Mario Cavallaro

AI Act europeo: cosa cambia per le aziende italiane nel 2025?

Woman typing on laptop at home office desk with plants and coffee

Written by

Mario Cavallaro

in

L’intelligenza artificiale è entrata nell’età della compliance

Molte aziende italiane usano già strumenti di intelligenza artificiale: chatbot per l’assistenza clienti, software HR con scoring automatico, sistemi di marketing automation, assistenti generativi per la produzione di contenuti. Spesso senza sapere che dal 1° agosto 2024 tutto questo è regolato da una legge europea direttamente applicabile in Italia.

Si chiama AI Act (Regolamento UE 2024/1689) ed è il primo quadro normativo al mondo sull’intelligenza artificiale. Non è un set di linee guida. È un regolamento: vincolante, sanzionabile, già in vigore.

In questo articolo spieghiamo cosa devono sapere concretamente le imprese italiane: a chi si applica, cosa è già obbligatorio, cosa scatterà ad agosto 2026 e quanto si rischia in caso di inadempienza.

A chi si applica

L’AI Act si applica a chiunque sviluppi o utilizzi sistemi di intelligenza artificiale nel mercato europeo. Questo include anche le aziende extra-UE che offrono prodotti o servizi basati su AI a clienti europei.

La distinzione centrale del regolamento è tra due figure:

  • Provider (fornitore): chi sviluppa o immette sul mercato un sistema AI.
  • Deployer (utilizzatore): chi usa un sistema AI in un contesto aziendale o professionale — anche se sviluppato da terzi.

Un’azienda che integra ChatGPT, un CRM con funzioni predittive o un software di selezione CV basato su algoritmi è, a tutti gli effetti, un deployer con obblighi specifici. Non è rilevante che il sistema sia sviluppato da qualcun altro.

Le quattro categorie di rischio

Il cuore dell’AI Act è la classificazione di ogni sistema AI in base al rischio che comporta per le persone. Dalla categoria dipendono gli obblighi applicabili.

1. Rischio inaccettabile — vietato

I sistemi classificati a rischio inaccettabile sono proibiti: social scoring, manipolazione comportamentale, sorveglianza biometrica di massa in spazi pubblici. Questi divieti sono già operativi dal 2 febbraio 2025.

2. Alto rischio — obblighi stringenti

Sistemi che incidono su salute, sicurezza o diritti fondamentali: software per la selezione del personale, scoring creditizio, supporto diagnostico in sanità. Per questi sistemi sono richiesti documentazione tecnica, valutazione di conformità, supervisione umana effettiva e registrazione nel database europeo. Gli obblighi completi entrano in vigore il 2 agosto 2026.

3. Rischio limitato — trasparenza

Chatbot, assistenti virtuali, sistemi che generano contenuti sintetici. L’obbligo principale è informare l’utente che sta interagendo con un sistema AI. Già vigente.

4. Rischio minimo — nessun obbligo specifico

La grande maggioranza dei sistemi AI — filtri antispam, raccomandazioni, strumenti di produttività. Nessun obbligo aggiuntivo, ma è comunque necessario verificare la classificazione.

Le scadenze: cosa è già obbligatorio e cosa si avvicina

  • 1° agosto 2024: AI Act in vigore.
  • 2 febbraio 2025: divieti per rischio inaccettabile; obbligo di AI literacy per tutti i dipendenti che usano AI (art. 4).
  • 2 agosto 2025: obblighi per modelli AI a uso generale (GPAI), governance europea, avvio regime sanzionatorio.
  • 2 agosto 2026: piena applicazione per i sistemi ad alto rischio — la scadenza più rilevante per la maggior parte delle imprese.

Nota: dal 10 ottobre 2025 è in vigore anche la Legge italiana 132/2025, che affianca l’AI Act con disposizioni specifiche su sanità, lavoro, professioni intellettuali e pubblica amministrazione. Il quadro normativo è quindi duplice.

L’obbligo di AI literacy.

L’articolo 4 dell’AI Act impone a tutte le organizzazioni di garantire che il personale che utilizza sistemi AI abbia competenze adeguate al proprio ruolo. Non si tratta di formare tutti come data scientist: si tratta di garantire consapevolezza su cosa si sta usando, quali rischi comporta e come comportarsi responsabilmente.

Questo obbligo vale dal 2 febbraio 2025 indipendentemente dal livello di rischio del sistema utilizzato. Chi non ha ancora avviato nulla è tecnicamente già inadempiente.

Le sanzioni

  • Fino a 35 milioni di euro o al 7% del fatturato annuo mondiale per uso di sistemi a rischio inaccettabile.
  • Fino a 15 milioni di euro o al 3% del fatturato per mancato rispetto degli obblighi su sistemi ad alto rischio.
  • Fino a 7,5 milioni di euro o all’1% del fatturato per informazioni false o incomplete alle autorità.

Da dove iniziare: tre passi concreti

  1. Mappatura dei sistemi in uso. Censire tutti gli strumenti aziendali che incorporano componenti AI — inclusi software acquistati da terzi e SaaS. Spesso questa fase rivela un numero di sistemi superiore a quello atteso.
  2. Classificazione per livello di rischio. Per ogni sistema, determinare in quale categoria dell’AI Act ricade. È il presupposto per sapere quali obblighi si applicano e con quale urgenza.
  3. Avvio del programma di AI literacy. Non serve un corso tecnico avanzato. Serve consapevolezza diffusa: cosa fa il sistema, quali rischi comporta, chi è responsabile.

Un’opportunità, non solo un adempimento

Le aziende che affrontano l’AI Act come un’occasione per strutturare il proprio governo dell’intelligenza artificiale — con processi chiari, ruoli definiti e documentazione adeguata — si trovano in una posizione competitiva migliore, sia sul mercato interno che nei rapporti con partner e clienti internazionali.

Chi inizia ora, con metodo, arriverà ad agosto 2026 in anticipo rispetto alla maggioranza del mercato.

 

Commenti

Lascia un commento

More posts