Tutti parlano dell'AI Act europeo. Quasi nessuno capisce cosa concretamente richieda.
C'è chi pensa che vieti l'IA. C'è chi lo considera GDPR 2.0. Molti assumono che riguardi solo i "big tech".
La realtà è molto più semplice; e molto più seria:Se la vostra organizzazione usa, sviluppa o acquista IA, l'AI Act vi riguarda. Ecco la spiegazione chiara, testata sul campo.
L'AI Act non è un manuale tecnico né un documento filosofico. È un framework di governance e responsabilità progettato per garantire che i sistemi di IA siano sicuri, spiegabili, documentati e dispiegati eticamente.
L'AI Act non vi chiede di smettere di usare l'IA. Vi chiede di controllarla, nello stesso modo in cui controlliamo la cybersecurity, i sistemi finanziari e le infrastrutture critiche.
Analizziamolo senza tecnicismi.
1. L'intera legge ruota attorno a quattro livelli di rischio
L'AI Act classifica i sistemi di IA in quattro categorie, ciascuna con obblighi diversi.
1. Rischio inaccettabile → Vietato tout court
Esempi:
- social scoring
- manipolazione e sfruttamento psicologico
- categorizzazione biometrica che rivela caratteristiche sensibili
- raccolta indiscriminata di immagini facciali
- riconoscimento delle emozioni in ambienti lavorativi e scolastici
Se il vostro sistema rientra in questa categoria, non potete utilizzarlo. Punto.
2. Alto rischio → Il cuore dell'AI Act (governance rigorosa)
I sistemi di IA ad alto rischio includono quelli che incidono su:
- diritti delle persone
- sicurezza
- stabilità finanziaria
- servizi essenziali
- forze dell'ordine
- occupazione
- sanità
- infrastrutture essenziali
Qui si concentra l'80% degli obblighi.
3. Rischio limitato → Trasparenza richiesta
Esempi:
- chatbot
- deepfake
- contenuti generativi
- sistemi di IA che interagiscono con esseri umani
Gli utenti devono essere informati quando interagiscono con un sistema di IA e quando il contenuto è generato dall'IA.
4. Rischio minimo → Uso libero
Esempi:
- correttori ortografici e grammaticali
- IA nei videogiochi
- motori di raccomandazione Nessun requisito specifico.
Il punto chiave: la maggior parte delle organizzazioni opera nelle categorie 2 e 3; non nella 1.
2. L'IA ad alto rischio comporta obblighi significativi
Se il vostro sistema di IA è ad alto rischio, dovete implementare un sistema di governance dell'IA completo.
Dovete dimostrare:
- valutazioni del rischio
- qualità e governance dei dataset
- documentazione del modello (architettura, addestramento, test)
- rilevamento e mitigazione dei bias
- robustezza e cybersecurity
- supervisione umana e limiti decisionali
- monitoraggio delle prestazioni
- registrazione degli incidenti
- tracciabilità del ciclo di vita
- trasparenza verso le autorità di regolamentazione
Non è facoltativo.È un obbligo di legge.
Nota pratica: diverse banche europee trattano già i sistemi di IA ad alto rischio come "mini-prodotti regolamentati", con cicli di vita che rispecchiano quelli dei modelli finanziari.
3. L'IA per uso generale (GPAI) e i modelli foundation hanno regole proprie
È qui che la maggior parte delle aziende fraintende l'AI Act. Anche se non sviluppate IA, dovete comunque comprendere gli obblighi relativi ai modelli che utilizzate.
I fornitori di GPAI (ad esempio, i grandi modelli linguistici) devono:
- pubblicare la documentazione
- divulgare le fonti dei dati di addestramento
- fornire indicazioni per la mitigazione dei rischi
- garantire la cybersecurity
- condividere le valutazioni tecniche
- testare i rischi sistemici (per i modelli più potenti)
Gli utilizzatori (voi) devono:
- comprendere l'uso previsto
- applicare controlli del rischio
- evitare il riutilizzo in contesti ad alto rischio senza supervisione
- garantire che gli output siano tracciabili e governati
Quando utilizzate un modello GPAI, ne ereditate gli obblighi.
4. La supervisione umana non è una casella da spuntare; è un meccanismo centrale
Ogni sistema di IA ad alto rischio deve includere:
- una chiara possibilità di intervento umano
- punti di revisione documentati
- formazione per i revisori umani
- meccanismi di spiegabilità
L'AI Act è esplicito: la supervisione umana deve essere effettiva, non simbolica.
Ciò significa che il vostro personale non può fidarsi ciecamente degli output dell'IA; occorre un processo formalizzato.
5. L'AI Act richiede un "sistema di governance dell'IA"; non solo delle policy
È l'aspetto che la maggior parte delle organizzazioni sottovaluta.
L'AI Act si aspetta qualcosa di simile a un ISMS, ma per l'IA:
Il vostro sistema di governance deve includere:
- ruoli e responsabilità documentati
- processi di ciclo di vita
- framework di rischio
- documentazione dei modelli
- procedure di monitoraggio
- gestione degli incidenti
- audit interno
- miglioramento continuo
- formazione sull'IA a livello organizzativo
- controlli sugli acquisti
- verifiche tecniche ed etiche
- supervisione a livello di Consiglio di amministrazione
È esattamente per questo che ISO ha pubblicato ISO/IEC 42001; rispecchia l'AI Act quasi perfettamente.
L'UE non usa mai l'espressione "sistema di gestione", ma tutto ciò che prevede l'AI Act ne implica uno.
6. L'AI Act prevede la segnalazione obbligatoria degli incidenti legati all'IA
Se un sistema di IA causa:
- malfunzionamento
- bias
- danno
- classificazione errata
- violazione dei diritti
- deriva significativa del modello
- violazione della sicurezza che coinvolge l'IA
…dovete notificarlo alle autorità.
Non esiste l'opzione "far finta di niente".
7. I requisiti documentali sono onerosi (ma logici)
Per l'IA ad alto rischio, aspettatevi di mantenere:
- documentazione dei dati di addestramento
- architettura del modello
- protocolli di test
- verifiche di robustezza
- misure di cybersecurity
- misure di mitigazione
- analisi dei bias
- metriche di prestazione
- regole di supervisione umana
- log
- storico versionato del modello
- registrazioni di dispiegamento
Non si tratta di burocrazia; è ciò che i team responsabili di IA dovrebbero già fare.
8. La tempistica di applicazione conta; ecco come si articola
L'AI Act è graduale:
2025–2026
- Le pratiche vietate diventano illegali
- Si applica la trasparenza GPAI
- Le autorità nazionali di vigilanza avviano le operazioni
- L'AI Office coordina la supervisione
2026–2027
- Entrano in vigore gli obblighi per l'IA ad alto rischio
- Le aziende devono registrare i sistemi ad alto rischio
- I sistemi di governance devono essere operativi
2027–2028
- Conformità piena richiesta
- Audit e azioni esecutive avviano
- Le sanzioni diventano concrete
Se dispiegate o acquistate sistemi di IA nel 2025, dovete prepararli adesso.
9. Le sanzioni sono serie quanto quelle del GDPR
Sanzioni per non conformità:
- fino a €35M o il 7% del fatturato globale (fascia massima)
- €15M o il 3% per violazioni relative a sistemi ad alto rischio
- €7,5M o l'1,5% per documentazione fuorviante
Queste cifre sono intenzionali:rendono la conformità all'AI Act una priorità a livello di Consiglio di amministrazione.
10. Cosa concretamente dovete fare adesso
Ecco la lista operativa essenziale, senza fronzoli:
- Identificate e classificate i vostri sistemi di IA (in base al rischio)
- Mappate i vostri fornitori e le dipendenze da modelli GPAI
- Create il vostro framework di governance dell'IA
- Iniziate a documentare le decisioni dei modelli
- Implementate la supervisione umana
- Sviluppate procedure di valutazione del rischio IA
- Preparatevi alla segnalazione degli incidenti
- Formate i team sugli obblighi relativi all'IA
- Allineatevi a ISO/IEC 42001
- Impostate workflow di raccolta delle evidenze (AI Act ≠ "promessa"; significa "dimostrare")
Questo è il minimo per evitare problemi regolatori.
Considerazione finale
L'AI Act europeo non è anti-innovazione. È pro-responsabilità. Dice una cosa sola con chiarezza:
Se l'IA incide sulla vita delle persone, deve essere spiegabile, controllata e governata.
Questo è il futuro delle operazioni digitali; le organizzazioni che lo abbracceranno per prime avranno un vantaggio competitivo, non un onere di conformità.
Se volete capire come implementare l'AI Act in pratica, governance, supervisione, documentazione e allineamento a ISO 42001, è esattamente ciò che insegniamo nei programmi Cyber Academy ISO42001 Lead Implementer e AI Risk Manager. Iscrivetevi alla prossima sessione e preparate la vostra organizzazione alla nuova era dell'IA in Europa.
