Cos'è l'AI Act e perché riguarda la tua azienda

Il Regolamento (UE) 2024/1689 — comunemente noto come AI Act — è il primo quadro normativo organico al mondo sull'intelligenza artificiale. Pubblicato sulla Gazzetta Ufficiale dell'Unione Europea il 12 luglio 2024 ed entrato in vigore il 1° agosto 2024, stabilisce requisiti, obblighi e limiti per lo sviluppo e l'impiego di sistemi di IA nel mercato europeo.

Per le PMI italiane il messaggio è chiaro: non è una legge solo per le big tech. Chiunque utilizzi, dispieghi o distribuisca sistemi di intelligenza artificiale all'interno dell'UE è soggetto alle disposizioni del Regolamento. E questo include la stragrande maggioranza delle aziende italiane che oggi usa ChatGPT per i testi di marketing, strumenti di screening CV basati su IA, o software di analisi predittiva.

La timeline che devi conoscere

Il Regolamento prevede un'entrata in vigore graduale. Ecco le scadenze principali:

Data Cosa entra in vigore
1° agosto 2024 Entrata in vigore del Regolamento
2 febbraio 2025 Divieto dei sistemi di IA proibiti (Titolo II)
2 agosto 2025 Obblighi per i modelli di IA per uso generale (GPAI) e governance
2 agosto 2026 Applicazione piena, inclusi sistemi ad alto rischio
2 agosto 2027 Sistemi ad alto rischio già sul mercato

La scadenza più imminente per le PMI è quella del 2 febbraio 2025: da quella data è già vietato utilizzare sistemi di IA considerati a rischio inaccettabile (es. social scoring, manipolazione subliminale, riconoscimento biometrico in spazi pubblici in tempo reale).

L'Art. 4: l'obbligo di AI Literacy già in vigore

Il cuore della compliance per la maggior parte delle PMI è l'Articolo 4 dell'AI Act, che impone a tutti i deployer (chi usa sistemi di IA) e ai provider (chi li sviluppa o distribuisce) di:

"Assicurare, nella misura del possibile, un sufficiente livello di alfabetizzazione in materia di IA del proprio personale e delle altre persone che operano per loro conto che utilizzano e gestiscono sistemi di IA."

Tradotto in pratica: la formazione AI non è facoltativa. Ogni azienda deve poter dimostrare di aver formato il proprio personale sull'uso responsabile e consapevole degli strumenti di intelligenza artificiale che utilizza quotidianamente.

Cosa significa "sufficiente livello di alfabetizzazione"?

Il Regolamento non fornisce una soglia numerica precisa, ma chiarisce che la formazione deve essere:

  • Proporzionata al ruolo: chi usa l'IA solo per redigere email ha bisogni diversi da chi la impiega per decisioni su personale o credito.
  • Commisurata al rischio: più elevato è il rischio del sistema usato, più approfondita deve essere la formazione.
  • Documentata: le aziende devono essere in grado di dimostrare — in caso di ispezione — che la formazione è avvenuta.

La classificazione del rischio: dove si colloca la tua azienda

L'AI Act divide i sistemi di IA in quattro categorie in base al livello di rischio:

Rischio inaccettabile (vietati)

Sistemi che violano diritti fondamentali: social scoring da parte di governi, manipolazione comportamentale, riconoscimento biometrico in tempo reale negli spazi pubblici (con poche eccezioni per le forze dell'ordine).

Per le PMI: è improbabile che utilizziate questi sistemi. Se avete dubbi, consultate un esperto.

Rischio alto

Sistemi usati in ambiti critici come: selezione del personale e screening CV, concessione di credito, valutazione scolastica, diagnostica medica, infrastrutture critiche, amministrazione della giustizia.

Per le PMI: se usate software di HR con funzioni di ranking automatico dei candidati, o strumenti di scoring creditizio, probabilmente rientrate in questa categoria. Gli obblighi sono significativi: documentazione tecnica, registri di log, supervisione umana, dichiarazione di conformità.

Rischio limitato

Sistemi come chatbot, deepfake a scopo creativo, sistemi di raccomandazione. L'obbligo principale è la trasparenza: gli utenti devono sapere che stanno interagendo con un'IA.

Per le PMI: se usate un chatbot sul vostro sito, dovete indicare chiaramente che è basato su IA.

Rischio minimo

La vasta maggioranza dei sistemi: filtri antispam, sistemi di suggerimento nei motori di ricerca, strumenti di produttività basati su IA. Nessun obbligo specifico oltre all'AI Literacy (Art. 4).

I 5 passi per prepararsi all'AI Act

1. Censimento degli strumenti di IA

Il primo passo è sapere cosa usate. Fate un inventario di tutti i software che nella vostra azienda includono funzioni di intelligenza artificiale: dal CRM con suggerimenti predittivi al software di contabilità con anomaly detection.

2. Classificazione del rischio

Per ogni strumento identificato, determinate la categoria di rischio secondo l'AI Act. Per i sistemi usati in HR, credito o sicurezza, consultate un esperto per valutare se rientrate nella categoria "alto rischio".

3. Formazione AI Literacy del personale

Implementate un programma di formazione strutturato. Non basta un webinar informale: la formazione deve essere documentata, differenziata per ruolo e aggiornata nel tempo. Conservate i registri delle presenze e i materiali utilizzati.

4. Redazione di policy interne

Create una AI Policy aziendale che definisca:

  • Quali strumenti di IA sono approvati per uso aziendale
  • Come devono essere usati in modo responsabile
  • Chi è responsabile del monitoraggio
  • Come vengono gestiti i dati personali in relazione all'IA

5. Monitoraggio e aggiornamento continuo

L'AI Act è un Regolamento vivo, con linee guida interpretative in continua evoluzione. Designate un referente interno (o un consulente esterno) che si occupi di seguire gli aggiornamenti normativi.

I rischi di non adeguarsi

Le sanzioni previste dall'AI Act sono significative:

  • Sistemi proibiti: fino a 35 milioni di euro o il 7% del fatturato mondiale annuo (il maggiore dei due).
  • Violazioni degli obblighi per sistemi ad alto rischio: fino a 15 milioni di euro o il 3% del fatturato.
  • Informazioni false alle autorità: fino a 7,5 milioni di euro o l'1,5% del fatturato.

Per le PMI sono previste riduzioni proporzionali, ma il rischio reputazionale e i costi di una procedura di accertamento rimangono rilevanti.

Il ruolo delle autorità italiane

L'Italia ha designato l'Agenzia per l'Italia Digitale (AgID) e il Garante per la protezione dei dati personali come autorità nazionali competenti per l'AI Act, in coordinamento con l'Ufficio europeo per l'IA (AI Office) istituito presso la Commissione europea.

A livello pratico, le PMI italiane dovranno coordinarsi con queste autorità per:

  • Notifiche relative a sistemi ad alto rischio
  • Iscrizione in registri UE per specifiche categorie
  • Richieste di chiarimento interpretativo

Come può aiutarti Digityze

Digityze è specializzata nel supporto alle PMI italiane nella compliance all'AI Act. Il nostro approccio è pratico e calibrato sulle dimensioni aziendali:

AI Literacy Training: percorsi di formazione strutturati, differenziati per ruolo, con materiali, test e attestati di completamento. Adempimento diretto dell'Art. 4.

AI Act Assessment: analisi completa degli strumenti di IA in uso, classificazione del rischio, identificazione dei gap normativi e roadmap di adeguamento prioritizzata.

Governance e Policy: redazione di AI Policy aziendale, procedure operative e documentazione tecnica per i sistemi ad alto rischio.

Formazione Specialistica: per team IT, legale e management: deep dive sul Regolamento, simulazioni di audit e aggiornamenti normativi continuativi.

Conclusioni

L'AI Act non è un ostacolo burocratico: è un'opportunità per le PMI italiane di costruire una cultura aziendale responsabile intorno all'intelligenza artificiale, differenziandosi sul mercato come organizzazioni affidabili.

Il punto di partenza è semplice: iniziate con l'Art. 4 e la formazione AI Literacy. È l'obbligo più immediato, è già in vigore, e getta le basi per tutto il resto.

Se volete capire esattamente dove si trova la vostra azienda rispetto agli obblighi dell'AI Act, fate il nostro test gratuito di AI Literacy — in 5 domande ricevete un'analisi personalizzata con i passi concreti da seguire.