Il Regolamento europeo sull’intelligenza artificiale — noto come AI Act — è entrato in vigore ad agosto 2024 con un periodo di applicazione scaglionato. Non è un documento teorico: ha implicazioni concrete per qualsiasi azienda che usa, sviluppa o distribuisce sistemi AI nell’Unione Europea.
Questa guida non è una consulenza legale. È una panoramica pratica per imprenditori e manager che vogliono capire cosa cambia e cosa devono fare.
Struttura dell’AI Act: Il Sistema di Classificazione per Rischio
L’AI Act classifica i sistemi AI in base al livello di rischio che presentano. Il livello di rischio determina gli obblighi di conformità.
Rischio Inaccettabile — Vietati
Applicazioni vietate nell’UE: sistemi di social scoring governativo, manipolazione subliminale, sfruttamento di vulnerabilità di specifici gruppi, riconoscimento facciale biometrico in tempo reale in spazi pubblici (con eccezioni per sicurezza nazionale e ricerca persone scomparse).
Rilevanza per PMI: bassa. Questi usi sono remoti per la grande maggioranza delle aziende.
Alto Rischio — Obblighi Stringenti
Sistemi AI usati in contesti ad alto impatto: infrastrutture critiche, istruzione, occupazione (selezione del personale, gestione HR), accesso a servizi essenziali (credito, assicurazioni), applicazione della legge, migrazione, amministrazione della giustizia, dispositivi medici, componenti di sicurezza in veicoli.
Obblighi principali per sistemi ad alto rischio:
- Valutazione della conformità prima del deployment
- Documentazione tecnica dettagliata
- Sistemi di gestione del rischio
- Trasparenza verso gli utenti
- Oversight umano garantito
- Accuratezza, robustezza e cybersecurity documentate
- Registrazione nel database EU
Rilevanza per PMI: moderata. Un’azienda che usa AI per la selezione del personale, per valutare l’affidabilità creditizia, o per sistemi che impattano la sicurezza delle persone, rientra in questa categoria.
Rischio Limitato — Obblighi di Trasparenza
Chatbot, sistemi di generazione di contenuti, deepfake: obbligo di informare gli utenti che stanno interagendo con un sistema AI o con contenuti generati dall’AI.
Rilevanza per PMI: alta. Qualsiasi azienda che usa un chatbot AI sul proprio sito o che genera contenuti con AI per pubblicazione deve applicare questi obblighi di trasparenza.
Rischio Minimo — Nessun Obbligo Specifico
La grande maggioranza delle applicazioni AI: filtri antispam, AI nei videogiochi, sistemi di raccomandazione, strumenti di produttività. Nessun obbligo specifico oltre a quelli già esistenti (GDPR, normative di settore).
Timeline di Applicazione
- Febbraio 2025: divieto delle pratiche AI inaccettabili
- Agosto 2025: obblighi per modelli AI per uso generale (GPAI), inclusi i modelli fondazionali come GPT-4 e Claude
- Agosto 2026: obblighi per sistemi ad alto rischio in ambito prodotti regolamentati (dispositivi medici, macchinari, veicoli)
- Agosto 2027: obblighi per tutti i sistemi ad alto rischio rimanenti
Implicazioni Pratiche per le PMI
Se usi API di modelli esistenti (OpenAI, Anthropic, Google)
Sei un “deployer” (non un provider). Gli obblighi più stringenti ricadono sui provider dei modelli. Le tue responsabilità principali riguardano:
- Trasparenza verso gli utenti quando interagiscono con AI
- Conformità GDPR sui dati che invii al modello
- Non usare i modelli per finalità vietate
- Oversight umano se il sistema è usato in contesti ad alto rischio
Se sviluppi sistemi AI custom
Sei un “provider” con obblighi più stringenti. Documentazione tecnica, valutazione del rischio, registrazione nel database UE se il sistema è ad alto rischio.
Se usi AI per la selezione del personale
Questo è uno dei contesti esplicitamente ad alto rischio. Richiede documentazione, trasparenza verso i candidati, possibilità di ricorso umano e valutazione di conformità. Prima di implementare qualsiasi sistema AI-assisted per HR, è essenziale una revisione legale.
Se hai un chatbot AI sul sito
Obbligo di trasparenza: l’utente deve sapere che sta interagendo con un sistema automatizzato. Non è necessario un disclaimer invasivo, ma deve essere chiaro — tipicamente nel nome del chatbot, nella prima interazione, o in una nota visibile nell’interfaccia.
GDPR e AI: L’Intersezione che Complica Tutto
L’AI Act si sovrappone al GDPR in modo che non è ancora completamente chiarito dalle autorità regolatorie. Le aree di sovrapposizione più rilevanti:
Dati di addestramento: se si usano dati personali per addestrare o fare fine-tuning di modelli, servono basi giuridiche appropriate (consenso, legittimo interesse, obbligo contrattuale).
Invio di dati personali alle API: ogni volta che si invia un prompt a un’API esterna contenente dati personali (nome di un cliente, dettagli di una richiesta), questo è un trasferimento di dati che deve avere base giuridica e copertura contrattuale (DPA con il provider).
Diritti degli interessati: se un sistema AI prende decisioni che impattano le persone (scoring creditizio, selezione automatizzata), le persone hanno diritto di richiedere spiegazioni e di non essere soggette a decisioni completamente automatizzate.
Data minimization: non si dovrebbero inviare ai modelli AI più dati personali di quelli strettamente necessari per il task.
Cosa Fare Concretamente Oggi
1. Mappa i sistemi AI che usi: includi tutti gli strumenti con componenti AI (CRM con scoring, tool di marketing automation, chatbot, sistemi di analisi). Molti software SaaS hanno introdotto funzionalità AI senza annunciarlo esplicitamente.
2. Classifica il rischio: per ogni sistema, valuta se rientra nelle categorie ad alto rischio. In caso di dubbio, consulta un legale specializzato.
3. Verifica la conformità GDPR dei flussi AI: hai DPA (Data Processing Agreement) con tutti i provider AI che usano? I dati che invii sono minimizzati?
4. Aggiungi trasparenza dove mancante: chatbot, generatori di contenuti, qualsiasi interfaccia dove l’utente interagisce con AI deve essere etichettata.
5. Documenta: tieni traccia dei sistemi AI usati, dei dati che trattano, delle misure di oversight umano in atto. Questa documentazione sarà richiesta in caso di audit.
Il Nostro Approccio
In Marfcode, ogni progetto AI viene progettato con attenzione al quadro regolatorio fin dalla fase di discovery. Non siamo avvocati — e consigliamo sempre di coinvolgere un legale per le valutazioni di conformità formali — ma conosciamo il contesto tecnico e regolatoria in cui operiamo.
Le soluzioni che costruiamo includono sempre: trasparenza AI nelle interfacce utente, minimizzazione dei dati nei prompt, oversight umano sui flussi critici, documentazione tecnica del sistema.
→ Parla con noi di AI compliance nel tuo progetto
Articolo correlato: AI per il Business: guida completa per PMI | Automazione dei processi con AI: dove iniziare
