L’AI Act è il Regolamento europeo che definisce regole armonizzate per l’uso dell’intelligenza artificiale nel mercato UE. Il suo punto forte è semplice da capire (ma non da implementare): più rischio per persone e diritti, più obblighi per chi sviluppa o usa l’IA. 

Questa guida ti aiuta a:

• capire in quale “classe di rischio” cade il tuo caso d’uso;
• sapere quali obblighi scattano (e per chi: provider, deployer, importatore, distributore);
• pianificare le scadenze;
• evitare errori tipici che portano a non conformità.

Come funziona l’approccio “a livelli di rischio”

L’AI Act organizza i sistemi di IA in 4 livelli. 

1) Rischio inaccettabile: cosa viene vietato

Qui rientrano pratiche considerate una minaccia chiara per sicurezza e diritti. Esempi ricorrenti nelle sintesi istituzionali:

• punteggio sociale;
• scraping non mirato di immagini facciali per database di riconoscimento;
• riconoscimento delle emozioni in luoghi di lavoro e scuole (con eccezioni mirate);
• sfruttamento delle vulnerabilità (età, disabilità) e tecniche di manipolazione/inganno dannosi. 

Implicazione pratica: se il tuo progetto cade qui, non è “da aggiustare”: è da ripensare.

2) Alto rischio: l’area dove cade gran parte della compliance “vera”

I sistemi ad alto rischio sono quelli che possono incidere su salute, sicurezza e diritti fondamentali, o che rientrano in specifiche categorie/usi regolati. 

Prima di immetterli sul mercato o metterli in servizio, l’AI Act prevede obblighi robusti, tra cui:

• gestione e mitigazione dei rischi;
• qualità dei dati e governance per ridurre esiti discriminatori;
• registrazione/log per tracciabilità;
• documentazione tecnica e informazioni chiare per chi lo utilizza;
• supervisione umana;
• robustezza, accuratezza e cybersecurity. 

Implicazione pratica: l’IA “alto rischio” non è un plugin da installare: è un sistema da governare con processi, ruoli, evidenze e controlli.

3) Rischio “trasparenza”: quando devi dichiarare che c’è l’IA

Alcuni sistemi non sono “alto rischio”, ma richiedono obblighi specifici di trasparenza: ad esempio, l’utente deve sapere quando interagisce con un sistema automatico (come un chatbot). 

Nel perimetro trasparenza rientrano anche regole legate alla riconoscibilità dei contenuti generati e all’etichettatura di casi come i deepfake in determinati contesti. 

4) Rischio minimo o nullo: la maggioranza dei casi d’uso

Molti sistemi restano a rischio basso e non attivano obblighi pesanti (pur restando valide altre norme: privacy, sicurezza, consumer protection, ecc.).

Le scadenze AI Act da mettere in calendario (2025–2027)

La timeline è progressiva e non inizia “tutta insieme”. La regola d’oro: pianifica per ondate. 

• 2 febbraio 2025: applicazione di Capitolo I e II (incluso il pacchetto legato alle pratiche vietate). 
• 2 agosto 2025: applicazione di varie parti (tra cui governance e regime sanzionatorio, con eccezioni specifiche). 
• 2 agosto 2026: applicazione generale del Regolamento. 
• 2 agosto 2027: scattano anche specifiche obbligazioni collegate ad alcune classificazioni (art. 6(1) e obblighi corrispondenti). 

Sul piano divulgativo, alcune sintesi istituzionali evidenziano tappe intermedie (es. codici di condotta e progressione per modelli di uso generale) utili per costruire una roadmap interna. 

Sanzioni: cosa rischia davvero un’azienda

L’AI Act prevede massimali importanti, con logica simile ai grandi regolamenti UE (e con attenzione alla proporzionalità per PMI). 

In particolare:

• Violare i divieti sulle pratiche di IA vietate può portare a fino a 35.000.000€ o 7% del fatturato annuo mondiale (se superiore). 
• Violare obblighi rilevanti (provider/deployer/importatori/distributori, organismi notificati, obblighi trasparenza) può portare a fino a 15.000.000€ o 3% del fatturato annuo mondiale (se superiore). 
• Fornire informazioni inesatte/incomplete/fuorvianti alle autorità può portare a fino a 7.500.000€ o 1% del fatturato annuo mondiale (se superiore). 
• Per PMI e startup, il criterio può applicarsi scegliendo il valore più basso tra percentuale e importo. 

Checklist operativa: cosa fare (in ordine) per essere pronti

Qui è dove molti contenuti in SERP si fermano alla teoria. Se vuoi lavorare in modo “auditabile”, parti così:

1) Inventario dei casi d’uso IA (senza saltare l’ombra)

• Dove usi IA oggi? (marketing, HR, CRM, customer care, scoring, sicurezza, produzione, ecc.)
• È IA sviluppata internamente o acquistata (tool esterno / API)?

2) Classificazione per livello di rischio

• C’è rischio che ricada in pratiche vietate? (stop e redesign) 
• Se è “alto rischio”, quali requisiti devi dimostrare? (processi + evidenze) 

3) Ruoli e responsabilità (chi fa cosa)

Molto spesso il fallimento non è tecnico: è organizzativo. Definisci:

• Owner di prodotto IA
• Owner legale/compliance
• Sicurezza (cyber)
• Data governance
• Referente per vendor e procurement

4) Evidenze minime da preparare (alto rischio)

Allinea i deliverable ai requisiti: risk management, qualità dati, logging, documentazione, supervisione umana, robustezza/cybersecurity. 

5) Trasparenza “verso l’esterno”

Se usi chatbot o sistemi che interagiscono con persone, verifica obblighi di disclosure e gestione dei contenuti generati/identificabilità in casi previsti. 

Strumenti utili per orientarsi (senza impazzire sul PDF)

Per trasformare il Regolamento in attività operative, è utile consultare strumenti “navigabili” (Explorer, timeline, checker) che aiutano a collegare articoli, allegati e obblighi.

Come può aiutarti CambiaVerso

Se vuoi tradurre l’AI Act in scelte operative (priorità, roadmap, governance, policy interne e adeguamenti), puoi partire dai nostri servizi dedicati a innovazione e IA: Innovazione e Intelligenza Artificiale

FAQ