FAQ AI Act: 15 domande frequenti dal mercato italiano

AI Act è il Regolamento UE 2024/1689, primo framework normativo al mondo sull'intelligenza artificiale. Approvato dal Parlamento Europeo a marzo 2024, pubblicato in Gazzetta Ufficiale UE a luglio 2024, in vigore con scadenze graduali dal 2 febbraio 2025 al 2 agosto 2027. Si applica a fornitori, deployer, importatori e distributori di sistemi AI nel mercato UE.

Calendario in vigore: (1) 2 febbraio 2025 — articoli 1-5 (definizioni, pratiche vietate, articolo 4 alfabetizzazione AI); (2) 2 agosto 2025 — autorità competenti, sanzioni GPAI; (3) 2 febbraio 2026 — codice condotta GPAI; (4) 2 agosto 2026 — sistemi alto rischio allegato III, articolo 50 trasparenza, sanzioni; (5) 2 agosto 2027 — sistemi alto rischio incorporati in prodotti regolamentati.

Quattro categorie di soggetti: (1) Fornitori (chi sviluppa sistemi AI o li commercializza); (2) Deployer (chi usa sistemi AI per attività professionale, anche se non li sviluppa); (3) Importatori di sistemi AI nel mercato UE; (4) Distributori. Le PMI italiane che usano ChatGPT/Copilot/Claude sono deployer: si applicano gli obblighi articolo 4 e gli obblighi specifici se usano sistemi alto rischio (allegato III).

Allegato III dell'AI Act lista 8 categorie alto rischio: (1) biometria, (2) infrastrutture critiche, (3) istruzione e formazione professionale, (4) occupazione e gestione lavoratori (HR scoring, recruiting AI), (5) servizi essenziali (credit scoring, polizze, accesso servizi pubblici), (6) law enforcement, (7) migrazione e asilo, (8) amministrazione giustizia e processi democratici. Per questi sistemi si applicano obblighi articoli 9-15 (gestione qualità, documentazione tecnica, sorveglianza umana, log).

Sì. L'articolo 4 si applica a tutti i deployer indipendentemente dalla dimensione. Una microimpresa con 5 dipendenti che usa ChatGPT per email ha obbligo di garantire alfabetizzazione AI del personale. Il livello di formalità documentale può essere proporzionato, ma il requisito sostanziale resta. Vedi guida articolo 4.

Articolo 99 prevede tre fasce sanzionatorie: fino €35M o 7% fatturato globale (pratiche vietate art. 5), fino €15M o 3% (alto rischio + GPAI + trasparenza), fino €7,5M o 1% (informazioni inesatte). ACN è autorità competente in Italia. Vedi guida sanzioni.

ACN — Agenzia per la Cybersicurezza Nazionale è l'autorità di vigilanza primaria designata dalla Legge 132/2025 di adeguamento italiano. Affianca AgID (Agenzia per l'Italia Digitale) per aspetti tecnici. Per dati personali concorre il Garante Privacy. Per settori specifici (banche, sanità, energia) restano autorità di settore.

Sì. I provider di GPAI (General Purpose AI Models) come OpenAI, Anthropic, Google sono soggetti agli obblighi specifici per GPAI (articoli 51-55): documentazione tecnica, training data summary, copyright compliance, valutazione rischi sistemici per modelli più grandi. Sono inoltre disponibili Codici di Condotta volontari elaborati dalla Commissione UE.

Probabilmente sì, soprattutto per usi AI con dati personali. AI Act articolo 27 richiede Fundamental Rights Impact Assessment per deployer di sistemi alto rischio in determinati casi. Per usi AI generici resta GDPR articolo 35 (DPIA) quando il trattamento presenta rischi elevati. La best practice: aggiornare DPIA esistente integrando valutazione AI specifica.

GPAI con rischio sistemico sono modelli con capacità ad alto impatto: training compute superiore a 10^25 FLOPs, oppure designazione discrezionale Commissione UE basata su capacità del modello. Esempi probabili 2026: GPT-5 full, Claude Opus 4.x, Gemini 2.5 Ultra, Llama 4 Behemoth. Hanno obblighi rinforzati: model evaluation rigorosa, risk assessment sistemico, cybersecurity adeguata, reporting incidenti gravi.

Non obbligatorio per legge. Diventa pratica raccomandata in aziende con: (a) sistemi AI alto rischio in deployment, (b) 100+ dipendenti che usano AI quotidianamente, (c) settori regolati (banking, sanità, PA, defense). Tipicamente è figura ibrida con DPO o consulente esterno. Costo tipico Italia: €60-130k RAL interno, oppure €1.500-5.000/mese consulenza esterna.

AI Act e GDPR sono complementari, non alternativi. GDPR si applica al trattamento di dati personali indipendentemente dalla tecnologia. AI Act si applica ai sistemi AI indipendentemente dal tipo di dati. Per usi AI con dati personali si applicano entrambi. Per dati anonimi o aggregati si applica solo AI Act. Le due normative condividono principi (trasparenza, accountability) ma con focus diverso.

No, sono volontari. La Commissione UE ha promosso Codici di Condotta per GPAI (presentati nel 2025) che permettono ai provider di dimostrare conformità in modo facilitato. Adesione volontaria ma fortemente raccomandata: provider non aderenti devono dimostrare conformità tramite altri mezzi, con maggior onere documentale e più rischio in caso di audit.

Range tipico per PMI 50-200 dipendenti senza sistemi alto rischio: €10.000-30.000 setup iniziale (audit + formazione + governance) + €5.000-15.000/anno manutenzione (refresh formativo, aggiornamento policy). Per PMI con sistemi alto rischio (HR scoring, credit scoring): €30.000-100.000 setup + €15.000-40.000/anno. ROI: evitare sanzioni + accesso a gare enterprise + riduzione rischio reputazionale.

Tre step concreti: (1) leggete la nostra guida AI Act per aziende per orientarvi; (2) compilate la checklist 20 domande per autovalutazione; (3) prenotate una call con noi €240 per gap analysis personalizzata e roadmap actionable.