Il Regolamento UE sull'Intelligenza Artificiale (AI Act, Reg. UE 2024/1689) è entrato in vigore nell'agosto 2024. Come tutte le normative europee, si applica anche alle PMI italiane — e molte di esse non lo sanno ancora.
Non è un testo teorico per il futuro lontano: alcune disposizioni sono già applicabili, altre entrano in vigore nel corso del 2025 e 2026. La finestra per adeguarsi si sta restringendo.
La classificazione per rischio: il cuore dell'AI Act
L'AI Act classifica i sistemi AI in base al livello di rischio per le persone:
- Rischio inaccettabile (vietati): manipolazione subliminale, social scoring governativo, certi usi biometrici
- Alto rischio (obblighi stringenti): AI usata in infrastrutture critiche, istruzione, occupazione, servizi essenziali, law enforcement, migrazione, giustizia
- Rischio limitato (obblighi di trasparenza): chatbot, AI che genera contenuti
- Rischio minimo (nessun obbligo specifico): la maggioranza dei sistemi AI
Quali PMI sono davvero in scope
La categoria che riguarda più PMI italiane è quella ad alto rischio. Ricade in questa categoria qualunque sistema AI usato per:
- Selezione e valutazione dei candidati: se usi uno strumento AI per screaning dei CV o valutazione dei colloqui
- Valutazione del merito creditizio: AI che partecipa a decisioni di concessione di credito
- Gestione delle prestazioni lavorative: sistemi di monitoraggio e valutazione dei dipendenti
- Sicurezza delle infrastrutture: AI per la gestione di impianti, reti o sistemi critici
Se la tua PMI usa uno strumento AI che rientra in queste categorie — anche se è un prodotto di terze parti — ha obblighi di compliance specifici.
"Usare un software di terze parti non ti esonera dagli obblighi dell'AI Act. Se sei il 'deployer' di un sistema AI ad alto rischio, hai responsabilità dirette."
Gli obblighi per i sistemi ad alto rischio
Per chi usa o sviluppa sistemi AI ad alto rischio, l'AI Act richiede:
- Sistema di gestione del rischio documentato e aggiornato
- Governance dei dati di training: qualità, rappresentatività, assenza di bias sistematici
- Documentazione tecnica completa del sistema
- Registrazione delle operazioni (log) per la tracciabilità
- Supervisione umana: non si può delegare completamente le decisioni all'AI
- Robusti sistemi di gestione degli errori e incident response
- Registrazione in un database UE (per i fornitori)
Come Team Evoluto AI 6.0 è stato progettato
Quando ho sviluppato Team Evoluto AI 6.0, l'AI Act era già in fase avanzata di approvazione. Ho scelto deliberatamente di progettare il framework in modo da soddisfare i requisiti più stringenti possibili — non per obbligo normativo, ma perché è la cosa giusta da fare in contesti mission-critical.
Gli elementi di compliance by-design nel framework:
- Tracciabilità completa: ogni output include l'audit trail della logica che lo ha prodotto
- Supervisione umana: il sistema è progettato come supporto alle decisioni, non come decision-maker autonomo
- Gestione dell'incertezza: output non verificati vengono marcati esplicitamente con [UNCERTAIN]
- Validazione contrarian: ogni conclusione viene sistematicamente sfidata per ridurre il bias
- Log completi: ogni sessione genera un registro verificabile e riproducibile
Cosa fare adesso
Per le PMI italiane, il primo passo è un inventario: quali strumenti AI usiamo? In quali processi? Con quale impatto sulle persone? Questo inventario permette di classificare i sistemi per rischio e capire quali obblighi si applicano.
Il secondo passo: verificare i contratti con i fornitori di software AI. L'AI Act distribuisce le responsabilità tra fornitori e deployer (chi usa il sistema): è importante capire chi è responsabile di cosa.
Il terzo: non aspettare. Le sanzioni previste dall'AI Act arrivano fino al 7% del fatturato globale annuo per le violazioni più gravi.