01Che cos'è l'AI Act, in parole semplici
Quando in aula nomino l'AI Act, di solito vedo due reazioni opposte: chi pensa che l'Europa voglia vietare l'intelligenza artificiale, e chi è convinto che tanto non riguardi la sua piccola impresa. Sono sbagliate entrambe. L'AI Act, il cui nome ufficiale è Regolamento UE 2024/1689, è il primo quadro normativo organico al mondo che disciplina l'intelligenza artificiale. Non la vieta: ne regola lo sviluppo e l'uso.
L'idea di fondo è semplice e, secondo me, anche intelligente: invece di scrivere regole sulla tecnologia in sé, l'Europa scrive regole sul rischio che un certo uso comporta per le persone. Lo stesso modello linguistico può finire in una categoria innocua o in una categoria delicatissima a seconda di cosa ci fai. Questo cambia completamente il modo in cui devi ragionare: non ti chiedi "che tecnologia sto usando", ti chiedi "a cosa serve, e chi può farsi male se sbaglia".
Un punto che molti sottovalutano è l'extraterritorialità. Il regolamento si applica ai sistemi di IA usati nell'Unione Europea a prescindere da dove abbia sede chi li fornisce. Tradotto: se il tuo software arriva da una big tech americana ma lo usi qui, le regole valgono comunque. L'obiettivo dichiarato è tenere insieme due cose che spesso si fanno la guerra, tutelare i cittadini e non soffocare l'innovazione.
Europa contro Stati Uniti: due filosofie
L'Europa ha scelto la strada di una legge vincolante e trasversale, valida per tutti i settori. Gli Stati Uniti hanno preferito finora linee guida settoriali, più morbide e frammentate. Non è solo una differenza tecnica: è una differenza di filosofia su quanto lo Stato debba mettere bocca su come si costruisce e si usa l'IA.
02I quattro livelli di rischio
Il cuore dell'AI Act è la piramide del rischio. Ogni sistema di intelligenza artificiale finisce in uno di quattro livelli, e da quel livello dipende tutto il resto: gli obblighi, i costi, perfino se puoi usarlo o no. Te li spiego dal più pericoloso al più innocuo, perché è così che li vedo classificare quando faccio esercitare i corsisti.
Rischio inaccettabile: vietati
Sono gli usi che l'Europa considera incompatibili con i diritti fondamentali, e quindi semplicemente proibiti. Qui dentro ci sono il social scoring da parte dei governi (assegnare un punteggio ai cittadini in base al comportamento), la manipolazione subliminale del comportamento, lo sfruttamento delle vulnerabilità di specifiche categorie di persone e l'identificazione biometrica remota in tempo reale negli spazi pubblici, salvo eccezioni molto limitate per le forze dell'ordine.
Rischio alto: obblighi rigorosi
Qui non c'è divieto, ma ci sono le regole più pesanti. Rientrano i sistemi usati in ambiti delicati per la vita delle persone: infrastrutture critiche, istruzione, occupazione (per esempio i software che selezionano i curricula), accesso ai servizi essenziali, attività di contrasto, gestione delle frontiere e amministrazione della giustizia. Per questi sistemi servono valutazione di conformità, documentazione tecnica completa e supervisione umana reale.
Rischio limitato: trasparenza
Sono i sistemi con cui interagiamo ogni giorno e che potenzialmente possono ingannarci sul fatto che dall'altra parte non ci sia una persona: chatbot, sistemi che generano contenuti (testo, immagini, audio, video), riconoscimento delle emozioni, categorizzazione biometrica. L'obbligo principale qui è uno solo, ma fondamentale: dire chiaramente all'utente che sta parlando con un'intelligenza artificiale.
Rischio minimo: nessun obbligo specifico
È la fascia in cui ricade la stragrande maggioranza dell'IA che usiamo: filtri antispam, sistemi di raccomandazione, videogiochi con personaggi gestiti dall'IA, ottimizzazione dei processi produttivi. Qui l'AI Act non impone obblighi particolari.
La cosa che ripeto sempre: la categoria dipende dall'ambito di applicazione, non dalla tecnologia. Lo stesso identico modello può essere a rischio minimo se filtra lo spam e a rischio alto se decide chi assumere. Non guardare lo strumento, guarda cosa gli fai decidere.
03Chi ha gli obblighi: provider e deployer
L'AI Act distingue due ruoli, e capire in quale ti trovi è il primo passo concreto. Il provider è chi sviluppa il sistema o lo immette sul mercato. Il deployer è chi lo usa professionalmente. La maggior parte delle imprese italiane sono deployer: comprano o integrano strumenti fatti da altri. Ma attenzione, perché se personalizzi un sistema in modo sostanziale puoi diventarne tu il provider agli occhi del regolamento.
Cosa deve fare il provider di un sistema ad alto rischio
- Mantenere un sistema di gestione del rischio continuo e documentato, non un controllo una tantum.
- Garantire la qualità dei dati di addestramento, validazione e test: pertinenti, rappresentativi, completi e il più possibile privi di errori.
- Produrre una documentazione tecnica completa prima di immettere il sistema sul mercato.
- Registrare automaticamente gli eventi (il cosiddetto logging) per garantire la tracciabilità.
- Prevedere una supervisione umana adeguata: qualcuno che capisca, monitori e possa intervenire.
- Assicurare accuratezza, robustezza e cybersicurezza proporzionate al rischio.
Cosa deve fare il deployer di un sistema ad alto rischio
- Usare il sistema seguendo le istruzioni del provider, senza piegarlo a usi non previsti.
- Affidare la supervisione a personale competente, formato e autorizzato.
- Monitorare il funzionamento e segnalare rischi e incidenti.
- Effettuare la valutazione d'impatto sui diritti fondamentali, dove prevista.
Nei miei corsi vedo spesso aziende convinte di essere semplici utilizzatori e quindi di non avere responsabilità. Non è così: anche il deployer ha obblighi precisi, e quello sulla formazione del personale che supervisiona è uno dei più concreti e dei più trascurati.
04Le sanzioni: quanto si rischia
Le regole senza conseguenze sono consigli. L'AI Act, su questo, non scherza, e gli importi sono pensati per pesare anche sulle multinazionali. Le sanzioni si calcolano sempre prendendo il valore più alto tra la cifra fissa e la percentuale del fatturato annuo mondiale.
| Violazione | Sanzione massima |
|---|---|
| Pratiche vietate (rischio inaccettabile) | Fino a 35 milioni di euro o il 7% del fatturato annuo mondiale |
| Violazione degli obblighi sui sistemi ad alto rischio | Fino a 15 milioni di euro o il 3% del fatturato annuo mondiale |
| Informazioni inesatte o fuorvianti alle autorità | Fino a 7,5 milioni di euro o l'1% del fatturato annuo mondiale |
Una nota che tranquillizza chi ha un'impresa piccola: per PMI e startup le sanzioni sono proporzionate alla dimensione dell'azienda e alla gravità della violazione. Non significa via libera, significa che il regolatore non vuole spazzare via una microimpresa con una multa pensata per i colossi.
05Trasparenza, documentazione e contenuti generati dall'IA
C'è un principio che attraversa tutto l'AI Act e che, da formatore, trovo sacrosanto: le persone hanno il diritto di sapere quando stanno interagendo con un'intelligenza artificiale. Da questo principio discendono alcuni obblighi che valgono trasversalmente.
- Documentazione tecnica: una descrizione dettagliata del sistema, delle sue finalità, prestazioni, limiti e misure per mitigare i rischi, da preparare prima dell'immissione sul mercato e da tenere aggiornata nel tempo.
- Istruzioni per l'uso: informazioni chiare per chi userà il sistema su capacità, limitazioni, supervisione umana necessaria e manutenzione.
- Registrazione degli eventi: il logging automatico delle operazioni, che permette verifiche a posteriori e audit di conformità.
- Informazione agli utenti finali: comunicare in modo chiaro e tempestivo che si sta interagendo con un'IA.
Deepfake e testi: l'etichetta è obbligatoria
Qui tocchiamo un tema che mi sta particolarmente a cuore. I contenuti manipolati artificialmente, i cosiddetti deepfake (immagini, audio, video), vanno etichettati come generati dall'intelligenza artificiale, in un formato leggibile sia dalle persone sia dalle macchine. Lo stesso vale per i testi generati dall'IA su argomenti di rilevanza pubblica. Quando lo spiego, l'esempio che faccio è banale ma efficace: un video credibilissimo di una persona che dice cose che non ha mai detto non è una bravata, è un problema democratico.
I modelli generalisti: GPAI
Una categoria a sé è quella dei sistemi GPAI (General Purpose AI), cioè i grandi modelli linguistici come quelli dietro gli assistenti che usiamo tutti. Per loro l'AI Act prevede obblighi di trasparenza specifici: documentazione del modello, politiche sul rispetto del diritto d'autore e una sintesi dei dati usati per l'addestramento.
06Cosa significa per le PMI italiane
Parliamo del nostro tessuto produttivo, perché è qui che la teoria incontra la realtà. Le PMI sono oltre il 99% delle imprese italiane e generano circa il 70% del valore aggiunto nazionale. Quando si parla di AI Act e imprese, in Italia si parla soprattutto di loro.
La buona notizia è che la stragrande maggioranza delle PMI usa l'intelligenza artificiale in modi che ricadono nel rischio minimo o limitato: chatbot per l'assistenza, analisi predittiva, sistemi di raccomandazione, automazione documentale. Per questi usi gli obblighi pesanti non scattano. Alcune imprese, però, operano in settori dove l'IA può facilmente diventare ad alto rischio: pensa al credito, alle risorse umane, alla sanità o ai servizi pubblici.
Il legislatore ha previsto strumenti per ammorbidire l'impatto sulle realtà più piccole, come i sandbox regolatori (ambienti protetti in cui sperimentare con il supporto delle autorità e rischi ridotti) e procedure semplificate.
La conformità non è solo un costo da subire: è un argomento di vendita verso clienti, mercati internazionali e gare pubbliche.
È il modo in cui invito a guardarla. Se sei in regola e lo sai dimostrare con documentazione e processi chiari, hai un vantaggio competitivo concreto rispetto a chi naviga a vista. La fiducia, in questo mestiere, si costruisce anche così.
07Il calendario delle scadenze
Questa è la parte che, da sola, vale la lettura dell'articolo, perché molte imprese pensano ancora che il 2026 sia lontano. Non lo è. Il regolamento è stato pubblicato sulla Gazzetta Ufficiale dell'Unione Europea il 12 luglio 2024 ed è entrato formalmente in vigore il 1 agosto 2024. Da lì, le regole entrano in funzione a scaglioni.
| Data | Cosa diventa operativo |
|---|---|
| Febbraio 2025 | Scattano i divieti sulle pratiche a rischio inaccettabile e l'obbligo di alfabetizzazione all'IA |
| Agosto 2025 | Entrano in vigore gli obblighi per i modelli GPAI: trasparenza, documentazione, diritto d'autore |
| Agosto 2026 | Piena applicazione per i sistemi ad alto rischio: valutazione di conformità, documentazione completa, gestione del rischio, supervisione umana, logging e registrazione nella banca dati UE |
Il messaggio è chiaro: il tempo per adeguarsi è poco. Tra l'oggi di chi legge e la piena applicazione manca meno di quanto sembri, e i progetti di conformità sui sistemi ad alto rischio non si chiudono in una settimana.
08Come prepararsi, in sei passi
Passiamo al "si impara facendo". Se dovessi accompagnare la tua impresa, partirei da qui. Sono sei passi che funzionano sia per la PMI sia per il team strutturato, e che ti tolgono dalla paralisi del "non so da dove cominciare".
- Inventario dei sistemi di IA. Mappa tutti i sistemi che usi, compresi quelli nascosti dentro software di terze parti, e per ciascuno annota finalità, fornitore, dati trattati e utenti.
- Classificazione del rischio. Per ogni sistema, stabilisci in quale dei quattro livelli ricade secondo l'AI Act. È qui che si concentra il vero lavoro di analisi.
- Gap analysis. Per i sistemi ad alto rischio, confronta lo stato attuale con i requisiti del regolamento e individua dove non sei conforme: documentazione, gestione del rischio, qualità dei dati, supervisione, cybersicurezza.
- Piano di adeguamento. Definisci scadenze, responsabilità, budget e risorse, dando priorità in base alla gravità del rischio e alle tempistiche di legge.
- Formazione del personale. Avvia percorsi sull'AI Act e sull'uso responsabile dell'IA, con moduli specifici per chi dovrà supervisionare i sistemi ad alto rischio.
- Governance continua. Imposta un monitoraggio costante della conformità, segui gli aggiornamenti normativi e prevedi revisioni periodiche.
Aggiungo due mosse pratiche che spesso vengono dimenticate. La prima: rileggi i contratti con i fornitori di IA e verifica che contengano clausole su conformità, accesso alla documentazione tecnica e cooperazione in caso di ispezioni. La seconda: valuta la partecipazione a un sandbox regolatorio nazionale, dove puoi sperimentare con il supporto delle autorità e meno rischi.
In sintesi
- L'AI Act (Regolamento UE 2024/1689) regola l'intelligenza artificiale in base al rischio, non alla tecnologia, e si applica anche ai fornitori extra-UE.
- Quattro livelli: inaccettabile (vietato), alto (obblighi rigorosi), limitato (trasparenza), minimo (nessun obbligo specifico).
- Le sanzioni arrivano fino a 35 milioni di euro o il 7% del fatturato mondiale, con importi proporzionati per PMI e startup.
- Scadenza chiave: piena applicazione dei sistemi ad alto rischio ad agosto 2026, ma divieti e obblighi GPAI sono già attivi.
- Per la maggior parte delle PMI l'uso dell'IA è a rischio minimo o limitato: la priorità è fare l'inventario e classificare i sistemi.
09Dove approfondire
Se vuoi andare alla fonte e non fidarti dei riassunti (cosa che ti consiglio sempre, quando in gioco c'è la conformità), ecco i punti di riferimento utili.
- Il testo integrale dell'AI Act, cioè il Regolamento UE 2024/1689, pubblicato sulla Gazzetta Ufficiale dell'Unione Europea.
- L'AI Office della Commissione Europea, per linee guida, FAQ e codici di condotta.
- L'AgID, l'Agenzia per l'Italia Digitale, per il sandbox regolatorio e l'autorità di vigilanza nazionale.
- Il CEN-CENELEC, per gli standard tecnici armonizzati.
- Confindustria Digitale, per le guide pratiche pensate per le PMI.
Una cosa la dico da formatore, non da giurista. L'AI Act non è un esame da superare e poi dimenticare: è un modo di lavorare con l'IA in cui sai sempre cosa stai usando, perché, e con quali tutele. Nei miei corsi parto proprio da qui, perché capire le regole serve a usare l'intelligenza artificiale con più libertà, non con meno. Se vuoi portare la tua squadra a questo livello di consapevolezza, sono a disposizione.
Federico Boggia