L’AI Act impone alle aziende di classificare i sistemi di intelligenza artificiale in base al rischio e di trattare i sistemi ad alto rischio come processi governati, documentati e verificabili. Nel 2026 serve costruire la mappa dei sistemi AI già in uso, capire quali ricadono nell’Annex III e decidere chi risponde dei controlli.
Con i regolamenti arrivano i limiti e le possibili sanzioni, e quindi bisogna farsi una domanda: se domani un auditor chiedesse quali sistemi AI usate per selezione del personale, credito, istruzione, sicurezza o gestione di servizi essenziali, sapreste rispondere in un’ora? Se la risposta è no, allora non sei compliant nemmeno con il primo passo. Il primo documento che devi avere non è una policy elegante, ma un inventario brutale e aggiornato.
La Commissione europea ha pubblicato una timeline ufficiale dell’AI Act e ha aperto il lavoro sulle linee guida per i sistemi high-risk. Dopo l’accordo politico sull’AI Omnibus, la Commissione indica nuove finestre: sistemi high-risk dell’Annex III dal 2 dicembre 2027 e sistemi integrati in prodotti regolati dal 2 agosto 2028. Il 2026 resta l’anno dell’ordine interno, perché i sistemi già comprati oggi saranno quelli da spiegare domani.
Vuoi portare l’AI dentro la tua azienda?
Scopri i nostri percorsi di formazione per PMI.
La conformità AI comincia con una lista, non con un comitato.
Cheat sheet: la pagina da tenere sulla scrivania
| Domanda | Risposta pratica |
|---|---|
| Qual è la fonte primaria? | Regolamento (UE) 2024/1689, cioè AI Act |
| Quando è entrato in vigore? | 2 agosto 2024 |
| Cosa è già attivo? | Divieti su pratiche vietate e obbligo di AI literacy dal 2 febbraio 2025 |
| Cosa cambia per gli high-risk? | Obblighi pieni rinviati dopo l’accordo Omnibus: Annex III al 2 dicembre 2027, prodotti regolati al 2 agosto 2028 |
| Quali aree interessano di più le aziende? | HR, credito, istruzione, infrastrutture critiche, servizi pubblici, biometria, sicurezza |
| Chi deve muoversi per primo? | Chi compra o usa sistemi AI in processi che incidono su persone fisiche |
| Documento numero uno | Inventario dei sistemi AI con finalità, fornitore, dati trattati, utenti, output e decisioni influenzate |
| Documento numero due | Classificazione del rischio e motivazione |
| Documento numero tre | Piano di controllo umano, logging, incidenti, data governance e informativa |
| Errore da evitare | Delegare tutto al vendor e scoprire troppo tardi di essere deployer con obblighi propri |
Questa tabella serve come primo orientamento, poi va validata con il legale. L’AI Act distingue ruoli diversi: provider, deployer, importatori, distributori e altri operatori. Chi compra un sistema SaaS e lo usa nei propri processi resta spesso deployer, con obblighi propri. Il fornitore può promettere conformità del prodotto; l’azienda deve dimostrare conformità dell’uso concreto.
Passo 1: fai l’inventario senza aspettare il procurement
L’inventario deve includere anche gli strumenti già usati fuori dai contratti ufficiali: chatbot interni, funzioni AI dentro suite HR, moduli di scoring nel CRM, trascrizione automatica delle riunioni, strumenti di analisi CV, plugin per customer support, modelli usati dal team data. Gli agenti AI vanno trattati come sistemi con identità e permessi, come abbiamo già scritto parlando di agenti ad alto rischio.
Usa una tabella con questi campi:
| Campo | Cosa scrivere |
|---|---|
| Nome sistema | Nome commerciale o interno |
| Fornitore | Vendor, integratore, reparto interno |
| Finalità | Cosa fa davvero nel processo |
| Area | HR, credito, marketing, operations, sicurezza |
| Dati trattati | Personali, sensibili, aziendali, tecnici |
| Output | Score, raccomandazione, testo, allerta, ranking |
| Decisione influenzata | Assunzione, accesso, prezzo, priorità, intervento |
| Utenti | Chi lo usa e con quali permessi |
| Supervisione | Chi controlla e quando |
| Log | Dove restano input, output e decisioni |
| Contratto | DPA, SLA, sub-responsabili, data retention |
| Classe di rischio | Vietato, high-risk, trasparenza, rischio limitato, rischio minimo |
L’inventario deve essere aggiornato ogni volta che entra un nuovo tool o cambia una finalità. Se il team HR usa un modulo AI nato per riassumere CV e poi lo usa per assegnare punteggi, il rischio cambia. Se il customer support passa da suggerire risposte a bloccare richieste di rimborso, cambia di nuovo.
Il rischio non sta nel modello, sta nell’uso che ne fai.
Passo 2: classifica con l’Annex III davanti
L’Annex III dell’AI Act include, tra gli altri, sistemi usati per istruzione, occupazione, accesso a lavoro autonomo, gestione dei lavoratori, accesso a servizi essenziali, valutazione del credito, law enforcement, migrazione e giustizia. La parte HR è tra le più concrete: screening dei CV, ranking dei candidati, valutazione delle performance, assegnazione dei compiti e monitoraggio del lavoro possono diventare sistemi ad alto rischio.
La classificazione deve produrre una motivazione breve:
- il sistema produce o influenza un ranking di persone;
- il ranking incide sull’accesso a lavoro, credito, istruzione o servizio essenziale;
- il sistema usa dati personali o profili individuali;
- una persona può subire un effetto sfavorevole;
- il controllo umano è reale, tardivo o solo formale.
Se tre risposte sono positive, tratta il sistema come high-risk fino a prova contraria. È un criterio prudente, ma evita il problema peggiore: accorgersi dopo sei mesi che il tool “di produttività” era in realtà un sistema di decisione assistita.
Passo 3: separa provider e deployer
Il provider costruisce o mette sul mercato il sistema. Il deployer lo usa sotto la propria responsabilità. L’articolo 26 dell’AI Act definisce obblighi per chi usa sistemi high-risk: seguire le istruzioni d’uso, garantire supervisione umana, monitorare il funzionamento, conservare log quando sono sotto il proprio controllo, informare le persone nei casi previsti e intervenire quando emergono rischi. La distinzione serve a evitare la delega cieca al fornitore.
Ecco alcune domande da porre al vostro vendor o al Service Provider:
- quale articolo dell’AI Act ritiene applicabile al prodotto?
- il sistema è high-risk per il suo uso previsto?
- quali istruzioni d’uso fornisce?
- quali log produce e per quanto tempo?
- quali dati usa per funzionare?
- quali misure di supervisione umana sono previste?
- quali sub-responsabili trattano dati?
- cosa succede in caso di incidente grave?
La risposta “siamo AI Act compliant” non basta. Serve una matrice che colleghi obbligo, controllo, prova e responsabile. Senza prove, la conformità resta una frase commerciale dentro una proposta.
Passo 4: integra AI Act, GDPR e legge italiana
La conformità AI convive con privacy e protezione dei dati. Quando il sistema tratta dati personali, resta il GDPR. Quando il trattamento presenta rischio elevato per diritti e libertà, serve una DPIA ai sensi dell’articolo 35. Quando la decisione è automatizzata e produce effetti rilevanti, entra in gioco l’articolo 22. Le linee guida EDPB su decisioni automatizzate e profilazione restano una base utile.
In Italia si aggiunge la Legge 23 settembre 2025, n. 132, che introduce principi nazionali e si coordina con l’AI Act, che innesca una problematica di doppia compliance specifica del nostro paese.
Qui la regola pratica è semplice: se il sistema riguarda persone, fai una scheda unica che unisca AI Act, GDPR e policy interna. Tre documenti separati, scritti da tre consulenti diversi, producono conformità di carta e confusione reale.
Il fascicolo migliore è quello che unisce legale, dati e processo.
Passo 5: costruisci il fascicolo di controllo
Ogni sistema high-risk dovrebbe avere una cartella con documenti minimi. Gli standard armonizzati aiuteranno, ma molte prove sono già gestibili adesso.
| Documento | Contenuto minimo | Proprietario |
|---|---|---|
| Scheda sistema | Nome, finalità, utenti, dati, output | Business owner |
| Classificazione rischio | Motivo della classe scelta | Compliance |
| DPIA / FRIA | Impatto privacy e diritti fondamentali | DPO / Legal |
| Istruzioni d’uso | Come il sistema va usato e cosa è vietato | Provider + owner |
| Registro log | Dove restano input, output, override e incidenti | IT |
| Human oversight | Chi controlla, quando, con quale potere | Responsabile processo |
| Test e validazione | Campioni, metriche, errori, bias, regressioni | Data / QA |
| Piano incidenti | Soglie, escalation, notifica, blocco sistema | Risk / Security |
| Formazione | Chi è formato e su quali limiti | HR / Compliance |
| Contratto vendor | DPA, SLA, subprocessor, audit, uscita | Procurement |
La cartella deve essere viva. Ogni nuova versione del modello, del prompt o del workflow deve aggiornare almeno scheda sistema, test e log. Se il vendor cambia modello senza avvisare, devi saperlo. Se il team modifica il prompt per “migliorare lo score”, devi poter ricostruire quando è successo.
Passo 6: prepara il controllo umano in modo serio
Il controllo umano richiede tempo, competenze, informazioni e potere di blocco.
Una persona messa alla fine del processo a cliccare “approva” non basta.
Se vede solo lo score e non la motivazione, il controllo è debole. Se viene misurata sulla velocità con cui conferma l’AI, il controllo è finto.
Per renderlo difendibile, servono quattro regole:
- ogni output AI deve avere una motivazione leggibile;
- ogni decisione sfavorevole deve essere riesaminabile;
- l’operatore umano deve poter ignorare il suggerimento;
- gli override devono essere registrati e analizzati.
Il caso Foodinho del Garante privacy resta istruttivo anche fuori dal food delivery: algoritmi opachi, ranking reputazionali e gestione del lavoro possono generare discriminazioni. Nel contesto AI Act, quella lezione diventa ancora più chiara. Il problema non è solo usare un algoritmo; il problema è usarlo senza poter spiegare come incide sulla vita delle persone.
Vuoi portare l’AI dentro la tua azienda?
Scopri i nostri percorsi di formazione per PMI.
La roadmap 2026 in cinque tappe
Nel 2026 conviene lavorare per fasi. Il rinvio delle scadenze high-risk dà tempo, ma la documentazione va costruita comunque. Tom’s Hardware ha già seguito il caos delle scadenze nel pezzo sull’AI Act rinviato al 2027 e nel successivo aggiornamento sulle nuove scadenze 2027 e 2028. Il vantaggio del rinvio è comprare tempo di metodo.
| Periodo | Cosa fare | Output |
|---|---|---|
| Giugno-luglio 2026 | Inventario strumenti AI, shadow AI incluso | Registro sistemi AI |
| Agosto-settembre 2026 | Classificazione rischio e mappa provider/deployer | Schede rischio |
| Ottobre 2026 | DPIA/FRIA per i casi più critici | Valutazioni d’impatto |
| Novembre 2026 | Contratti vendor, log, incidenti, supervisione | Fascicolo controlli |
| Dicembre 2026 | Audit interno e piano 2027 | Roadmap budget e remediation |
Parti dai processi che toccano persone fisiche: HR, credito, welfare, istruzione, sicurezza, accesso a servizi. I sistemi generativi usati per produrre testi interni sono meno urgenti; i sistemi che ordinano, classificano o raccomandano persone sono la priorità vera.
Cosa fare lunedì mattina
Lunedì crea un foglio condiviso chiamato Registro sistemi AI. Inserisci almeno dieci righe, anche se incomplete. Chiedi a HR, IT, marketing, finance e customer care quali strumenti usano già. Evita la domanda “usate AI?”, perché molti risponderanno di no. Chiedi invece: “usate funzioni di scoring, ranking, suggerimento, riassunto, classificazione o generazione automatica?”. Il risultato deve essere una mappa iniziale imperfetta.
Poi scegli tre sistemi e compila la scheda rischio. Se uno riguarda persone, dati personali o decisioni rilevanti, mettilo in revisione. Se non sai classificare, scrivi “incerto” e assegna un responsabile. La parola “incerto” in un registro è molto meglio del silenzio: mostra che il rischio è stato visto.
La conformità AI Act nasce quando procurement, legal, DPO, IT e responsabili di processo usano la stessa tabella e lo stesso linguaggio. Solo dopo ha senso valutare piattaforme di AI governance, cataloghi modello e strumenti di monitoraggio.
La regola pratica è questa: se un sistema AI influenza opportunità, accesso, punteggi o priorità di una persona, trattalo come high-risk finché qualcuno non documenta il contrario.
Accedi ai contenuti BUSINESS esclusivi sull’AI
Il nuovo magazine premium di Tom’s Hardware dedicato all’intelligenza artificiale.
Ogni giorno guide pratiche, analisi e strumenti per aiutarti a usare davvero l’AI
nel lavoro e nella vita di tutti i giorni. Iscriviti per continuare a leggere: è gratis.
Continua con LinkedIn
Oppure
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Valerio Porcu
Source link
