Vai al contenuto principale

EU AI Act spiegato: tutto ciò che è necessario sapere

L'EU AI Act è oggi la normativa sull'intelligenza artificiale più completa al mondo. Di seguito una sintesi chiara e operativa degli aspetti essenziali: categorie di rischio, obblighi, scadenze e ciò che le organizzazioni devono concretamente fare per conformarsi.

Christophe MazzolaChristophe Mazzola· Practicing CISO · Founder of Cyber Academy5 min di lettura
The EU AI Act Decoded: What You Need to Know

Tutti parlano dell'AI Act europeo. Quasi nessuno capisce cosa concretamente richieda.

C'è chi pensa che vieti l'IA. C'è chi lo considera GDPR 2.0. Molti assumono che riguardi solo i "big tech".

La realtà è molto più semplice; e molto più seria:Se la vostra organizzazione usa, sviluppa o acquista IA, l'AI Act vi riguarda. Ecco la spiegazione chiara, testata sul campo.

L'AI Act non è un manuale tecnico né un documento filosofico. È un framework di governance e responsabilità progettato per garantire che i sistemi di IA siano sicuri, spiegabili, documentati e dispiegati eticamente.

L'AI Act non vi chiede di smettere di usare l'IA. Vi chiede di controllarla, nello stesso modo in cui controlliamo la cybersecurity, i sistemi finanziari e le infrastrutture critiche.

Analizziamolo senza tecnicismi.

1. L'intera legge ruota attorno a quattro livelli di rischio

L'AI Act classifica i sistemi di IA in quattro categorie, ciascuna con obblighi diversi.

1. Rischio inaccettabile → Vietato tout court

Esempi:

  • social scoring
  • manipolazione e sfruttamento psicologico
  • categorizzazione biometrica che rivela caratteristiche sensibili
  • raccolta indiscriminata di immagini facciali
  • riconoscimento delle emozioni in ambienti lavorativi e scolastici

Se il vostro sistema rientra in questa categoria, non potete utilizzarlo. Punto.

2. Alto rischio → Il cuore dell'AI Act (governance rigorosa)

I sistemi di IA ad alto rischio includono quelli che incidono su:

  • diritti delle persone
  • sicurezza
  • stabilità finanziaria
  • servizi essenziali
  • forze dell'ordine
  • occupazione
  • sanità
  • infrastrutture essenziali

Qui si concentra l'80% degli obblighi.

3. Rischio limitato → Trasparenza richiesta

Esempi:

  • chatbot
  • deepfake
  • contenuti generativi
  • sistemi di IA che interagiscono con esseri umani

Gli utenti devono essere informati quando interagiscono con un sistema di IA e quando il contenuto è generato dall'IA.

4. Rischio minimo → Uso libero

Esempi:

  • correttori ortografici e grammaticali
  • IA nei videogiochi
  • motori di raccomandazione Nessun requisito specifico.

Il punto chiave: la maggior parte delle organizzazioni opera nelle categorie 2 e 3; non nella 1.

2. L'IA ad alto rischio comporta obblighi significativi

Se il vostro sistema di IA è ad alto rischio, dovete implementare un sistema di governance dell'IA completo.

Dovete dimostrare:

  • valutazioni del rischio
  • qualità e governance dei dataset
  • documentazione del modello (architettura, addestramento, test)
  • rilevamento e mitigazione dei bias
  • robustezza e cybersecurity
  • supervisione umana e limiti decisionali
  • monitoraggio delle prestazioni
  • registrazione degli incidenti
  • tracciabilità del ciclo di vita
  • trasparenza verso le autorità di regolamentazione

Non è facoltativo.È un obbligo di legge.

Nota pratica: diverse banche europee trattano già i sistemi di IA ad alto rischio come "mini-prodotti regolamentati", con cicli di vita che rispecchiano quelli dei modelli finanziari.

3. L'IA per uso generale (GPAI) e i modelli foundation hanno regole proprie

È qui che la maggior parte delle aziende fraintende l'AI Act. Anche se non sviluppate IA, dovete comunque comprendere gli obblighi relativi ai modelli che utilizzate.

I fornitori di GPAI (ad esempio, i grandi modelli linguistici) devono:

  • pubblicare la documentazione
  • divulgare le fonti dei dati di addestramento
  • fornire indicazioni per la mitigazione dei rischi
  • garantire la cybersecurity
  • condividere le valutazioni tecniche
  • testare i rischi sistemici (per i modelli più potenti)

Gli utilizzatori (voi) devono:

  • comprendere l'uso previsto
  • applicare controlli del rischio
  • evitare il riutilizzo in contesti ad alto rischio senza supervisione
  • garantire che gli output siano tracciabili e governati

Quando utilizzate un modello GPAI, ne ereditate gli obblighi.

4. La supervisione umana non è una casella da spuntare; è un meccanismo centrale

Ogni sistema di IA ad alto rischio deve includere:

  • una chiara possibilità di intervento umano
  • punti di revisione documentati
  • formazione per i revisori umani
  • meccanismi di spiegabilità

L'AI Act è esplicito: la supervisione umana deve essere effettiva, non simbolica.

Ciò significa che il vostro personale non può fidarsi ciecamente degli output dell'IA; occorre un processo formalizzato.

5. L'AI Act richiede un "sistema di governance dell'IA"; non solo delle policy

È l'aspetto che la maggior parte delle organizzazioni sottovaluta.

L'AI Act si aspetta qualcosa di simile a un ISMS, ma per l'IA:

Il vostro sistema di governance deve includere:

  • ruoli e responsabilità documentati
  • processi di ciclo di vita
  • framework di rischio
  • documentazione dei modelli
  • procedure di monitoraggio
  • gestione degli incidenti
  • audit interno
  • miglioramento continuo
  • formazione sull'IA a livello organizzativo
  • controlli sugli acquisti
  • verifiche tecniche ed etiche
  • supervisione a livello di Consiglio di amministrazione

È esattamente per questo che ISO ha pubblicato ISO/IEC 42001; rispecchia l'AI Act quasi perfettamente.

L'UE non usa mai l'espressione "sistema di gestione", ma tutto ciò che prevede l'AI Act ne implica uno.

6. L'AI Act prevede la segnalazione obbligatoria degli incidenti legati all'IA

Se un sistema di IA causa:

  • malfunzionamento
  • bias
  • danno
  • classificazione errata
  • violazione dei diritti
  • deriva significativa del modello
  • violazione della sicurezza che coinvolge l'IA

…dovete notificarlo alle autorità.

Non esiste l'opzione "far finta di niente".

7. I requisiti documentali sono onerosi (ma logici)

Per l'IA ad alto rischio, aspettatevi di mantenere:

  • documentazione dei dati di addestramento
  • architettura del modello
  • protocolli di test
  • verifiche di robustezza
  • misure di cybersecurity
  • misure di mitigazione
  • analisi dei bias
  • metriche di prestazione
  • regole di supervisione umana
  • log
  • storico versionato del modello
  • registrazioni di dispiegamento

Non si tratta di burocrazia; è ciò che i team responsabili di IA dovrebbero già fare.

8. La tempistica di applicazione conta; ecco come si articola

L'AI Act è graduale:

2025–2026

  • Le pratiche vietate diventano illegali
  • Si applica la trasparenza GPAI
  • Le autorità nazionali di vigilanza avviano le operazioni
  • L'AI Office coordina la supervisione

2026–2027

  • Entrano in vigore gli obblighi per l'IA ad alto rischio
  • Le aziende devono registrare i sistemi ad alto rischio
  • I sistemi di governance devono essere operativi

2027–2028

  • Conformità piena richiesta
  • Audit e azioni esecutive avviano
  • Le sanzioni diventano concrete

Se dispiegate o acquistate sistemi di IA nel 2025, dovete prepararli adesso.

9. Le sanzioni sono serie quanto quelle del GDPR

Sanzioni per non conformità:

  • fino a €35M o il 7% del fatturato globale (fascia massima)
  • €15M o il 3% per violazioni relative a sistemi ad alto rischio
  • €7,5M o l'1,5% per documentazione fuorviante

Queste cifre sono intenzionali:rendono la conformità all'AI Act una priorità a livello di Consiglio di amministrazione.

10. Cosa concretamente dovete fare adesso

Ecco la lista operativa essenziale, senza fronzoli:

  1. Identificate e classificate i vostri sistemi di IA (in base al rischio)
  2. Mappate i vostri fornitori e le dipendenze da modelli GPAI
  3. Create il vostro framework di governance dell'IA
  4. Iniziate a documentare le decisioni dei modelli
  5. Implementate la supervisione umana
  6. Sviluppate procedure di valutazione del rischio IA
  7. Preparatevi alla segnalazione degli incidenti
  8. Formate i team sugli obblighi relativi all'IA
  9. Allineatevi a ISO/IEC 42001
  10. Impostate workflow di raccolta delle evidenze (AI Act ≠ "promessa"; significa "dimostrare")

Questo è il minimo per evitare problemi regolatori.

Considerazione finale

L'AI Act europeo non è anti-innovazione. È pro-responsabilità. Dice una cosa sola con chiarezza:

Se l'IA incide sulla vita delle persone, deve essere spiegabile, controllata e governata.

Questo è il futuro delle operazioni digitali; le organizzazioni che lo abbracceranno per prime avranno un vantaggio competitivo, non un onere di conformità.

Se volete capire come implementare l'AI Act in pratica, governance, supervisione, documentazione e allineamento a ISO 42001, è esattamente ciò che insegniamo nei programmi Cyber Academy ISO42001 Lead Implementer e AI Risk Manager. Iscrivetevi alla prossima sessione e preparate la vostra organizzazione alla nuova era dell'IA in Europa.

Vuoi la prossima nota dal campo nella tua casella di posta?

La newsletter The GRC Brief. Cinque link e un breve commento, ogni lunedì alle 8:00 CET. Tre minuti di lettura.