Il regolamento europeo sull’intelligenza artificiale — noto come AI Act — è il primo quadro normativo al mondo che disciplina in modo organico lo sviluppo e l’uso dell’IA. Per le aziende italiane, capire cosa cambia non è più un’opzione: è una necessità concreta.

Cos’è l’AI Act e quando si applica

L’AI Act è entrato in vigore il 1° agosto 2024 e si applica in modo graduale fino al 2026. Riguarda chiunque sviluppi, distribuisca o utilizzi sistemi di intelligenza artificiale nell’Unione Europea — indipendentemente da dove ha sede l’azienda che produce il sistema.

Il sistema a classi di rischio

Il cuore dell’AI Act è una classificazione dei sistemi AI in quattro livelli di rischio:

Rischio inaccettabile — sistemi vietati del tutto, come il riconoscimento facciale in tempo reale in spazi pubblici o i sistemi di social scoring.

Alto rischio — sistemi soggetti a obblighi stringenti prima della messa in commercio. Rientrano in questa categoria i sistemi usati in ambito sanitario, scolastico, lavorativo, giudiziario e nelle infrastrutture critiche.

Rischio limitato — obblighi di trasparenza, come indicare all’utente che sta interagendo con un sistema AI (chatbot, deepfake).

Rischio minimo — nessun obbligo specifico. La maggior parte dei sistemi AI rientra in questa categoria.

Cosa devono fare concretamente le aziende italiane

Le aziende che sviluppano o utilizzano sistemi AI ad alto rischio devono:

  • Condurre una valutazione della conformità prima della messa in uso
  • Implementare un sistema di gestione del rischio documentato
  • Garantire la supervisione umana sui sistemi automatizzati
  • Mantenere documentazione tecnica aggiornata
  • Registrare il sistema nella banca dati europea dell’AI

Le sanzioni previste

Le violazioni dell’AI Act possono comportare sanzioni fino a 35 milioni di euro o il 7% del fatturato globale annuo per i casi più gravi. Per le PMI sono previste soglie ridotte, ma l’obbligo di conformità rimane.

Il ruolo dell’AI nell’ambito della cybersecurity

Un tema particolarmente rilevante riguarda i sistemi AI usati in ambito cybersecurity. Strumenti di rilevamento delle minacce, analisi comportamentale e risposta automatica agli incidenti possono rientrare nella categoria ad alto rischio se usati in infrastrutture critiche — con tutti gli obblighi che ne conseguono.

Conclusione

L’AI Act non è una minaccia ma un’opportunità per le aziende che vogliono costruire fiducia nei confronti di clienti e partner. Iniziare subito con una mappatura dei sistemi AI in uso è il primo passo concreto verso la conformità.

Hai domande sull’AI Act o sulla conformità normativa per la tua azienda? Scrivici o continua a seguire il blog per approfondimenti su NIS2, Cyber Resilience Act e le ultime novità sulla regolamentazione digitale europea.