabile dei sistemi AI

8. Checklist di Conformità per PMI

Ecco una checklist pratica che puoi usare per verificare la tua conformità all'AI Act.

Fase 1: inventario (da fare subito)

• [ ] Elenca tutti i sistemi AI utilizzati in azienda (inclusi ChatGPT, chatbot, tool di analisi, ecc.)
• [ ] Per ogni sistema, identifica il fornitore, lo scopo di utilizzo e i dati trattati
• [ ] Classifica ogni sistema nel livello di rischio appropriato (inaccettabile, alto, limitato, minimo)
• [ ] Verifica che nessun sistema rientri nelle pratiche vietate

Fase 2: trasparenza (entro agosto 2026)

• [ ] Aggiungi un avviso chiaro ai chatbot e assistenti virtuali: "Stai parlando con un'intelligenza artificiale"
• [ ] Implementa un'etichettatura per i contenuti generati dall'AI destinati al pubblico
• [ ] Aggiorna l'informativa privacy del sito web per includere l'uso di sistemi AI
• [ ] Informa i dipendenti che eventuali strumenti AI sono utilizzati nei processi HR

Fase 3: formazione (da fare subito, obbligo già in vigore)

• [ ] Organizza una sessione formativa base sull'AI per tutto il personale
• [ ] Forma specificamente chi opera con sistemi AI sulle best practice e i limiti
• [ ] Documenta la formazione erogata (registro presenze, materiali)
• [ ] Pianifica aggiornamenti periodici (almeno annuali)

Fase 4: governance (entro agosto 2026 per sistemi ad alto rischio)

• [ ] Nomina un referente interno per la conformità AI (può essere il DPO)
• [ ] Definisci una policy aziendale sull'uso dei sistemi AI
• [ ] Implementa procedure di supervisione umana per i sistemi ad alto rischio
• [ ] Stabilisci un processo per la gestione dei reclami relativi a decisioni AI

Fase 5: documentazione (continua)

• [ ] Mantieni un registro dei sistemi AI e delle relative valutazioni
• [ ] Conserva i log dei sistemi AI ad alto rischio per almeno 6 mesi
• [ ] Documenta le decisioni prese con il supporto di sistemi AI
• [ ] Aggiorna la documentazione a ogni modifica dei sistemi o dei processi

Fase 6: contratti e fornitori

• [ ] Verifica che i contratti con i fornitori di sistemi AI includano clausole di conformità all'AI Act
• [ ] Richiedi ai fornitori la documentazione tecnica prevista dal regolamento
• [ ] Valuta la localizzazione dei dati (EU vs extra-EU) e le relative implicazioni
• [ ] Prevedi clausole di audit e verifica nei contratti con i fornitori AI

Domande Frequenti

Se uso ChatGPT o Claude per scrivere email e documenti, devo rispettare l'AI Act?

Sì, ma con obblighi minimi. L'uso di ChatGPT o Claude come assistente di scrittura rientra nel rischio minimo, per il quale non ci sono obblighi specifici. L'unico obbligo generale già in vigore è l'alfabetizzazione AI del personale che usa questi strumenti. Se invece usi l'AI per generare contenuti destinati al pubblico (marketing, comunicati stampa), entra in gioco l'obbligo di trasparenza: dovresti dichiarare che i contenuti sono stati generati o supportati dall'AI, specialmente se possono essere confusi con contenuti interamente umani.

Come PMI con meno di 50 dipendenti, sono soggetto a sanzioni ridotte?

L'AI Act prevede che le sanzioni per le PMI siano proporzionate alla loro dimensione e capacità economica. I massimali indicati nel regolamento sono per le grandi imprese; per le PMI, le autorità di vigilanza dovranno applicare sanzioni commisurate al fatturato e alle risorse dell'impresa. Inoltre, l'AI Act incoraggia le autorità nazionali a fornire supporto e guida specifica per le PMI, inclusi sandbox regolamentari dove testare i sistemi AI in un ambiente controllato prima dell'immissione sul mercato. Tuttavia, la proporzionalità non significa impunità: anche una sanzione ridotta può essere significativa per una piccola impresa.

Devo nominare un responsabile AI in azienda?

L'AI Act non prevede esplicitamente una figura equivalente al DPO del GDPR per tutti i casi. Tuttavia, per i deployer di sistemi AI ad alto rischio, è necessario designare persone responsabili della supervisione umana. Per le PMI, il consiglio pratico è assegnare la responsabilità della compliance AI a una figura già esistente (il DPO, il responsabile qualità, il responsabile IT) piuttosto che creare un ruolo dedicato. L'importante è che ci sia una persona chiaramente identificata che supervisioni l'uso dell'AI in azienda e garantisca la conformità normativa.

Ci sono sandbox regolamentari in Italia dove testare i sistemi AI?

L'AI Act prevede che ogni Stato membro istituisca almeno un sandbox regolamentare per l'AI. L'Italia sta lavorando all'istituzione di questi ambienti controllati, dove le aziende potranno testare sistemi AI innovativi sotto la supervisione delle autorità, con flessibilità temporanea rispetto ad alcuni obblighi. Per le PMI, i sandbox rappresentano un'opportunità per sperimentare soluzioni AI avanzate con un rischio regolamentare ridotto. Segui gli aggiornamenti di AgID e del Ministero delle Imprese e del Made in Italy per conoscere i tempi e le modalità di accesso ai sandbox italiani.

Conclusione

L'AI Act non è un ostacolo all'innovazione: è un framework che crea certezza giuridica e fiducia nell'AI. Le aziende che si adeguano per prime non solo evitano rischi, ma guadagnano un vantaggio competitivo: i clienti, i partner e gli investitori premiano sempre più chi dimostra un uso responsabile e conforme dell'intelligenza artificiale.

Per la maggior parte delle PMI italiane, la conformità all'AI Act non richiede sforzi enormi. Se usi l'AI per scrivere email, generare contenuti o automatizzare processi semplici, gli obblighi sono minimi: trasparenza e formazione. Se usi l'AI per decisioni che impattano sulle persone (HR, credito, assicurazioni), gli obblighi sono più significativi ma gestibili con un approccio strutturato.

Il mio consiglio è: non aspettare le scadenze. Inizia oggi con l'inventario dei sistemi AI in azienda, organizza la formazione del team e redigi una policy interna sull'uso dell'AI. Sono passi semplici che ti mettono al riparo dalla maggior parte dei rischi e dimostrano la tua serietà nell'adozione responsabile dell'intelligenza artificiale.

Se hai bisogno di supporto nella valutazione della conformità o nell'implementazione di un piano di adeguamento, il mio servizio di consulenza AI include anche l'aspetto normativo, con un approccio pratico e orientato alla PMI.