• 13 May 2026
guida pratica AI Act aziende

Indice

L’AI Act europeo è in vigore da febbraio 2025. A un anno di distanza, abbiamo analizzato i documenti ufficiali disponibili: le linee guida della Commissione UE, le comunicazioni del Garante per la protezione dei dati personali, i rapporti di Banca d’Italia e dell’ENISA. Da queste fonti pubbliche abbiamo estratto uno scenario realistico sullo stato di adeguamento delle aziende italiane.

L’AI Act europeo è in vigore da febbraio 2025. A un anno di distanza, molte aziende italiane sono ancora in confusione. Cosa bisogna fare concretamente? Chi deve muoversi? Quanto costa? E quali sono gli errori più comuni? Non esiste ancora un’indagine ufficiale sullo stato dell’arte italiano, ma esistono le linee guida della Commissione Europea, i pareri del Garante per la protezione dei dati personali e i primi casi di vigilanza in altri paesi europei. Abbiamo messo tutto insieme in questa guida pratica. L’obiettivo è uno solo: darti una strada chiara, dall’inizio alla fine.

Prima di tutto: l’AI Act si applica anche a Voi?

Partiamo da un equivoco comune. Molti pensano che l’AI Act riguardi solo i grandi sviluppatori di intelligenza artificiale come OpenAI o Google. Non è così.

La normativa si applica a qualsiasi azienda che utilizzi sistemi AI nell’Unione Europea, anche se li ha comprati già pronti da un fornitore. Un piccolo e-commerce che usa un chatbot per il servizio clienti, uno studio commerciale che usa un software di analisi predittiva per le vendite, un’azienda manifatturiera che usa un sistema di controllo qualità basato su computer vision, tutti devono rispettare almeno gli obblighi minimi. L’unica eccezione sono i sistemi AI usati esclusivamente per scopi militari o di ricerca scientifica non applicata. Se la vostra azienda usa uno o più sistemi AI – e oggi quasi tutte lo fanno, spesso senza saperlo – l’AI Act vi riguarda. E questo è sicuro.

I quattro livelli di rischio (e cosa comportano)

L’AI Act non tratta tutte le AI allo stesso modo. Le classifica in quattro livelli di rischio, e a ogni livello corrispondono obblighi diversi.

Rischio inaccettabile. Sono i sistemi AI vietati, quelli che manipolano il comportamento umano in modo subliminale, quelli che fanno social scoring (come è successo in Cina), quelli di identificazione biometrica in tempo reale in spazi pubblici (con pochissime eccezioni per le forze dell’ordine). Se la vostra azienda usa uno di questi (dobbiamo però dire, cosa rarissima) è il caso che lo dismettiate all’istante. Perché? Semplice, le sanzioni possono arrivare fino a arrivano fino a milioni di euro.

Rischio alto. È la categoria più complessa e riguarda otto aree precise, la biometria, le infrastrutture critiche, l’istruzione, l’occupazione, i servizi essenziali privati e pubblici, l’immigrazione, la giustizia. Se il vostro sistema AI opera in una di queste aree, dovete rispettare obblighi un po’ più pesanti, ossia, sistemi di gestione del rischio, dati di addestramento di alta qualità, documentazione tecnica dettagliata, trasparenza verso gli utenti, controllo umano e robustezza informatica. Ed è qui che la maggior parte delle aziende fatica.

Rischio limitato. In questa dimensione rientra invece la maggior parte dei chatbot e dei sistemi di raccomandazione. L’obbligo principale è quello della trasparenza, questo perché l’utente deve sapere che sta interagendo con un’intelligenza artificiale, e non con un umano.

Rischio minimo. Tutti gli altri sistemi AI, come i filtri antispam o i videogiochi con AI. Nessun obbligo, ma si applicano comunque le leggi generali (es. GDPR se ci sono dati personali).

Quindi, più alto è il rischio, e più alti sono gli obblighi.

La checklist pratica in 5 passi

Ecco cosa deve fare concretamente un’azienda italiana per essere conforme.

Passo 1 – Mappatura dei sistemi AI. Fate un bel censimento completo, vedete quali software o strumenti usate che contengono AI. Questo varrà per ogni reparto (IT, marketing, HR, operations). Spesso i singoli team comprano strumenti AI senza informare la direzione. Il risultato di questo passo è un registro dei sistemi AI aggiornato.

Passo 2 – Classificazione del rischio. Per ogni sistema censito, valutate in quale delle quattro categorie rientra. Attenzione però, un sistema può avere usi diversi. Lo stesso motore di raccomandazione è a rischio minimo se suggerisce film, ma può diventare ad alto rischio se usato per raccomandare trattamenti medici. La classificazione dipende dall’uso concreto che ne fate.

Passo 3 – Adeguamento per i sistemi ad alto rischio. Se avete sistemi in questa categoria, dovrete implementare i requisiti degli articoli 8-15 dell’AI Act. Il che vuol dire documentazione tecnica (specifiche, dati di addestramento, metriche), sistema di gestione del rischio, log automatizzati, controllo umano e robustezza informatica. Per molti, questo passo richiede supporto esterno (consulenti legali e tecnici).

Passo 4 – Trasparenza per i sistemi a rischio limitato. Qui basta una comunicazione chiara: sui chatbot, sul sito, sulle app, indicherete che si tratta di un sistema AI. La frasetta classica: “Stai parlando con un assistente automatico basato su intelligenza artificiale“.

Passo 5 – Monitoraggio continuo. L’adeguamento non è una volta per tutte. Dovrete aggiornare la documentazione, riesaminare la classificazione quando il sistema cambia, e tenere traccia degli incidenti. La normativa prevede anche l’obbligo di notificare incidenti gravi alle autorità.

Quanto può costare

 Per una piccola azienda (fino a 50 dipendenti) con solo sistemi a rischio limitato (es. chatbot), l’adeguamento può costare tra i 5.000 e i 15.000 euro, soprattutto per la parte legale e la documentazione. Per una media azienda (50-500 dipendenti) con qualche sistema ad alto rischio, i costi salgono tra i 30.000 e gli 80.000 euro. La voce principale è la consulenza specialistica. Per una grande azienda o una PA con molti sistemi ad alto rischio, i costi possono superare i 200.000 euro. In questi casi serve un team dedicato. Facciamo però ancora attenzione, perché i costi di non conformità sono molto più alti. Le sanzioni partono da 7,5 milioni di euro per le violazioni meno gravi.

Tre errori da evitare assolutamente

Pensare “tanto non ci controlleranno mai”. L’AI Act prevede vigilanza attiva. In Italia il Garante per la protezione dei dati personali è già autorità competente, e ha annunciato ispezioni a campione. Inoltre, i concorrenti o i whistleblower possono segnalare violazioni.

Affidarsi solo al fornitore del sistema AI. La responsabilità finale è solo vostra, non del fornitore. Anche se comprate un sistema già pronto, è importante verificare che sia conforme e usarlo in modo conforme. Potete tranquillamente chiedere al fornitore la documentazione tecnica e le certificazioni, ma la responsabilità resta in capo alla vostra azienda.

Partire troppo tardi. I termini sono già scattati. Dal 2 agosto 2026 diventeranno esecutive anche le disposizioni sui sistemi ad alto rischio già immessi sul mercato prima del 2025. Tradotto: se non avete ancora iniziato, siete davvero in forte ritardo.

Domande frequenti

Qual è la scadenza per adeguarsi?
Per i sistemi ad alto rischio immessi dopo il 2025, i requisiti sono già applicabili. Per quelli immessi prima, la scadenza è il 2 agosto 2026.

Chi è l’autorità competente in Italia?
Il Garante per la protezione dei dati personali, in attesa della designazione di un’autorità specifica per l’AI.

Le PMI hanno agevolazioni?
Sì, l’AI Act prevede per le PMI un supporto dedicato dalla Commissione UE (linee guida semplificate, modelli di documentazione, sportelli informativi) e costi di vigilanza ridotti. Ma gli obblighi sostanziali sono gli stessi.

Come faccio a sapere se il mio sistema è ad alto rischio?
Consulta l’Allegato III dell’AI Act. Se il sistema opera in una delle 8 aree elencate (biometria, istruzione, occupazione, ecc.), è presumibilmente ad alto rischio. In caso di dubbio, chiedi una consulenza legale.

Concludendo

L’AI Act è una legge complessa, ma non impossibile. Le aziende italiane che iniziano ora hanno ancora tempo per adeguarsi senza affanno, a patto di muoversi con metodo. I passi sono chiari: mappare, classificare, adeguare, comunicare, monitorare. I costi sono gestibili se affrontati per tempo. Gli errori da evitare sono noti. Quello che serve, più di ogni altra cosa, è la decisione di cominciare.

AI Act AI e aziende
Cerca
Articoli recenti
UNI 11621-8:2026, l'Italia codifica le professioni dell'AI
UNI 11621-8:2026, l’Italia codifica le professioni dell’AI
  • 8 Maggio 2026
  • 6 min read
Gondola
Gondola, il dispositivo che restituisce il passo 
  • 4 Maggio 2026
  • 9 min read
radioterapia oncologica e AI
La radioterapia adattativa e l’intelligenza artificiale
  • 1 Maggio 2026
  • 6 min read
Tag Cloud
agenti conversazionali AI AI 2026 AI Act AI Act Europa AI e aziende AI e scrittura AI e tumori AI robot Alessandro Farolfi Alzheimer e intelligenza artificiale antibioticoresistenza apprendimento e AI Avocado AI Meta cervello cervello e AI Deep Seek V4 Dislessia e AI Donne e AI Eva Filoramo Gatto Vivo gatto Morto Giovanni Giamminola Gondola GPAI Intelligenza artificiale Intelligenza artificiale e nuove sinapsi IRON Leonardo De Cosmo LLM Manager potenziato Medtronic memoria contestuale metaragionamento Metaverso Neuroetica dell'AI neuroscienze neuroscienze cognitive e AI neuroscienze e AI parità di genere AI Parkinson pensiero e AI radiologia oncologica scompenso cardiaco Scrittura sistemi AI
In evidenza
UNI 11621-8:2026, l'Italia codifica le professioni dell'AI
UNI 11621-8:2026, l’Italia codifica le professioni dell’AI
Gondola
Gondola, il dispositivo che restituisce il passo 
radioterapia oncologica e AI
La radioterapia adattativa e l’intelligenza artificiale
Deep Seek V4
DeepSeek V4 e l’arte di non pensare. Guida alla modalità Non-Think per sviluppatori ed esperti

Articoli correlati

UNI 11621-8:2026, l'Italia codifica le professioni dell'AI
Intelligenza Artificiale Legal AI
UNI 11621-8:2026, l’Italia codifica le professioni dell’AI
Deep Seek V4
Intelligenza Artificiale
DeepSeek V4 e l’arte di non pensare. Guida alla modalità Non-Think per sviluppatori ed esperti…
agente conversazionale
Intelligenza Artificiale MetaHealth
La memoria contestuale negli agenti AI
Il paradigma Project Glasswing
Intelligenza Artificiale
Il paradigma Project Glasswing

© 2022 Meta Communications Magazine Tutti i diritti riservati.
Testata Giornalistica registrata al Tribunale di Napoli con autorizz. N.27 del 03.10.2024
Via dei Mille, 16 – 80121 Napoli