Salta al contenuto
Prompti.it
Servizio Compliance

Compliance AI Act per aziende italiane: dal gap analysis al fascicolo ACN-ready

Articolo 4 in vigore dal 2 febbraio 2025. Sanzioni fino a €35M dal 2026.

Vi accompagniamo dalla mappatura dei sistemi AI in azienda al rilascio della formazione certificata, con fascicolo tecnico pronto per il controllo ACN. Lavoriamo con PMI, studi professionali e PA, in Italia e nel territorio Intarget.

Vedi articolo 4 nel dettaglio

Cos'è la compliance AI Act

Un percorso documentale che dimostra che la vostra azienda usa l'AI in modo conforme.

Il Regolamento UE 2024/1689 obbliga ogni azienda che usa sistemi di intelligenza artificiale a documentare i sistemi adottati, formare il personale e produrre un fascicolo tecnico verificabile. Le sanzioni dell'art. 99 raggiungono €35 milioni o il 7% del fatturato annuo mondiale. In vigore progressivamente dal 1 agosto 2024, regime pieno con vigilanza ACN dal 3 agosto 2026.

In Italia la vigilanza è affidata ad ACN (Agenzia per la Cybersicurezza Nazionale) per gli aspetti tecnici e di sicurezza, ad AgID per la promozione e governance, al Garante Privacy per l'interfaccia con il GDPR. Le autorità settoriali (Banca d'Italia, IVASS, AGCOM) intervengono nei rispettivi ambiti.

L'AI Act distingue tra fornitori (chi sviluppa e mette sul mercato sistemi AI) e deployer (chi usa sistemi AI per finalità professionali). La maggioranza delle aziende italiane rientra nella categoria deployer: chi integra ChatGPT, Copilot, Claude o tool AI verticali nei flussi aziendali è soggetto ai vincoli AI Act, anche senza sviluppare nulla in casa.

Gli articoli rilevanti per i deployer sono in particolare il 4 (alfabetizzazione del personale), il 5 (pratiche vietate come il social scoring o la manipolazione comportamentale), il 50 (obbligo di trasparenza per output AI generati o modificati come deepfake e contenuti sintetici), e il 99 (sanzioni). Per i sistemi ad alto rischio dell'allegato III si aggiungono gli artt. 6-49 con obblighi documentali sostanzialmente più estesi.

A chi serve

Aziende e organizzazioni soggette agli obblighi AI Act.

L'AI Act si applica a chiunque introduca, sviluppi o usi sistemi AI nell'Unione Europea. In pratica, oggi è quasi ogni azienda strutturata. Le quattro categorie con maggiore esposizione documentale sono queste.

Cosa facciamo

Cinque passi dal primo contatto al fascicolo ACN-ready.

Il percorso standard per una PMI con uso AI strutturato dura 6-10 settimane. Per realtà che adottano sistemi alto rischio dell'allegato III sale a 4-6 mesi. Lavoriamo in modalità progetto con milestone settimanali e accesso continuo a una cartella drive condivisa.

Tempi tipici

I numeri del progetto compliance.

0-10 sett.

PMI 50-200 dipendenti, uso AI standard

0-6 mesi

Aziende sistemi alto rischio art. 6

0 giorn.

Durata percorso formazione (mezze giornate)

0K-25K€

Range investimento progetto completo PMI

Cosa portate via

Cinque deliverable concreti, archiviati e versionati.

Tutto ciò che producete con noi resta vostro: file, documenti, registri, credenziali individuali dei dipendenti formati. Niente vendor lock-in, nessuna dipendenza da licenze nostre.

Approfondimenti collegati

Articolo 4 nel dettaglio

Alfabetizzazione obbligatoria dal 2 febbraio 2025

Testo, applicabilità, come dimostrare conformità in caso di controllo.

Formazione articolo 4

Percorso aziendale 5 mezze giornate con EDC eIDAS

24-30 partecipanti, test finale, credenziale UE riconosciuta in 27 paesi.

European Digital Credential

Credenziale UE con sigillo eIDAS

Riconosciuta in 27 paesi, verificabile online in 30 secondi via Europass.

Guida AI Act completa

Articoli, scadenze, autorità, sanzioni

Il quadro normativo aggiornato a maggio 2026, in italiano, lineare.

FAQ Compliance AI Act

Le domande che ci fanno più spesso sulla compliance

L'articolo 4 ha sanzioni dirette?

No, l'articolo 4 non prevede sanzioni dirette. Tuttavia, la mancata alfabetizzazione del personale è considerata aggravante in caso di altre violazioni del Regolamento UE 2024/1689. L'articolo 99 prevede sanzioni fino a €35 milioni o il 7% del fatturato annuo mondiale per pratiche AI vietate (art. 5), fino a €15 milioni o il 3% per non conformità degli obblighi sui sistemi ad alto rischio. Documentare un percorso formativo strutturato riduce in modo significativo l'esposizione sanzionatoria complessiva.

Possiamo gestire la compliance internamente senza consulenti?

Tecnicamente sì, se in azienda sono disponibili competenze legali specifiche sull'AI Act, expertise tecnica sui sistemi adottati e capacità di mantenere documentazione tracciabile nel tempo. Nella pratica, per PMI sotto i 500 dipendenti il time-to-compliance gestito internamente è 3-4 volte più lungo rispetto a un percorso con consulente esterno specializzato. Il rischio principale del fai-da-te è produrre fascicoli tecnici che ACN può contestare in fase di controllo, con conseguente esposizione sanzionatoria. Una valutazione preliminare in una call di un'ora consente di capire se il percorso interno è realistico per la vostra azienda.

Quanto costa una compliance AI Act per una PMI 100 dipendenti?

Il range tipico è €5.000-€15.000 per progetto completo, in funzione del numero di sistemi AI in uso, della complessità dei flussi dati e della profondità della formazione richiesta. Il costo include audit, gap analysis, remediation plan, formazione del personale con EDC eIDAS e fascicolo tecnico finale. La prima call costa €240 (no IVA, Intarget DMCC Dubai) e viene compensata se il preventivo successivo viene accettato. Audit AI standalone parte da €1.000.

ChatGPT Enterprise è compliant by design?

No. ChatGPT, anche nella versione Enterprise con data protection, è uno strumento. La compliance al Regolamento UE 2024/1689 dipende dal modo in cui viene utilizzato in azienda: presenza di policy interne che disciplinano gli utilizzi, formazione documentata del personale (art. 4), valutazione del rischio per i casi d'uso ad alto rischio (artt. 6 e seguenti), tracciabilità del flusso dati ai sensi del GDPR. Senza queste evidenze documentali, l'azienda resta esposta in caso di controllo ACN o incidente operativo.

Cosa succede se non siamo pronti al 3 agosto 2026?

Il 3 agosto 2026 è la data in cui ACN, designata autorità nazionale di vigilanza in Italia, attiva i controlli nel regime pieno. Le sanzioni dell'art. 99 sono cumulative con quelle GDPR: in scenari peggiori una violazione AI Act + GDPR può superare i €50 milioni complessivi per imprese di grandi dimensioni. Esistono anche conseguenze reputazionali (pubblicazione delle decisioni sanzionatorie) e civili (responsabilità verso terzi danneggiati). Per PMI il rischio principale è la perdita di clienti enterprise che richiedono fornitori AI-Act compliant come prerequisito contrattuale.

Quale formato ha l'EDC eIDAS rilasciata al termine della formazione?

La European Digital Credential è una credenziale digitale ufficiale UE con sigillo elettronico eIDAS. È verificabile online in 30 secondi tramite il portale Europass della Commissione Europea, machine-readable per ATS aziendali e sistemi HR, riconosciuta in tutti i 27 paesi membri UE. Ogni dipendente formato riceve la propria credenziale memorizzabile nel wallet Europass personale. Per l'azienda costituisce evidenza documentale dell'alfabetizzazione del personale richiesta dall'art. 4, parte integrante del fascicolo tecnico.

Iniziamo dall'audit veloce di un'ora.

Prima call €240 (no IVA, Intarget DMCC Dubai), compensata se accettate il preventivo successivo. Capiamo dove siete sull'AI Act, identifichiamo i gap critici, definiamo il percorso.

info@prompti.it

Tutte le call si svolgono in videoconferenza, in italiano, inglese o spagnolo.

IT