L'EU AI Act (Regolamento UE 2024/1689) entra in vigore gradualmente. Le pratiche vietate partono già da febbraio 2025. Per chi gestisce sistemi che impattano persone fisiche in ambito HR, accesso a servizi essenziali o infrastrutture critiche, gli obblighi sono concreti e le sanzioni pesanti. Una guida per imprenditori e responsabili IT italiani.
Panoramica in 20 secondi
L'EU AI Act non è una semplice dichiarazione di intenti. Il Regolamento UE 2024/1689 introduce un calendario preciso di entrata in vigore, e il 2026 è l'anno che conta davvero. Partiamo dai fatti: il 1° febbraio 2025 sono già scattate le proibizioni assolute su pratiche AI considerate inaccettabili. Cosa significa concretamente? Se la tua azienda usa sistemi che manipolano il comportamento delle persone (ad esempio dark pattern negli algoritmi di recruiting), o che implementano forme di social scoring (ranking automatico di dipendenti o clienti), o ancora identificazione biometrica real-time in spazi pubblici, siete già in violazione. Non è una minaccia futura: è il presente. Queste pratiche non hanno zona grigia, non ci sono eccezioni per dimensione aziendale o settore. La conseguenza è una sanzione amministrativa fino a 30 milioni di euro o il 6% del fatturato mondiale (si prende il più grande dei due). Per una PMI italiana con fatturato annuo di 20 milioni, il 6% significa 1,2 milioni di euro.
Dopo febbraio 2025, il calendario continua. Dal 2 agosto 2026 entrano in vigore gli obblighi per i sistemi AI ad alto rischio. E qui è dove la maggior parte delle aziende italiane si ritrova spiazzata, perché alto rischio non significa solo i sistemi più sofisticati. L'Allegato III del Regolamento elenca categorie molto comuni: qualsiasi sistema AI che impatta decisioni su accesso a lavoro, servizi bancari, utilità essenziali (energia, acqua, telecomunicazioni), infrastrutture critiche, sistemi di sicurezza. Se la tua PMI usa un sistema di recruiting automatizzato per scremare i curricula, o un algoritmo che determina il rating creditizio per accedere a linee di finanziamento, o un tool di monitoraggio della sicurezza in fabbrica, allora siete dentro questa categoria. Gli obblighi a quel punto diventano severi: documentazione tecnica completa, testing continuo per bias e discriminazioni, supervisione umana certificata, registro pubblico del sistema. Marzo 2026 arriva in fretta.
Il motivo per cui le aziende italiane devono muoversi adesso non è solo il calendario. È la logica della compliance: se aspetti agosto 2026 per iniziare, non avrai tempo nemmeno per capire se i tuoi sistemi sono ad alto rischio, figuriamoci per adeguarli. Le aziende più intelligenti hanno già iniziato l'inventario dei loro sistemi AI. Non parlo solo di modelli proprietari sviluppati in casa. Parlo anche del software SaaS che usi quotidianamente: il CRM con funzioni di lead scoring, l'ERP con algoritmi di ottimizzazione della supply chain, la piattaforma HR che suggerisce candidati. Tutti questi rientrano nella mappatura. Una grande azienda manifatturiera europea che abbiamo seguito ha scoperto di avere 47 sistemi AI in uso solo mappando le sottoscrizioni software di tutti i reparti. Di questi, 12 erano classificati ad alto rischio. Senza aver fatto l'inventario, sarebbe stata completamente vulnerabile a ispezioni regolatori nel 2026.
La domanda che ogni responsabile IT pone è sempre la stessa: da dove comincio? La risposta è metodica, non richiede di fermare la produzione, e si divide in tre fasi da 30 giorni ciascuna. Fase 1, mese 1: inventario completo. Non è una ricerca archeologica nei server. È molto più pratico: lista tutti i sistemi che usano dati per prendere decisioni o che influiscono su persone fisiche. Includi software interno, SaaS di terze parti, modelli ML sviluppati nei repository GitHub, persino automazioni in RPA che funzionano da anni senza essere state etichettate come IA. Per ogni sistema, raccogli: nome, fornitore, funzione principale, tipo di dati in input, chi fa la decisione finale (macchina o umano?). Poi classifica ogni sistema su una scala di rischio a tre livelli. Basso rischio: sistemi che supportano solo analisi interne senza impatto diretto su persone (ad esempio, previsioni di meteo per pianificazione logistica). Rischio medio: sistemi che influiscono su processi ma con supervisione umana forte (ad esempio, algoritmo di scoring che il recruiter può sempre ignorare). Alto rischio: sistemi che prendono decisioni finali su persone fisiche in aree sensibili (accesso al lavoro, credito, servizi essenziali, infrastrutture). Accanto a questo, fai una gap analysis: per ogni sistema, confronta le sue caratteristiche attuali con i requisiti dell'EU AI Act (Allegato III ti dà la lista esatta). Scrivi in una tabella semplice cosa manca. Questo lavoro, fatto bene, ti porta già a capire la dimensione del problema.
Fase 2, mese 2: documentazione e governance. Qui il lavoro diventa più solido, perché crei i documenti che i regolatori vorranno vedere. Per ogni sistema ad alto rischio, prepara: (1) architettura del sistema, con un diagramma che spiega come i dati fluiscono, dove vengono archiviati, come il modello prende decisioni; (2) dataset di training, con descrizione dei dati storici usati per insegnare al modello, il loro volume, la loro provenienza, eventuali bias noti; (3) metriche di performance, cioè come misuri se il sistema funziona bene (accuratezza, precisione, recall, fairness su diversi gruppi demografici); (4) risultati di bias testing, dimostrando che il modello non discrimina per genere, età, nazionalità o altre caratteristiche protette; (5) procedura di supervisione umana, che documenta come i tuoi operatori controllano le decisioni del sistema e possono intervenire. Contemporaneamente, crea un registro interno di tutti i sistemi AI e aggiornalo ogni trimestre. Nomina un responsabile AI governance interno, che potrebbe essere il CTO, il responsabile IT o una nuova figura dedicata: questa persona farà da punto di contatto con regolatori, coordinerà i test, terrà traccia degli aggiornamenti. Se la tua PMI non ha le competenze interne, questo è il momento per contattare partner specializzati in EU AI Act compliance: Italy Soft, ad esempio, offre servizi di gap analysis e documentazione che accelerano questo processo senza richiedere di assumere nuovo personale full-time.
Fase 3, mese 3: test, formazione e readiness. Questo è il momento per assicurare che tutto funzioni nella pratica, non solo sulla carta. Fai test end-to-end dei tuoi sistemi ad alto rischio, cercando scenari edge case e situazioni che potrebbero portare a decisioni sbagliate o discriminatorie. Documenta i risultati. Forma il personale che interagisce con questi sistemi: insegna loro a riconoscere quando il sistema suggerisce qualcosa che non ha senso, come escalate il problema, come registrare gli incidenti. Prepara procedure scritte di incident response: cosa fai se il sistema rilascia un output che discrimina un candidato, o che raccomanda un'azione pericolosa per un'infrastruttura critica? Chi chiami? Quanto tempo hai per intervenire? Infine, simula un'ispezione di regolatore. Chiedi a qualcuno dall'esterno di verificare se la documentazione è completa, se i test sono credibili, se i tuoi operatori sanno rispondere alle domande. Questo ultimo step, che suona formale, è in realtà il più utile perché ti aiuta a trovare i buchi prima che li trovi l'autorità. Tre mesi è un timeline realistico se muovi le persone giuste all'interno dell'azienda e se il management dà priorità al progetto. Se aspetti agosto 2026 per cominciare, 90 giorni diventano 15 e tutto diventa caos.
Dieci domande pratiche per classificare i tuoi sistemi secondo l'Allegato III. Il sistema impatta decisioni su persone fisiche? Opera in HR, credito, servizi essenziali o infrastrutture? Può causare danni significativi se sbaglia? Rispondere con onestà qui ti evita sanzioni di 30 milioni dopo.
Come mappare tutti i sistemi AI in uso (proprietari e SaaS) senza paralizzare l'azienda. Template per raccogliere info, classificare il rischio, identificare i gap. Fatto una volta, lo aggiusti ogni trimestre in mezz'ora.
Architettura, dataset, metriche, bias testing, supervisione umana. Esempi di cosa i regolatori cercano. Come Italy Soft supporta PMI nella creazione di dossier compliance credibili senza over-engineering.
Da 30 milioni di euro a 6% del fatturato mondiale per violazioni gravi. Cosa conta come violazione, come i regolatori calcolano la penalità, quali scenari espongono di più il tuo business.
Italy Soft
In 30 minuti di audit gratuito analizziamo i tuoi processi e calcoliamo il ROI concreto. Nessun impegno.