Knowledge Hub

AI Act: Guida Pratica per le Aziende Italiane

Tutto quello che devi sapere sul regolamento europeo sull'intelligenza artificiale: obblighi, scadenze, classificazione rischi e come prepararti.

Richiedi consulenza compliance Vedi le scadenze

Cos'è l'AI Act Europeo?

L'AI Act (Artificial Intelligence Act, Regolamento UE 2024/1689) è la prima legge al mondo che regola in modo organico l'intelligenza artificiale. Approvato dal Parlamento Europeo nel marzo 2024 ed entrato in vigore il 1 agosto 2024.

L'obiettivo è garantire che i sistemi AI usati in Europa siano sicuri, rispettino i diritti fondamentali e siano sviluppati in modo responsabile. Il regolamento si basa su un approccio basato sul rischio: più il sistema AI è rischioso, più stringenti sono gli obblighi.

Chi è coinvolto?

  • Provider: chi sviluppa o mette sul mercato sistemi AI
  • Deployer: chi usa sistemi AI nella propria attività
  • Importatori/Distributori: chi porta sistemi AI nel mercato EU

L'AI Act si applica a qualsiasi azienda che operi nel mercato europeo, indipendentemente dalla sede.

Quali Sono le Scadenze dell'AI Act per le Aziende?

Calendario di applicazione: agosto 2024 (entrata in vigore), febbraio 2025 (divieti attivi per sistemi a rischio inaccettabile), agosto 2025 (regole per AI generativa/GPAI come GPT, Claude, Gemini), agosto 2026 (piena applicazione per sistemi ad alto rischio: HR, credito, sanità), agosto 2027 (prodotti regolamentati settoriali).

1 Agosto 2024

Entrata in vigore

Il regolamento è in vigore. Inizia il periodo transitorio.

2 Febbraio 2025

Divieti attivi

Vietati i sistemi AI a rischio inaccettabile (social scoring, manipolazione, ecc.).

2 Agosto 2025

Regole GPAI

Obblighi per AI generativa e modelli general-purpose (GPT, Claude, ecc.).

2 Agosto 2026

Alto rischio

Piena applicazione per sistemi AI ad alto rischio (HR, credito, sanità, ecc.).

2 Agosto 2027

Prodotti regolamentati

Obblighi per AI in prodotti già soggetti a normative settoriali (dispositivi medici, auto, ecc.).

Quali Sono le 4 Categorie di Rischio dell'AI Act?

L'AI Act classifica i sistemi AI in 4 livelli: 1) Rischio inaccettabile (vietati dal 2 febbraio 2025): social scoring, manipolazione subliminale, riconoscimento biometrico in tempo reale in spazi pubblici. 2) Alto rischio (obblighi stringenti dal 2026): HR/recruiting, credito, sanità, infrastrutture critiche, law enforcement. 3) Rischio limitato: chatbot e deepfake (obbligo di trasparenza verso l'utente). 4) Rischio minimo (nessun obbligo): filtri spam, raccomandazioni prodotti, videogiochi.

Rischio Inaccettabile (VIETATI)

Sistemi AI che violano diritti fondamentali. Vietati dal 2 febbraio 2025.

  • Social scoring da parte di governi
  • Manipolazione comportamentale subliminale
  • Sfruttamento di vulnerabilità (età, disabilità)
  • Riconoscimento biometrico in tempo reale in spazi pubblici
  • Scraping massivo di volti per database
  • Riconoscimento emozioni sul lavoro e a scuola

Alto Rischio

Sistemi AI che impattano significativamente sulla vita delle persone. Obblighi stringenti.

Allegato III

  • Identificazione biometrica
  • Gestione infrastrutture critiche
  • Istruzione e formazione
  • Occupazione e HR (recruiting, valutazioni)
  • Accesso a servizi essenziali (credito, assicurazioni)
  • Law enforcement
  • Migrazione e asilo
  • Giustizia

Obblighi

  • Risk management system
  • Data governance
  • Documentazione tecnica
  • Registrazione log
  • Trasparenza
  • Supervisione umana
  • Accuratezza e robustezza
  • Cybersecurity

Rischio Limitato

Obblighi di trasparenza. L'utente deve sapere che sta interagendo con un'AI.

  • Chatbot e assistenti virtuali
  • Sistemi che generano deepfake
  • Sistemi di riconoscimento emozioni
  • Sistemi di categorizzazione biometrica

Obbligo: informare l'utente che sta interagendo con un'AI o che il contenuto è generato artificialmente.

Rischio Minimo

Nessun obbligo specifico. La maggior parte dei sistemi AI rientra qui.

  • Filtri spam
  • Raccomandazioni prodotti
  • Videogiochi
  • Correzione ortografica

Quali Regole Valgono per l'AI Generativa (GPAI) Come ChatGPT e Claude?

Da agosto 2025, tutti i modelli GPAI (GPT-4, Claude, Gemini, Llama) devono: pubblicare documentazione tecnica, fornire informazioni ai fornitori downstream, rispettare il copyright e pubblicare una sintesi dei dati di training. I modelli con capacità di calcolo superiori a 10^25 FLOP (rischio sistemico) hanno obblighi aggiuntivi: valutazione rischi, incident reporting, test adversarial (red teaming) e protezione cybersecurity.

I modelli di AI generativa (General Purpose AI) come GPT-4, Claude, Gemini, Llama hanno regole specifiche, in vigore da agosto 2025.

Obblighi per tutti i GPAI

  • Documentazione tecnica dettagliata
  • Informazioni per fornitori downstream
  • Rispetto della normativa copyright
  • Sintesi pubblica dei dati di training

GPAI con rischio sistemico

Modelli con capacità di calcolo >10^25 FLOP hanno obblighi aggiuntivi:

  • Valutazione e mitigazione rischi sistemici
  • Incident reporting
  • Test adversarial (red teaming)
  • Protezione cybersecurity

Cosa significa per le aziende?

Se usi ChatGPT, Claude o altri LLM per business, assicurati che il provider sia compliant. Se integri GPAI in prodotti/servizi, potresti avere obblighi come provider downstream.

Come Deve Prepararsi un'Azienda all'AI Act?

La preparazione all'AI Act segue 5 step: 1) Inventario AI — mappare tutti i sistemi AI in uso (software interno, servizi cloud, AI embedded). 2) Classificazione rischio — categorizzare ogni sistema secondo le 4 categorie AI Act. 3) Gap analysis — per i sistemi ad alto rischio, verificare documentazione tecnica, data governance, trasparenza, supervisione umana, log, cybersecurity. 4) Piano remediation — aggiornamenti tecnici, nuove procedure, formazione, revisione contratti fornitori. 5) Governance AI — framework con responsabilità chiare, processi di approvazione e monitoraggio continuo.

1

Inventario AI

Mappa tutti i sistemi AI in uso: software sviluppato internamente, servizi cloud, AI embedded in altri prodotti, automazioni con componenti AI.

2

Classificazione Rischio

Classifica ogni sistema secondo le categorie AI Act. Documenta i criteri usati. In caso di dubbio, consulta un esperto o applica il principio di precauzione.

3

Gap Analysis

Per i sistemi ad alto rischio, verifica la compliance rispetto ai requisiti: documentazione tecnica, data governance, trasparenza, supervisione umana, log, cybersecurity.

4

Piano Remediation

Definisci le azioni correttive: aggiornamenti tecnici, nuove procedure operative, formazione del personale, revisione contratti con fornitori AI.

5

Governance AI

Istituisci un framework di governance: responsabilità chiare, processi di approvazione per nuovi sistemi AI, monitoraggio continuo, incident management.

Quali Sono le Sanzioni dell'AI Act?

Le sanzioni AI Act hanno tre livelli, calcolati come il maggiore tra importo fisso e percentuale del fatturato mondiale annuo: fino a 35 milioni € o 7% per uso di sistemi vietati (rischio inaccettabile); fino a 15 milioni € o 3% per mancato rispetto degli obblighi per sistemi ad alto rischio; fino a 7,5 milioni € o 1,5% per dichiarazioni false alle autorità. Per le PMI le sanzioni sono calcolate in modo proporzionato.

35M€ / 7%

Violazioni gravi

Uso di sistemi vietati (rischio inaccettabile)

15M€ / 3%

Violazione obblighi

Mancato rispetto requisiti per sistemi ad alto rischio

7,5M€ / 1,5%

Informazioni false

Dichiarazioni errate alle autorità

Per le PMI le sanzioni sono calcolate in modo proporzionato. Gli importi indicati sono massimi: si applica il maggiore tra importo fisso e percentuale del fatturato mondiale.

Hai Bisogno di Supporto sulla Compliance AI?

Synaptica offre consulenza per l'adeguamento all'AI Act: assessment, classificazione, gap analysis, implementazione. Le nostre soluzioni AI sono già AI Act ready grazie al CRISP Framework, la nostra metodologia proprietaria per AI governance by design.

Richiedi consulenza compliance Scopri CRISP Framework

Domande Frequenti sull'AI Act

Cos'è l'AI Act?

L'AI Act (Artificial Intelligence Act) è il regolamento europeo sull'intelligenza artificiale, approvato nel 2024. È la prima legge al mondo che regola l'AI in modo organico. Stabilisce regole per sviluppatori e utilizzatori di sistemi AI, con obblighi proporzionali al livello di rischio del sistema.

Quando entra in vigore l'AI Act?

L'AI Act è entrato in vigore il 1 agosto 2024, ma l'applicazione è graduale: divieti sui sistemi a rischio inaccettabile da febbraio 2025, obblighi per AI ad alto rischio da agosto 2026, regole per AI generativa (GPAI) da agosto 2025. Le aziende hanno tempo per adeguarsi.

Quali sono le categorie di rischio dell'AI Act?

L'AI Act classifica i sistemi AI in 4 categorie: 1) Rischio inaccettabile (vietati): social scoring, manipolazione subliminale; 2) Alto rischio: HR, credito, sanità, sicurezza; 3) Rischio limitato: chatbot, deepfake (obbligo trasparenza); 4) Rischio minimo: filtri spam, videogiochi (nessun obbligo).

Quali sono le sanzioni dell'AI Act?

Le sanzioni dell'AI Act sono severe: fino a 35 milioni di euro o 7% del fatturato mondiale per violazioni gravi (sistemi vietati), fino a 15 milioni o 3% per violazioni degli obblighi, fino a 7,5 milioni o 1,5% per informazioni false. Per le PMI le sanzioni sono ridotte.

L'AI Act si applica anche a ChatGPT e AI generativa?

Sì, l'AI Act prevede regole specifiche per i General Purpose AI (GPAI) come GPT-4, Claude, Gemini. I fornitori di GPAI devono: documentare il processo di training, rispettare il copyright, garantire trasparenza. I modelli con rischio sistemico hanno obblighi aggiuntivi (valutazione rischi, incident reporting).

Soluzioni AI già conformi all'AI Act

I nostri prodotti implementano il framework CRISP: trasparenza, supervisione umana, audit trail e protezione dati by design.

Vedi il nostro Trust Center →
Parliamone
Scrivici su WhatsApp