• 9 February 2026
AI Act

Indice

Questo articolo vuole essere una roadmap pratica.

Dal febbraio 2025 sono già scattati i primi divieti previsti dall’AI Act, rendendo illegali nell’Unione Europea pratiche come il social scoring e alcune forme di sorveglianza biometrica. Eppure, molte aziende ancora non si rendono conto che si sta parlando di obblighi già in vigore, non di qualcosa di futuro e lontano. Non siamo nella fase della preparazione teorica, ma nel pieno di una trasformazione normativa che cambia le regole del gioco proprio mentre le aziende continuano a operare. Lo scorso anno sono entrate in vigore anche le regole per i modelli di intelligenza artificiale con scopi generali, i cosiddetti GPAI, con nuovi requisiti di trasparenza, documentazione e gestione del rischio. Questo significa che se un’azienda utilizza API di servizi come ChatGPT, Claude, Gemini o altri strumenti simili, non può più limitarsi a dire che la responsabilità ricada sul fornitore. Il che vuol dire che, come deployer, l’azienda ha obblighi propri e specifici da rispettare.

Il paradosso dell’adozione

Il tasso di adozione dell’intelligenza artificiale nelle imprese italiane si attestava nel 2025 al 16,4%, rispetto ad un 8,2% nel 2024 e un 5% nel 2023, e contro una media europea del 13,5%, secondo i dati ISTAT. Questi dati raccontano una storia interessante: le aziende italiane non solo devono recuperare terreno sull’innovazione tecnologica, ma devono farlo mentre contemporaneamente si adeguano a un quadro normativo complesso. È un doppio onere che rischia, a mio avviso, di creare un gap competitivo ancora più ampio. La chiave sta nel comprendere che la conformità all’AI Act non è un freno all’innovazione, ma può diventare un acceleratore se affrontata strategicamente. Le aziende che investono ora in una governance solida dell’intelligenza artificiale non solo eviteranno sanzioni pesanti, ma costruiranno un vantaggio competitivo basato sulla fiducia, sulla trasparenza e sulla capacità di muoversi con sicurezza in un mercato sempre più regolamentato. E questo lo si sta dicendo già da diverso tempo.

La classificazione del rischio

L’AI Act, come sappiamo, si fonda su un approccio basato sul rischio che suddivide i sistemi di intelligenza artificiale in quattro categorie: rischio inaccettabile (vietato), alto rischio, rischio limitato e rischio minimo. Questa classificazione non è un mero esercizio accademico, ma determina concretamente cosa un’azienda può o non può fare, quali documenti deve produrre, quali audit deve superare e quali sanzioni rischia.

I sistemi ad alto rischio includono quelli utilizzati in settori critici come la biometria, le infrastrutture critiche, l’istruzione e formazione, la gestione dei lavoratori, l’accesso a servizi privati essenziali e prestazioni pubbliche. Il che vuol dire che un’azienda che utilizza algoritmi per scremare curriculum e per valutare le performance dei dipendenti, sta operando con un sistema ad alto rischio e deve rispettare obblighi stringenti di trasparenza, supervisione umana e documentazione.

Il 70% dei sistemi di intelligenza artificiale utilizzati dalle aziende digitali italiane ricade nella categoria del rischio limitato, dove gli obblighi si concentrano principalmente sulla trasparenza. Un esempio per tutti sono i chatbot, che devono dichiarare immediatamente di essere intelligenze artificiali, con messaggi chiari e comprensibili fin dal primo contatto con l’utente. Non sono ammesse formulazioni ambigue e messaggi nascosti nei termini e condizioni.

Le scadenze che non si possono ignorare

La prossima estate, di questo nostro 2026, rappresenterà la data cruciale in cui l’AI Act diventerà legge per i sistemi valutati come ad alto rischio, mentre l’estate del 2027 segnerà invece, l’applicazione delle regole per i sistemi di intelligenza artificiale in prodotti regolamentati da specifiche leggi dell’Unione Europea, come sanità e trasporti. Per i modelli di AI con scopi generali già sul mercato prima del 2 agosto 2025, i fornitori avranno tempo fino ad agosto 2027 per adeguarsi. Un po’ di tempo c’è. E questo significa che le aziende che hanno già implementato sistemi di AI dovranno pianificare attentamente il loro percorso di conformità retroattiva, mappando tutto ciò che già utilizzano e valutando quale documentazione manca.

Continuiamo a ricordare le date.

Il nostro Bel Paese ha approvato lo scorso anno la prima legge nazionale europea sull’intelligenza artificiale, la Legge 132/2025, che integra l’AI Act con regole specifiche per sanità, lavoro e pubblica amministrazione. Il che vuol dire che le aziende non devono solo comprendere l’AI Act europeo, ma anche le specificità introdotte dalla normativa nazionale. Il disegno di legge italiano non sostituisce l’AI Act, ma lo affianca per disciplinare materie lasciate alla competenza degli Stati membri e considerate di particolare interesse nazionale, come il diritto penale, la pubblica amministrazione e le professioni regolamentate. In particolare, i datori di lavoro sono tenuti a informare i dipendenti sull’utilizzo di strumenti di intelligenza artificiale e a garantire un’adeguata formazione sull’uso responsabile dell’AI in azienda.

In Italia si delineano competenze distribuite tra AgID per gli aspetti tecnici, Garante Privacy per i dati personali, e ACN per la cybersecurity, il che significa che le aziende dovranno interfacciarsi con multiple autorità a seconda del tipo di sistema AI. Questo rappresenta una complessità operativa che va pianificata e gestita con molta attenzione.

La formazione obbligatoria

È già un anno che è scattato l’obbligo di formazione, la cosiddetta alfabetizzazione sull’intelligenza artificiale, per i dipendenti di imprese, amministrazioni ed enti che impieghino l’AI. Questo aspetto viene spesso percepito come un semplice adempimento burocratico, ma la formazione ritengo che sia invece, il pilastro fondamentale di una governance efficace. L’AI Readiness Index di Cisco rivela che solo il 9% delle aziende europee si sente pronta sui talenti AI, contro il 24% nel mondo, rendendo la formazione un elemento cruciale. Non si tratta solo di rispettare un obbligo normativo, ma di costruire una cultura aziendale che sappia davvero sfruttare il potenziale dell’intelligenza artificiale riducendo i rischi.

La formazione deve coprire i principi fondamentali dell’AI, la comprensione dei rischi e delle opportunità, gli aspetti legali e la conformità normativa. Ma soprattutto deve essere calibrata sui ruoli specifici: il marketing avrà esigenze diverse dall’HR, che a sua volta avrà bisogni formativi diversi dall’IT. Un approccio generico non funziona.

Le sanzioni che fanno tremare i bilanci

Le multe possono arrivare fino a 35 milioni di euro e al 7% del fatturato annuo mondiale per violazioni gravi, come l’uso di pratiche di intelligenza artificiale vietate. Queste cifre non sono simboliche: sono progettate per avere un effetto deterrente reale, seguendo lo stesso modello del GDPR che ha dimostrato come sanzioni significative possano effettivamente modificare i comportamenti aziendali. Per startup e PMI, si applica l’importo più basso tra quelli indicati, dimostrando che il legislatore europeo vuole tutelare l’innovazione, ma senza derogare alla responsabilità. Questo equilibrio è importante da sottolineare, perchè l’AI Act non vuole soffocare le piccole imprese innovative, ma richiede che anche loro operino secondo standard etici e di sicurezza.

Ma c’è un aspetto ancora più critico delle multe economiche: le autorità possono imporre la sospensione immediata del sistema AI non conforme, anche se già distribuito, con impatti operativi significativi. Eppure, quanti lo sanno? Per molte aziende che hanno integrato profondamente l’intelligenza artificiale nei loro processi core, questo significa potenzialmente bloccare l’intero business.

Il codice di condotta GPAI

Lo scorso luglio la Commissione Europea ha pubblicato tre strumenti chiave per sostenere lo sviluppo responsabile dei modelli GPAI: gli orientamenti sulla portata degli obblighi, il codice di buone pratiche GPAI e il modello per la sintesi pubblica dei contenuti formativi. Il codice di condotta non è una legge, ma qualcosa di più di una semplice linea guida: è un percorso volontario verso la conformità che offre ai firmatari una maggiore certezza giuridica. Le aziende che adottano il codice dimostrano proattivamente il loro impegno verso standard elevati e possono beneficiare di una presunzione di conformità nei rapporti con le autorità di vigilanza.

Per un’azienda che realizza modelli di scoring, analisi di rischio e sistemi di decisione automatizzata, adottare un codice di condotta anche oltre le soglie minime di obbligo significa dimostrare affidabilità e accountability verso clienti, partner e organismi istituzionali. È questa una scelta strategica che va oltre la mera compliance. Le imprese dovranno quindi attrezzarsi, mappando i propri sistemi AI, valutandone il livello di rischio e predisponendo le documentazioni richieste, oltre ad aggiornare contratti, policy aziendali e procedure di audit. Le organizzazioni che dimostreranno standard elevati di governance dell’intelligenza artificiale, magari attraverso certificazioni di terza parte e audit indipendenti pubblicati, potranno valorizzare questa compliance in termini di brand equity e fiducia degli stakeholder 

AI Act GPAI
Cerca
Articoli recenti
AI Act
AI ACT E LA RIVOLUZIONE SILENZIOSA DELLE
  • 3 Febbraio 2026
  • 7 min read
Pasticceria Delia
Delia, la Tarte Tatin e l’intelligenza non
  • 31 Gennaio 2026
  • 5 min read
IRON robot
IRON: il robot cinese con la pelle
  • 29 Gennaio 2026
  • 4 min read
Tag Cloud
3D Agent ChatGPt AGI AI AI 2026 AI Act AI Act Europa AI bolla AI e dati sanitari AI education AIRAS AI robot Alessandro Farolfi algoritmi e cervello algoritmi e social Alzheimer e intelligenza artificiale apprendimento avatar Avocado AI Meta cervello cinema AI Claude Opus 4.5 Coding computer quantistici educational Emergenze climatiche etica e AI GEO AI Giovanni Giamminola Google algoritmo GPAI Intelligenza artificiale IRON Manager potenziato Medtronic mercato e AI Metaverso PMPD scompenso cardiaco scrittura e AI SMR tecnologia Tiramisu Meta training chirurgico tumore al pancreas
In evidenza
AI Act
AI ACT E LA RIVOLUZIONE SILENZIOSA DELLE AZIENDE
Pasticceria Delia
Delia, la Tarte Tatin e l’intelligenza non artificiale dei sapori
IRON robot
IRON: il robot cinese con la pelle sintetica
Alessandro Farolfi
Alessandro Farolfi: Medtronic, il futuro della tecnologia e i cappelletti in brodo

Articoli correlati

La legge 132/2025 AI
Legal AI MetaHealth
Legal AI e norme per il settore sanitario: la legge 132/2025
L’AI sotto processo. Se la legge incontra i bot
Intelligenza Artificiale Legal AI
L’AI sotto processo. Se la legge incontra i bot
AI Act Italia
Legal AI
L’AI Act e la formazione obbligatoria
Ministero italiano e nuovo decreto AI
Intelligenza Artificiale Legal AI
L’AI sbarca nelle scuole italiane

© 2022 Meta Communications Magazine Tutti i diritti riservati.
Testata Giornalistica registrata al Tribunale di Napoli con autorizz. N.27 del 03.10.2024
Via dei Mille, 16 – 80121 Napoli