EU AI Act 2026: cos'è, cosa prevede e come le aziende italiane possono adeguarsi

L'EU AI Act, Regolamento (UE) 2024/1689, è la prima legge al mondo che regola in modo organico l'uso dell'intelligenza artificiale. Approvato dal Parlamento Europeo nel marzo 2024 ed entrato in vigore nell'agosto dello stesso anno, stabilisce obblighi precisi per chi sviluppa, integra o utilizza sistemi AI in Europa. L'approccio è basato sul livello di rischio: più un sistema AI può incidere su diritti fondamentali, salute e sicurezza, più stringenti sono i requisiti di conformità.

In questo approfondimento vediamo non solo cosa prevede il regolamento, ma soprattutto cosa devono fare concretamente le aziende italiane che già oggi usano l'intelligenza artificiale nei propri processi, e come prepararsi in anticipo, prima che le scadenze più impattanti diventino operative.

Che cos'è l'EU AI Act e perché riguarda molte aziende italiane

L'EU AI Act non è un documento pensato solo per i grandi provider tecnologici come Google, Microsoft o OpenAI. Riguarda qualsiasi organizzazione che, all'interno dell'Unione Europea, sviluppa, distribuisce, integra o utilizza sistemi di intelligenza artificiale nei propri prodotti o processi.

Questo significa che un'azienda manifatturiera che usa un software predittivo per la manutenzione degli impianti, una società di servizi che ha integrato un AI chatbot nel proprio CRM, o uno studio professionale che si affida a strumenti di scoring automatico, possono essere tutti soggetti agli obblighi del regolamento in misura diversa, a seconda del livello di rischio dei sistemi impiegati.

Un regolamento basato sul rischio: la logica di fondo

L'AI Act classifica i sistemi di intelligenza artificiale in quattro categorie:

• Rischio inaccettabile (vietato): sistemi che manipolano comportamenti in modo subliminale, sistemi di social scoring da parte di enti pubblici, riconoscimento facciale biometrico in tempo reale in spazi pubblici (con eccezioni limitate per forze dell'ordine).
• Alto rischio: sistemi usati in ambiti critici come infrastrutture, istruzione, occupazione (es. screening CV), erogazione di servizi essenziali, giustizia. Per questi valgono obblighi di valutazione del rischio, documentazione tecnica, supervisione umana e registrazione in un database europeo.
• Rischio limitato: sistemi come chatbot, dove è sufficiente garantire la trasparenza all'utente (es. indicare che si sta interagendo con una macchina).
• Rischio minimo: per la grande maggioranza delle applicazioni AI, come filtri antispam o sistemi di raccomandazioni di contenuto non vi è alcun obbligo specifico, ma è incoraggiata l'adesione volontaria a codici di condotta.

I sistemi di AI generativa (come i Large Language Model) rientrano in una categoria specifica che prevede requisiti di trasparenza, etichettatura dei contenuti sintetici e, per i modelli di impatto sistemico, obblighi più estesi di gestione del rischio.

Quali sistemi AI sono vietati o ad alto rischio?

Tra i sistemi vietati dall'agosto 2025 figurano tecniche di manipolazione subliminale, profilazione basata su caratteristiche sensibili, sistemi di categorizzazione biometrica per inferire etnia, opinioni politiche o orientamento sessuale.

Tra i sistemi ad alto rischio più rilevanti per le PMI e le aziende troviamo software di selezione e valutazione del personale (ATS con ranking automatico), sistemi di scoring del credito, strumenti per l'accesso a servizi pubblici, AI per la gestione di infrastrutture critiche (energia, logistica, sanità). Se un’azienda usa o integra uno di questi sistemi, anche come semplice cliente di un software commerciale, è bene capire quali obblighi ricadono su di essa in qualità di "utilizzatore", o deployer nella terminologia del regolamento.

Quando entra in vigore l'AI Act: timeline e scadenze principali

L'AI Act è entrato formalmente in vigore il 1° agosto 2024, ma i suoi obblighi si applicano in modo progressivo:

• Febbraio 2025: divieto delle pratiche AI considerate a rischio inaccettabile (già operativo).
• Agosto 2025: applicazione degli obblighi per i modelli di AI per uso generale (GPAI), inclusi i grandi modelli linguistici.
• Agosto 2026: piena applicazione degli obblighi per i sistemi ad alto rischio elencati nell'Allegato III (tra cui quelli in ambito HR, infrastrutture critiche, sicurezza).
• Agosto 2027: applicazione agli sistemi ad alto rischio già esistenti regolati da normative di prodotto preesistenti (es. dispositivi medici, veicoli).

Chi deve rispettare l'EU AI Act? Fornitori, integratori e utilizzatori

Il regolamento distingue tra diversi ruoli nella filiera dell'AI:

• Provider (fornitori): chi sviluppa o mette a disposizione sul mercato un sistema AI. In questa categoria sono presenti gli obblighi maggiori, come valutazione della conformità, documentazione tecnica, registrazione, marcatura CE per i sistemi ad alto rischio.
• Deployer (utilizzatori): chi usa un sistema AI in un contesto professionale o per fornire servizi a terzi. Deve garantire la supervisione umana, informare le persone interessate dall'uso di AI ad alto rischio, e gestire correttamente i log del sistema.
• Importatori e distributori: obblighi più limitati, ma comunque presenti in termini di verifica della conformità dei sistemi che commercializzano.

La distinzione è importante: anche se un’azienda non sviluppa software AI ma usa prodotti di terzi, potrebbe avere obblighi in qualità di deployer, specialmente se il sistema AI impatta su dipendenti, clienti o decisioni che riguardano persone fisiche.

Le PMI e le aziende italiane sono coinvolte?

Sì, ma il regolamento prevede alcune semplificazioni per le PMI e le microimprese, in particolare in materia di documentazione tecnica e obblighi di registrazione. Tuttavia, la riduzione degli oneri è selettiva e non esonera le aziende più piccole dall'obbligo di verificare la categoria di rischio dei sistemi in uso.

Esempio: una PMI manifatturiera che ha integrato un sistema AI per la gestione degli ordini, o una società di servizi che usa un tool di data analytics supportato da AI, deve comunque saper rispondere alla domanda: "Questo sistema rientra nella categoria ad alto rischio?"

AI Act in pratica: capire se i tuoi sistemi rientrano negli obblighi

L'errore più comune che le aziende fanno oggi è assumere che l'AI Act riguardi solo chi "fa AI". In realtà, chiunque usi strumenti digitali che incorporano funzionalità di automazione decisionale o di analisi predittiva dovrebbe verificare la propria esposizione agli obblighi del regolamento.

In quali reparti l'AI è già presente (anche senza che tu lo sappia)?

L'intelligenza artificiale è spesso incorporata in strumenti già in uso, senza che venga percepita come tale:

• HR e selezione del personale: software ATS con ranking automatico dei candidati, sistemi di analisi delle performance.
• Vendite e marketing: CRM con scoring predittivo dei lead, motori di raccomandazione per offerte personalizzate.
• Operations e supply chain: sistemi di previsione della domanda, manutenzione predittiva degli impianti.
• Finance e risk management: strumenti di scoring del credito interno, rilevamento automatico delle anomalie contabili.
• IT e sicurezza: soluzioni di rilevamento delle minacce basate su machine learning (SIEM, EDR, MDR - Managed Detection and Response).

Molti di questi sistemi rientrano nella categoria a rischio limitato o minimo, ma alcuni, in particolare quelli che impattano su selezione, valutazione o accesso a servizi, possono configurarsi come ad alto rischio.

Classificare il rischio dei tuoi casi d'uso: uno schema operativo

Un approccio pratico per orientarsi:

• Identifica tutti i sistemi AI in uso (inclusi quelli integrati in software commerciali o SaaS).
• Verifica il dominio di applicazione: se il sistema opera in ambiti come HR, credito, infrastrutture, istruzione o sanità, approfondisci la classificazione.
• Valuta l'impatto su persone fisiche: un sistema che prende o supporta decisioni che riguardano dipendenti o clienti ha un profilo di rischio più elevato.
• Controlla il contratto con il fornitore: chi si assume la responsabilità di conformità? Il fornitore ha fornito documentazione tecnica adeguata?

Questo processo di classificazione non è un esercizio teorico, ma il punto di partenza obbligato per qualsiasi piano di adeguamento.

Dalla conformità alla governance: cosa devono fare le aziende oggi

Adeguarsi all'AI Act non significa solo "compilare dei moduli". Richiede un cambiamento strutturale nel modo in cui le organizzazioni gestiscono i propri sistemi AI in termini di processi, documentazione, controlli tecnici e cultura interna.

Inventario dei sistemi AI: il punto di partenza obbligato

Prima di valutare la conformità, occorre sapere cosa si sta usando. Molte aziende che hanno adottato soluzioni digitali negli ultimi anni si trovano in una situazione di "shadow AI": sistemi introdotti da singoli reparti, funzionalità AI abilitate per default nei software in uso, integrazioni API con modelli linguistici, senza una visione centralizzata.

Un inventario strutturato che mappi sistemi, fornitori, casi d'uso, tipologia di dati trattati e impatto potenziale è il prerequisito di qualsiasi percorso di governance AI. Senza questa fotografia, non è possibile né rispettare gli obblighi del regolamento né gestire i rischi in modo consapevole.

Gestione del rischio, documentazione e supervisione umana

Per i sistemi ad alto rischio, l'AI Act richiede:

• Un sistema di gestione del rischio documentato e aggiornato nel tempo.
• Documentazione tecnica che descriva il sistema, le sue funzionalità, i dati di addestramento e le misure di sicurezza adottate.
• Log automatici delle operazioni del sistema, per garantire tracciabilità e auditabilità.
• Misure di supervisione umana che permettano a operatori qualificati di monitorare, intervenire e, se necessario, disattivare il sistema.
• Informativa trasparente nei confronti delle persone interessate dall'uso del sistema.

Questi requisiti non sono solo formali, ma impattano su come i sistemi devono essere configurati, monitorati e mantenuti nel tempo.

Sicurezza e continuità: integrare cybersecurity e AI governance

Un aspetto spesso sottovalutato è l'interconnessione tra AI governance e sicurezza informatica. I sistemi AI ad alto rischio devono essere robusti rispetto a tentativi di manipolazione (adversarial attacks), resistenti ai guasti e protetti da accessi non autorizzati. Questo richiede l'integrazione tra il framework di conformità all'AI Act e le politiche di cybersecurity già in essere - in particolare per quanto riguarda controllo degli accessi (Identity Access Management - IAM), logging, vulnerability assessment e management e incident response.

Per le aziende che già dispongono di presidio attivo sulla sicurezza informatica (es. attraverso un Security Operations Center - SOC o soluzioni MDR), questo è un vantaggio competitivo: una parte significativa degli obblighi tecnici dell'AI Act si sovrappone a buone pratiche di sicurezza già implementabili o in corso.

AI Act e normativa italiana: il quadro combinato con GDPR e NIS2

L'AI Act non opera in isolamento. Le aziende italiane devono tenere conto di un quadro normativo che si sta densificando su più fronti:

• GDPR: molti sistemi AI trattano dati personali. Le valutazioni d'impatto (DPIA) già richieste dal GDPR si sovrappongono e si integrano con le valutazioni di conformità dell'AI Act. In alcuni casi, i sistemi ad alto rischio richiederanno entrambe.
• Direttiva NIS2 (Direttiva UE 2022/2555): per le organizzazioni rientranti nei settori essenziali e importanti, la NIS2 impone obblighi di sicurezza e segnalazione degli incidenti che riguardano anche i sistemi AI critici per la continuità operativa.
• Normativa nazionale in evoluzione: l'Italia sta recependo e adattando il quadro europeo. Si attendono indicazioni operative dall'Autorità nazionale competente sull'AI (in corso di designazione) e dall'Agenzia per la Cybersicurezza Nazionale (ACN), che già ha pubblicato linee guida sul tema.

Gestire questi tre filoni normativi in modo coordinato, anziché affrontarli separatamente, è l'approccio più efficiente per le organizzazioni che vogliono costruire una conformità sostenibile nel tempo.

Come un partner IT specializzato ti accompagna nell'adeguamento

Prepararsi all'AI Act richiede competenze che raramente si trovano concentrate all'interno di una singola organizzazione: servono infatti conoscenza del framework normativo, capacità di analisi tecnica dei sistemi IT, esperienza in cybersecurity, e una visione operativa delle infrastrutture aziendali.

Un partner IT specializzato può supportare questo percorso in modo strutturato:

• AI System Discovery & Inventory: mappatura completa dei sistemi AI in uso, dei fornitori coinvolti e dei dati trattati.
• Risk Assessment: classificazione dei sistemi secondo l'approccio basato sul rischio dell'AI Act, con identificazione delle aree di non conformità.
• Roadmap di adeguamento: definizione delle priorità d'intervento, con un piano realizzabile in base alle scadenze normative e alle risorse disponibili.
• Implementazione dei controlli tecnici: configurazione di log, monitoring, accessi e misure di robustezza richieste per i sistemi ad alto rischio.
• Integrazione con cybersecurity e normative: allineamento con i framework di sicurezza e protezione dei dati già in essere.

Se la tua organizzazione usa già strumenti AI o sta valutando di introdurli, è il momento giusto per avviare una valutazione. Meglio farlo con il tempo necessario per pianificare, invece che in risposta a una scadenza normativa imminente.

Per rispondere con efficacia ai nuovi requisiti in termini di AI e sicurezza, ACS offre un servizio di consulenza AI per la corretta adozione degli strumenti di intelligenza artificiale, e di Advisory per Governance, Risk & Compliance, per trasformare la complessità normativa in azioni concrete a supporto del business.

FAQ

1. Che cos'è l'EU AI Act e qual è il suo obiettivo principale?

L'EU AI Act (Regolamento UE 2024/1689) è il primo quadro normativo al mondo sull'intelligenza artificiale. Il suo obiettivo è garantire che i sistemi AI usati in Europa siano sicuri, trasparenti e rispettosi dei diritti fondamentali, attraverso un approccio graduato basato sul livello di rischio dei singoli sistemi. Le organizzazioni che sviluppano, integrano o utilizzano AI in contesti professionali nell'UE sono soggette ai suoi obblighi.

2. Quando entra in vigore l'AI Act e quali sono le scadenze per le imprese?

Il regolamento è in vigore dall'agosto 2024. I principali step: febbraio 2025 (divieto pratiche vietate), agosto 2025 (obblighi per modelli AI per uso generale), agosto 2026 (piena applicazione agli sistemi ad alto rischio elencati nell'Allegato III). Quest'ultima scadenza è la più rilevante per la maggior parte delle PMI e delle medie imprese italiane.

3. Quali sono esempi concreti di sistemi AI ad alto rischio secondo l'AI Act?

Rientrano nella categoria ad alto rischio: software di selezione e valutazione automatica del personale (ATS con ranking), sistemi di scoring del credito, strumenti AI per la gestione di infrastrutture critiche (energia, logistica, acqua), AI per l'accesso a servizi pubblici essenziali, sistemi di classificazione biometrica. Se la tua azienda usa o distribuisce uno di questi sistemi, è soggetta a obblighi specifici di documentazione, sorveglianza e registrazione.

4. Chi deve rispettare l'EU AI Act? Solo chi sviluppa AI?

No. Sono soggetti agli obblighi sia i provider (chi sviluppa e distribuisce sistemi AI) sia i deployer (chi li utilizza in contesti professionali). Un'azienda che acquista e usa un software con funzionalità AI, ad esempio per la gestione HR o il customer scoring, può avere obblighi propri in quanto utilizzatrice, indipendentemente da chi ha sviluppato il sistema.

5. Cosa prevede l'AI Act per l'intelligenza artificiale generativa?

I sistemi di AI per uso generale (GPAI), come i Large Language Model, sono soggetti a requisiti di trasparenza e alla pubblicazione di sintesi sui dati di addestramento. Per i modelli con impatto sistemico (potenza computazionale superiore a 10^25 FLOPs) sono previsti obblighi aggiuntivi di gestione del rischio. Chi integra modelli GPAI nei propri prodotti deve assicurarsi che il fornitore abbia adempiuto agli obblighi normativi.

6. Come si applica l'approccio basato sul rischio dell'AI Act in un'azienda concreta?

Il primo passo è censire tutti i sistemi AI in uso, inclusi quelli integrati in software commerciali o SaaS, e verificare in quale categoria di rischio ricadono. I sistemi a rischio minimo e limitato richiedono poche o nessuna misura aggiuntiva. Per quelli ad alto rischio, occorre implementare un sistema di gestione del rischio, produrre documentazione tecnica, garantire supervisione umana e mantenere log delle operazioni. Un partner specializzato può supportare questa classificazione e definire la roadmap di adeguamento più efficiente.

7. Come si coordinano AI Act, GDPR e NIS2 per le aziende italiane?

I tre regolamenti si sovrappongono e si integrano. Il GDPR richiede DPIA per i trattamenti di dati a rischio elevato, spesso coincidenti con i sistemi AI ad alto rischio dell'AI Act. La NIS2 impone obblighi di sicurezza e resilienza per i settori essenziali, che riguardano anche i sistemi AI critici. L'approccio più efficiente è gestire i tre framework in modo coordinato, partendo da un inventario unico dei sistemi e dei dati trattati.