Sovranità digitale Cittadinanza digitale Intelligenza Artificiale Sicurezza Informatica Sanità digitale Documenti digitali Industria 5.0/Innovazione in azienda Libri Procurement dell'innovazione Guide alla scelta tech Infrastrutture digitali Fatturazione elettronica Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

la guida

Eu AI Act in azienda: conformità e vantaggio

Home Cultura e società digitali
Partecipa al dibattito
Indirizzo copiato

L’EU AI Act introduce obblighi, scadenze e sanzioni per fornitori e utilizzatori di sistemi di intelligenza artificiale. Le imprese italiane devono mappare gli strumenti in uso, classificare i rischi, formare il personale e trasformare la conformità in leva competitiva

Aggiornato il 29 mag 2026
Federica Maria Rita Livelli

Business Continuity & Risk Management Consultant, CLUSIT Direttivo, BCI SIG Cyber Resilience Committee, FERMA Digital Committee Member

Ai-driven,Smart,Savings,And,Financial,Planning,Concept.,A,Person,Interacts; EU AI Act
AI-driven smart savings and financial planning concept. A person interacts with interface powered by artificial intelligence to analyze income, set budget goals, optimize future wealth accumulation.
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • Entrato in vigore il 1/8/2024, il EU AI Act introduce un modello risk-based approach e norme vincolanti, extraterritoriali, destinate a diventare uno standard come il GDPR.
  • Classifica in 4 livelli: divieti, alto rischio, rischio limitato, minimo; obblighi per fornitore e deployer: documentazione tecnica, registri, formazione e FRIA.
  • Scadenze chiave: divieti dal 2/2/2025, piena applicazione (alto rischio) dal 2/8/2026 con possibili aggiornamenti dall’AI Act Omnibus; sanzioni rilevanti ma compliance anche opportunità di mercato e finanziamenti.
Riassunto generato con AI

Il Regolamento (UE) 2024/1689, noto come EU AI Act, è entrato in vigore il primo agosto 2024. È il primo quadro normativo europeo organico e vincolante per l’intelligenza artificiale (IA) e introduce un modello di compliance basato sul rischio (risk-based approach).

Per le aziende, ciò comporta regole chiare su cosa è consentito, cosa è vietato e quali requisiti rispettare, con l’obiettivo di rendere l’IA sicura, trasparente e affidabile. Proprio come il GDPR, nel 2018, l’AI Act è destinato a diventare uno standard di riferimento internazionale.

Digital Omnibus e AI Act: cosa può slittare e cosa va fatto prima di agosto 2026

L’EU AI Act non è solo un adempimento. Nel quadro della sovranità digitale europea è anche una leva politica e industriale con cui l’UE rafforza la propria autonomia tecnologica rispetto agli ecosistemi dominanti di Stati Uniti e Cina. Inoltre, essere conformi ai principi e agli obblighi dell’AI Act aiuta a posizionarsi nella catena del valore europea: facilita l’accesso a gare pubbliche, finanziamenti UE e partnership con grandi aziende che richiedono ai fornitori standard di governance e responsabilità sull’IA.

Ancora, l’AI Act ha anche un campo di applicazione extraterritoriale: si applica ai fornitori che immettono sistemi di IA sul mercato europeo, ai deployer (le organizzazioni che usano l’IA nei propri processi) stabiliti nell’UE e anche a soggetti extra‑UE quando i loro sistemi producono effetti su persone in Europa.

Ne consegue che le PMI italiane — spesso inserite in filiere transnazionali — non possono considerarsi escluse: sia che acquistino soluzioni di IA, sia che sviluppino moduli proprietari, devono chiarire ruoli e responsabilità (fornitore/deployer) e adottare misure di conformità fin dalle fasi di selezione, integrazione e utilizzo dei sistemi.

Come funziona la classificazione dei sistemi basata sul rischio

Il cuore dell’impianto normativo è la classificazione a quattro livelli di rischio, che determina gli obblighi applicabili a ciascun sistema di IA in base alla potenziale dannosità per i diritti fondamentali, la sicurezza e la democrazia.

Rischio inaccettabile (vietato) – Il Regolamento esclude alcuni usi dell’IA perché mettono a rischio diritti e valori fondamentali. In concreto, sono vietati i sistemi che: assegnano punteggi o classifiche sociali su larga scala da parte di autorità pubbliche; influenzano le persone con tecniche di manipolazione non percepibile; effettuano identificazione biometrica remota in tempo reale in spazi pubblici per finalità di law enforcement (salvo eccezioni rigorosamente circoscritte); sfruttano vulnerabilità in termini di età o di disabilità cognitive. Tali divieti si applicano dal 2 febbraio 2025.

Alto rischio – È la categoria più rilevante per molte imprese: riguarda sistemi usati in contesti in cui errori o abusi possono causare danni significativi alle persone. Il Regolamento include:

  • i sistemi che sono componenti di sicurezza di prodotti già regolamentati (ad esempio macchinari, dispositivi medici, veicoli autonomi, infrastrutture critiche)
  • i sistemi impiegati nelle aree elencate nell’Allegato III (ad esempio selezione del personale, valutazione creditizia, accesso a servizi pubblici essenziali, gestione della migrazione, amministrazione della giustizia, istruzione e formazione). Questi sistemi sono soggetti agli obblighi più estesi e a un regime di conformità strutturato.

Rischio limitato – Riguarda sistemi che interagiscono direttamente con le persone o generano contenuti (i.e. chatbot, assistenti virtuali e strumenti di generazione testo/immagini). In questi casi l’AI Act punta soprattutto sulla trasparenza: l’utente deve poter capire quando sta parlando con un sistema automatizzato e quando un contenuto è stato prodotto o alterato dall’IA. Per i contenuti sintetici, possono essere richieste misure di identificazione come la filigrana (watermarking) o altre indicazioni equivalenti, così da ridurre il rischio di confusione e uso improprio.

Rischio minimo – La maggior parte dei sistemi di IA oggi in commercio rientra in questa categoria (ad esempio filtri antispam, sistemi di raccomandazione editoriale, videogiochi con IA) e non è soggetta a obblighi specifici, salvo le norme di diritto comune applicabili.

La classificazione non è sempre immediata: molti sistemi si collocano in “zone grigie” tra una categoria e l’altra e serve una valutazione tecnica e giuridica. La Commissione europea ha inoltre annunciato linee guida interpretative che le imprese dovrebbero monitorare.

Quali sono le sanzioni per il mancato adeguamento nel 2026

Il sistema sanzionatorio dell’AI Act segue una logica semplice: più alto è il rischio e più grave è la violazione, più elevata è la sanzione massima. L’autorità competente determina poi l’importo concreto valutando, tra gli altri, gravità, durata, grado di colpa, cooperazione e misure correttive adottate.

  • Fascia più alta – Riguarda l’uso di pratiche vietate (rischio inaccettabile) e la trasmissione di informazioni non veritiere alle autorità. Il massimale arriva fino a 35 milioni di euro oppure fino al 7% del fatturato mondiale annuo (si applica il valore più elevato).
  • Fascia intermedia – Si applica alle violazioni degli obblighi per i sistemi ad alto rischio e, dove pertinente, alle regole sui modelli di IA per finalità generali. Il tetto è pari a 15 milioni di euro o al 3% del fatturato globale, a seconda di quale importo risulti maggiore.
  • Fascia più bassa – copre in genere inadempimenti su trasparenza, cooperazione o obblighi formali meno gravi. In questi casi la sanzione può arrivare fino a 7,5 milioni di euro oppure fino all’1,5% del fatturato.

Il Regolamento, per PMI e startup, prevede un criterio di proporzionalità delle sanzioni, ovvero: tra importo fisso e percentuale di fatturato, tende ad applicarsi il massimale più basso in rapporto alle dimensioni dell’impresa. Ciò, non elimina il rischio economico, considerando che anche una percentuale “contenuta” può incidere in modo significativo, soprattutto se si sommano i costi di remediation, i blocchi operativi e gli impatti reputazionali.

La Legge Italiana sull’IA introduce una governance basata su due autorità nazionali: l’Agenzia per la Cybersicurezza Nazionale (ACN), incaricata di vigilare con poteri ispettivi su sicurezza e adeguatezza dei sistemi, e l’Agenzia per l’Italia Digitale (AgID), responsabile della gestione delle notifiche e della promozione di casi d’uso sicuri per cittadini e imprese.

Requisiti e obblighi di compliance per le aziende italiane

Un’impresa che utilizza o fornisce sistemi di IA, l’AI Act necessita di un processo strutturato di compliance che coinvolga tutta l’organizzazione, dalla funzione legale all’IT, dalle risorse umane alla direzione generale. Non si tratta di un adempimento una tantum, ma di un sistema di gestione continuo del rischio che deve integrarsi nelle pratiche aziendali ordinarie.

Come mappare i sistemi di intelligenza artificiale in uso

Il primo passo è costruire un inventario completo dei sistemi di IA presenti in azienda. In questa fase molte organizzazioni scoprono di utilizzare più soluzioni del previsto, ad esempio: algoritmi di scoring creditizio integrati nei gestionali, moduli di NLP nei CRM, strumenti di analisi predittiva per la pianificazione della produzione, sistemi OCR per la gestione documentale.

Le organizzazioni, per la mappatura di ogni sistema, dovrebbero essere in grado di rispondere ad alcune domande chiave, quali: chi è il fornitore e qual è la versione in uso? Il sistema prende decisioni autonome o supporta decisioni umane? Su quali dati opera e con quale frequenza viene aggiornato?

Chi sono gli utenti finali (i.e. dipendenti, clienti o cittadini)? Quali impatti può generare un errore o un funzionamento anomalo?

Dopo aver effettuato l’inventario, è necessario classificare ciascun sistema secondo la tassonomia del Regolamento. Si consiglia, per questa attività, di coinvolgere figure con competenze sia tecniche sia giuridiche, eventualmente supportate da consulenti specializzati. L’Unione Europea ha, inoltre, reso disponibili un database dei sistemi di IA ad alto rischio e strumenti di autovalutazione che possono agevolare il processo. (disponibili all’interno del sito AI Act Service Desk )

È importante evidenziare che la mappatura non è un’attività statica, una tantum: ogni volta che l’azienda adotta un nuovo sistema, aggiorna un sistema esistente o ne modifica le condizioni d’uso, il processo di classificazione deve essere ripetuto. Pertanto, è opportuno integrare questa verifica nei processi di acquisto del software e nei contratti con i fornitori tecnologici.

Gestione della documentazione tecnica e dei registri di attività

L’AI Act, per i sistemi ad alto rischio, impone obblighi documentali specifici e molto dettagliati, che ricordano, per struttura, quelli già previsti dal GDPR per i trattamenti di dati personali. Ma vediamo di seguito di cosa si tratta.

Fornitori

I fornitori di sistemi ad alto rischio devono predisporre una documentazione tecnica completa che descriva le caratteristiche del sistema, il processo di progettazione e di sviluppo, i dati di addestramento e le metodologie utilizzate per garantirne la qualità, le misure di sicurezza e robustezza, le prestazioni attese e i limiti del sistema, e le istruzioni per l’uso destinate ai deployer. Tale documentazione deve essere conservata per un periodo minimo di dieci anni dalla messa in commercio del sistema.

Deployer

Le organizzazioni che utilizzano sistemi di IA ad alto rischio nel proprio contesto operativo devono disporre di registri di attività (logs) generati automaticamente dal sistema per un periodo minimo stabilito dal Regolamento o dalle normative di settore applicabili. Inoltre, i deployer devono predisporre una documentazione interna che descriva: le modalità d’uso del sistema; le categorie di persone fisiche interessate; i controlli umani implementati; le eventuali misure adottate per mitigare i rischi residui.

Ancora, per le aziende già conformi al GDPR, parte di questa infrastruttura documentale può essere già disponibile. Il Registro dei trattamenti previsto dall’articolo 30 del GDPR, ad esempio, può essere esteso per includere le informazioni richieste dall’AI Act, creando un sistema integrato di governance dei dati e dell’IA, riducendo, così, i costi di compliance, oltre a migliorare la coerenza tra i due regimi normativi.

Obbligo di alfabetizzazione e formazione del personale aziendale

Uno degli aspetti più significativi dell’AI Act è l’obbligo esplicito di garantire un adeguato livello di alfabetizzazione in materia di IA per il personale che utilizza o che supervisiona sistemi di IA.

In concreto, l’articolo 4 del Regolamento richiede ai fornitori ed ai deployer di assicurare che chi progetta, gestisce o utilizza sistemi di IA abbia competenze adeguate al ruolo e al contesto d’impiego. Si tratta di mettere il personale in condizione di capire limiti del sistema, rischi tipici (ad esempio errori, bias, drift) e procedure di controllo atte ad usare l’IA in modo consapevole e verificabile.

Inoltre, la formazione deve essere proporzionata al livello tecnico, all’esperienza e al dominio di applicazione in cui il sistema di IA viene utilizzato. Ciò significa che le aziende devono strutturare percorsi formativi differenziati, ovvero:

  • Formazione di base – È rivolta a tutti i dipendenti che interagiscono con strumenti di IA (anche indirettamente, come nel caso di chi riceve output di sistemi decisionali automatizzati).
  • Formazione avanzata – È rivolta ai responsabili di funzione e ai referenti dei sistemi, con focus su obblighi normativi, supervisione umana, gestione dei rischi e procedure interne.
  • Formazione specialistica – È rivolta ai tecnici e agli sviluppatori.

Infine, l’organizzazione deve essere in grado di documentare i programmi formativi e aggiornarli periodicamente, anche in relazione alle evoluzioni tecnologiche e normative.

In Italia, diverse associazioni di categoria stanno già sviluppando percorsi formativi certificati in collaborazione con università e ordini professionali. Inoltre, alcune Regioni hanno attivato fondi specifici nell’ambito dei programmi di formazione continua finanziati con risorse del Fondo Sociale Europeo Plus per supportare le PMI nell’acquisizione di competenze digitali legate all’AI Act.

Calendario delle scadenze e tappe della piena applicazione

L’AI Act è entrato in vigore il 1° agosto 2024. I divieti assoluti per i sistemi a rischio inaccettabile si applicano dal 2 febbraio 2025. Inoltre, alcune applicazioni di generazione di immagini finalizzate a creare contenuti intimi non consensuali rientrano tra i nuovi divieti con applicazione dal 2 dicembre 2026.

Cosa cambia dal 2 agosto 2026 per i sistemi ad alto rischio

Il 2 agosto 2026 è la scadenza indicata dal testo originario dell’AI Act per l’avvio della piena applicazione di molti obblighi sui sistemi di IA ad alto rischio: da quel momento, i deployer (incluse le PMI) devono essere pronti a dimostrare la conformità agli obblighi pertinenti.

Tuttavia, l’accordo provvisorio del 7 maggio 2026 sul cosiddetto AI Act Omnibus (o Digital Omnibus) propone una revisione della timeline di compliance, con l’obiettivo di semplificare alcuni adempimenti e allineare le scadenze alla disponibilità degli standard tecnici. Tale aggiornamento, se confermato nel testo finale, incide sulle tempistiche per l’alto rischio e introduce nuovi divieti specifici. Verdiamo quali.

Nuovo AI Act Omnibus (Accordo 7 maggio 2026)

L’obiettivo del provvedimento è semplificare la conformità per le aziende e allineare le scadenze alla disponibilità degli standard tecnici, prevedendo:

  • 2 agosto 2026 — AI Literacy – Confermato l’obbligo di alfabetizzazione sull’IA e le prime misure di trasparenza obblighi di trasparenza
  • 2 novembre 2026 – Transparency – Proroga di tre mesi degli obblighi di trasparenza per quei sistemi già immessi sul mercato.
  • 2 dicembre 2026 — Watermarking – Anticipato l’obbligo di filigrana identificativa (marcatura leggibile da macchina) per i contenuti generati con l’IA (i.e. audio, immagini, video e testi sintetici, inizialmente previsto al 2 febbraio 2027).
  • 2 dicembre 2026 – Nudifier– Aziende dovranno, entro la data indicata, implementare le necessarie misure atte a impedire che i propri modelli vengano usati per violare la dignità personale per i sistemi che generano materiale pedopornografico (CSAM) o immagini intime non consensuali (deepfake pornografici),
  • 2 agosto 2027 —Nuova scadenza proposta per la creazione dei sandbox regolatori nazionali (inizialmente prevista per il 2 agosto 2026), pensati per consentire test controllati dei sistemi AI in collaborazione con le autorità competenti al fine di garantire maggiore uniformità e preparazione operativa.
  • 2 dicembre 2027 – Sistemi ad alto rischio autonomi – Applicazione degli obblighi per i sistemi di AI ad alto rischio elencati nell’Allegato III dell’AI Act, quali: biometria, infrastrutture critiche, istruzione, selezione del personale, servizi essenziali, giustizia, gestione delle frontiere.
  • 2 agosto 2028 – Sistemi di IA ad alto rischio integrati nei prodotti – Applicazione degli obblighi per i sistemi di AI ad alto rischio regolati dell’Annex I e utilizzati come “componenti per la sicurezza” di alcuni prodotti industriali e già soggetti ad altre normative UE sulla sicurezza e la sorveglianza di mercato (i.e. dispositivi medici, apparecchiature radio, giocattoli, ecc.).

Inoltre, il nuovo AI Act Omnibus prevede altresì:

  • Esenzioni PMI estese ai small mid-caps, ovvero aziende fino a 500 dipendenti, con semplificazione
  • Maggiore chiarezza sul rapporto fra AI Act e Regolamento Macchine, per evitare doppia compliance sui prodotti già regolati.

Cosa cambia per le aziende italiane

Le aziende italiane devono ri-pianificare la loro strategia di compliance e si consiglia loro di:

  • Non attendere il rinvio – Gli esperti consigliano di prepararsi comunque entro agosto 2026, in quanto la strutturazione dei processi aziendali richiede tempo.
  • Mappatura e classificazione del rischio- È fondamentale mappare i sistemi di IA utilizzati (alto rischio, rischio limitato, divieti).
  • Nuovi divieti – Le aziende che sviluppano o utilizzano sistemi di generazione immagini dovrebbero verificare subito la conformità ai divieti introdotti o aggiornati dall’Omnibus, aggiornando policy, controlli e contratti con i fornitori.

Disposizioni transitorie per i modelli di IA esistenti

Il Regolamento introduce un regime transitorio per alcuni sistemi di IA già in uso prima dell’avvio delle disposizioni applicabili. In generale, i sistemi ad alto rischio immessi sul mercato o messi in servizio prima del 2 agosto 2026 possono continuare a essere utilizzati, a condizione che non subiscano modifiche significative di progettazione o di destinazione d’uso. Sono esempi di modifica significativa: aggiornare il modello sottostante, cambiare le categorie di dati utilizzati, estendere l’ambito di applicazione o aumentare il livello di autonomia decisionale. In questi casi, il beneficio del regime transitorio viene meno e diventa necessaria la piena conformità.

Per i modelli GPAI (ad esempio i Large Language Model), il Regolamento prevede un periodo transitorio di 12 mesi (fino ad agosto 2026) se il modello è stato fornito prima del 2 agosto 2025. Durante questo periodo, i fornitori devono comunque adottare misure per raggiungere la conformità alle disposizioni applicabili.

Inoltre, i modelli GPAI che presentano rischi sistemici — definiti anche in base alla potenza computazionale impiegata per l’addestramento (ad esempio superiore a 10²⁵ FLOPFloating Point Operations) — sono soggetti a obblighi rafforzati di valutazione, test, monitoraggio e reportistica degli incidenti.

Ancora, le organizzazioni che acquistano sistemi di IA da fornitori terzi dovrebbero verificare contrattualmente che i fornitori gestiscano correttamente il regime transitorio e garantiscano la conformità del prodotto entro le scadenze normative.

Trasformare la compliance in vantaggio competitivo per il business

È importante ricordare che il rischio maggiore nella compliance all’EU AI Act è trattarla come un adempimento “difensivo”, limitandosi al minimo per evitare sanzioni. Così facendo, le organizzazioni rischiano di perdere il vero valore dei requisiti del Regolamento – trasparenza, accuratezza, supervisione umana e gestione dei rischi – che sono gli stessi elementi che rendono i sistemi di IA più affidabili, efficienti e sostenibili nel lungo periodo.

Migliorare la fiducia dei clienti attraverso la trasparenza algoritmica

La trasparenza algoritmica imposta dal Regolamento – soprattutto per i sistemi ad alto rischio – può diventare un potente strumento di differenziazione commerciale. Sempre più clienti, consumatori e imprese, sono, infatti, sensibili a come le organizzazioni usano l’IA per decisioni che li riguardano, ad esempio: concessione di credito; valutazione delle candidature di lavoro; personalizzazione dei prezzi; erogazione di servizi sanitari.

Le organizzazioni che comunicano in modo chiaro e verificabile come funzionano i propri sistemi di IA, quali dati utilizzano, quali controlli sono attivi e come le decisioni automatizzate possono essere riesaminate da una persona costruiscono un capitale di fiducia che diventa una barriera all’entrata rispetto ai concorrenti meno trasparenti.

Ciò vale in modo particolare nei mercati B2B dato che sempre più grandi organizzazioni e amministrazioni pubbliche stanno introducendo nei propri capitolati di gara e nei contratti con i fornitori clausole di conformità all’AI Act, richiedendo la documentazione tecnica prevista dal Regolamento come condizione per l’aggiudicazione. Ne consegue che le PMI, che si adeguano per prime, possono acquisire un vantaggio concreto nell’accesso a questi mercati.

Accesso a finanziamenti e agevolazioni per la AI responsabile

La conformità all’AI Act apre le porte a una serie di strumenti finanziari specificamente orientati allo sviluppo e all’adozione di IA responsabile.

A livello europeo, il programma Horizon Europe 2026-2027 prevede risorse significative per progetti di ricerca e di innovazione che sviluppano sistemi di IA affidabili e conformi al Regolamento. Inoltre, il programma Digital Europe finanzia interventi per il rafforzamento delle capacità digitali delle PMI, inclusa l’adozione di strumenti di IA.  Ancora, gli European Digital Innovation Hubs, presenti in tutte le Regioni italiane, offrono servizi di test-before-invest, mentoring tecnico e orientamento ai finanziamenti per le imprese che vogliono adottare soluzioni di IA.

A livello nazionale, il Piano Nazionale di Ripresa e Resilienza (PNRR) include investimenti specifici nella transizione digitale delle imprese, con misure che premiano l’adozione di tecnologie innovative conformi agli standard europei. Il Fondo per la Crescita Sostenibile (FCS) del Ministero delle Imprese e del Made in Italy (MIMIT) ha attivato bandi specifici per l’IA; mentre le agevolazioni di credito d’imposta previste dalla “normativa 4.0” per investimenti in beni immateriali coprono anche le piattaforme di IA certificate.

Le organizzazioni che documentano la propria conformità all’AI Act sono spesso maggiormente avvantaggiate nell’accesso a questi strumenti, perché la compliance è frequentemente un criterio di eleggibilità o un elemento di valutazione nei bandi. Inoltre, la documentazione tecnica prodotta per l’adeguamento coincide in larga misura con quella richiesta nelle domande di finanziamento.

Ottimizzazione dei processi interni e riduzione dei rischi legali

Il percorso di compliance all’AI Act spinge le organizzazioni a mappare, documentare e analizzare in modo critico i processi in cui viene utilizzata l’IA. Questo lavoro fa emergere inefficienze, ridondanze e vulnerabilità che spesso non erano state identificate in precedenza.

La valutazione d’impatto sui diritti fondamentali, in particolare, impone di ragionare in modo sistematico sulle conseguenze dei sistemi di IA per le persone. Questa analisi, se condotta con rigore, porta spesso a: miglioramenti nei processi decisionali; riduzione dei bias algoritmici (con minore rischio di reclami e contenziosi); aumento della qualità complessiva dei dati utilizzati dall’organizzazione.

Inoltre, sul piano della riduzione del rischio legale, i vantaggi sono molteplici: la documentazione tecnica prevista dall’AI Act costituisce un presidio utile in caso di contenzioso. In pratica, poter dimostrare di aver adottato misure adeguate, in termini di sicurezza e di affidabilità del sistema, incide sulla valutazione della responsabilità. Infine, l’integrazione tra AI Act e GDPR riduce il rischio di contestazioni simultanee su due fronti normativi, semplificando la gestione di ispezioni e richieste delle autorità.

Strumenti pratici per avviare il percorso di adeguamento

Le organizzazioni, quando avviano il percorso di compliance all’AI Act, devono adottare una approccio strutturato, definendo fasi e responsabilità chiare, per ottenere risultati in tempi ragionevoli anche con team limitati. Ma vediamo di seguito alcuni aspetti di tale approccio.

Check list per la valutazione dell’impatto sui diritti fondamentali

La Fundamental Rights Impact Assessment (FRIA) è richiesta dall’articolo 27 dell’AI Act per i deployer di sistemi di IA ad alto rischio utilizzati in determinati contesti (servizi pubblici, credito, istruzione, occupazione). Inoltre, anche per i sistemi che non rientrano in quest’obbligo specifico, condurre una valutazione d’impatto è una buona pratica che rafforza la governance interna e la difendibilità delle scelte aziendali.

Di seguito una check list operativa per l’avvio della FRIA:

  • Fase 1 — Identificazione del sistema e del contesto – Si tratta di descrivere il sistema di IA valutato (fornitore, versione, funzionalità principali e modalità d’uso). Occorre inoltre identificare le categorie di persone interessate (dipendenti, clienti, candidati, soggetti vulnerabili), definire il processo decisionale in cui il sistema è inserito e chiarire il grado di autonomia rispetto alla supervisione umana.
  • Fase 2 — Analisi dei diritti fondamentali potenzialmente interessati – È necessario valutare il possibile impatto su: non discriminazione e parità di trattamento; privacy e protezione dei dati personali; libertà di espressione e accesso all’informazione; accesso a servizi essenziali (salute, istruzione, lavoro, alloggio); diritti procedurali (ricorso, contraddittorio, motivazione delle decisioni).
  • Fase 3 — Valutazione dei rischi specifici – Per ciascun diritto potenzialmente impattato, occorre stimare probabilità e gravità del danno, considerare scenari di malfunzionamento/uso distorto o attacchi informatici ed esaminare i dati storici di performance del sistema, inclusi eventuali bias.
  • Fase 4 — Misure di mitigazione – È necessario identificare e documentare le misure tecniche e organizzative adottate per ridurre i rischi (ad esempio controlli di qualità sui dati, meccanismi di override umano, procedure di reclamo, audit periodici) e valutare i rischi residui dopo l’implementazione.
  • Fase 5 — Governance e revisione – Occorre designare il responsabile interno della valutazione, stabilire la periodicità di revisione (almeno annuale e comunque in caso di modifiche significative) e conservare la documentazione per il periodo previsto dal Regolamento.

Come scegliere fornitori AI compliant ai sensi dell’AI Office europeo

La scelta dei fornitori di sistemi di IA è una delle decisioni più critiche per le organizzazioni che intendono adeguarsi all’AI Act. Il Regolamento definisce una ripartizione chiara delle responsabilità tra fornitori e deployer, ma la conformità dell’uno non elimina la responsabilità dell’altro: un’impresa che utilizza un sistema non conforme può essere sanzionata anche se la tecnologia è stata acquistata da un terzo.

Pertanto, si consiglia di:

  • Verificare la classificazione dichiarata dal fornitore – Il fornitore deve dichiarare il livello di rischio del sistema e fornire la documentazione tecnica corrispondente. Per i sistemi ad alto rischio, deve essere disponibile la dichiarazione di conformità UE e, ove applicabile, il numero di certificazione rilasciato dall’organismo notificato. Diffidare dei fornitori che non forniscono documentazione chiara sulla classificazione del proprio prodotto.
  • Richiedere la documentazione tecnica -Per i sistemi ad alto rischio, il fornitore deve mettere a disposizione del deployer la documentazione tecnica prevista dall’articolo 11 e dall’Allegato IV del Regolamento. Tale documentazione deve includere la descrizione dettagliata del sistema, le sue prestazioni attese, le limitazioni note e le istruzioni per un uso corretto e sicuro.
  • Verificare la registrazione nella banca dati UE – I sistemi ad alto rischio devono essere registrati nel database europeo gestito dall’AI Office della Commissione europea. Verificare che il sistema che si intende adottare sia correttamente registrato è un controllo semplice ma essenziale.
  • Includere clausole contrattuali specifiche -I contratti con i fornitori di sistemi di IA ad alto rischio devono includere: l’obbligo del fornitore di notificare tempestivamente eventuali modifiche significative al sistema; l’impegno del fornitore a mantenere la conformità normativa per tutta la durata del contratto; il diritto del deployer di accedere alla documentazione tecnica aggiornata; clausole di garanzia e responsabilità per i danni derivanti dalla non conformità del sistema; e l’obbligo del fornitore di supportare il deployer nella conduzione della FRIA, fornendo le informazioni necessarie.
  • Preferire fornitori con certificazioni riconosciute – Alcuni schemi di certificazione volontaria – i.e. quelli sviluppati nell’ambito del programma europeo AI Standardization Roadmap e dalla normativa ISO/IEC 42001 sulla gestione dei sistemi di IA – offrono una garanzia aggiuntiva sulla maturità dei processi di governance dell’IA del fornitore. La certificazione ISO 42001, in particolare, sta diventando un riferimento sempre più richiesto nelle gare pubbliche e nei contratti con le grandi organizzazioni.

La Commissione europea ha inoltre messo a disposizione l’EU AI Act Compliance Checker, uno strumento che aiuta le organizzazioni a capire quali regole dell’AI Act si applicano al proprio sistema di IA e quali obblighi ricadono su fornitori, deployer e altri operatori ai sensi del Regolamento (UE) 2024/1689.

Recap: roadmap operativa per la compliance all’EU AI Act

Questa roadmap in 10 passi è stata strutturata per costruire – in poche settimane – una prima baseline di governance sull’IA: inventario, priorità di rischio, controlli e prove documentali. È utile sia per i deployer sia per i fornitori che devono dimostrare avanzamenti concreti verso la conformità all’EU AI Act.

Formalizzare un piano di 90–180 giorni definendo priorità, budget, deliverable, standard tecnici, oltre ad includere le tempistiche dell’AI Act Omnibus, se confermate, per presentare un percorso credibile in fase di audit o verso clienti.

Mappare i sistemi di IA (ad esempio tool, API, componenti embedded e soluzioni “ombra”) e creare una scheda per ciascuno con owner, finalità e dipendenze.

Definire i casi d’uso e il perimetro, ovvero, dove entra l’IA nel processo, chi riceve l’output e quali decisioni influenza.

Attribuire il livello di rischio (minimo/limitato/alto/vietato) e redigere una nota di motivazione con riferimenti a Allegato III e contesto operativo.

Chiarire il ruolo dell’organizzazione (ossia fornitore o deployer) e nominare un referente AI Act con percorso di escalation e responsabilità di reporting.

Progettare la supervisione umana, ovvero: punti di controllo, possibilità di override, criteri di revisione e tracciabilità delle decisioni rilevanti.

Impostare osservabilità e metriche (log, audit trail, accuratezza, errori, drift, bias) e definire una cadenza di monitoraggio con ruoli e soglie di alert.

Avviare una FRIA “pilota” su 1–2 casi ad alto impatto (se applicabile), producendo template, evidenze e una prima lista di rischi/mitigazioni.

Mettere sotto controllo i fornitori, richiedendo documentazione tecnica, dichiarazioni/attestazioni UE quando dovute, registrazione nel database UE (per alto rischio) e impegni contrattuali su aggiornamenti e supporto.

Integrare l’AI Act nelle procedure interne di procurement, change management, gestione dati e incident handling, inserendo un “AI gate” prima di introduzioni o modifiche.

Originariamente pubblicato il 31 mag 2026
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

L
Federica Maria Rita Livelli
Business Continuity & Risk Management Consultant, CLUSIT Direttivo, BCI SIG Cyber Resilience Committee, FERMA Digital Committee Member

Consulente in Risk Management & Business Continuity, docente presso varie istituzioni e università italiane e straniere, autrice di numerosi articoli e white paper su diverse riviste italiane e straniere.Relatrice e moderatrice

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • AI gestione servizi IT; sistemi legacy gen AI agentic AI; AI investigazioni benchmark AI; AI antiriciclaggio;genAI legal tech; ai in azienda; ai codice appalti

  • approfondimento

    Digital divide cognitivo: la nuova disuguaglianza dell'AI

    27 Nov 2025

    di Fabrizio Degni

    Condividi
  • Abuso tecnologico nelle relazioni

  • violenza 2.0

    Controllo digitale nelle relazioni tossiche: come reagire agli abusi

    31 Lug 2025

    di Barbara Calderini

    Condividi
  • chatbot meta sesso robot umanoidi in casa

  • la ricerca

    Come progettare comportamenti trasparenti nei robot sociali

    01 Ago 2025

    di Georgios Angelopoulos, Alessandra Rossi e Silvia Rossi

    Condividi
0
Lascia un commento, la tua opinione conta.x